Archives par mot-clé : Hackers

La grande première pour leHACK (ex-Nuit du Hack)

leHACK 2019

Si vous avez bien suivi, vous devez savoir que La Nuit du Hack n’existe plus et qu’à partir de cette année nous avons droit à LeHACK. Je ne m’y suis pas encore totalement habitué, mais ça commence à venir.

Un changement de marque donc pour cette conférence incontournable du hacking et de la sécurité made in France. Mais pas de panique, le changement n’est présent que dans le nom, et on garde le même esprit. Un peu comme pour nos Présidents de la République, quoi ;-).

Tout ce qui a fait le succès de l’évent jusqu’ici sera bien sûr de la partie : une orga expérimentée au taquet, de grosses conférences, des stands, des workshops et même une zone entière dédiée au recrutement (pensez à votre CV !).

Affiche leHACK 2019

Comme l’an dernier un wargame type jeopardy aura lieu tout au long de la nuit. L’esprit compétitif qui sommeille en vous va pouvoir s’exprimer à travers divers challenges qui vous opposeront aux autres visiteurs.

Plutôt du genre discret ? Vous allez pouvoir mettre à profit ce talent puisque le challenge Social Engineering est lui aussi de retour pour une 3e édition. Votre mission d’espionnage impliquera : recherches open source, hameçonnage par téléphone (phishing), tracking, ingénierie sociale, intrusions physiques, lockpicking, etc.

Vous avez découvert une faille de sécurité, mais vous avez peur de subir les foudres de Dieu ? Rendez-vous dans le confessionnal ZATAZ pour y témoigner de manière anonyme et recevoir l’absolution. Mais tenez-vous-en à l’aspect sécu hein, ne confessez pas toute votre vie privée de débauché 😉

Les programmes de Bug Bounty, gérés comme à chaque fois par YesWeHack, seront quant à eux révélés lors de la session d’ouverture de leHACK. Ces Bug Bounty seront d’ailleurs exclusivement réservés aux participants leHACK et un portefeuille de 5 000 euros sera attribué aux programmes et aux meilleurs chasseurs de bugs. Pour les autres, ceux qui ne trouveront rien, vous serez châtiés et devrez ranger tous les câbles de l’évent par taille et connectique. Pour éviter cette torture, je vous invite à jeter un oeil sur le règlement.

Vous voulez une autre initiative sympa ? J’ai ça sous la main : leHack Kids. En marge de la journée, les enfants de 8 à 16 ans vont pouvoir s’amuser à travers divers ateliers et découvrir la programmation, l’électronique, la chimie, la sécurité informatique … En plus c’est gratuit et les repas sont fournis, par contre il faut faire assez vite, car il ne reste que quelques jours pour inscrire vos petits Kevin Mitnick en shorts.

Souvenirs Nuit du Hack 2018
Le délire j’vous dit!

Comme l’année dernière, cette édition sera l’occasion de découvrir un grand jeu de hacking interactif : Qui veut gagner des Bitcoins ?

9 équipes de 3 personnes vont s’affronter afin de repartir avec un portefeuille alimenté … en bitcoin.

Bref encore une édition qui s’annonce délirante, intéressante et bien chargée. Vraiment hâte de voir ce que ça va donner, mais je sais déjà que ce sera énorme ! Chaque année c’est pareil, j’y rencontre de grands malades passionnés et j’en ressors avec de nouvelles connaissances à exploiter !

Dans le cas où vous ne sauriez pas vraiment de quoi je parle, n’hésitez pas à jeter un oeil sur la chaîne YouTube de l’Asso HZV. Vous y découvrirez des conférences captivantes comme celle-ci :

Pousse le son Georgette

leHack aura lieu à la Cité des Sciences, les 6 et 7 juillet prochains et j’espère vous voir là bas. Au passage, si vous n’êtes pas encore inscrit dépêchez-vous, car il ne reste quasi plus de places.

Bienvenue à leHack !

SwissTransfer 🇨🇭 Le remplaçant Suisse de WeTransfer

Aaah la Suisse ! Quel beau pays ! Une neutralité à toute épreuve et du chocolat qui déchire.

Il ne lui manquait qu’un service permettant de transférer simplement de gros fichiers. Quelque chose de similaire avec le côté « Patriot Act » américain en moins.

C’est ce que vient proposer l’hébergeur suisse Infomaniak avec SwissTransfer.

Au programme :

  • un service gratuit, sans inscription et sans pub
  • des envois jusqu’à 20 Go
  • une sécurité élevée grâce au stockage des fichiers en Suisse dans un centre de données certifié Tier III+, efficace sur le plan énergétique et écologique. Et le service est 100% RGPD
  • une durée de validité modulable jusqu’à 30 jours
  • un partage par e-mail ou lien de votre fichier
  • la possibilité de protéger votre fichier avec un mot de passe
  • ainsi qu’un mail de confirmation, une fois les fichiers téléchargés par le ou la destinataire

Et surtout de magnifiques photos de ce beau pays !

Que demander de plus ? Je vous recommande de bien vous mettre cette URL dans le crane et de remplacer définitivement WeTransfer par SwissTransfer.

Merci Infomaniak ! Et big up à Boris et Eric !



Le danger des contrôleurs RF dans les applications industrielles

Quand on pense « sécurité + systèmes industriels » d’un point de vue grand public, le premier truc qui vient à l’esprit est en général SCADA en place dans les usines, et qu’on peut parfois croiser au détour d’un Shodan ou autre.

On pense aussi à Windows Embedded pour les systèmes embarqués et son lot de vulnérabilités connues et parfois exploitées par des malwares.

Mais ce à quoi on pense un peu moins, ce sont les « télécommandes » qui permettent de contrôler ces fameuses machines dans les usines. Je dis « télécommandes » pour simplifier, mais il s’agit de contrôleurs RF (Radio Fréquence) qui permettent de piloter et d’envoyer des ordres comme on le ferait avec une voiture radiocommandée.

La société Trend Micro a publié un rapport à ce sujet où elle détaille les vulnérabilités les plus fréquentes que nous pouvons retrouver au niveau de ces contrôleurs RF, ainsi que les différentes mesures de sécurisation.

Trend Micro a classé les différentes attaques dans 5 grandes classes que voici, et les détaille ensuite dans son rapport.

Radio frequency remote controller weaknesses

Pour mener à bien ses attaques, il n’y a pas besoin forcement de grandes compétences, ni de matériel trop complexe. Avec un petit équipement radio (type RTL-SDR, BladeRF, Ettus, Yard Stick One, PandwaRF…etc.), et un peu de temps, il est possible pour un attaquant de rejouer des commandes, d’en injecter, voire de provoquer un genre de déni de service.

Exemple avec une injection de commande :

Ces attaques peuvent alors déboucher sur du vol de données, du sabotage, ou encore de l’extorsion en cas de chantage.

Ces attaques se réalisent en étant sur place où à une distance réduite de l’appareil (quelques minutes suffisent) mais peuvent aussi s’effectuer à distance au travers d’un poste mal sécurisé, connecté à Internet ou à un réseau compromis.

Dans son rapport, Trend Micro expose une étude de cas IRL dans une aciérie (fabricant d’acier) avec la méthode et les outils qui vont bien. C’est très intéressant à lire.

Évidemment, des contre-mesures existent et il est fortement recommandé de les mettre en place pour réduire la surface d’attaque :

Si le sujet vous intéresse, je vous invite fortement à lire ce rapport de Trend Micro, vraiment bien illustré, très clair et simple à comprendre pour les débutants que nous sommes tous 😉


Sécurité et vitesse pour votre connexion internet

Restez à l’abris des regards indiscrets

En règle générale, utiliser un VPN pour se connecter à internet a tendance à ralentir vos débits de connexions, c’est le cas pour afficher une simple page HTML ou accéder à d’autres catalogues de VOD comme ceux de NETFLIX. Le téléchargement de fichiers ou du flux vidéo en devient parfois saccadé.

Notre VPN vous propose Une bande passante illimitée et une sécurité renforcée avec un cryptage AES 256 et un système anti-empreintes digitales

Restez éfficace et anonyme


Événement Bug Bounty – Rendez-vous au FIC (Lille) la semaine prochaine !

Petite question : Que faites-vous les 22 et 23 janvier prochain ?

Si la réponse est « Pas grand-chose mon capitaine« , alors pourquoi ne pas sauter dans un train direction Lille pour assister au FIC, le Forum International de la Cybersécurité ? Bonne ambiance assurée, gens sympas, autocollants et goodies partout, et même si ça manque de barbecues, j’ai une bonne intuition concernant la bière 🙂

La bonne nouvelle c’est que j’y serai avec mes camarades de YesWeHack pour organiser pour la première fois dans tout l’univers et ses réalités alternatives, un Bug Bounty sur site tout à fait exceptionnel !

En effet, si vous voulez gagner de jolies récompenses (en euros !), des cadeaux de fou, et un hug de votre blogueur préféré, c’est très simple. Vous devez :

Ensuite, nous on se charge du reste, en vous offrant en exclusivité de nombreux périmètres d’ONG de renom et de projets CivicTech (Projets tech pour le bien commun si vous préférez) sur lesquels vous pourrez durant les 2 jours de salon, pratiquer votre art du ethical hacking afin de découvrir le plus de failles possibles, empocher un maximum d’argent et de cadeaux et devenir « famous » au niveau « worldwide » (si, si c’est comme ça qu’on dit en ch’ti).

Ça va être du gros délire.

Une fois sur place, pour nous trouver, ce sera très simple. Il suffit de chercher les stands E8 et E9 en vous référant au plan suivant :

N’oubliez pas non plus que nous recrutons pleine balle pour l’année qui vient, donc venez discuter avec nos équipes si vous êtes développeur, commercial ou autre..

On se voit là bas ?


Sécurité et vitesse pour votre connexion internet

Restez à l’abris des regards indiscrets

En règle générale, utiliser un VPN pour se connecter à internet a tendance à ralentir vos débits de connexions, c’est le cas pour afficher une simple page HTML ou accéder à d’autres catalogues de VOD comme ceux de NETFLIX. Le téléchargement de fichiers ou du flux vidéo en devient parfois saccadé.

Notre VPN vous propose Une bande passante illimitée et une sécurité renforcée avec un cryptage AES 256 et un système anti-empreintes digitales

Restez éfficace et anonyme


Décorticage du compteur Linky

Le Youtubeur Deus Ex Silicium a mis en ligne un épisode très technique et passionnant sur le compteur Linky.

Oui le fameux compteur d’Enedis qui fait peur à pas mal de gens. Brrrrr…

Suite à cette vidéo, Deus Ex Silicium a publié une seconde vidéo en complément à celle-ci, mais l’a pour le moment retirée pour y corriger quelques erreurs. À suivre donc sur sa chaine lorsque ce sera à nouveau en ligne dans quelques heures / jours.

Bon visionnage à tous !


Sécurité et vitesse pour votre connexion internet

Restez à l’abris des regards indiscrets

En règle générale, utiliser un VPN pour se connecter à internet a tendance à ralentir vos débits de connexions, c’est le cas pour afficher une simple page HTML ou accéder à d’autres catalogues de VOD comme ceux de NETFLIX. Le téléchargement de fichiers ou du flux vidéo en devient parfois saccadé.

Notre VPN vous propose Une bande passante illimitée et une sécurité renforcée avec un cryptage AES 256 et un système anti-empreintes digitales

Restez éfficace et anonyme