Une fois de plus, XMCO se rendra à la conférence STHACK qui se déroulera à Bordeaux le 14 juin prochain.
La conférence se déroulera au 9 rue Montesquieu et les challenges sous forme de CTF au 120 Quai de Bacalan.
Elle se poursuivra ensuite par la conférence « Mobile Cryptojacking and related abuse », par Axelle APVRILLE qui démontrera si un attaquant est en mesure ou non de miner des crypto-monnaies via un téléphone portable.
La conférence de clôture sera présentée par Quentin De Priester & Jean Castel qui présenteront un retour d’expérience sur des missions RedTeam, notamment sur la partie intrusion physique.
Enfin, la STHACK se terminera par des rumps ainsi qu’un CTF qui finira le lendemain matin à 8 h.
Les conférences retenues par XMCO
Après l’annonce du programme complet par les organisateurs de la conférence, voici les quelques conférences qui ont particulièrement retenu notre attention :
- Retro-ingénierie et recherche de vulnérabilités sur les puces WiFi Broadcom bcm43 et leurs pilotes (Phenol) : Les puces WiFi fabriquées par Broadcom sont présentes dans de très nombreux produits : smartphone, laptop, IoT, etc. Nous verrons ici comment récupérer leur firmware, l’analyser et le fuzzer. Nous présenterons plusieurs vulnérabilités affectant les différents firmwares de ces puces, mais aussi le pilote propriétaire broadcom ainsi que le pilote Linux brmcfmac.
- DIY DNA OSINT ! (Renaud Lifchitz) : Le premier séquençage complet du génome humain a nécessité des années d’efforts et a coûté environ 2,2 milliards d’euros en 2003. Aujourd’hui, il faut quelques semaines et quelques centaines d’euros pour obtenir son propre séquençage (ou celui de quelqu’un d’autre !). Plus de 20 millions de citoyens américains ont déjà séquencé leur ADN et plusieurs centaines de fichiers d’ADN brut sont disponibles sur le Web, parfois sans le consentement de leur propriétaire…. Même si l’ADN n’est pas un format complètement documenté, beaucoup de choses peuvent être trouvées contre quelqu’un en disposant de son ADN, particulièrement dans un cadre de social engineering.
- Abusing bash for Windows (Antoine Cervoise): Bash est de plus en plus présent dans l’environement Windows. Que ce soit au travers de Cygwin ou de WSL. Ce talk présente différents moyens de profiter de cet utilitaire pour un attaquant. Quels sont les méthodes d’éxploitation, que peut on récupérer .. ?
- J’irais m’introduire chez vous (Quentin De Priester & Jean Castel) : Quoi de plus efficace que de rentrer par la grande porte ? Il n’y a rien qui ressemble moins à une mission RedTeam qu’une autre mission RedTeam… Nous vous proposons de revenir sur nos moments particuliers de ces derniers mois. Ce sera l’occasion pour nous de parler drone, intrusion physique, escalade, spéléologie et sécurité !
Le planning des conférences
La liste des conférences pour la première journée est la suivante :
- Introduction, par le staff de la STHACK
- Mobile Cryptojacking and related abuse, par Axelle APVRILLE
- Retro-ingénierie et recherche de vulnérabilités sur les puces WiFi Broadcom bcm43 et leur pilotes, par Phenol
- IOT Security: Hack the Damn Vulnerable IOT Device, par Arnaud COURTY
La liste des conférences pour la deuxième journée est la suivante :
- DIY DNA OSINT, par Renaud LIFCHITZ
- Abusing bash for Windows, par Antoine CERVOISE
- J’irais m’introduire chez vous, par Quentin DE PRIESTER & Jean CASTEL
Informations
Pour rappel, toutes les informations sur la conférence sont disponibles à cette adresse : https://sthack.fr/
- La liste des conférences est disponible à l’adresse suivante : https://sthack.fr/#schedule
- Twitter : @sth4ck
Comme à son habitude, XMCO vous proposera un retour sur les présentations auxquelles nous aurons pu assister dans un prochain numéro de l’ActuSécu.
