Avec mon collègue Florian, nous avons eu la chance de participer à l'édition "Révolution" de LeHack, évènement qui célébrait cette année son 20e anniversaire.
Présentation de l'Événement
LeHack est un événement annuel qui rassemble des curieux, des passionnés, des professionnels et des conférenciers autour d'un même thème : le hacking. Ouvert à tous les niveaux, il s'est tenu cette année à Paris, à la Cité des Sciences et de l'Industrie, aux portes de la Villette, sur trois jours, du 5 au 7 juillet (deux jours complets et une nuit).
Les stands
De nombreux sponsors étaient présents, répartis en plusieurs catégories :
- Associations : Pour ceux cherchant à approfondir leurs compétences ou à découvrir de nouvelles disciplines, rejoindre une association peut être très bénéfique.
- Écoles : Comme dans un salon étudiant, des écoles présentaient leurs cursus et proposaient des petits challenges pour les plus aventureux.
- Entreprises : Classées en catégories gold, platinum et diamond, elles étaient présentes pour recruter et se faire connaître.
Divers challenges étaient proposés aux stands, comme le crochetage de serrure, des défis OSINT (Open Source Intelligence : méthode de renseignement utilisant des sources d'information publiques) et bien d'autres que je n'ai malheureusement pas eu le temps de tester.
Les Workshops
Les workshops, activités de plusieurs heures, avaient des horaires spécifiques, nécessitant une bonne organisation pour y participer.
[Saba vous raconte]
“Serious Hac : Serious game pour l’homologation et l’apprentissage de la cybersecurité”
J'ai eu la chance de participer à un "Jeu sérieux" (Serious Game), un jeu de société formateur pour introduire la cybersécurité dans une équipe. Le jeu se compose de deux équipes (les attaquants et les défenseurs), de plateaux, de cartes, de dés et surtout d’un maître du jeu. Le but est soit de défendre, soit d’attaquer grâce à des choix et l’utilisation de cartes sur notre plateau et bien entendu de dés pour représenter l’aléatoire d’une attaque ou d’une défense réussie. C'était une activité très intéressante et une excellente façon de susciter l'intérêt chez ceux qui ne travaillent pas directement dans le domaine.
Florian a eu l’opportunité de faire deux autres workshops liés au hacking de drones et organisés par des intervenants de chez Serma.
[Florian vous raconte]
“Rétro-ingénierie d’un logiciel de drone avec Ghidra”
Cet atelier est une introduction à l’étude d’un firmware de drone avec un outil de reverse engineering, Ghidra. L’atelier s’est déroulé en plusieurs étapes :
- Une introduction à Ghidra et à son utilisation. On commence par créer un projet, importer le firmware extrait du drone et on lance une première analyse du binaire par l’outil. Celui-ci va alors désassembler et décompiler le binaire, nous facilitant ainsi son analyse. L’idée est de travailler de pair avec l’outil. Il n’a pas la science infuse, et nous non plus. Il va donc pouvoir nous fournir des informations et nous allons pouvoir approfondir l’analyse en explicitant le typage ou le nommage de certaines variables / fonctions. En se basant sur la documentation du constructeur du microcontrôleur, on va pouvoir segmenter les zones de la mémoire et indiquer à Ghidra les limites de la mémoire flash ou celle des registres du module de radio fréquence.
- On trouve ensuite le point d’entrée du programme de gestion des entrées/sorties et on explore la nature des échanges entre la télécommande et le drone, avec le fonctionnement du protocole de communication. On arrive par exemple à déterminer que les commandes envoyées au drone sont des messages de 10 octets.
- Je passe les détails techniques mais de fil en aiguille on se rend compte que la communication radio n’est pas du tout sécurisée et que l’on a accès à une liaison série UART qui est vraisemblablement la trace d’un processus de test du drone en sortie de chaîne de production (pour s’assurer de son bon fonctionnement) et dont on peut se servir pour transmettre des commandes au drone.
“Capture The Flag d’un drone miniature”
Ce workshop reprenait les thèmes du précédent et s’est avéré tout aussi intéressant.
On s’est ici notamment attaché à l’exploitation de la faiblesse de l’implémentation de la liaison radio. L’idée était de comprendre davantage les spécificités de ce protocole, en commençant par se replonger dans son implémentation.
On passe rapidement à une partie exploitation avec pour objectif le détournement du drone en se faisant passer pour la télécommande. Pour cela, l’intervenant a mis à notre disposition une carte Hardsploit (développée par son entreprise, plus d’informations ici) accompagnée d’un module d’émission / réception radio (NRF24L01+ pour les intimes).
On commence l’exploitation en déterminant la fréquence sur laquelle communique la télécommande. Pour cela, on va écouter successivement sur diverses fréquences entre 2.400 et 2.484 GHz. On intercepte ensuite les messages envoyés par la télécommande ce qui nous permet de récupérer l’adresse de la télécommande envoyée avec chaque message ainsi que la suite de messages conduisant à l’appairage entre la télécommande et le drone. A l’aide d’un outil développé par l’intervenant et de notre compréhension acquise du protocole, on est finalement en capacité d’envoyer des commandes d’appairage et de vol en se faisant passer pour la télécommande.
Le vrombissement du moteur de notre drone fut la confirmation de l'accomplissement de ce challenge.
Merci beaucoup aux intervenants pour leur pédagogie et leurs explications, qui ont rendu ces workshops compréhensibles même pour des novices. De vrais passionnés !
Lien vers le site de l'évènement référençant les ateliers
Les Conférences
En anglais et en français, elles couvraient une multitude de thèmes : anecdotes, présentations de concepts, entrepreneuriat, découvertes... Il y en avait pour tous les goûts. Voici celles qui nous ont le plus marquées :
[Saba vous raconte]
Découverte du groupe APT-C36 sur les réseaux d'une profession libérale réglementée.
Une équipe a analysé une cyberattaque s'étendant sur plusieurs mois, détaillant chaque étape du processus et fournissant un rapport complet à leur client. L'attaque s'est déroulée en plusieurs phases.
Tout a commencé par une campagne de phishing, utilisant un fichier .hta déguisé en fichier .pdf (sur Windows, l'extension par défaut n'étant pas affichée, cela peut donner “LegitimeFile.pdf.hta”). Une fois la campagne réussie, les attaquants ont installé plusieurs keyloggers, enregistrant même leurs propres actions. On a pu observer la création de comptes administrateurs et l'installation de RDP Wrapper pour partager leurs sessions entre eux. Ils revendaient ces sessions, et leurs informations bancaires ont même été trouvées sur le bureau des ordinateurs compromis.
Grâce à ces analyses, une attaque de ransomware, préparée par un autre groupe, a pu être stoppée avant qu'il ne soit trop tard. Il a été découvert plus tard que les hackers appartenaient à un groupe appelé "Hagga Threat Actor", réputé pour ses campagnes de super phishing et pour la revente d'accès à d'autres groupes.
C'est à ce moment que le groupe APT-C36 a fait son apparition. De nouveaux liens vers des serveurs, identifiés dans les fichiers d'analyse, faisaient référence à ce groupe. Ils tentaient de nombreux mouvements latéraux sur différents serveurs, comme l'Active Directory.
Malheureusement, le dénouement est resté confidentiel car l'affaire est désormais entre les mains de la justice.
Physical intrusion: defeating on-site security.
Très populaire, cette conférence a attiré une foule nombreuse. Deux intervenants ont partagé leur retour d'expérience sur leurs missions de pentesting physique. Ils ont présenté trois scénarios où ils ont réussi à pénétrer dans des locaux et à prouver la possibilité de récupérer des données, avec des rebondissements amusants tout au long de leurs missions. Dans la plupart des cas, nous confient-ils, ce sont les employés qui les aident à parcourir une bonne partie du chemin et surtout à leur donner des prétextes sur leur présence; “Vous êtes bien là pour la formation”. Aussi, ils rencontrent des situations inattendues, comme des portes à serrure ouverte, des clés sur des coffres etc. La conférence a fini par un tonnerre d'applaudissements.
Trouver sa place dans l'infosec
Une présentation des différentes voies possibles dans la cybersécurité. Qu'il s'agisse d'écoles, de bootcamps, de certifications, de travail en CDI ou en freelance, en ESN ou chez le client final, il y avait des options pour tous. Ils ont également encouragé le partage de connaissances via les réseaux sociaux, les conférences et la contribution à des projets.
[Florian vous raconte]
PRISM, a light BEAM disassembler
C’est l’histoire d’un hacker envoyé en mission et qui se retrouve à devoir analyser des fichiers .beam, compilés depuis du code en Erlang. Ne trouvant pas son compte avec les outils d’analyse existant, il a décidé de créer son propre désassembleur Erlang. Il lui a fallu se plonger dans le format .beam et les 182 instructions propres à la VM langage, la Bogdan/Björn's Erlang Abstract Machine (BEAM). Le tout avec uniquement quelques jours pour trouver une solution à son problème.
Résultat ? PRISM, un désassembleur open source disponible ici qui permet le traitement des fichiers par lot et la gestion des cross reference.
Mais ce n’est pas tout, ses recherches lui ont également permis d’identifier des vulnérabilités dans le format de fichier ainsi que dans le langage, permettant par exemple d’inclure des zip dans un fichier .beam ou de faire crasher un programme Erlang en envoyant certaines entrées.
Supply chain attack : le cas du registre privé Docker
J’ai trouvé ce talk plus abordable que les autres qui abordent parfois des sujets très techniques. Il était ici question de sécurité du registre privé Docker, une alternative qui permet d’être indépendant de Docker Hub.
Ce registre peut malheureusement être une cible facile pour des attaquants s’il est mal configuré. En effet, sa configuration est “vulnérable par défaut” : pas d’authentification, accès en HTTP… Ces points en font une cible de choix pour les attaques sur la chaîne d’approvisionnement logicielle d’une organisation. Heureusement la conférence abordait également les moyens de pallier ces problématiques.
Hacking satellites: from SDR to RCE
Un talk particulièrement prisé sur un sujet que peu de monde maîtrise mais qui au fond intéresse un peu tout le monde tellement il sort de l’ordinaire. L’auteur est un spécialiste dans le pentest de radio-fréquence et conduit des audits de systèmes embarqués spécifiquement conçus pour l’aérospatial.
Il nous présente un satellite comme un ordinateur dans l’espace qui utilise d’autres protocoles. La plupart des satellites étant propriétaires, il est régulièrement amené à faire de la rétro-ingénierie des protocoles utilisés.
Plusieurs types d’attaques nous sont présentées comme l’écoute clandestine des communications, le link takeover ou encore le jamming qui consiste à parler plus fort que la station de contrôle sur la même fréquence.
A la fin de la conférence, une question a été posée à l’intervenant pour savoir s’il était techniquement possible de faire dévier un satellite de sa trajectoire en cas de compromission. Son expérience lui a permis de confirmer que certaines compromissions permettaient effectivement de prendre le contrôle sur le satellite…
Pour ceux qui voudraient en savoir plus, le conférencier a mentionné un projet open source de simulation de satellite disponible sur GitHub : https://github.com/alanbjohnston/CubeSatSim.
Lien vers le site de l'évènement référençant les conférences
Les Rumps
[Florian vous raconte]
Les rumps sont un moment un peu hors du temps dans cette conférence, voici comment ces sessions d’une dizaine de minutes sont présentées sur le site :
“Les RUMPS sont des talks courts sur des sujets bien entendu cohérents avec le thème du hacking, mais sans contrôle, sans censure, sans pression, et dans le cadre d'une "plausible deniability" : pas de lineup, pas de publication, pas d'enregistrement, et pas d'affiliations. Vous prenez vos propres responsabilités vis-à-vis du talk que vous présenterez, leHACK niera avoir eu connaissance de vos agissements, usez de votre discernement pour ne pas enfreindre les lois en vigueur.”
Pour jouer le jeu de ce moment et garder le mystère qui l'entoure, j'éviterai donc de présenter les sujets qui y ont été abordés. Sachez néanmoins que c’est l’occasion d’entendre parler de pleins de sujets différents en 3 heures, et de façon plus ou moins sérieuse. Avec des talks qui s’enchaînent toutes les 10 minutes on n’a vraiment pas le temps de s’ennuyer.
L'OSINT Village
LeHack proposait également un OSINT Village avec plusieurs conférences dédiées à l'OSINT (Open Source Intelligence). Malheureusement, faute de temps, nous n'avons pas pu assister à ces conférences, mais elles promettaient d'être aussi instructives et captivantes que le reste de l'événement.
Lien vers le site de l'évènement référençant les conférences sur le thème de l'OSINT
Boutique
[Saba vous raconte]
Un passage obligé à la boutique de souvenirs s'imposait, avec ses mugs, pulls et autres accessoires marquant cette édition. Pour ceux intéressés par des outils pratiques, des produits comme le fameux Flipper Zero et des kits de crochetage étaient disponibles. Personnellement, je me suis contenté de la carte fournie à l'arrivée. De très bonne qualité, elle était également assez stylée.
Un petit jeu était organisé avec une carte en carton. Chaque participant recevait une partie différente d'un QR code, et l'objectif était de résoudre l'énigme en combinant les morceaux.
WAR GAME
[Florian vous raconte]
Un événement de cybersécurité ne serait pas complet sans un challenge.
J'ai eu l'opportunité de participer au wargame de samedi 20h à dimanche 6h avec trois étudiants rencontrés sur place. Le wargame est un CTF (Capture The Flag) qui voit s’affronter une bonne partie des participants à l’évènement autour de challenges de tous niveaux et sur des thématiques variées. Plusieurs centaines de hackers se sont donc retrouvés dans des salles aménagées de la cité des sciences pour en découdre.
Notre équipe s'est rapidement réparti les challenges selon nos compétences respectives, avec des moments de collaboration pour surmonter les points bloquants. Personnellement, j'ai pu mettre à profit mes nouvelles connaissances sur Ghidra pour des défis de reverse engineering, et mes compétences de consultant DevOps pour une série de challenges sur une instance GitLab.
On notera également un challenge novateur de prompt engineering dont l’objectif consistait à récupérer le flag auprès d’un modèle particulièrement bien entraîné. L’idée était de faire sortir le modèle de la matrice pour l’amener à nous révéler son secret.
Je profite de l'occasion pour promouvoir l'outil open source Exegol, une suite d'images de conteneurs avec un wrapper en Python pour leur manipulation dont je me suis servi pendant toute la durée du wargame. J’utilise habituellement la distribution Parrot Security pour les CTF, mais, à défaut d’avoir un dual boot de disponible sur mon PC Ippon, je suis parti sur cet outil super simple à installer et à utiliser. L’image la plus grosse vient avec tous les outils nécessaires pour résoudre la majorité des challenges et, cerise sur le gâteau, c’est un projet dont le développement a été initié par des hackers français.
Au final nous nous sommes plutôt bien débrouillés en terminant autour de la 70ème place sur 250 équipes/joueurs ayant terminé au moins un challenge. Ce fut un super moment qui a permis de conclure cet événement de la meilleure des manières.
Conclusion
LeHack est un événement formidable avec une multitude d'activités. L'ambiance y est fantastique. Plus qu'un simple rassemblement de passionnés, c'est une occasion unique de se sensibiliser aux enjeux de la cybersécurité, quel que soit son domaine professionnel. La sécurité est l'affaire de tous, et LeHack offre une plateforme précieuse pour découvrir, apprendre et renforcer ses compétences. Nous espérons vous avoir donné envie de participer à la prochaine édition. Ne manquez pas LeHack 2025 !
