La treizième édition de la Nuit du Hack, évènement annuel visant à réunir les passionnés de bidouilles en tout genre, c'est du 20 au 21 juin 2015 à l'Académie Fratellini.

Tout frais et tout neuf

Changement de lieu pour cet évènement en cette nouvelle année 2015, c'est désormais à l'Académie Fratellini que la NDH a posé ses valises. Après plusieurs années passées dans le gentil monde de Mickey, on retourne aux racines et aux endroits atypiques, car les talks se dérouleront dans un cirque aménagé pour l'occasion. Ceux qui ont participé à l'édition 2007 sauront de quoi je parle (cela s'était déroulé dans une ancienne grange).

L'Académie Fratellini, ça ressemble juste à ça:

Outre le changement de lieu, il y a aussi du neuf côté programmation, avec dans le désordre:

• une zone réservée au hacking hardware, où se dérouleront des ateliers permettant par exemple de se créer sa propre station de soudage ou de confectionner un pendentif (wearable) très geek à base d'arduino,
• un nouveau challenge visant à désamorcer un compte à rebours, digne des meilleurs films hollywoodiens,
• des foodtrucks pour pouvoir se sustenter (ceci dit, personne ne vous empêche d'amener à boire et à manger),
• plein d'espace à l'extérieur permettant de buller, de geeker dans tous les sens du terme (Babozor, si jamais tu lis ces lignes, sache qu'un hack du calibre de celui du caddie manque à beaucoup d'entre nous),
• ainsi que d'autres surprises !

Les premiers talks annoncés

Cette année encore, plusieurs conférenciers ont d'ores et déjà été annoncés, avec entre autres:

• Karsten Nohl: «Mobile auto-defense»
• Guillaume Poupard: Keynote
• Santiago Pontirolli: «The TAO of .Net and Powershell Malware analysis»
• Axelle Apvrille: «Profiling criminel : le malware Android»
• Boris Simunovic: «Comment hacker un vieux jouet en robot marsien»
• Stéfan Le Berre: Talk surprise !
• Alexandre Triffaut: «L'impression 3D est une menace pour vos clés»
• Robert Simmons: «PlagueScanner: An Open Source Multiple AV Scanner Framework»
• Guillaume Lévrier: «Kindleberry, Internet of Things et administration publique : pouvez-vous créer un état en hackant ?»
• Votre serviteur: «Man in the (Android) Middleware»

C'est assez varié, et j'attends en particulier les talks de Karsten Nohl et de Stéfan Le Berre, habitués des talks intéressants et techniques. La keynote est assurée par Guillaume Poupard, de l'Agence Nationale pour la Sécurité des Systèmes d'Information (ANSSI).

Des challenges pour tous

Les challenges habituels seront présents, à savoir:

• le CTF privé, organisé par Sysdream,
• le Wargame public, organisé par HZV,
• un challenge de lockpicking (crochetage de serrure),
• un challenge de désamorçage de compte à rebours.

Les deux premiers sont des concours à destination des afficionados de la sécurité informatique, dont seul le second est ouvert au public. Le wargame public est constitué de problèmes et casse-têtes informatiques qu'il faut résoudre le plus rapidement possible.

Le challenge de lockpicking demande du doigté, de bons outils et de l'expérience: il s'agit de crocheter différents types de serrures dans un temps record, le tout supervisé par une équipe de crocheteurs expérimentés.

Enfin, le petit nouveau de cette édition est le challenge de désamorçage, qui consiste à désamorcer un compte à rebours comme ceux que l'on voit dans de nombreux films, à l'aide d'outils relativement simples et cela dans un temps fixé par le mécanisme. Des notions d'électronique sont requises pour pouvoir s'y frotter, mais aussi de la logique et une bonne résistance au stress.

Workshops

Encore une fois, de nombreux ateliers pratiques (ou workshops) sont proposés:

• Désassemblage et reverse-engineering avec Radare2 comme alternative à IDA (Julien Voisin)
• Constuire son propre Arduino par la DTRE
• Réalisation de station de soudage régulée OpenSource compatible Weller par l'Electrolab
• Initiation aux microcontroleurs: réalisation d'un pendentif geek animé à base de matrice de LED et d'Arduino wearable par TixLeGeek, virtualabs, y0n0, olivier-network
• Atelier d'exploitation de systèmes industriels (ICS) avec Metasploit par Guillaume PRIGENT & Johanne ULLOA
• Initiation à Tox, une plateforme acentrée permettant d'échanger et de communiquer de manière chiffrée par Hakira
• Atelier puçage de consoles par XavBox

Il y en a pour tous les goûts, attention toutefois certains ateliers nécessitent une préinscription et dans certains cas une participation: c'est le cas par exemple de celui permettant de réaliser une station de soudage ou encore le pendentif geek animé.

Badge électronique

A nouveau, un badge électronique collector conçu par l'Electrolab (encore un grand merci à vous les gars) est proposé sur lequel se trouve un challenge permettant de remporter une place à vie à la Nuit du Hack (Black Badge). Les ventes de ce badge électronique sont ouvertes jusqu'au 10 mai, et le nombre d'exemplaires est limité !

Comment venir ?

C'est relativement simple: il suffit d'aller sur la boutique de l'évènement et de sélectionner un ou plusieurs tickets d'entrée ainsi que des goodies au besoin, et de régler par CB/Paypal/Bitcoin. Vous recevrez par courriel un QR code qu'il faudra imprimer et présenter sur place, un peu comme les billets électroniques de la SNCF quoi.

Samedi dernier (le 28 juin 2014) se déroulait la douzième édition de la Nuit du Hack, le rendez-vous incontournable des bidouilleurs/codeurs/geeks de tout poil. Une douzième édition marquée par de nombreux changements, et plus de 1500 visiteurs. J'étais de la partie (qui a dit "comme d'habitude" ?), avec un talk et demi et plusieurs workshops.

Les nouveautés

J'en avais déjà parlé dans un précédent billet, mais cette édition regorgeait de nouveautés: * des ateliers pour les enfants (NDH Kids) * un badge collector * des challenges en tout genre * des partenaires de folie * encore plus de place

A noter en particulier le bug bounty lancé durant la nuit, sponsorisé par Qwant et qui offrait des PS4 avec le jeu Watch_Dogs, des Nexus 5 et plein d'autres lots, la présence de l'ANSSI qui tenait deux stands (un dans Yes We Hack et l'autre dans la salle plénière), et d'OVH toujours fidèle au poste =).

Je pensais que cela ferait un peu beaucoup de choses à intégrer, mais au final tout s'est déroulé merveilleusement bien, à commencer par la NDH Kids.

NDH Kids

Le réveil fut un brin difficile (peu de sommeil durant les jours prédédant le début de la Nuit du Hack, pour cause d'organisation) mais je débutais la journée en beauté avec mon premier atelier pour les enfants: du bidouillage de pistolets Nerf (de Hasbro). De mes deux ateliers de la journée, celui-ci est celui que j'appréhendais le plus: je n'ai pas l'habitude de gérer des enfants de 8 à 16 ans. Le challenge était présent, surtout lorsqu'il a fallu sortir la perceuse pour réussir à extraire une pièce du pistolet car sinon cela aurait pris beaucoup de temps (12 pistolets à modifier). Un peu impressionnant pour les enfants, mais rigolo (pour les enfants, moi je faisais super attention de ne pas me transpercer la main). Malgré les quelques impatients, on n'a pas trop débordé sur le planning, et même le staff Ndh Kids était fan !

N'empêche, voir leur enthousiasme est franchement épatant: ils ont de l'énergie à revendre et plein d'idées ! Le graal, c'est quand une jeune fille m'a dit: "Ah il est déjà 11h45, mais on n'a pas vu le temps passer !". Une expérience à renouveler l'année prochaine, mais avec quelques précautions: le staff a été un peu débordé par les batailles qui s'en sont suivies, et les parents m'en veulent peut-être un peu pour les futurs cadeaux qui seront commandés au Père Noël. Cela ne m'a pas empêché de modder par la suite un Vortex Praxis et un Maverick ;) ...

Les talks

Etant tout particulièrement occupé lors de mon atelier pour les kids, je n'ai pas pu suivre tous les talks qui se déroulaient dans la salle plénière (Times Square). Cependant les quelques bribes que j'en ai vu étaient bien sympa: Benjamin Bayart, Renaud Lifchitz, Jayson Street, que du bon. J'ai assuré un talk et demie lors de cette Nuit du Hack, car cela faisait plus d'un an que je n'avais pas parlé sur cette scène et ça faisait du bien d'y retourner. Le premier talk que j'ai donné, intitulé "Break, dump & crash" parlait de rétro-ingénierie matérielle, et en particulier d'une puce Broadcom que l'on retrouve dans les modems câble supportant la norme DOCSIS 3.0. Apparemment j'ai fait un peu mal à certaines têtes, mais donné des idées à d'autres (et ça, c'est super).

Le second talk était en réalité une présence de soutien à mon ami et collègue Romain E Silva, pour qui ce talk sur la domotique était le tout premier. Lui qui stressait déjà devant une dizaine de personnes a complètement assuré devant plus de 1000 personnes! Je me suis juste chargé de l'introduction, de la description des vulnérabilités et des private jokes sur scène (base64 + lien Youpr0n). C'était bien marrant, et au final le talk a permis de soulever des problématiques actuelles quant à la domotique et sa sécurité (en mettant l'accent en particulier sur les solutions opensource).

Les workshops

Les workshops ont débuté à 19h, et celui que j'avais organisé avec TixLeGeek (et auquel sont venus s'adjoindre y0no et olivier-network, encore un grand merci à eux) a vite été débordé. Question organisation ce n'était pas top, je ne m'attendais pas à autant de monde. Les personnes qui ont soutenu le workshop via Ulule ont (presque) toutes reçues leur matériel, et ont pu s'initier à la soudure. Cela a pris toute la nuit, alors que je pensais avoir suffisamment de temps pour faire plein d'autres choses. Il me reste encore quelques bidules à envoyer par la poste, afin que tout le monde ait son dû.

Résultat: on a passé la nuit à souder, à résoudre des problèmes de soudure et de communication USB avec le badge collector de la Nuit du Hack, mais aussi à rencontrer des gens intéressants et motivés. De belles rencontres, des échanges super sympas, et plus de voix à 8h du matin (l'année prochaine je prévois la sono en plus). Bref, pas mal de choses à améliorer, mais je pense que l'on va monter un petit "village" de hacking hardware inspiré de celui de la Defcon, car il y a encore énormément de choses à faire de ce côté. Et mettre des stations de soudage en accès libre, histoire que tout un chacun puisse s'éclater avec le badge électronique. Avis aux amateurs pour la prochaine édition !

Pour ceux qui seraient intéressés par le badge électronique, cela inclut ceux qui ont eu la chance d'en avoir un et les autres bien sûr, tous les outils nécessaires sont disponibles sur GitHub. Et cela comprend la ROM d'origine ;).

Et de la fatigue ...

A l'heure où j'écris ce billet, je ne me suis pas tout à fait encore remis de cette édition qui fut encore une fois trop courte mais rondement menée, grâce au boulot formidable de toute la team. Merci aussi à vous d'être venus si nombreux, d'avoir bravé les transports en commun et d'avoir répondu présent pour cette douzième édition: c'était juste magique. On remet ça dans un an ?

La Nuit du Hack 2014 arrive à grand pas, et comme promis je vais y co-animer un workshop traitant de hardware hacking avec TixLeGeek. Cet atelier pratique se veut être une initiation à différents domaines connexes à l'informatique, mais où l'on utilise ses dix doigts pour réaliser de vraies choses palpables, ce qui procure une satisfaction toute particulière (identique à celle que l'on trouve à coder).

Que va-t-on faire durant ce workshop ?

Différents aspects du hacking hardware seront abordés, dont notamment:

• Electronique
• Schéma et circuits imprimés réalisés grâce à des solutions libres
• Développement embarqué
• Protocoles de communication infrarouge et radio
• Techniques de soudage au fer via l'exemple
• Nerf hacking pour adultes (fait suite au workshop de la Ndh Kids)
• Bidouilles diverses et improvisées sur des systèmes un peu anciens

L'idée de cet atelier est de faire découvrir et démystifier le hardware hacking, de découvrir les joies de l'électronique et son utilisation couplée à des ordinateurs. Pour ce faire, l'édition de cette année de la Nuit du Hack a introduit un badge électronique, conçu par mes soins, sur lequel se basera ce workshop. Vous n'en avez pas acheté sur le site de l'évènement ? Pas grave, j'en ai quelques-uns en supplément, sous réserve de participer au workshop bien entendu.

Le badge réserve quelques surprises, car il peut notamment:

• Communiquer via USB
• Etre programmé comme un Arduino
• Etre bidouillé dans tous les sens grâce à des pads présents (soudure sale bienvenue)

Quelques photos ont fuité sur Twitter, si vous voulez vous faire une idée du bazar !

Comment participer ?

Pour vous inscrire au workshop, rien de plus simple: il y a une campagne de financement participatif en ligne sur le site Ulule.fr . Pourquoi un financement participatif ? Parce que c'est simple, dans la philosophie communautaire, et que cela permet de faire des pré-commandes sans se prendre la tête.

Plusieurs "packages" sont disponibles, selon que vous ayez déjà acheté le badge en tant que goodie sur le site de la Nuit du Hack 2014 ou non, et en fonction de vos outils. Ainsi, si vous n'avez pas de fer à souder adapté, ni de multimètre et encore moins de plaque de prototypage, un package "Hardware Master + Badge Collector" est disponible, incluant un badge collector en kit à monter au workshop et tout ce qu'il faut pour bien débuter dans le hacking hardware. Si vous avez déjà un fer et du matériel, viendez avec et optez pour le package "Hardware Bonus + Badge Collector", afin de profiter de composants supplémentaires et d'un shield infrarouge collector pour le badge (permettant de faire de l'envoi/réception de données).

Et si vous avez déjà un badge de réservé, les mêmes contreparties sont prévues, mais sans le badge. Notez que je ne dispose ni d'un nombre infini de badges collectors, ni d'énormément de place pour le workshop =).

NB: la place pour l'évènement la Nuit du Hack 2014 n'est pas incluse dans le prix du workshop, mais vous en aurez besoin pour y participer. Si vous n'en avez pas encore, vous pouvez vous inscrire à la NdH 2014 sur le site officiel.

Et si on veut participer sans badge ni bonus matériel ?

Le workshop reste ouvert à tous, et vous pouvez très bien participer sans avoir le matériel nécessaire. Nous aiderons ceux qui souhaitent souder leur badge, et le bidouiller (on fournit aussi des idées), mais nous serons aussi disponible pour réaliser des hacks en tout genre lors de l'évènement, et on ramène même pour l'occasion pas mal de matériel divers ! Cependant, le badge électronique reste une bonne plate-forme de jeu pour les divers challenges à relever.

Au plaisir de vous y voir !