12
août
'19

De retour de DEFCON 27

Publié le 12 août 2019

J'ai eu (encore) la chance de participer en tant que speaker à DEFCON cette année, qui se déroulait dans les centres de convention des casinos Paris, Bally's, Planet Hollywood et Flamingo. Pour ceux qui ne connaîtraient pas cet évènement, je vous invite à visionner le documentaire qui a été réalisé pour les 20 ans de celui-ci, qui est téléchargeable sur leur serveur média.

DEFCON dystopia

Plus gros, plus grand, plus diversifié ...

Chaque année DEFCON grandit, s'étend de plus en plus, accueille de plus en plus de personnes (30 000 âmes en ce qui concerne l'édition 2019), de challenges, de villages qui ne sont rien d'autres que des évènements dans l'évènement. Autant dire qu'il est impossible de tout voir ou de tout faire durant les quatre jours que dure la conférence. Cela signifie aussi que DEFCON s'ouvre à un public plus large, moins averti, et pas toujours au fait des traditions. On voit ainsi des gens qui filment les participants avec leurs smartphones, ou font des selfies sans se soucier de savoir si des personnes étant dans le cadre sont d'accord pour les publier sur Facebook, Instagram ou Twitter. Et du coup, ça agace certaines personnes qui ne manquent pas de le faire savoir. Et je ne parle même pas de ce type que j'ai vu passer dans un couloir du centre de convention avec un stylo caméra, et qui le tenait bien devant lui pour filmer (oui, un stylo caméra cela se remarque très facilement).

Toujours est-il que cette édition était touffue: énormément de villages, de talks, de workshops, de challenges divers, difficile de tout voir ou de tout tester. J'ai particulièrement apprécié le village Hack The Sea et celui de l'Aviation, des domaines moins connus mais où la sécurité est aussi de mise et implique des systèmes peu communs. Par exemple, un village entier était destiné aux drones et aux moyens de les pirater. Des drones étaient à disposition, et quelques-uns volaient au dessus des personnes présente dans le village. La règlementation ici aux US est différente de la notre (qui a été votée en 2018, pour rappel).

Dronewarz

Un autre village impressionnant est le Car Hacking Village. On y trouve deux voitures faisant partie d'un CTF, ainsi que des simulateurs de postes de conduite ne demandant qu'à être piraté via des bus CAN ou autres. Lors du dernier jour, une des voitures a été pas mal abîmée, notamment à coup de masse et de boule de bowling.

DEFCON Car hacking village

D'autres villages, comme l'ICS village, étaient aussi très intéressant, et offrait l'occasion de s'attaquer à des systèmes industriels simulés via quelques CTFs. Des talks étaient aussi présents sur ce village, abordant des sujets comme le pentest en environnement industriel ou des spécificités comme certains protocoles propres à ces systèmes.

ICS village

Le badge officiel de DEFCON a cette année été conçu par Joe Grand (a.k.a Kingpin), et présente un tournant dans l'histoire des badges DEFCON. En effet, celui-ci a été pensé pour être un bijou plutôt qu'un badge. Joe Grand a ainsi découvert le monde de la fabrication de bijoux, et en particulier celui du taillage de pierre, qui est je dois l'avouer assez impressionnant. Les quelques 28 500 badges Human vendus à DEFCON possèdent une pierre de quartz brésilienne taillée et montée à la main. Il n'y a pas un badge identique, chaque pierre étant unique.

Le badge reste un badge électronique, avec un challenge présent dessus que plusieurs hackers se sont empressés de résoudre. Un lecteur de badge était par ailleurs disponible afin de vérifier l'état d'avancement de ce dernier.

Badge reader

... et plus weird

Je n'arrive pas à me l'expliquer, mais j'ai eu du mal à me sentir à ma place cette année. Un truc bizarre au fond de moi qui m'a amené à m'isoler plutôt qu'aller à la rencontre des gens. Le pire dans cette histoire, c'est que je ne sais pas si c'est dû à ce que devient DEFCON ou à ce que je deviens moi (oui car voyez-vous, on ne se voit pas devenir con/crétin/idiot). Plusieurs fois je me suis assis par terre dans un couloir, avec mon ordinateur portable sur les genoux, à développer ou m'occuper à d'autres tâches qui n'ont rien à voir avec l'évènement. J'en ai eu assez de ces casinos, de cette ville de Las Vegas avec ses facettes bling bling et l'envers du décor qui au final est peu glorieux, de cette foule qui célèbre la grande messe du Hacking à base de fiestas, de pool parties et d'excès en tout genre. Désolé, je n'étais pas d'humeur.

A cela s'ajoute le sentiment de ne pas être à la hauteur, de ne rien savoir, d'autant plus lorsque l'on voit la diversité des domaines et techniques abordés dans les différents talks, challenges et villages. Je me sens rouillé, plus à la page, pas capable de résoudre des challenges simples, et je vais buter sur des trucs relativement idiots. Tenez, à votre avis qui a tenté (en vain) de résoudre le seul challenge de stéganographie du dernier CTF de Hack.lu, bien que le premier indice caché indiquait qu'il n'y avait pas de solution ? Bibi. Ce qui a bien fait rire un membre des Fluxfingers qui m'a vu m'arracher les cheveux dessus.

Quant à ma prestation à DEFCON 27, je n'en suis que partiellement satisfait. J'ai encore un mal fou avec les mêmes dans les slides: j'essaie de faire des trucs rigolos mais ça ne fait rire personne. Ajoutez à ça la différence culturelle (on est aux USA), cela rend la tâche encore plus ardue. Si ma carrière se termine en infosec, je sais au moins que je ne pourrais pas me recycler en comique. Loin de là. De plus, mon anglais est loin d'être parfait et je me force à ne pas préparer ce que je vais dire mais à tenter de simplement parler une fois sur scène. Ce qui peut expliquer les cafouillages et erreurs de grammaire ou de prononciation. Il me reste toujours l'excuse facile de dire que je suis français, et du coup ça fait toujours marrer.

La crise de la trentaine ?

Jeff Moss (a.k.a DarkTangent) évoquait lors de la cérémonie de clôture le fait que les organisateurs vieillissaient (et lançait par ailleurs un défi aux hackers du Biohacking village), ce qui se traduisait globalement par une fatigue plus ressentie et la disparition tragique de hackers, de goons, de membres de l'organisation ayant dédié des années à DEFCON. Beaucoup d'émotion d'ailleurs dans les propos tenus par Nikita, Jeff et d'autres responsables de l'organisation, endeuillés par la perte de deux de leurs membres durant l'année 2019 (Tuna et Thelockheed).

Bizarrement, c'est aussi ce que je ressens. Je me sens vieillir, je vois pas mal de choses changer chez moi, que ce soit sur le plan physique ou plus simplement sur mes aspirations. Je n'ai pas non plus le même regard sur la communauté Infosec que lorsque je l'ai rejointe, il y a de cela plusieurs années. Je vois des amis et des collègues disparaître, des hackers que je tenais en estime et qui s'en sont allés en 2019 (farewell Philemon & Ylujion). On n'a plus vingt ans, on a perdu toute insouciance, fondé des familles, réduit les nombres de nuits blanches à coder ou hacker.

Je me soigne, pas de panique !

J'ai pas mal réfléchi ces derniers jours, et je pense avoir trouvé une solution à cette période bizarre. Cela implique du hacking, une révision des priorités et de nouveaux challenges.

Premièrement, il me semble important de passer du temps avec les personnes qui me sont chères, c'est-à-dire ma famille et mes amis. Autrement dit, je vais prendre du temps avec mes deux minis-moi et ma femme, quitte à gratter sur le temps alloué aux projets personnels. Je vais ainsi pouvoir initier ma fille à Scratch, et faire tout plein de Legos avec eux (yay !).

Deuxièmement, je vais essayer de me sortir la tête de l'infosec quand c'est possible, et allouer du temps à des projets qui n'ont rien à voir mais qui relèvent quand même du hacking. Je vais ainsi prendre le temps de terminer les deux Super Minitels qui me reste à faire, et avancer sur un projet en rapport avec l'aéromodélisme (quand je vous dis que cela n'a rien à voir avec l'infosec !). Je mettrai peut-être plus d'infos ici quand il aura avancé.

Et enfin, je vais faire le tri dans les projets en cours ainsi que dans les tâches "habituelles" qui reviennent chaque année. Je vais par exemple arrêter de travailler sur la création des badges électroniques dans le cadre de leHACK et me concentrer sur l'organisation de Qui veut gagner des bitcoins, et seulement cela. Fini la conception des challenges associés au badge. Trop de temps perdu, trop de stress. Sans parler de certains fails relatifs aux badges qui se sont produits ces dernières années.

NB: ce billet de blog a été écrit à chaud, mais je pense que la réflexion qu'il présente va évoluer dans les jours et semaines à venir. Vous pouvez me donner votre feedback (insultes, encouragements, questions) via Twitter ou par mail, bien évidemment.

21
mars
'19

Et pourquoi pas une vidéo ?

Publié le 21 mars 2019

Je me suis lancé un défi à la noix, en janvier: celui de réaliser une vidéo (ou une série de vidéos, qui sait) traitant de hacking au sens large, entièrement réalisée à partir de logiciels libres et de contenu libre de droit. Juste comme ça, pour sortir de ma zone de confort, parce que pourquoi pas, après tout. Je n'ai aucune intention de devenir "vidéaste" sur Youtube, ni de battre PewDiePie. Encore moins de gagner ma vie en faisant cela. Ce billet de blog retrace ainsi la genèse de ce projet, et comment j'ai réussi à faire une petite vidéo (et à quel prix).

C'est de la faute à Peertube

Début 2019, je décidais de retourner voir ce que devenait le projet Peertube initié par Framasoft dans sa volonté de dégoogliser Internet. Et j'ai été agréablement surpris: les vidéos étaient fluides, les contenus variés, et l'interface plutôt ergonomique ! Du coup, je suis tombé sur quelques vidéos qui m'ont intrigué, et de fil en aiguille j'ai reproduit ce qu'il m'arrive de temps en temps sur Youtube: je suis resté environ 2 heures à passer de vidéo en vidéo, découvrant des facettes insoupçonnées de l'Internet, du DIY et de certains vidéastes.

Et c'est à cet instant précis, à deux heures du matin devant mon écran, que je menu suis dit que ça serait intéressant de faire une série de vidéos traitant de DIY, de hacking, de coding, bref de divers sujets que je traite habituellement sur le blog, mais sur un autre format. Cela peut être plus intéressant, amener un peu plus de vie et pourquoi pas montrer plus en détail certaines réalisations là où les photos sont limitées.

Plus j'y pensais, plus l'idée me séduisait. J'avais déjà touché à des logiciels de montage vidéo comme KDEnlive, je connaissais les bases disons dans ce domaine, mais de là à faire une vraie vidéo ... Sans parler du fait que je n'aime pas me filmer et encore moins entendre ma voix (ce qui explique que j'ai horreur de regarder les vidéos de mes prestations en conférence).

Ah, et tant qu'à publier une vidéo sur une instance Peertube, autant qu'elle soit réalisée entièrement à l'aide de logiciels libres et de contenu libre de droits. Car bon, il s'agirait d'anticiper tout de même les problèmes futurs que posera l'article 13 de la directive Copyright, sait-on jamais.

Le choix des logiciels

Ayant déjà réalisé du montage vidéo sous Linux avec KDEnlive, je savais au moins une chose: ce logiciel ne fait que planter et il est laborieux de mener un projet à bien sans expérimenter un ou deux plantages bien sentis, avec perte du travail en cours à la clef. C'est bien simple, quasimment tous les tutoriaux sur KDEnlive indiquent d'abuser du CTL-S pour être sûr de ne rien perdre.

J'avais déjà cherché en 2018 un autre logiciel de montage (merci Twitter):

Et l'on m'avait aiguillé sur Blender. Quoi ? Blender ? Mais c'est pour faire des images ou animations en 3D, me disais-je naïvement. En effet, mais il intègre aussi un Video Sequence Editor, autrement dit un outil de montage assez puissant car il permet de mixer des séquences 3D générées à des prises de vues réelles par exemple comme le montre ce petit tutorial expliquant la base du masquage avec Blender:

Après quelques tests, il me fut évident que Blender pouvait faire l'affaire en ce qui concerne l'édition vidéo. Il restait ensuite à trouver un logiciel pour réaliser des animations 2D, notamment pour le pseudo-générique et les titres. Là encore l'open-source est venu à la rescousse, avec Synfig. Cet outil permet de réaliser des dessins animés, mais aussi des animations en 2D à partir d'objets vectoriels (et donc compatible SVG). Avec du recul, cette idée était complètement débile, Blender étant tout à fait capable de faire cela (et même largement plus !). J'ai appris par la suite à manipuler un peu mieux Blender pour faire ce genre d'effet, et c'est juste surpuissant.

Et enfin, j'ai opté pour Audacity pour les enregistrements de voix et LMMS pour la composition musicale. Oui, rappelez-vous, je vous ai dit que je voulais avoir du contenu libre de droits. Et quoi de plus simple que de faire soi-même sa musique ? Zone de confort, me dites-vous ? En vérité, je suis une bille en musique. Je ne prétends pas avoir l'oreille musicale, et encore moins l'oreille absolue, mais j'avoue que pour le coup c'était certainement le plus grand challenge.

(Bon par contre j'ai utilisé une image d'enfants qui elle n'est pas libre de droits, c'est mal, je l'avoue, mais je ne pouvais décemment pas mettre une photo d'un de mes minis-moi alors j'ai préféré mettre ceux des autres)

Quid du matériel ?

Je ne suis pas vidéaste, et sais pertinemment que l'on ne s'improvise pas vidéaste comme cela (quoiqu'en dise Youtube). Aussi, j'ai pu m'appuyer sur du matériel abordable pour la réalisation de cette vidéo, comme par exemple mon micro USB Bird UM1 que j'avais initialement acheté pour éviter les galères de son dans les podcasts auxquels j'ai participé (coucou NoLimitSecu), ou encore mon smartphone Huawei Mate 20 lite (avec des portes dérobées dedans) pour la prise de vue. J'ai tout de même investi dans un GorillaPod, histoire de pouvoir filmer les mains libres.

Enfin, j'ai pu réinvestir les sommes mirobolantes que j'ai gagné en faisant du Bug Bounty dans un clavier MIDI d'entrée de gamme, ce qui est quand même plus sympa pour jouer que le clavier de mon ordinateur. Prends ça, Freddy Mercury.

Clavier MIDI USB AKAI LPK25

Dirty Little Hacks, l'épisode pilote

Réaliser les vidéos m'aura pris plusieurs soirées et après-midi (sans parler des Gibi-octets de stockage que ça requiert), tandis que l'enregistrement des voice over aura été la chose la plus laborieuse que j'ai faite. Je trouve toujours le rendu pas top de ce côté là, mais c'est certainement parce que je lis un peu trop au lieu d'essayer d'expliquer naturellement. Croyez-le ou pas, j'ai eu le trac avant d'enregistrer ces séquences audio. Comme un con devant mon micro d'apprenti Youtubeur, à bégayer et bafouiller. Non, ce n'a pas été simple.

Cette première vidéo, un épisode pilote d'une série que j'ai intitulé Dirty Little Hacks, est un pseudo-tutoriel sur la réalisation d'un porte-clé imprimé en 3D à partir d'un dessin. "Pseudo-tutoriel" car je dévoile les différentes étapes sans m'attarder sur les subtilités des outils (leurs menus, ou les fonctions employées), les logiciels à employer et la progression dans la réalisation. L'idée vient d'un atelier que j'ai improvisé avec mes minis-moi lorsqu'ils ont découvert mon imprimante 3D et posé tout un tas de questions sur comment elle fonctionne et son utilité. Je leur ai alors proposé de dessiner leur porte-clé idéal et que je les transformerai en véritable porte-clé imprimés en 3D.

Ceci dit, je n'ai pas fait tout cela en 3 mois pour rien, et vous trouverez ci-dessous la vidéo finale, grâcieusement hébergée sur l'instance Peertube de Tedomum. J'ai aussi monté un repository Github sur lequel je mets sous licence Creative Commons les différents contenus que j'ai produit, dont notamment les pseudo-musiques de fond, et bien sûr les différents fichiers mentionnés dans la vidéo. Sur ce, je vous laisse juger du résultat, et n'hésitez pas à critiquer (en bien ou en mal), partager ou m'envoyer des insultes via Twitter ou mon mail.

Et la suite ?

J'avais pensé Little Dirty Hacks comme une série de courtes vidéos (pas plus de dix minutes) dans lesquelles je montre des hacks originaux, des réalisations qui n'ont rien à voir avec le monde de la sécurité mais plus liées à du hacking au sens originel, en donnant toutes les clés pour que cela puisse être reproduit.

Si l'accueil est plutôt positif, j'envisage de commettre une nouvelle vidéo et ainsi de continuer cette série, dans le cas contraire je n'insisterai pas et tirerai les leçons de cette tentative. L'échec est toujours une option. Je ne compte toutefois pas, si cette initiative plaît, me forcer à publier régulièrement des vidéos: pas de pub, pas de monétisation, mon rythme, mes règles. A la limite, peut-être mettrai-je en place un Patreon pour permettre à ceux qui apprécient ces petits projets de donner une pièce ou deux afin de financer des projets plus imposants, mais ce n'est pas l'objectif principal.

14
janv.
'19

Livre: Habemus Piratam, de Pierre Raufast

Publié le 14 janvier 2019

Chose n'est pas coutume, je vais parler d'un livre sur ce blog. Non pas que j'aie peur de ne publier que peu de billets sur cette année 2019 ou pris une résolution qui ne tiendront que quelques mois, mais parce que je suis tombé dessus quelque peu par hasard et que je l'ai apprécié. Ce livre, c'est Habemus Piratam de Pierre Raufast. C'est aussi le livre coup de coeur du CLUSIF.


Couverture de Habemus Piratam, crédit motspourmots.fr

C'est l'histoire d'un pirate

Comme le titre laisse supposer, il s'agit d'un roman traitant de religion chrétienne et de piratage, parodiant le célèbre Habemus Papam annonçant l'élection d'un Pape par un conclave. L'histoire de l'abbé Francis, néophyte en informatique, qui reçoit la confession d'un mystérieux pirate dans son église de la vallée de Chantebrie, entre diverses grenouilles de bénitier et autres pénitents. Ce mystérieux pirate raconte ses différents méfaits, avec moults détails, relatant l'usage de drones ou encore des plus viles techniques de piratage telles que de l'ingénierie sociale ou l'installation de logiciels malveillants. Pendant que d'autres crimes et délits se déroulent en parallèle dans le village, démontrant parfois l'utilité des objets connectés dans le contexte de certaines investigations, pour ne citer que cet exemple.

L'auteur fait dans ce roman un étalage de différentes attaques informatiques, du point de vue de ce mystérieux pirate, détaillant la réflexion derrières celles-ci et leur mise en oeuvre; tout en restant abordable et compréhensible pour quiconque n'étant pas expert dans le domaine. C'est un livre divertissant (je l'ai lu d'une traite !), techniquement correct (aucune attaque réellement impossible ou purement inspirée du cinéma) et qui peut amener une réflexion quant à notre usage des technologies, en particulier ces satanés mouchards d'objets connectés.

Un livre accessible aux frileux des technologies

Pierre Raufast dépeint dans ce roman le quotidien d'un abbé découvrant le piratage au travers des confessions d'un mystérieux pirate, sans pour autant connaître les bases de la sécurité informatique ou la cyberdélinquance. L'auteur en profite pour introduire toutes les notions nécessaires à la bonne compréhension des attaques, méthodes, outils mais aussi la manière de penser de ce pirate, tout en restant compréhensible pour tout un chacun. En somme, ce livre éclaire le lecteur sur les attaques actuelles ou qui peuvent se produire, tout en abordant les risques et les enjeux: données, argent virtuel, réputation, tout y passe. Faites-le lire à vos proches, et ils vous assailleront de questions: "est-ce que c'est possible de faire cela ?", "tu crois que je devrais arrêter de poster toutes mes photos sur Facebook ?", "tu connais un objet connecté qui ne t'espionne pas ?".

Habemus Piratam a le mérite de sensibiliser tout en distrayant, voire même d'éveiller la curiosité du lecteur. Les références aux outils ou techniques sont présentes et justes (on y parle de netcat, de keyloggers et autres pare-feus), les scénarios d'attaques possibles voire réalistes -- en particulier ceux impliquant les réseaux sociaux, et cela a même de quoi intimider le lecteur à certains moments du livre. Il ne serait pas étonnant que cet ouvrage amène un certain nombre de ses lecteurs à effectuer, à l'instar de l'abbé Francis, des recherches sur Internet à propos de ces outils, et découvrir des articles ou tutoriels d'utilisation de ceux-ci.

De Hervé à Damien, en passant par Cédric ou encore L'ANSSI

Une des particularités de ce livre, c'est qu'il fait référence à des personnes, personnages et évènements français connus de la sécurité informatique. Ainsi, il est fait mention d'un certain Damien rencontré lors de la nuit du hack, et de son fameux protocole (non, il ne s'agit pas de moi mais plutôt d'un autre Damien ayant un protocole d'alerte), ou encore de Cédric qui "[propose] illico de rédiger un article dans sa revue". D'autres noms ponctuent les différentes histoires, comme par exemple Ryu ou Zelda, ou encore un programme nommé "Babar" avec pour signature "Titi" (toute ressemblance avec un programme existant est purement fortuite).

La culture pop et geek s'est ainsi invitée dans le roman, par petites touches et références savamment dosées et distillées au fil de la progression de l'histoire, arrachant un sourire au lecteur par sa subtilité ou l'absurdité dans laquelle elle survient. Que cela fasse référence à des jeux vidéos, des logiciels malveillants ou encore des pseudonymes de pirates célèbres, les lecteurs avertis y trouveront aussi leur compte.

Habemus Piratam est un roman rafraîchissant, traitant de techniques et d'outils de piratage, le tout servi par une histoire prenante et des personnages attachants. C'est un livre qui se lit avec plaisir, que l'on soit expert en sécurité informatique ou ignorant, et qui peut amener à une réflexion sur notre vie numérique et ses enjeux.



Habemus Piratam, Pierre Raufast, Alma Editeur, 2018.



Les contenus disponibles sur ce blog sont publiés sous licence Creative Commons BY-NC-SA.
Vous pouvez réutiliser tout ou partie de ces contenus à condition de citer l'auteur et l'origine, vous ne pouvez en faire une utilisation commerciale, et enfin vous devez partager tout travail ou œuvre dérivée sous les mêmes conditions — c'est-à-dire avec la même licence d'utilisation Creative Commons.