Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Defcon 18, nom de code « Barely Legal »

août 2010 par Nicolas Oberli et Alain Mowat experts sécurités SCRT

Defcon 18, nom de code « Barely Legal » a eu lieu cette année pour la dernière fois à l’hôtel Riviera de Las Vegas, du 30 juillet au 1er août sous la chaleur suffocante du Nevada,. En effet, l’année prochaine la conférence se déplacera au Rio, situé en parallèle au célèbre Las Vegas boulevard, ce qui obligera les visiteurs à une petite marche pour rejoindre l’ambiance festive des casinos. Un changement dû non pas aux débordements de la conférence, mais à sa popularité croissante (et à la destruction prochaine du Riviera). En effet, l’édition de cette année a vu défiler plus de 160 présentations différentes au cours du week-end prolongé.

Les quelques 7’000 badges préparés pour l’occasion ont d’ailleurs rapidement été épuisés, laissant beaucoup de participants sur leur faim. Il fallait se lever de bonne heure le jeudi matin pour s’assurer de recevoir l’objet tant convoité. Le badge de cette année est le plus cher jamais produit pour Defcon : environ 14 US$ par badge, principalement lié à l’écran LCD utilisé, permettant, à la manière d’un écran e-ink, de ne pas consommer d’électricité lorsque l’écran n’est pas rafraîchi. La gravure au laser faite sur le côté « affichage » du badge compte également beaucoup dans le coût de celui-ci, mais la qualité du travail est remarquable. Comme chaque année, de nombreuses fonctions et informations étaient cachées au sein du badge, ces informations permettaient par exemple d’avoir accès à des soirées organisées par Defcon, mais aussi d’obtenir des indices bien utiles pour de nombreux challenges. A noter que le « Badge hacking contest » a vu de nombreux projets aussi originaux les uns que les autres, comme un « accouplement » de badges propageant un virus via leurs ports JTAG, ou encore une modification le transformant en éthylomètre indiquant le niveau du participant (noob, hacker, goon) en fonction du taux d’alcoolémie du sujet.

Les interminables files d’attente devant les présentations les plus prisées sont également gage du succès de la conférence. « How I met your girlfriend » de Samy Kamkar, auteur entre autres du ver Samy ayant sévi sur MySpace, a particulièrement retenu notre attention, si bien par la qualité de l’intervention que par le contenu technique présenté. Samy y présentait une méthode permettant de limiter drastiquement l’entropie d’un cookie de session généré par PHP, passant de 160 bits à 12 dans les cas les plus favorables, facilitant une attaque par force brute, permettant de récupérer les identifiants de sessions d’une victime potentielle. Dans une seconde partie, la présentation d’une attaque par XPS (Cross Protocol Scripting) utilisant les fonctionnalités du navigateur afin de déclencher l’ouverture d’un port sur le firewall de la victime via la reconnaissance d’une commande DCC était plutôt impressionnante, mais difficilement réalisable sans connaitre le modèle de routeur utilisé par la victime.

Dans un autre registre, on a apprécié la présentation de Shodan, un moteur de recherche indexant les bannières renvoyées par les serveurs (« Shodan for penetration testers »). Dans une des démonstrations, une requête bien conçue à permis à Michael Schearer d’obtenir les adresses IP de plus de 4200 routeurs, switches et firewalls Cisco accessibles sans aucun mot de passe. Ceci lui aurait même permis de détourner tout le trafic réseau d’un petit fournisseur d’accès Internet américain.

Cette année, de nombreuses présentations étaient liées à la sécurité physique, preuve que ce domaine est en plein essor. Des serrures, cadenas et menottes (« The search for perfect handcuffs... », « Attack the key, own the lock », « Insecurity engineering of physical security systems ») aux systèmes de gestion centralisés (« We don’t need no stinkin’ badges ») en passant par les systèmes de surveillance (« Physical security : You’re doing it wrong »), de nombreux systèmes de protection physique sont passés en revue et décortiqués. A noter une magnifique démonstration d’ouverture de serrure biométrique à 200$ à l’aide d’un simple trombone... A cela, ajoutons que le « Lockpicking village » était très fréquemment rempli de personnes de tous niveaux, des débutants venant découvrir les techniques de base aux experts de TOOOL, avec de nombreux cours proposés par ces derniers.

Au delà de ses présentations, la Defcon est surtout connue pour ses multiples concours ayant lieu au cours du week-end. On y retrouve le célèbre « Capture the Flag » mettant en opposition des équipes du monde entier dans un concours de piratage informatique. Les 10 équipes présentes sont celles ayant précédemment gagné leur place au cours des qualifications sur Internet. Cette année, c’est l’équipe « ACME pharm » qui a décroché la victoire devant les « Routards », l’équipe française terminant une nouvelle fois en deuxième position. Les autres concours, tels que le « Gringo warrior » (concours de lockpicking), « Mystery Challenge » ou encore « Beer cooling contest », où les participants doivent construire un appareil permettant de refroidir une bière le plus efficacement possible, ont toujours un gros succès. Mais c’est surtout le tout nouveau « Social Engineering contest » qui a marqué les esprits et qui a d’ailleurs vu son vainqueur obtenir exceptionnellement un très convoité « black badge », lui permettant de revenir gratuitement et à vie à la Defcon. Dans ce concours, une compagnie différente était attribuée comme cible à chacun des participants qui devait alors découvrir un maximum d’informations sur elle en utilisant des techniques de social engineering.

Cette édition a également vu l’apparition de plusieurs nouveautés, comme par exemple un réseau WiFi « sécurisé » qui a permis aux participants de profiter d’une connexion Internet. La connexion offerte est d’ailleurs passée de 20Mb/s à 75Mb/s cette année, avec une upgrade à 100Mb/s au cours du week-end dû à la surcharge de trafic. Le « Wall of Sheep », fameux mur indiquant la liste de mots de passe récupérés en « sniffant » les connexions Internet non sécurisées effectuées sur le réseau de Defcon à une nouvelle fois fait des victimes. Une personne a même réussi à se retrouver pour la 4eme année consécutive sur ce mur... En parlant des réseaux sans fils, notons que des réseaux ad hoc, ainsi que le SSID « Free Public WiFi » ont été détectés plus d’un million de fois au cours du week-end, ce qui a certainement plu aux autres clients de l’hôtel.

Une autre nouveauté est le « Tamper evident contest », proposé par The Dark Tangent en personne, qui demande aux participant d’ouvrir une série de boîtes toutes scellées par différents moyens, comme un cachet de cire ou un adhésif à fil métallique, utilisés de nos jours pour sceller un colis. Le but de ce concours est de récupérer le contenu de chaque boîte, et de replacer le scellé sans qu’aucune trace d’effraction ne soit visible. Énorme succès pour ce concours, qui a vu de nombreuses méthodes de scellés déjouées par les « Motherfucking professionnals » qui ont remporté le concours.

Cette édition à également vu de nombreux stands offrant diverses activités permettant de récolter des fonds pour l’EFF. Entre autres activités, un simulateur de tir, des stands de t-shirts et même la possibilité de vendre ses cheveux contre une donation à l’organisation ! D’où les nombreuses crêtes et autres coiffures invraisemblables aperçues dans les couloirs du Riviera. Lors de la cérémonie de clôture, le montant total offert à l’EFF à atteint les 39’200$. Le chèque à été remis à l’organisation par Jeff Moss.

Au milieu de ce nombre impressionnant de rendez-vous et concours, les rencontres entre participants de différents horizons ont apporté leur lot de discussions aussi amicales que passionnées. Le cœur de Defcon se situe aussi ici, dans les rencontres faites entre participants. Une fonction intégrée au badge permettait d’afficher quatre centres d’intérêt personnels, et de faciliter ainsi les rencontres. Bien sur, il est impossible de parler de Defcon sans mentionner les innombrables fêtes qui ont lieu tout au long du week-end. Il est cependant difficile d’en parler sans briser la loi du « What happens in Vegas, stays in Vegas ». Une mention particulière ira tout de même à la Freakshow et la Ninja party qui ont comme d’habitude attiré un grand nombre de personnes.

En définitive, impossible de faire un compte rendu complet de l’événement tant le nombre d’activités est important. C’est une occasion unique d’apprendre, de découvrir et de partager ses connaissances avec une foule de passionnés pendant quatre jours de folie où la moindre heure du jour ou de la nuit apporte son lot de surprises et d’histoires.




Voir les articles précédents

    

Voir les articles suivants