leHACK est un événement annuel majeur en France, dédié au hacking et à la cybersécurité. Mais il serait réducteur de penser que le hacking se limite à la cybersécurité. Historiquement, le hacking consiste à détourner un objet — qu’il soit logiciel, matériel ou même organisationnel — de son usage initial, pour en faire quelque chose d’inattendu. C’est une philosophie de bidouille, de curiosité et d’expérimentation.
Un exemple emblématique : les imprimantes à jet d’encre. Les constructeurs ont longtemps tenté de verrouiller leur marché en empêchant, via firmware, l’utilisation de cartouches non officielles. Des hackers ont alors réussi à modifier le firmware ou l’électronique de certaines imprimantes pour leur faire accepter des cartouches tierces — une belle illustration de détournement à des fins pratiques.
Un événement riche et stimulant
Lors du salon leHACK, on trouve de tout : conférences techniques, workshops, concours (notamment des CTF), stands d’entreprises et d’écoles, mais aussi des associations, des hackerspaces et des passionnés.
Nous étions plusieurs membres de l’initiative CyberSec Ippon à nous y rendre cette année, poussés par deux moteurs : la curiosité et la mission.
Notre objectif : rencontrer des acteurs du secteur, comprendre les dynamiques des autres entreprises présentes, écouter les retours d’expérience d’experts, et surtout affiner notre compréhension du monde de la cybersécurité. Dans le contexte géopolitique actuel, "sentir" le marché, percevoir ses frémissements, devient crucial.
Un regard technique, brut et sans fard
Ce qui distingue leHACK d’autres événements plus institutionnels, c’est son approche directe, sans filtre marketing. Ici, on parle technique. On entre dans le "gras" du sujet. On cherche à comprendre les implications réelles de nos choix technologiques, à identifier nos failles, et à réfléchir aux moyens de les corriger.
Loin des discours policés et de la novlangue parfois aseptisée des grands groupes, on retrouve ici l’essence même du hacking : comprendre en profondeur pour mieux maîtriser et se réapproprier la technologie.
Nous avons aussi profité de l’occasion pour établir des liens avec des associations, écoles et créateurs de contenu, afin d’enrichir nos propres outils d’évangélisation, de formation et d’acculturation à la cybersécurité. Certains échanges laissent entrevoir de beaux partenariats potentiels.
Conférences marquantes
1. PDF comme vecteur d’attaque sur AWS
Une conférence présentée par un ingénieur en pentest nous a particulièrement marqués. Il y exposait un retour d’expérience démontrant un vecteur d’exploitation sur une infrastructure AWS, en utilisant... un fichier PDF.
Ce que peu de gens savent, c’est que le langage interne des fichiers PDF (hérité de PostScript) est Turing-complet. Autrement dit, il est théoriquement possible d’y écrire n’importe quel programme procédural. En exploitant cette caractéristique, un attaquant peut transformer un simple fichier PDF en véritable vecteur d’attaque.
Le message principal : ne jamais faire aveuglément confiance aux briques logicielles sur lesquelles reposent nos systèmes. Une faille peut se nicher dans n’importe quelle librairie JS, Python ou composant tiers.
2. Hacking matériel : restaurer un débogueur désactivé
Une autre conférence fascinante portait sur le hardware hacking, avec une démonstration de réactivation des fonctions de débogage sur un microcontrôleur ARM Cortex-M3, dont le debug avait été désactivé — sans doute pour protéger la propriété intellectuelle.
L’orateur a expliqué comment, en manipulant des interruptions et en redirigeant l’exécution vers un emplacement en RAM, on pouvait injecter du code arbitraire. Il a utilisé une instruction modifiée (NOOP) pour capturer les registres du processeur et installer un serveur GDB rudimentaire permettant un débogage à distance.
Une attaque fine, basée sur une compréhension approfondie de l’architecture du CPU. Bien entendu, ce type d’attaque ne fonctionne pas sur des microcontrôleurs correctement sécurisés, avec signature obligatoire du code.
3. VRRP et Keepalived : vraie vulnérabilité ou mauvaise configuration ?
Autre conférence notable : une présentation d’une prétendue vulnérabilité dans l’implémentation du protocole VRRP via l’outil Keepalived.
L’orateur affirmait qu’il était trivial de "spoof" des trames VRRP (Virtual Router Redundancy Protocol) pour capturer une IP virtuelle (VIP). En tant qu’ancien architecte réseau pour des opérateurs, je (Père CastOPS) remets en question cette analyse. Aucun ingénieur réseau sérieux ne laisse transiter des protocoles de contrôle (OSPF, RIP, VRRP, BGP…) sur les mêmes domaines de broadcast que le trafic utilisateur.
Dans une infrastructure correctement segmentée, l’attaque devient tout simplement inapplicable. Le protocole, bien configuré, reste sûr.
4. Pen-test R.A.G : comment faire cracher le morceau à un LLM
Une conférence de Pedro Paniago basée sur un papier sorti en 2024 par des chercheurs d’Harvard en cybersécurité. Le sujet de la présentation était de montrer comment est-ce qu’il est possible de soutirer des informations sensibles à des LLMs utilisant du RAG. Le cœur de l’attaque repose sur une injection de prompt permettant de récupérer la base de connaissance du modèle en exploitant la façon dont les chunks de texte de cette base de connaissance sont générés.
Durant la conférence, Pedro nous a expliqué la technique Up and Down, qui permet de déterminer quels chunks s'entrelacent pour détecter une vulnérabilité à l'injection de prompt. Il a ensuite donné des conseils pour bien construire son injection de prompt.
A la fin de la conférence, le speaker a donné quelques idées sur comment se protéger de ces vulnérabilités :
- Faire attention aux informations que l’on met dans la base de connaissance
- Implémenter du prompt hardening via les prompts systèmes
- Mettre en place de la limitation de requêtes pour éviter le brute-force
- Limiter la taille du prompt utilisateur
- Nettoyer les données avant l’indexation dans la base de connaissance pour supprimer les potentielles données sensibles
5. Exploitation des systèmes de cache de navigateur pour de l’injection de code malveillant
Une conférence d’Aurélien Chalot qui explique comment il est possible d’utiliser les systèmes de cache des navigateurs et notamment celui de Firefox pour faire en sorte d’ajouter une librairie partagée Windows (une DLL) sur le poste de l’utilisateur. L’idée est aussi simple que de faire charger une DLL en tant qu’image masquée via ce type de configuration :
Configuration nginx pour faire en sorte de changer le header Content-Type de notre DLL en un type MIME qui sera mis en cache par le navigateur (ici, une image au format JPEG) :
types { } default_type image/jpeg;
Extrait de l’HTML de notre site malveillant qui va faire télécharger la DLL par le navigateur :
<!DOCTYPE html>
<html>
<body>
<h1>Browser cache smuggling</h1>
<img src="calc.dll" style="display: none;"></img>
</body>
</html>
Grâce à ce code et cette configuration, notre “image”, qui est en réalité une DLL, sera, comme les autres images, mise en cache dans un sous dossier de %AppData%/Local sous Windows.
Pour la suite de l’exploitation, l’idée va être d’utiliser le fonctionnement de teams lors du chargement de ses DLL pour que l’outil charge et exécute le code de notre librairie malveillante.
Les anciennes versions de teams étaient installées dans %AppData%/Local, un répertoire sur lequel un utilisateur non privilégié peut écrire. Teams utilise un ordre de recherche bien défini pour charger ses DLL, à commencer par le dossier dans lequel se trouve le binaire du logiciel. Il est donc possible d’exploiter ces deux informations pour faire en sorte de copier notre DLL du cache du navigateur vers le dossier teams, la renommer en une DLL chargée par le logiciel et utiliser une technique de proxification de DLL pour faire en sorte de ne pas casser les fonctionnalités du logiciel.
Il faudra néanmoins une action utilisateur pour effectuer la copie et le renommage de la DLL. C’est là qu'une partie de social engineering rentrera en compte.
Une fois la DLL chargée par teams, notre code malveillant peut s’exécuter. Il pourra par exemple contacter un serveur C2 (Command & Control) à notre main. Puisque le flux HTTPS sera originaire du binaire teams, il sera par défaut considéré comme légitime.
Pour plus d’informations :
- https://sensepost.com/blog/2023/browsers-cache-smuggling/
- https://blog.whiteflag.io/blog/brower-cache-smuggling-the-return-of-the-dropper/
6. Les dessous d’une montre connectée à 12€
Un talk de Virtualabs et Xilokar sur le désossage et le reverse engineering d’une montre connectée à 12€. Assez étonnant pour ce prix, la montre indique pouvoir capter les battements cardiaques et mesurer la saturation en oxygène dans le sang. Problème, la montre affiche ces données même une fois posée sur un bête tapis en silicone ; et à l’ouverture du boîtier, aucune trace de ces capteurs, juste des LED rouges pour simuler une action de mesure de la montre.
Pour aller plus loin, une extraction du firmware s’impose. Elle s’avère malheureusement plus compliquée que prévu. Après s’être penchés sur la gestion des écrans de montre personnalisés et avoir au passage découvert une méthode permettant d’accéder gratuitement à des écrans normalement payants, les deux hackers ont trouvé un moyen d’extraction du firmware plutôt ingénieux. A partir de ces écrans de montre programmables, il est possible d’extraire des zones de la mémoire et les afficher à l’écran. Une bouillie de pixel s’affiche alors représentant les bits du firmware.
Nouveau problème, comment les lire facilement et de manière automatisée afin de reconstituer le code du firmware ? L’idée leur vient alors de placer un intercepteur de signal au niveau du contrôleur d’écran pour pouvoir récupérer simplement les bits affichés.
Une fois le firmware récupérés, ils ont finalement pu, entre autres, prouver que de nombreuses valeurs affichées par la montre étaient bien bidons, avec par exemple une fonction random qui retourne des valeurs entre 60 et 80 pour la mesure des pulsations cardiaques.
Pour plus d’informations : https://virtualabs.fr/projets/smartwatch-homday-xpert-teardown.
Le retour des Rumps
Les Rumps sont des sessions de quelques minutes chronométrées où divers acteurs nous racontent leurs expériences de hacking. C’est un cadre bien spécifique qu’il faut suivre que vous retrouvez sur leur site :
“Les RUMPS sont des séances de discussion informelles, où vous pouvez librement prendre le micro pour présenter un discours aléatoire sur le piratage informatique sans contrôle, censure, pression et dans le cadre d'une configuration de « déni plausible ».
Pas de line-up, pas d'enregistrement, pas de sponsoring, l'anonymat est garanti si besoin mais vous apportez vos propres contre-mesures (masque facial autorisé).
Vous assumez l'entière responsabilité du sujet que vous présentez, leHACK n'est pas responsable de votre discours, soyez sage et ne violez pas la loi.”
Comme le format l’exige, nous ne pourrons rien rapporter de ce qui a été dit. C’est une façon aussi de vous donner envie de venir à la prochaine édition, ainsi vous pourrez profiter d’une veille technologique hors du commun à vitesse grand V.
Initialisation à l’OSINT : La Search Party
Le vendredi soir nous avons pu participer à une search party qui fut une bonne initiation à l’OSINT (Open Source Intelligence), cette méthode de renseignement qui consiste à utiliser des sources d’information publiques. Le but de cette search party était de travailler pendant quatre heures sur quatre cas de disparitions réels et non élucidés allant d’un peu plus d’un an de disparition au cas d’une jeune femme disparue deux jours avant la search party.
Nous avons débuté en nous concentrant sur un cas, celui de Tristan Lloyd Griffiths, homme Australien de 37 ans disparu depuis un peu plus de 5 mois.
Pour pouvoir scorer des points, il fallait compléter un formulaire avec plusieurs catégories d’informations, donnant plus ou moins de points en fonction de l’aide qu’elle apporte pour retrouver l’individu.
En utilisant les principales techniques d’OSINT à notre disposition en tant que débutant, càd principalement l’analyse des réseaux sociaux et le google dorking, nous avons rapidement pu scorer nos premiers points, notamment en récupérant des photos et noms/prénoms des membres de sa famille via son facebook, mais également des “advanced_subject_info” sur son passé de drogué via des documents journalistique et rapport de jugements.
Nous avons également pu tester la puissance des LLM, gemini dans notre cas, pour les tâches d’OSINT basique. Nous l’avons notamment utilisé afin de générer un rapport assez exhaustif avec toutes les informations accessibles sur une personne via un moteur de recherche.
Cependant pour les catégories donnant plus de points et pour certains autres individus qui n'avaient quasiment pas de présence en ligne et sur les réseaux, nous nous sommes vite confrontés à la limite de ne pas avoir d’outils spécialisés dans l’OSINT qui permettent de pousser la recherche encore plus loin.
Nous avons quand même réussi à faire un score honorable avec une 6ème place à la fin de notre participation.
Le WARGAME
Comme chaque année, un challenge CTF (Capture The Flag) était organisé. Il s’est déroulé la nuit du samedi 20h au dimanche 6h. Autant dire qu’il nous a fallu du carburant (café, boisson énergisante) pour tenir toute la nuit.
Les challenges tournaient autour de différentes thématiques classiques lors de ce type d’évènement : web, reverse engineering, exploitation de binaire, cryptographie et hacking de jeux vidéo.
A l’aide de ghidra, un outil open source de reverse engineering, nous avons pu bien performer sur les challenges de reverse et de pwn. Grâce à cheat engine et une conférence sur ce sujet la veille du CTF, nous avons pu réussir la moitié des challenges jeu vidéo.
On notera également la présence de challenges autour de kubernetes, mais aucun autour de l’IA générative, contrairement à l’année dernière.
Aperçu des challenges
L’équipe nantaise d’IPPON termine finalement à la 35ème place sur environ 250 équipes et joueurs individuels. Une belle performance, en progression par rapport à la 70ème place de l’année précédente.
Et ensuite ?
Il est clair que bon nombre des retours d’expérience entendus ici partagent un même message : la complexité technique est notre alliée autant que notre ennemie. Elle ouvre des portes incroyables, mais multiplie les vecteurs d’attaque potentiels.
Beaucoup de choses n’ont pas été énoncés dans l’article entre les stands d’écoles, les sponsors, les minis challenges, le hack kids et les ateliers. C’est pourquoi nous vous invitons encore une fois à tenter l’aventure pour découvrir ce salon qui est leHACK.
Vous pouvez aussi lire le précédent article leHACK2024
