La première édition de ce workshop ayant été un succès, on remet ça cette année ! Qu'est-ce qu'un workshop ? En réalité, rien de bien compliqué: un atelier ouvert à l'échange, durant lequel on réalise des trucs sympas, durant lequel on découvre et apprend, autant vous que nous. C'est un moment d'échange convivial, autour d'un thème qui réunit, en l'occurence le Hardware Hacking.

Plus simple, plus abordable, mais tout aussi sexy

Cette année, on fait dans le "wearable", en réalisant un pendentif tout ce qu'il y a de plus geek, basé sur un Arduino miniature alimenté par batterie et une matrice de 8 x 8 LEDs. De quoi afficher ses goûts, son nom, et de faire des animations sympas. Le workshop couvre:

• La théorie derrière ce pendentif, afin d'expliquer comment cela fonctionne,
• La réalisation du pendentif, qui nécessite peu de soudure,
• La programmation de l'Arduino (un ordinateur est nécessaire),
• La création et l'intégration de motifs et d'animations, dont quelques-uns spécifiques à la Nuit du Hack 2015

Les participants pourront exhiber fièrement leur pendentif ainsi réalisé et réutiliser certains des composants pour d'autres projets si cela leur chante ! Il y a aussi possibilité de combiner le pendentif au badge électronique de l'édition 2015 de l'évènement =).

Le pendentif ressemble, une fois assemblé et programmé, à ceci:

Ce pendentif électronique a été conçu par Limor Fried et AdaFruit, qui le recommande pour une initiation à la soudure et au développement sur micro-contrôleurs.

Comment participer ?

Eh bien, on ne change pas un système qui marche ! J'ai mis en place une campagne de financement participative sur Ulule dont la contrepartie principale offre droit à une place à cet atelier, dans la limite des 30 places disponibles.

Chaque participant se verra remettre un kit contenant:

• Un Arduino "Genma" ou "Trinket" (selon approvisionnement),
• Une batterie LiPo 3.7V,
• Un chargeur de batterie LiPo USB,
• Une matrice de 8 x 8 LEDs,
• Des fils de connexion,
• De la gaine thermorétractable,
• Un tour de cou

Le montant pour la participation est fixé à 40€, ce qui permet de couvrir les besoins matériels pour l'atelier, et de repartir avec un pendentif électronique trendy & geek au possible !

La place pour l'évènement de la Nuit du Hack, durant lequel se déroule cet atelier, n'est pas comprise dans la participation demandée ! Pour en obtenir une, il faut vous rendre sur le site de la Nuit du Hack.

La treizième édition de la Nuit du Hack, évènement annuel visant à réunir les passionnés de bidouilles en tout genre, c'est du 20 au 21 juin 2015 à l'Académie Fratellini.

Tout frais et tout neuf

Changement de lieu pour cet évènement en cette nouvelle année 2015, c'est désormais à l'Académie Fratellini que la NDH a posé ses valises. Après plusieurs années passées dans le gentil monde de Mickey, on retourne aux racines et aux endroits atypiques, car les talks se dérouleront dans un cirque aménagé pour l'occasion. Ceux qui ont participé à l'édition 2007 sauront de quoi je parle (cela s'était déroulé dans une ancienne grange).

L'Académie Fratellini, ça ressemble juste à ça:

Outre le changement de lieu, il y a aussi du neuf côté programmation, avec dans le désordre:

• une zone réservée au hacking hardware, où se dérouleront des ateliers permettant par exemple de se créer sa propre station de soudage ou de confectionner un pendentif (wearable) très geek à base d'arduino,
• un nouveau challenge visant à désamorcer un compte à rebours, digne des meilleurs films hollywoodiens,
• des foodtrucks pour pouvoir se sustenter (ceci dit, personne ne vous empêche d'amener à boire et à manger),
• plein d'espace à l'extérieur permettant de buller, de geeker dans tous les sens du terme (Babozor, si jamais tu lis ces lignes, sache qu'un hack du calibre de celui du caddie manque à beaucoup d'entre nous),
• ainsi que d'autres surprises !

Les premiers talks annoncés

Cette année encore, plusieurs conférenciers ont d'ores et déjà été annoncés, avec entre autres:

• Karsten Nohl: «Mobile auto-defense»
• Guillaume Poupard: Keynote
• Santiago Pontirolli: «The TAO of .Net and Powershell Malware analysis»
• Axelle Apvrille: «Profiling criminel : le malware Android»
• Boris Simunovic: «Comment hacker un vieux jouet en robot marsien»
• Stéfan Le Berre: Talk surprise !
• Alexandre Triffaut: «L'impression 3D est une menace pour vos clés»
• Robert Simmons: «PlagueScanner: An Open Source Multiple AV Scanner Framework»
• Guillaume Lévrier: «Kindleberry, Internet of Things et administration publique : pouvez-vous créer un état en hackant ?»
• Votre serviteur: «Man in the (Android) Middleware»

C'est assez varié, et j'attends en particulier les talks de Karsten Nohl et de Stéfan Le Berre, habitués des talks intéressants et techniques. La keynote est assurée par Guillaume Poupard, de l'Agence Nationale pour la Sécurité des Systèmes d'Information (ANSSI).

Des challenges pour tous

Les challenges habituels seront présents, à savoir:

• le CTF privé, organisé par Sysdream,
• le Wargame public, organisé par HZV,
• un challenge de lockpicking (crochetage de serrure),
• un challenge de désamorçage de compte à rebours.

Les deux premiers sont des concours à destination des afficionados de la sécurité informatique, dont seul le second est ouvert au public. Le wargame public est constitué de problèmes et casse-têtes informatiques qu'il faut résoudre le plus rapidement possible.

Le challenge de lockpicking demande du doigté, de bons outils et de l'expérience: il s'agit de crocheter différents types de serrures dans un temps record, le tout supervisé par une équipe de crocheteurs expérimentés.

Enfin, le petit nouveau de cette édition est le challenge de désamorçage, qui consiste à désamorcer un compte à rebours comme ceux que l'on voit dans de nombreux films, à l'aide d'outils relativement simples et cela dans un temps fixé par le mécanisme. Des notions d'électronique sont requises pour pouvoir s'y frotter, mais aussi de la logique et une bonne résistance au stress.

Workshops

Encore une fois, de nombreux ateliers pratiques (ou workshops) sont proposés:

• Désassemblage et reverse-engineering avec Radare2 comme alternative à IDA (Julien Voisin)
• Constuire son propre Arduino par la DTRE
• Réalisation de station de soudage régulée OpenSource compatible Weller par l'Electrolab
• Initiation aux microcontroleurs: réalisation d'un pendentif geek animé à base de matrice de LED et d'Arduino wearable par TixLeGeek, virtualabs, y0n0, olivier-network
• Atelier d'exploitation de systèmes industriels (ICS) avec Metasploit par Guillaume PRIGENT & Johanne ULLOA
• Initiation à Tox, une plateforme acentrée permettant d'échanger et de communiquer de manière chiffrée par Hakira
• Atelier puçage de consoles par XavBox

Il y en a pour tous les goûts, attention toutefois certains ateliers nécessitent une préinscription et dans certains cas une participation: c'est le cas par exemple de celui permettant de réaliser une station de soudage ou encore le pendentif geek animé.

Badge électronique

A nouveau, un badge électronique collector conçu par l'Electrolab (encore un grand merci à vous les gars) est proposé sur lequel se trouve un challenge permettant de remporter une place à vie à la Nuit du Hack (Black Badge). Les ventes de ce badge électronique sont ouvertes jusqu'au 10 mai, et le nombre d'exemplaires est limité !

Comment venir ?

C'est relativement simple: il suffit d'aller sur la boutique de l'évènement et de sélectionner un ou plusieurs tickets d'entrée ainsi que des goodies au besoin, et de régler par CB/Paypal/Bitcoin. Vous recevrez par courriel un QR code qu'il faudra imprimer et présenter sur place, un peu comme les billets électroniques de la SNCF quoi.

Samedi dernier (le 28 juin 2014) se déroulait la douzième édition de la Nuit du Hack, le rendez-vous incontournable des bidouilleurs/codeurs/geeks de tout poil. Une douzième édition marquée par de nombreux changements, et plus de 1500 visiteurs. J'étais de la partie (qui a dit "comme d'habitude" ?), avec un talk et demi et plusieurs workshops.

Les nouveautés

J'en avais déjà parlé dans un précédent billet, mais cette édition regorgeait de nouveautés: * des ateliers pour les enfants (NDH Kids) * un badge collector * des challenges en tout genre * des partenaires de folie * encore plus de place

A noter en particulier le bug bounty lancé durant la nuit, sponsorisé par Qwant et qui offrait des PS4 avec le jeu Watch_Dogs, des Nexus 5 et plein d'autres lots, la présence de l'ANSSI qui tenait deux stands (un dans Yes We Hack et l'autre dans la salle plénière), et d'OVH toujours fidèle au poste =).

Je pensais que cela ferait un peu beaucoup de choses à intégrer, mais au final tout s'est déroulé merveilleusement bien, à commencer par la NDH Kids.

NDH Kids

Le réveil fut un brin difficile (peu de sommeil durant les jours prédédant le début de la Nuit du Hack, pour cause d'organisation) mais je débutais la journée en beauté avec mon premier atelier pour les enfants: du bidouillage de pistolets Nerf (de Hasbro). De mes deux ateliers de la journée, celui-ci est celui que j'appréhendais le plus: je n'ai pas l'habitude de gérer des enfants de 8 à 16 ans. Le challenge était présent, surtout lorsqu'il a fallu sortir la perceuse pour réussir à extraire une pièce du pistolet car sinon cela aurait pris beaucoup de temps (12 pistolets à modifier). Un peu impressionnant pour les enfants, mais rigolo (pour les enfants, moi je faisais super attention de ne pas me transpercer la main). Malgré les quelques impatients, on n'a pas trop débordé sur le planning, et même le staff Ndh Kids était fan !

N'empêche, voir leur enthousiasme est franchement épatant: ils ont de l'énergie à revendre et plein d'idées ! Le graal, c'est quand une jeune fille m'a dit: "Ah il est déjà 11h45, mais on n'a pas vu le temps passer !". Une expérience à renouveler l'année prochaine, mais avec quelques précautions: le staff a été un peu débordé par les batailles qui s'en sont suivies, et les parents m'en veulent peut-être un peu pour les futurs cadeaux qui seront commandés au Père Noël. Cela ne m'a pas empêché de modder par la suite un Vortex Praxis et un Maverick ;) ...

Les talks

Etant tout particulièrement occupé lors de mon atelier pour les kids, je n'ai pas pu suivre tous les talks qui se déroulaient dans la salle plénière (Times Square). Cependant les quelques bribes que j'en ai vu étaient bien sympa: Benjamin Bayart, Renaud Lifchitz, Jayson Street, que du bon. J'ai assuré un talk et demie lors de cette Nuit du Hack, car cela faisait plus d'un an que je n'avais pas parlé sur cette scène et ça faisait du bien d'y retourner. Le premier talk que j'ai donné, intitulé "Break, dump & crash" parlait de rétro-ingénierie matérielle, et en particulier d'une puce Broadcom que l'on retrouve dans les modems câble supportant la norme DOCSIS 3.0. Apparemment j'ai fait un peu mal à certaines têtes, mais donné des idées à d'autres (et ça, c'est super).

Le second talk était en réalité une présence de soutien à mon ami et collègue Romain E Silva, pour qui ce talk sur la domotique était le tout premier. Lui qui stressait déjà devant une dizaine de personnes a complètement assuré devant plus de 1000 personnes! Je me suis juste chargé de l'introduction, de la description des vulnérabilités et des private jokes sur scène (base64 + lien Youpr0n). C'était bien marrant, et au final le talk a permis de soulever des problématiques actuelles quant à la domotique et sa sécurité (en mettant l'accent en particulier sur les solutions opensource).

Les workshops

Les workshops ont débuté à 19h, et celui que j'avais organisé avec TixLeGeek (et auquel sont venus s'adjoindre y0no et olivier-network, encore un grand merci à eux) a vite été débordé. Question organisation ce n'était pas top, je ne m'attendais pas à autant de monde. Les personnes qui ont soutenu le workshop via Ulule ont (presque) toutes reçues leur matériel, et ont pu s'initier à la soudure. Cela a pris toute la nuit, alors que je pensais avoir suffisamment de temps pour faire plein d'autres choses. Il me reste encore quelques bidules à envoyer par la poste, afin que tout le monde ait son dû.

Résultat: on a passé la nuit à souder, à résoudre des problèmes de soudure et de communication USB avec le badge collector de la Nuit du Hack, mais aussi à rencontrer des gens intéressants et motivés. De belles rencontres, des échanges super sympas, et plus de voix à 8h du matin (l'année prochaine je prévois la sono en plus). Bref, pas mal de choses à améliorer, mais je pense que l'on va monter un petit "village" de hacking hardware inspiré de celui de la Defcon, car il y a encore énormément de choses à faire de ce côté. Et mettre des stations de soudage en accès libre, histoire que tout un chacun puisse s'éclater avec le badge électronique. Avis aux amateurs pour la prochaine édition !

Pour ceux qui seraient intéressés par le badge électronique, cela inclut ceux qui ont eu la chance d'en avoir un et les autres bien sûr, tous les outils nécessaires sont disponibles sur GitHub. Et cela comprend la ROM d'origine ;).

Et de la fatigue ...

A l'heure où j'écris ce billet, je ne me suis pas tout à fait encore remis de cette édition qui fut encore une fois trop courte mais rondement menée, grâce au boulot formidable de toute la team. Merci aussi à vous d'être venus si nombreux, d'avoir bravé les transports en commun et d'avoir répondu présent pour cette douzième édition: c'était juste magique. On remet ça dans un an ?