Compte rendu de la 9ème édition de la conférence BruCON

Filtrer par catégorie :

12 Octobre 2017 by Damien Cauquil
Brucon 2017
Les 5 et 6 octobre derniers se tenait la neuvième édition de la conférence BruCON, qui se déroulait dans l'Université de Gand en Belgique. Digital Security y a assisté et participé, au travers d'une présentation et la participation exceptionnelle à un atelier sur la sécurité des objets connectés utilisant le protocole Bluetooth Low Energy.

Coupole de l'amphithéâtre
Le lieu où se déroule la conférence est très particulier car il s'agit de l'aula de l'Université de Gand, un bâtiment possédant un amphithéâtre dont l'architecture à colonnes est impressionnante. Le lieu a toutefois été un brin modifié pour l'évènement, avec un écran géant diffusant les gazouillis des afficionados de Twitter, ainsi que des statistiques sur l'utilisation du réseau sans-fil mis à disposition.
Je n'ai pas pu assister à l'intégralité des présentations et ateliers, aussi  je détaillerai dans ce billet de blog ceux auxquels j'ai assisté, et ceux qui m'ont marqués en particulier.


Première journée de conférence

Aula de l'Université de Gand


Detecting malware even when it is encrypted (František Střasák)

Cette présentation traitait d'un sujet intéressant, à savoir comment détecter une activité malveillante réalisée au travers de connexions sécurisées à l'aide de machine learning. L'approche est relativement convenue, le machine learning, offrant la possibilité de créer un système de détection automatisé basé sur l'analyse de relations existant entre différentes caractéristiques propres à un lot de données. L'intérêt de ce mécanisme est de pouvoir se passer de la capacité à observer le contenu en clair des communications, ce qui n'est pas possible lorsque l'on observe passivement ce type d'échanges.
L'auteur explique ainsi les différents critères fournis en entrée à l'algorithme d'apprentissage (plus de quarante !), et les différentes expériences menées afin d'évaluer la fiabilité de ce système automatisé. Pour ce faire, il crée un premier jeu d'apprentissage contenant une certaine quantité de données issues de communications saines et malveillantes, et évalue la fiabilité du système de détection sur un jeu de données différent contenant lui aussi une certaine quantité de données issues de communications saines et malveillantes.
Les résultats varient selon les dosages, cependant l'auteur déplore un taux de faux positifs (False Positive Rate) relativement élevé peu importe les expériences menées. Cela peut être expliqué par le fait que les logiciels malveillants s'industrialisent et utilisent de plus en plus les communications sécurisées de la même façon que l'ensemble des logiciels sains, rendant plus difficile leur détection.

Cliquez ici pour visualiser les slides de la conférence.


Knock knock... Who's there ? admin admin and get in ! (Anna Shirokova)

Cette seconde présentation par Anna Shirokova fut très intéressante, l'oratrice traçant un historique
des logiciels malveillants utilisant la recherche exhaustive d'identifiants de connexion (aussi appelé bruteforce) afin de s'introduire dans des systèmes sur Internet et d'assurer leur propagation.
Le premier logiciel malveillant effectuant ce type d'attaque sur Internet sévit à partir de 2009, mais ce n'est qu'à partir de 2013 qu'un code malveillant repéré par l'éditeur DrWeb, dénommé FortDisco, se sert de ce type d'attaque pour se propager et diffuser d'autres codes malveillants. En 2015, le logiciel malveillant Aethra a fait son apparition et ciblait en particulier les routeurs mal protégés afin d'y déposer des codes malveillants. Jusqu'en 2017, où le code malveillant Stantinko reperé par ESET effectuait toujours des attaques par recherche exhaustive.
La propagation de logiciels malveillant par l'exploitation de comptes ayant des mots de passe faibles est toujours d'actualité, ces derniers ciblant non seulement des services d'administration mais aussi des systèmes de publication de contenus comme Wordpress afin de propager des codes malveillant.

Cliquez ici pour visualiser les slides de la conférence.

Hacking Bluetooth Smartlock - Atelier (Slawomir Jasek, Damien Cauquil)

Slawomir Jasek m'a proposé peu avant la conférence de co-animer son atelier sur la sécurité des serrures connectées utilisant le protocole Bluetooth Low Energy, proposition que j'ai accepté avec plaisir ayant moi-même présenté quelques-unes de ces serrures lors de précédentes interventions. C'était aussi pour moi l'occasion de parler de Btlejuice, l'outil d'interception de communications Bluetooth Low Energy conçu par Digital Security, et de démontrer son efficacité.
Nous avons donc évoqué la sécurité des différentes serrures et cadenas connectés, ainsi que les faiblesses et vulnérabilités généralement rencontrées. Slawomir a ainsi démontré combien il est facile de forcer l'ouverture d'un cadenas, ou de voler un code permettant de déverrouiller une serrure. Nous avons tous deux répondu aux questions des participants, et parlé de notre retour d'expérience en ce qui concerne la sécurité des équipements utilisant ce protocole.
Ce fut une expérience enrichissante pour ma part, et j'espère que cela va amener d'autres hackers à s'intéresser aux objets connectés et à leur sécurité.


L'initiative Mentor/Mentee sponsorisée par Google

Cette année Google a sponsorisé l'initiative Mentor/Mentee, une nouveauté à BruCON, visant à mettre en relation des professionnels de la sécurité informatique et des personnes souhaitant apprendre ou du moins à la recherche de conseils quant aux personnes à suivre, ou encore comment survivre dans ce domaine. Rendez-vous était donc donné aux personnes intéressées au bar de l'hôtel Novotel dans le centre de Gand, afin de permettre un véritable échange informel entre les Mentors et les Mentees. J'y ai participé, et ai rencontré plusieurs étudiants et professionnels avec qui j'ai eu de bonnes discussions, entre autres trolls bien entendu.

Cette initiative était très enrichissante, et devrait à mon humble  avis être à nouveau mise en place pour la prochaine édition, voire même dans d'autres conférences.



Seconde journée de conférence

La seconde journée de conférence a elle aussi débutée par un petit-déjeuner, durant laquelle les discussions allaient bon train. Après une ou deux bouteilles de Club-Mate, il fut temps d'assister à la keynote du jour, ayant manqué celle de la veille.


How hackers changed the security industry and how we need to keep changing it (Chris Wysopal)

Chris a retracé dans un premier temps l'évolution de la perception des hackers et du hacking au cours des dernières décennies, et a expliqué comment un groupe de hackers considérés par les autorités comme des criminels a pu au fil des années avoir une meilleure image jusqu'à témoigner devant le Sénat des Etats-Unis d'Amérique. Il a en particulier insisté sur le fait que les hackers étaient à l'origine de bien des avancées dans le domaine de la sécurité : ce sont eux qui ont inventé les scans de vulnérabilité, ou encore développé les premiers outils de manipulation de paquets réseau. Outils qui sont de nos jours des standards et largement employés par des pentesteurs voire même des administrateurs systèmes.
Ils sont aussi à l'origine de conférences renommées comme la célèbre DEFCON qui a lieu tous les ans à Las Vegas et qui tenait cette année sa 25ème édition. Chris mentionne aussi le fait que plusieurs agences américaines à trois lettres y envoyèrent des équipes pour apprendre et voir ce qu'il se faisait en termes de cybersécurité, en leur demandant de se fondre dans la masse des hackers afin de ne pas ternir l'image de ces agences. De nos jours, elles ne se cachent plus et participent même à ces évènements, tout comme bon nombre d'autorités dans les différents pays accueillant des conférences sur la sécurité informatique.

Durant sa présentation, il a insisté sur le fait que les hackers en sont arrivés là en faisant du bruit, en se faisant connaître grâce à des attaques et des démonstrations significatives. Ils ont chamboulé les croyances de l'époque, et démontré leur utilité à tel point que de nos jours le terme hacking éthique existe. Mais ces pionniers sont vieillissants, et il faut former la relève: les hackers doivent encore faire du bruit, faire avancer les choses.
Chris propose ainsi de créer des Security Champions, c'est-à-dire des référents sécurité formés par des professionnels de la sécurité informatique et présents dans des sociétés réalisant par exemple des logiciels ou fournissant des services à des utilisateurs. Ces champions pourront ainsi être sollicités dès la conception des services et logiciels et fournir des réponses permettant de sécuriser en amont ces derniers, améliorant de fait la sécurité de l'ensemble.

Cliquez ici pour visualiser les slides de la conférence.


See no evil, hear no evil: Hacking invisibly and silently with light and sound (Matt Wixey)

Cette présentation de Matt Wixey est une des plus intéressantes de la conférence, l'auteur aborde ainsi plusieurs moyens d'utiliser la lumière et ses différentes longueurs d'onde (laser et infra-rouge par exemple) ainsi que du son pour mettre à mal la sécurité des systèmes. Il démontre ainsi comment un simple laser peut, combiné à un montage électronique adapté, servir de microphone et espionner des conversations. Ou encore comment l'on peut exfiltrer des informations d'un ordinateur portable déconnecté de tout réseau (on parle alors d'air gap) en utilisant simplement sa carte son, son capteur de luminosité ambiante et une LED.

Il démontre par ailleurs qu'il est aussi possible d'attaquer des mécanismes de commande sans-fil lorsque ceux-ci sont mal conçus, en mettant cela en pratique sur un système d'alarme. Enfin, il dévoile une technique imparable pour lutter contre les drones Parrot AR Drone basée sur l'émission de son à une fréquence précise, ce dernier troublant le sonar du drone et ayant pour résultat d'envoyer le quadricoptère dans la stratosphère.

L'astrodrone de Matt Wixey
En somme une présentation rafraîchissante, empreint d'un bon esprit hacking, et démontrant que l'on peut arriver à des résultats impressionnants avec très peu d'équipement (comme Angus McGyver en quelque sorte).

Cliquez ici pour visualiser les slides de la conférence.

Weaponizing the BBC Micro:Bit (Damien Cauquil)

Je suis venu à BruCON en tant qu'orateur et ce fut donc à mon tour de présenter comment l'on peut détourner le Micro:Bit, un équipement de prototypage sponsorisé par la British Broadcasting Corporation à destination des élèves du Royaume-Uni, afin d'en faire un outil d'attaque de protocoles sans-fil basés sur du 2.4GHz. J'ai ainsi démontré comment transformer cet équipement à 15€ en système d'écoute permettant d'intercepter des frappes de touches de clavier sans-fil, ou encore éprouver les implémentations du protocole Bluetooth Low Energy. Enfin, j'ai montré qu'il était aussi possible d'attaquer un drone en vol à l'aide de ce circuit, en réalisant une démonstration durant la présentation. Je remercie tout particulièrement Xavier Mertens qui a eu la gentillesse de piloter le drone en question, et les dieux de la démo pour l'absence d'incident majeur.

Cliquez ici pour visualiser les slides de la conférence.


Retour à la normalité

Ce fut ensuite pour moi l'heure de rentrer à Paris, après deux jours intenses de conférence, d'échanges et de discussions enflammés sur la sécurité des systèmes et des objets connectés. L'accueil fut chaleureux, même pour un français perdu dans la Belgique flamande. Un grand merci aux organisateurs de cet évènement, à Xavier, Philippe, Christophe et tous ceux avec qui j'ai partagé ma première BruCON.

BruCON est une conférence conviviale, dans une très belle ville, proposant des interventions variées par des orateurs d'horizons divers. Je n'ai pas pu assister aux autres ateliers ni aux trainings, peut-être lors de la prochaine édition ?