Un article un peu différent cette fois car je vais vous faire un retour rapide sur mon passage au Hack In Paris 2018. Ce fut d’ailleurs pour moi la seconde édition la première fut en 2016. Je vais revenir d’abord sur ce qu’est l’évènement avant de vous faire un petit ressentit personnelle sur l’évènement et les conférences. Mais avant de commencer je souhaite une fois encore remercier et féliciter l’équipe de Hack In Paris pour l’organisation, l’accueil et le choix des conférences.
Hack in Paris c’est quoi ?
C’est un évènement sur la cyber-sécurité qui se déroule comme son nom l’indique à Paris fin juin. Cette année encore il a pris place à la Maison de la Chimie, très beau lieu au passage, et se déroule la semaine qui précède la Nuit du Hack, devenue le Hack pour l’année prochaine. D’ailleurs historiquement c’était la même société qui était à l’origine de la Nuit du Hack et du Hack in Paris. Depuis quelques années la Nuit du Hack est organisé par Hackervoize.
L’une des particularités de Hack In Paris c’est que le début de la semaine, du lundi au mercredi inclus, est réservé à des ateliers payant avec un nombre de place restreinte. Ces ateliers sont animés par des experts renommés dans leurs domaines comme notamment les systèmes NFC, le hack de réseaux Wifi ou encore de périphérique USB comme le Whid.injector.
A l’issu de ces trois jours d’atelier se tiennent deux jours de conférence de cyber-sécurité sur des sujets variés souvent en rapport avec l’actualité mais toujours en rapport avec l’évolution technique et des menaces. Il y en a pour tous les goûts du technique un peu compliqué à la conférence plus démonstrative.
Attention toutefois car les conférences sont toutes données en anglais même si l’intervenant est français, ça s’entend souvent d’ailleurs ou a souvent un accent bien particulier. Cette année il y avait une belle nouveauté la possibilité d’avoir une traduction en direct de la conférence et ça c’est cool. Pour ma part je préfère l’écouter en anglais même si je ne comprends que 70 % de la présentation généralement on saisis le fond il manque juste un peu de vocabulaire.
Les conférences que je retiens cette année :
Malheureusement cette année une fois encore j’ai eu des obligations professionnelles qui m’ont empêché de me rendre aux conférences le jeudi. On m’a tout de même vivement conseillé de regarder le replay de la conférence sur les drones, ce que je ferais dès que j’aurais un peu de temps. En parlant de temps les conférences sont sur un temps contenu on dépasse rarement les 45/50 min et l’équipe de Hack In Paris veille au grain quant au respect du timing.
Du coup sur les conférences que j’ai pu suivre le vendredi dans la majorité c’était vraiment intéressant, sauf une ou j’avoue avoir été un peu déçu sur la présentation IPV4 et IPV6 sur le traitement des règles de ces deux protocoles. En effet ce que j’en ai retenue c’est qu’il faut être vigilant quant au traitement des règles ne pas oublier l’un des deux protocoles et bien ajuster la règle si besoin. Je m’attendais plus à une présentation d’attaque mais non tan-pis !
Celles qui m’ont vraiment plus sont une sur le NFC et les paiements par carte ou par smartphone, avec une démonstration sous formes de plusieurs petites vidéo de copie de carte bancaire ou d’information de paiement d’un smartphone via le NFC pour le transférer sur un autre appareil pour rejouer le code et donc payer autre chose ailleurs. L’attaque pouvait d’ailleurs se dérouler à plusieurs dizaines de mettre de distance (pour l’envoie d’information pas la copie).
J’ai aussi beaucoup apprécié le travail de WHID sur les périphériques USB et la présentation de ces travaux et de ces outils qu’il vend notamment. On va au-delà du célèbre rubberDucky et l’utilisation et les actions réalisées si simplement ouvrent pas mal de perspective. Même si cela n’avait rien de nouveau pour certaines situations. Les explications du camouflage des devices etc était vraiment intéressante ou très bien expliqué je vous invite à revoir le replay.
Dernière conférence qui m’a marqué et que je vous conseille c’est celle de deux argentins qui ont réussi à envoyer des signaux au travers d’un CAN Bus de plusieurs voitures pour réaliser des actions désirées. Ils ont poussé le truc jusqu’à réaliser un système discret que l’on pourrait insérer dans une voiture sans que le propriétaire ne s’en rende compte (et ceux en quelques minutes) avec envoie de commande à distance via SMS. Dans l’étendu des commandes on a des choses très démonstratives comme allumage des feux avant, arrière, klaxone bien sur ils expliquent qu’il est aussi possible de demander au moteur de se couper ou de désactiver via le CAN Bus les ECU (unité de contrôle électronique). Mais comme le montre la capture d’écran de leur logiciel désactiver les ECU est très très dangereux.
Fig. 1 : conférence sur le CAN Bus
Conclusion
Pour conclure sur mon retour, je dirais simplement que c’est un évènement que j’aime beaucoup, car les conférences sont de qualité, avec des choses intéressantes pas uniquement dans nos coeurs de métiers, comme pour moi le web. L’ambiance est aussi détendue et sympa vous pouvez venir en costume cravate si ça vous chante ou avec un T-Shirt de geek ça ne changera rien.
C’est aussi pour moi une bonne occasion de voir et échanger avec les amis de Zenk-Security et j’ai même eu la joie de retrouver cette année un de mes étudiants et ça c’est cool. Et en plus on peut aussi échanger avec les équipes des différents sponsors et c’est toujours intéressant. C’est complètement différent de la Nuit du Hack et pour avoir fait les deux en 2016 c’est vraiment un bon complément. Donc je souhaite une longue vie à cet évènement et j’espère vous y croiser pour certain en 2019 !
Une fois encore bravo à toute l’équipe et merci au nombreux sponsors !
Et en bonus la playlist Youtube des conférences :
Si vous avez aimé cet article n'hésitez pas à le partager ou me faire vos commentaires via Twitter, Facebook ou le formulaire de contact du blog.
