Ma première Nuit du Hack, c’était cool

Cet article a été publié il y a 6 ans 9 mois 28 jours, il est donc possible qu’il ne soit plus à jour. Les informations proposées sont donc peut-être expirées.

Je vous présente le tableau : une journée de conférences autour de la sécurité, des stands de présentation de sociétés, certains qui sont là pour recruter des talents, des sponsors reconnus, et le soir, des ateliers, et le « wargame », à savoir une séries de challenge sur différents sujets; saupoudrez la journée d’un CTF privé et de différents bug bounty. L’occasion parfaite pour faire quelques rencontres, apprendre à quel point on est mauvais, mais quand même apprendre deux/trois trucs. Je vous raconte un peu.

J’ai beau avoir parlé de sécurité, au point d’avoir fait une série de billets sur le sujet dans le cadre d’un serveur, je suis loin d’être un cador dans le domaine, mais c’est un domaine qui m’a toujours intéressé. La philosophie « hacker » me plaît, elle est souvent teintée d’autodidaxie et vous savez maintenant ce que j’en pense. J’adore le fait d’emmerder ceux qui imposent un usage ou une obsolescence sur le matériel ou le logiciel, le fait de les contourner pour continuer à s’en servir. Il s’agit également de sensibiliser sur le fait de penser intelligemment la sécurité des produits et services connectés dès le départ, ce qui arrive trop peu souvent.

Et pour être honnête, mon mauvais niveau ne me destinait pas spécialement à me rendre à un tel évènement et me plonger complètement dans le bain. Mais je suis un faible, après les multiples appels du pied de Djerfy, je me suis rendu avec lui à l’évènement (c’est aussi lui entre autres qui m’a attiré vers Telegram). Le programme des conférences me semblait un poil limite pour moi, et que dire des challenges.

Reprenons dans l’ordre : la Nuit du Hack est un rassemblement annuel d’experts en sécurité, techniciens passionnés ou amateurs avertis, pour échanger sur différents sujets : futur de la sécurité, évolutions des méthodes d’attaque, état d’un marché (pour info, la sécurité des objets connectés est définitivement une catastrophe), partage d’expériences ou réflexions de société. Car dans un monde particulièrement connecté, ces problèmes de sécurité finiront inévitablement par influencer notre pensée et donc le fonctionnement de la société dans son ensemble (on voit déjà l’influence des réseaux sociaux sur nos rapports à l’autre). Ce n’est pas une spécificité française, les allemands ont le Chaos Communication Congress et les américains ont la Defcon. Et fait notable, non seulement certaines sociétés étaient présentes, mais également l’armée française (qui annonçait recruter des cyber-combattants, rien que ça), ainsi que l’ANSSI. Preuve que dans un domaine où l’on flirte souvent à la limite de la légalité, certaines instances sont conscientes des enjeux à soutenir cette communauté.

Bref, en résumé, et après avoir mangé mes premières conférences, on est définitivement pas dans la vulgarisation. Certaines présentations étaient d’un niveau très élevé, je n’ai pas pu tout suivre, et de toute manière tout ne m’intéressait pas non plus. Petit bémol, comme il y avait également des stands dans la grande salle de conférence, les présentations subissaient un bruit de fond conséquent qui n’aide pas toujours à la concentration, en particulier quand l’orateur est anglophone.

Il y avait aussi un coin kids, pour les enfants donc, difficile d’en dire plus, en voulant m’intéresser à ce qu’ils proposaient aux gamins on m’a gentiment refusé l’accès, à croire que j’ai une tête de pédophile. Je vous laisse lire la description sur le site.

Si certaines sociétés ont pu proposer des défis durant la journée (Intrinsec avec ses 7 challenges, Qwant, gros sponsor, qui finançait un bug bounty), c’est vraiment à partir de 20h que les choses sérieuses ont débuté. Ateliers et wargame se sont déroulés toute la nuit, et vraiment toute la nuit : nous somme partis un peu avant 7h du matin le dimanche, et ce n’était pas encore fini.

Parmi les ateliers, celui de lock picking (crochetage de serrure) à tenu la plus grande place physiquement parlant. J’en ai profité pour acheter un kit d’initiation, avec finalement plus d’outils que prévu (petite bourde du vendeur en ma faveur). Que fait le lock picking dans un évènement majoritairement dédié à la sécurité informatique ? Le même principe : montrer qu’il n’y a aucune serrure infaillible, et que beaucoup d’éléments de sécurité n’en sont au final pas vraiment. Après avoir dormi, dimanche après-midi un cadenas que je gardais spécialement pour l’occasion, qui est fabriqué par la boîte où je bossais avant LinkByNet et mon changement de vie, a tenu 20 minutes au premier essai sans même lire le bouquin.

Et puis, le wargame. Débuté en retard à cause de problèmes d’alimentation, il s’agit d’une série de challenges, opérés sur un réseau privé, ayant pour sujet différents aspects : cryptographie, steganographie, web… Toutes les épreuves étaient classées par niveau, et certaines ont été ajoutées au fur et à mesure. En fonction de la difficulté des scores sont attribués. Avec un petit 200 points pour 3 challenges validés, nous avons fini en milieu de classement sur un peu plus de 500 inscrits, les plus balaises étant des équipes plus entraînées et plus nombreuses (ce qui permet d’additionner les expertises). Je ne vais pas m’attarder plus, certains ont pu décrire les challenges mieux que moi. Je vous mets quelques liens pour référence :

• BadTigrou (plusieurs articles, et son compte Twitter @Bad_Tigrou si vous voulez en savoir plus sur lui)
• Quentin Dufour
• LesterPig
• ReverseLTF (celui-là est très intéressant à lire pour apprendre un max de trucs)
• Team Prime (je l’avais récupéré pour chez moi, sauf qu’à lire j’aurais jamais trouvé)

Un gros MERCI à tous ceux qui partagent les solutions qu’ils ont trouvées pour résoudre ces défis 🙂

 Au final, j’en pense quoi ? J’ai adoré, même si je suis rentré salement crevé et que j’ai mis deux jours à récupérer. Ce fut l’occasion de rencontrer quelques personnes, et même d’être interviewé par Jérôme Keinborg pour la chaîne YouTube NowTech (qui va probablement être ma première contribution Tipeee). Je sais pas encore si je vais survivre au montage final, mais bon, c’était cool de le rencontrer 🙂 Bref, si le calendrier le permet, il est certain que j’y retournerai. En espérant avoir trouvé le temps de m’entraîner un peu, histoire d’être moins démuni. Pour ceux que ça intéresserait, il y a le site Root-Me, sur lequel je pense que je vais m’inscrire histoire de me pousser au cul. C’est une bonne entrée en matière.

PS : l’équipe du podcast NoLimitSecu était présente et a enregistré un épisode qui décrit bien l’ambiance et la qualité des conférences. Je vous laisse chercher les noms des intervenants pour comprendre qui ils sont, c’est du cador. Je vous met aussi un lien vers Twitter, certaines personnes ont partagé des photos qui vous permettront de découvrir un peu plus cet évènement.

Follow-up du 14/07 : D’autres participants commencent à partager leur propre expérience de cette édition de l’évènement. C’est le cas de benzo, par exemple. Et c’est plus détaillé que moi en fait.