Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

La nuit du hack 2010 – Petit compte rendu

Il y a 2 semaines, j’ai fait un petit périple parisien pour assister comme prévu à la Nuit du Hack 2010 ! Je vais donc essayer de vous faire un petit compte rendu sympa et pas chiant (avec plein de photos). La veille du démarrage, je suis passé faire un petit coucou aux organisateurs, dans les nouveaux locaux de Sysdream. Beaucoup de fûts de bières (au fond sur la première photo), quelques kebabs et surtout beaucoup de serveurs en court de préparation pour le challenge (je vous en reparle après)…

Après une courte nuit de sommeil et une journée à zoner dans Paris, je me suis pointé en bord de Seine. La NDH s’est déroulée sur une péniche et plus de 600 personnes sont venues pour jouer les curieux, assister aux conférences ou tenter les challenges.

Les conférences

Niveau conférence, ça se passait sur 2 niveaux en simultané donc difficile de tout voir. N’empêche, il y en avait pour tous les goûts.

  • Une présentation de Julien Reveret au sujet des malwares sous Unix. Beaucoup de gens pensent être à l’abri mais il existe des dizaines de façons de véroler un tel système. Julien a fait une démo d’un framework qui permet par exemple de fabriquer des packages vérolés.
  • Une autre sur un framework permettant d’exploiter les failles XSS. Il s’agit de Xeek présenté par Emilien Girault.
  • Un speech sur la sécurité antivirale par Stéfan Le Berre qui a mis en évidence les faiblesses des antivirus.
  • La conférence star de la NDH, c’était aussi et surtout celle de Geohot, venu spécialement des US pour nous parler de la sécurité sur les matériels embarqués, notamment la playstation 3 et l’iPhone. J’ai adoré sa façon de présenter les choses… Tout à l’air très simple pour lui et il arrive même à se faire rire tout seul lorsqu’il évoque les sécurités (inutiles ou peu efficaces) mises en place par Apple ou Sony. J’imagine à quel point ce mec a du énerver ces grosses sociétés.

  • Emmanuel Istace a parlé ensuite de virtualisation
  • Mathieu Suiche a abordé les techniques d’analyse de la mémoire physique de MacOSX… Terrain encore peu connu sur cet OS mais parfaitement maitrisé sous Windows
  • Une autre conf que j’ai trouvé sympa, c’est celle sur le lockpicking… Le crochetage de serrure si vous préférez. 90 % des serrures dites de haute sécurité sont ouvrables en quelques secondes / minutes grâce à des techniques de crochetages, d’impression ou des clés molles somme toute assez simple. J’ai vraiment été bluffé ça fait flipper surtout…

  • Lucas Fernandez a abordé le sujet du calcul en parallèle sur console et une nouvelle technique de bruteforcing avec les GPGPU.
  • Une autre conf moins technique celle là mais très intéressante pour ceux qui recherchent et diffuse des failles de sécurité. Quels risques prend on à diffuser ces failles ou simplement à en informer le propriétaire du site, et que dit la loi à propos de tout cela.

  • Gael Therond a fait une présentation sur l’évolution des technologies, de l’anticythère à nos jours et des risques informatiques qui en ont découlé.
  • Petite présentation du projet HZVault qui permet de chiffrer de manière virtualisé n’importe quel disque dur ou clé USB. J’ai hate de tester l’outil 🙂
  • Christophe Devine a présenté Xdbg, debugger opensource, qui permet de faire de l’analyse de code malveillant
  • Et pour terminer, une autre conf bien technique sur le Stask Smashing Protector, qui permet lors de la compilation d’un OS avec GCC d’activer le SSP et ainsi d’ajouter des mécanismes de protection face aux buffers overflow.

Vous retrouverez l’ensemble des slides de ces confs sur le site de la NDH. Je ne sais pas par contre si ce qui a été filmé pendant la soirée est ou sera dispo sur le net, mais je vous le dirai dès que ça sera le cas. En attendant il y a eu pas mal de petites vidéos tournées par les participants (confs et autre).

Les rencontres

Du côté des rencontre, j’ai parlé à beaucoup de monde très sympa ! Impossible donc de les citer tous…

J’ai eu la chance de causer un peu avec Geohot qui profite un peu de la vie avec un petit trip en Europe. Il m’a expliqué qu’il se retirait de la Scène et qu’il en avait un peu marre mais je ne vois pas comment un mec qui a ça dans le sang peut arrêter d’être curieux et de détourner les protections mises en place sur des iPhone ou des PS3 🙂 . Il faut savoir que le hack de l’iPhone était grosso modo son premier vrai hack. Une vraie tronche le mec…

J’ai aussi appris à lockpicker des petits cadenas ! Et franchement, c’est très fun et très facile une fois qu’on a chopé le coup de main ! Gaffe à vos casiers de piscine !!!! 😀

Autre atelier challenge, celui du crack de la Livebox… les mecs se sont essayés pendant 24h à trouver le login et mot de passe root (non, pas admin) de la Livebox… aux dernières nouvelles sans succès.

J’ai bien sympathisé aussi avec l’illustre XavBox qui animait un atelier de puçage de console… Wii, PSP, Xbox, tout y passe… (Le CR de Xav est dispo ici)

De gauche à droite : Xavbox, Freeman, Pedro et moua…

D’ailleurs Pédro m’a passé un petit stylo espion caméra à tester… si ça vous branche je ferai un petit test sur le sujet 🙂

L’ami Babozor, le hacker sans clou ni vis qui anime le podcast de La Grotte du Barbu (que je vous avais déjà présenté) est passé aussi pour nous faire un hack de caddie assez géant !

La compétition

Ça c’était intense ! 2 compétitions ont eu lieu… La première réservée aux team inscrites. L’objectif était de sécuriser ses propres serveurs tout en allant démonter les serveurs des autres team. Evidemment, sur les serveurs, l’équipe de la NDH avait réservé quelques surprises (failles and co) que les participants se sont empressé de découvrir. Bon, j’ai pu observer tout ça de très loin, ne pouvant pas vraiment déranger les participants pour leur demander plus de détails sur ce qu’ils étaient en train de faire. (genre faire mon gros boulet quoi)

Les 3ème (Kowalski)

Les seconds (Beerware)

Les winners ! (WWFamous)

Et le staff qui se repose pendant ce temps là…

Le second challenge était ouvert à tous et se découpait en différentes épreuves de crypto, stegano, captcha, forensics, crackme, webapp…etc. Si d’ailleurs, ça vous branche de tester vos compétences à ce petit jeu, le wargame est en ligne à cette adresse : http://wargame.nuitduhack.com/

Le gagnant du challenge public est cette année Key_sec avec qui j’ai pu discuter un peu après (et qui lit korben.info !!). Très sympa et apparemment aussi très doué ! Si vous voulez voir l’intégral des classements, c’est par ici que ça se passe.

Bref, la nuit blanche a été hard pour mon petit cerveau mais j’ai tenu jusqu’au bout (et plus encore…le temps de rentrer à Clermont Ferrand) !!!! La nuit du hack manquait juste de caféine… J’ai rencontré des gens super intéressants, avec des compétences de dingues et surtout très sympathiques. J’ai vraiment adoré l’ambiance ! (et je ne dis pas ça uniquement parce que j’ai appris à faire du lockpicking hein…)

Encore merci à mes potes Freeman et Crash de m’avoir convié à cet événement dont toute l’équipe peut être vraiment fière.

A l’année prochaine les petits Hackerzzzz !


Des proxys sans limites ça vous tente ?

Smartproxy vous permet d’aller au delà de toutes les restrictions

Utilisez les adresses IP résidentielles de vrais périphériques pour acheter des biens ou effectuer toute autre opération avec un nombre de connexions illimité.

Le tout avec une géolocalisation sur 195 sites dans le monde, y compris 8 grandes villes.

Passez aux proxys