Présentation

Anciennement “la Nuit du Hack”, c’est une conférence sur la sécurité informatique, le ethical hacking de manière plus générale, organisée depuis plus de 16 ans par la même équipe. Cette année était la première année après son changement de nom, les organisateurs attendaient cette fois-ci plus de 3500 personnes.

J’ai eu la chance d’y participer pour la première fois cette année à la Cité des Sciences et de l’Industries de Paris.

Les stands partenaires

Arrivé dans le hall d’exposition vers 10h après avoir récupéré votre badge (qui lui-même est une énigme…), vous retrouverez l’ensemble des partenaires, des sociétés de conseils en sécurité de toutes tailles, des agences gouvernementales (Coucou la DGSE), des éditeurs de solutions, des écoles spécialisées.

Certaines sociétés proposent des challenges et concours, d’autres des démonstrations d’électronique, du lock-picking, et offrent quelques goodies :+1:

stands partenaires

Les Conférences

Dans un amphithéâtre de plus de 900 places, la keynote d’ouverture est menée tambour battant par le célèbre Jason E Street. Il est revenu sur sa définition d’une conférence sur le hacking et sur ce qu’est un Hacker aujourd’hui.

J’ai pu assister également à de nombreuses conférences, d’un excellent niveau, avec des sujets très intéressants comme la session sur le pishing animé par Jérémy Caron de Digital Security ou encore sur le Hacking des SmartCities :fearful: par les équipes de C2S Bouygues.

Un talk plutôt intéressant également, sur les buckets S3, et les différents hardening possibles : [EN] Attacking & Defending AWS S3 Bucket

Conference #1

Conference #2

Le WARGAME

De 20h à 6h du matin dans un espace de 1000m2, le wargame est une compétition de type Jeopardy, où s’affrontent en équipe un grand nombre de “Hackers”. Le but étant de récupérer des “Flag”, des chaines de caractères permettant de valider chacun des challenges proposés. Il s’agit d’un Capture The Flag (CTF).

Pour résoudre ces challenges, il faut exploiter des failles de sécurité, retrouver des secrets chiffrés et trouver la méthode utilisée afin de les déchiffrer. Cela peut être également de la stéganographie, l’art de cacher des secrets ou fichiers dans des images. La difficulté étant de plus en plus élevée au fil des challenges.

wargame

scoreboard

La fatigue ayant eu raison de moi, je ne suis pas resté toute la nuit, mais ce fut une belle expérience, et une façon ludique d’apprendre de nouvelles techniques de sécurité.

  • Un write-up complet sur cette édition 2019 du WARGAME @leHack.

Le bug bounty

Cette pratique consiste à proposer une rémunération (prime) lorsqu’un hacker trouve une faille dans un système donné.

Cette pratique est maintenant bien connue des sociétés et organisations. Une plateforme comme “YesWeHack”, propose désormais toute l’organisation et la mise en relation entre les entreprises et les passionnés de sécurité informatique. Ludique et rémunéré, ce procédé est souvent plus efficace que de solliciter une société spécialisée en audit de sécurité.

Durant le hack, un bug bounty est également organisé.

Les Workshops

Ces ateliers permettent de mettre les mains dans la technique (hands-on), j’ai participé à l’introduction au Capture the Flag (CTF). Ce qui m’a frappé, c’est le type de population, des familles, des enfants, et bien sur des nerds comme on les aime.

A noter, cette année, un workshop sur le hack d’une chaîne CI/CD sur AWS.

Vous trouverez sur cette page tout le nécessaire pour rejouer et vous entrainer sur votre premier CTF.

Ce repository vous sera utile pour organiser, par exemple, un atelier pour vous et vos équipes afin de réaliser une initiation à l’infosec de manière ludique.

Bilan

Cette première participation a été pour moi une très bonne surprise, j’ai pu y découvrir et y apprendre de nombreuses méthodes, le tout dans la bonne humeur, des sujets techniques de très bon niveau, et y faire mes premiers pas en CTF avec mes deux acolytes Adrien et Romain, deux Lillois déjà aguerris à ce type d’événements.

Si je devais trouver deux points d’amélioration pour l’édition de l’année prochaine (Juin 2020):

  • Le manque de place (Conférences et WARGAME), beaucoup de personnes debout ou assises par terre, la file d’attente à la buvette :beer: !!
  • Qualité des speakers parfois décevante, Anglais avec accent trop prononcé ou manque d’éloquence / speaker soporifique :zzz:.

Je recommande fortement la participation à ce type de conférence à quiconque s’intéresse au ethical hacking, à la cybersecurity, et l’électronique. A l’année prochaine leHACK. :hand:

Les maitre mots: Curiosité, et Passion. dixit Jayson Street

Refs

  • Retrouver les prochaines conférences sur la cybersécurité à Paris sur cette page

That’s all folks!

zoph.