L’édition 2018 de la BruCON, la conférence belge de référence en matière de sécurité des Systèmes d’Information, s’est déroulée à Gand les 3, 4 et 5 octobre derniers.
Cet événement offrait un éventail d’activités destiné aussi bien aux professionnels qu’aux amateurs passionnés par la Sécurité des Systèmes d’Information.
La BruCon a mis à disposition sur YouTube les conférences filmées, accessibles à l’adresse suivante : https://www.youtube.com/user/brucontalks. De plus, les supports des présentations sont consultables sur le site officiel de la conférence : http://files.brucon.org/2018/.
Cet article présente les résumés de nos 5 coups de coeur. Un compte rendu détaillé sera disponible au sein du prochain numéro de notre ActuSécu.
Advanced Wifi attacks using commodity hardware, par Mathy VANHOEF
Lors de cette présentation, initialement réalisée pour la 7e édition de la BruCon en 2015, Mathy démystifie le coût de certains types d’attaques WiFi. Traditionnellement, les attaques permettant de brouiller partiellement ou complètement un signal WiFi nécessitent du matériel spécifique pouvant coûter plusieurs milliers d’euros. Mathy nous explique alors qu’en fait, il est tout à fait possible de mener ce type d’attaques avec du matériel coûtant une vingtaine d’euros.
Il rappelle par la suite les principes de ce type d’attaque – il s’agit notamment d’abuser du fait que la norme Wi-Fi considère que chaque station fait un usage équitable du canal de communication – et détaille le fonctionnement des attaques de brouillage sélectif et non sélectif (brouillage de l’ensemble du canal).
Enfin, il explique comment le brouillage sélectif peut être mis en oeuvre afin de réaliser une attaque de l’homme du milieu en forçant un utilisateur à changer de canal Wi-Fi. Si ce dernier point éveille votre mémoire, c’est normal, il s’agit du principal prérequis à la réalisation de l’attaque KRACK.
Hacking driverless vehicles, par ZoZ
ZoZ débute cette présentation en présentant un panorama des avancées réalisées sur les véhicules autonomes, il explique même que ses prévisions présentées initialement en 2014, lors de la 6e édition de la BruCon, ont été largement dépassées.
Le secteur est donc en pleine croissance, mais malheureusement les véhicules autonomes ne sont pas exempts de failles. Ces véhicules basent leurs prises de décisions sur des données remontées par un ensemble de capteurs (radar, GPS, LIDAR, caméra, etc.), mais que se passe-t-il lorsque ces capteurs remontent des données contradictoires ? Ou qu’un seul capteur à la priorité sur les autres dans le processus de décision (au hasard, le GPS) ?
ZoZ illustre sa présentation de plusieurs vidéos de démonstration : un drone qui effectue un atterrissage forcé, ou encore un hélicoptère autonome qui perd rapidement de l’altitude. Enfin, il active un brouilleur GPS à faible puissance au milieu de la salle et invite l’assistance à activer la géolocalisation sur son téléphone. Celle-ci se retrouve alors géolocalisée… au milieu de la Maison-Blanche.
When Lemon Markets, Imposter Syndrome & Dunning–Kruger collide, par Haroon Meer
La deuxième journée est ouverte par la keynote d’Haroon Meer, fondateur de Thinkst, qui bien que portant un nom curieux, propose une prise de recul intéressante sur la manière dont les personnes perçoivent le travail produit par les autres (individus ou entreprises). Laissant de côté les aspects techniques, le speaker explique les différents biais liés à cette perception.
Parmi ces biais figure le syndrome de l’imposteur qui selon Haroon Meer affecterait chaque personne, que ce soit à un degré très faible ou simplement ponctuellement. Pour une personne, il s’agit d’une forme de rejet du mérite de son travail accompli. D’après le speaker, le sentiment d’être un imposteur peut concerner les personnes inexpérimentées et les bloquer dans leur épanouissement lorsqu’elles se comparent à un expert reconnu par exemple. Haroon Meer indique qu’il est essentiel de continuer à travailler pour atteindre le niveau de cet expert plutôt que de s’attribuer le masque d’imposteur.
Un autre biais très présent est celui de l’effet Dunning-Kruger expliquant la façon dont certaines personnes peu expérimentées dans un domaine surestiment leurs compétences. Le speaker évoque l’exemple d’un opérateur mobile ayant communiqué ouvertement sur les réseaux sociaux qu’ils conservaient les mots de passe en clair (ce qui n’est pas une bonne pratique !). La personne responsable de cette communication pensait vraisemblablement être persuadée de sa compétence dans le domaine de la cybersécurité et s’est malheureusement attiré les foudres des internautes.
Le speaker appelle donc à être vigilant et conscient de ces biais cognitifs afin d’être dans le meilleur état d’esprit possible lors de la réalisation de son travail ainsi que dans la perception de celui des autres.
All Your Cloud Are Belong To Us – Hunting Compromise in Azure, par Nate Warfield
Aujourd’hui, environ 1,6 million d’hôtes sont exposés via Azure, la solution de cloud proposée par Microsoft. En assurer la sécurité et détecter les éventuels systèmes compromis se révèle être une tâche fastidieuse. C’est pourtant à ce problème d’envergure que s’attaque Nate Warfield, Senior Security Program Manager pour le Microsoft Security Response Center.
Le speaker rappelle premièrement l’évolution des architectures. Par le passé, les entreprises privilégiaient les architectures réseau très segmentées et restreintes, exposant les serveurs au minimum et avec généralement des équipes dédiées au déploiement de serveurs. Avec l’explosion des services de cloud (AWS, Google Cloud, etc.), les serveurs sont directement exposés sur Internet et les contrôles d’accès bien moins restreints. Il n’est donc pas rare de trouver, par exemple, une base de données MongoDB en accès libre sur Internet.
Nate Warfield explique donc les différentes méthodes de recherche mises en place pour détecter les services exposés alors qu’ils ne le devraient pas. Ces méthodes s’appuient grandement sur des services tels que Shodan.io.
Outside the Box: Breakouts and Privilege Escalation in Container Environments, par Craig Ingram & Etienne Stalmans
Craig et Etienne nous proposent une présentation à propos de la sécurisation des environnements docker, avec un focus particulier sur la solution d’orchestration Kubernetes. Le but de cette présentation de n’est pas de s’intéresser à la sécurité des applicatifs s’exécutant à l’intérieur des containers docker, mais plutôt à la sécurité des environnements eux-mêmes.
Ils débutent cette présentation avec deux démonstrations d’exploitation de vulnérabilités affectant Kubernetes et permettant de s’échapper d’un container docker, puis détaillent les bonnes pratiques d’implémentation et de sécurisation de ce type d’environnement.
Si vous cherchez du 0day ou de la faille révolutionnaire, passez votre chemin cette présentation n’est pas faite pour vous. Les préconisations proposées par les conférenciers présentent tout simplement l’état de l’art du sujet, celles-ci peuvent être consultées au travers des différents guides de sécurisation présents sur Internet (CIS, guide de sécurisation Kubernetes, guide de sécurisation docker, etc.). Cela dit une piqûre de rappel des bonnes pratiques ne fait jamais de mal.
Mention spéciale : CyberSKool
Cyber Skool est une association belge dont le but est d’éduquer les enfants de 7 à 15, aux sciences, aux nouvelles technologies et à la sécurité des systèmes d’information. Les fondateurs sont partis du constat que les enfants font face à d’emportant défis liés à notre monde moderne sans y être préparé par le système scolaire traditionnel.
À l’occasion de cette édition spéciale de la BruCON, CyberSKool organisait une collecte de fonds pour leur association sous forme de vote : « save or shave » (sauver ou raser). Le vote portait bien entendu sur la barbe de Matt, l’un des membres de l’association. Après avoir levé la somme de 5 000€ (pour un objectif initial de 666.66€), Matt a finalement vu sa barbe rasée sur le main stage de la BruCON, par une barbière professionnelle tout de même.
