Samedi se déroulait la neuvième édition de la Nuit du Hack, organisée par Sysdream et la communauté Hackerzvoice. Ce fut une nuit très enrichissante, pleine de rencontres et de pur fun, avec entre 700 et 800 visiteurs (je n'ai pas eu les chiffres officiels à ce jour).
Rude préparation
Cela fait plusieurs mois que l'on travaillait à l'organisation de cette Nuit du Hack 2011: organisation des talks, des workshops, du CTF (sic) et du wargame public. Toute la team hackerzvoice s'est mobilisée, chacun apportant sa brique à l'édifice qui s'agrandit chaque année. Nous avons opté pour un changement d'endroit, les péniches n'étant pas du tout adaptées à ce type d'évènement le choix du New York Hotel de Disneyland fut fait. Le New York Hotel de Disney possède une salle de 2000 mètres carrés, avec une régie, une scène, une sonorisation sur mesure ... Alors oui, quand on a annoncé que ça se passait à Disneyland, les critiques et commentaires ironiques ont fusés sur Twitter.
Du côté technique, le Capture The Flag de cette année a vu son architecture évoluer, peut-être un peu trop quand on voit comment on a missionné à le lancer. Franchement, pour y avoir passé des nuits dessus et avec pas mal de personnes impliquées, je suis sincèrement déçu que cela n'ait pas pu se dérouler dans les conditions voulues. On avait monté deux baies serveur et une palette de machines à la mode NdH2010, tout cablé et testé auparavant.
Rencontre avec les speakers, puis pseudo-dodo
Nous sommes arrivés au New York Hotel le vendredi soir, pour tout installer pour le lendemain. J'ai retrouvé Bruno Kerouanton au pub du NYH, accompagné de Nicolas Grégoire, Gary S. Miliefsky et Mario Heiderich. Ils sont venus nous donner du courage pour la préparation de la Nuit du Hack, et puis on en a profité pour boire un coup avec eux. J'ai retrouvé aussi Winn Schwartau, que j'ai rencontré l'année dernière à Las Vegas lors de la Defcon 18; ça faisait tout drôle de le revoir, avec sa moustache inchangée ;). J'ai passé un vendredi soir magique, j'ai même trouvé le temps de troller sur Hadopi avec Mario Heiderich o/ ! Petite retouche de mes slides pour la forme, avec Sorcier_FXK.
L'installation du matériel et le câblage se sont terminés tard dans la nuit (aux alentours de 3h du matin, le samedi). J'en ai profité pour rejoindre une chambre dans laquelle on a squatté avec Sorcier_FXK (kalkulators.org), Ezano et Franklin (le guru des conférences). Je n'ai dormi que 4h environ, mais ca m'a permis de récupérer un petit peu avant le grand jour.
Jour J, stress au max
Douche, petit-dej sur le pouce, et je débarque dans la salle où va se dérouler la Nuit du Hack 2011. Les régisseurs sont en place, on fait les derniers checks au niveau des écrans et du son, toujours les derniers détails qui posent problème. Je fais un test sur la scène, c'est vraiment impressionnant ... C'est vide mais j'essaie de m'imaginer ça rempli. Les gens commencent à arriver, et là problème: les applications de lecture des QRCodes des badges ne fonctionnent pas (à 30min de mon talk). Je règle le problème en urgence, et je saute sur scène. C'était plus dur que ce que je pensais en fait, de parler devant six ou sept cent personnes, avec un spot dans la tronche. J'ai chaud, je bafouille légèrement, mais j'arrive à gérer le temps et la démo en évitant de la louper. Plutôt cool donc :). Pour ceux que cela intéresse, les slides de mon talk sont disponibles ici.
Le reste de ma journée, je l'ai passée à discuter de temps en temps avec quelques intéressés d'Android, et puis avec le staff du CTF pour tout fignoler. On a essuyé pas mal de problèmes, enchaîné les pépins, et les esprits ont commencé à s'échauffer. Le retard s'accumulait, les problèmes aussi: à chaque problème que l'on pensait résolu s'en ajoutait un second... Aux alentours de 2h du matin, j'ai laissé les autres membres du staff gérer le truc, j'étais trop fatigué et énervé contre des personnes qui faisaient tout leur possible pour mettre ce CTF en route. Je me suis calmé de mon côté, en essayant de faire le vide, de trouver une solution "viable". De leur côté, le staff CTF a tenté de modifier le principe du challenge, mais cela a pris du temps et n'a pas été concluant. La dure décision d'arrêter les frais a été prise par le boss, et on a vu des équipes dégoutées, qui pour certaines étaient plus désolées pour nous et pour le temps que l'on avait passé dessus. Une grosse déception en somme, que j'ai essayé d'atténuer à grand renfort de bière.
En parallèle, le challenge public tournait plutôt bien, et les épreuves se faisaient valider au fur et à mesure que la soirée avançait. Au moins, tout n'aura pas été raté.
Impressions diverses et retours
Les retours que l'on m'a fait de l'évènement sont assez variés, mais dans l'ensemble plutôt bons. Tout le monde y va de son commentaire, de quelques idées qu'il a eu pour améliorer l'évènement, des regrets que cette édition soit plus "corporate" que celles des années précédentes ... Je peux tout à fait comprendre ces remarques et ces réactions. Disney a tout de même permis à l'équipe des organisateurs de se concentrer sur l'essentiel, sans avoir à gérer la logistique de la nourriture et de la boisson, en mettant à disposition de l'évènement une vraie régie son et vidéo, avec des systèmes qui fonctionnaient nickel et que l'on avait pas à gérer de notre côté. Du côté des visiteurs, l'endroit était tout de même hors-normes, avec une salle immense, un grand nombre de place (ah, ça fait toujours plus que sur la péniche) ainsi qu'un certain confort. Le fait de pouvoir louer une chambre pas loin, avec des tarifs préférentiels (mais chers, faut avouer), pouvait être un plus.
Ce que je retiens de cette édition, c'est que d'une part elle m'a franchement étonnée: un endroit de rêve pour des conférences, qui se prête tout à fait à la venue de speakers internationaux, et qui s'adapte aussi aux usages habituels de la Nuit du Hack (workshop, CTF, prises de courant, etc ...). Et d'autre part le nombre de personnes ayant répondu présent, les animateurs de workshop qui ont fait un boulot formidable, mais aussi les speakers qui ont été terribles (et qui, on le souhaite, reviendront nous voir l'année prochaine), etc... Si la Nuit du Hack devait se dérouler dans un seul endroit l'année prochaine, ce serait bien à nouveau dans l'hotel New York.
<center><embed type="application/x-shockwave-flash" src="https://picasaweb.google.com/s/c/bin/slideshow.swf" width="400" height="267" flashvars="host=picasaweb.google.com&hl=fr&feat=flashalbum&RGB=0x000000&feed=https%3A%2F%2Fpicasaweb.google.com%2Fdata%2Ffeed%2Fapi%2Fuser%2Fvirtualabs%2Falbumid%2F5620811613695329713%3Falt%3Drss%26kind%3Dphoto%26authkey%3DGv1sRgCIni3IHQoNvynwE%26hl%3Dfr" pluginspage="http://www.macromedia.com/go/getflashplayer"></embed></center>
La Nuit Du hack (grossièrement traduit par "Night Da Hack" en apeuprès-anglais) est un évènement francophone présent depuis 2003. Elle regroupe des hackers de toute la France et d'autres Pays (quelquefois) autour de conférences diverses et d'un contest, qui dure jusqu'au petit matin.
Comme l'année dernière, cela se passe sur une péniche à Paris les 19 et 20 juin, mais pas n'importe laquelle: la péniche Concorde-Atlantique. Celle-ci est spacieuse, possède trois niveaux, et hébergera les conférences, le contest et possède trois bars (ca ne va pas arranger tout le monde). Sur place, il y a aura la possibilité de se restaurer, de boire, et de discuter avec tout le monde.
Un appel à conférenciers a aussi été émis, pour les orateurs voulant se faire entendre lors de cet évènement.
Petite nouveauté cette année, nous invitons une personnalité de la sécurité afin qu'il réalise une intervention lors la nuit du hack. De même, il se pourrait que certaines conférences soient réalisées dans la langue de molière^W^W^W Shakespeare, mais elles resteront majoritairement francophones.
L'entrée est un peu plus onéreuse que l'année précédente, mais tout à fait accessible (25 euros -- 1 pass, 1 sandwich, 1 boisson). A noter la possibilité d'acheter en ligne des tickets boisson supplémentaires, et sur place sans aucune limite.
Pour suivre les actualités en ce qui concerne HZV et la NDH, rien de plus simple, ca se passe sur Twitter.
De retour de Genève, où j'ai participé avec le reste de la team HZV à Insomni'hack 2010. Insomni'hack est un concours d'ethical hacking qui regroupe divers hackers (espagnols, français, suisses, et autres) autour de challenges concernant divers domaines de la sécurité informatique.
Nous sommes allé à Genève en train, où nous avons retrouvé les gars de Maubeuge (FaSm, Koreth, TiteFleur, Shatter) et Nagual. Après un bref passage à l'hotel, histoire de poser les bagages, nous sommes partis en direction de l'Hepia. On salue, s'installe, et là on subit le classique problème des prises: en effet, la Suisse a des prises bien particulières (on le savait avant de venir), mais nous n'avions pas trouvé d'adaptateur(s) entre le départ et l'arrivée à l'Hepia. Un autre challenger français a partagé son adaptateur, et on a pu brancher notre série de rallonges dessus, ouf.
Petit discours du directeur avec un bon accent suisse, puis début du challenge. On boit, on bouffe, on code, et on cherche. Au programme: analyse par rétro-conception, attaques web par rejeu, vulnérabilités web "classiques" (htaccess avec limit get, CAPTCHA, ...), un peu de crypto, et puis du forensics (pcap et pdf). C'était bien fun. 1h du mat, fin du contest, et le résultat: Trance premier (représentant HZV), suivi de Samsa, de Nagual et d'Acissi (les gars de Maubeuge). Remise des lots: Trance reçoit une panoplie de tshirts, une suite av offerte par kaspersky (je suis sur que Heurs va adorer travailler dessus), et un boitier fortinet anti-virus, pare-feu, etc ...
Nous saluons nos challengers, et puis grande séance de tentative de discussion avec Samsa, le second du contest, qui est d'origine espagnole. Mais il parle français, sous la torture. Un gars super simple, très sympa, et qui nous a convié à passer à Madrid en mars. On va essayer de pas manquer le rendez-vous. On salue ensuite tout le monde, et on termine la soirée à l'Ibis, avec 1l de vodka, 4 cannettes de redbull, et plein de trolls. Quelques heures plus tard, on se lève et on joue les touristes, histoire de pas partir sans avoir vu le lac et son jet d'eau de malade (qui doit faire mal au cul si on s'assoit dessus, comme le dit F|UxIuS). Puis rentrage en TGV, dodo, et de retour sur Paris.
Un évènement bien sympa, quoique court (à 1h du mat ils ont tout fermé, et nous ont mis à la porte, c'était moyen ^^). De même, les épreuves étaient de qualité (quoique parfois irréalistes, et kikoololz) Mais on reviendra peut-être. Néanmoins, il y a de bonnes idées et quelques erreurs qui sont formatrices (réseau saturé, notamment lors des phases de bruteforce nécessaires pour réussir certaines épreuves).
Petit bonux: on a retrouvé l'hotel de Billou à Genève. Il y a même garé sa voiture devant ...
<center><embed type="application/x-shockwave-flash" src="http://picasaweb.google.fr/s/c/bin/slideshow.swf" width="288" height="192" flashvars="host=picasaweb.google.fr&hl=fr&feat=flashalbum&RGB=0x000000&feed=http%3A%2F%2Fpicasaweb.google.fr%2Fdata%2Ffeed%2Fapi%2Fuser%2Fvirtualabs%2Falbumid%2F5430576548463802369%3Falt%3Drss%26kind%3Dphoto%26authkey%3DGv1sRgCKmIq6aVvqSu2wE%26hl%3Dfr" pluginspage="http://www.macromedia.com/go/getflashplayer"></embed></center>
Liens connexes
http://www.tdg.ch/actu/hi-tech/hacking-defient-geneve-2010-01-24