SAMEDI 9 NOVEMBRE 2024

Les CONFérences Unlock

Comment s'introduire dans les entreprises de manière stylée : le piratage de systèmes de contrôle d'accès

Julia ZDUŃCZYK

Anglais

10:00 – 10:45

Vous êtes-vous déjà demandé comment les Red Teamers parviennent à accéder à des zones hautement sécurisées dans les bâtiments ? Cette présentation est l’occasion pour vous de découvrir les outils, tactiques et techniques que nous utilisons pour contourner les systèmes de contrôle d’accès. La présentation est basée sur l’expérience et des exemples recueillis lors d’évaluations de Red Team et rassemble en un seul endroit les connaissances nécessaires pour accéder à des lieux protégés par des cartes d’accès.

Pendant la présentation, Julia nous montrera comment elle a réussi à pénétrer dans des organisations en utilisant des techniques telles que le clonage simple de cartes.
Nous découvrirons les bases de la technologie RFID et apprendrons à utiliser le Proxmark3 pour scanner et cloner des cartes d'accès, avec une démonstration du fonctionnement de l'appareil. Nous explorerons certaines des erreurs de configuration les plus courantes dans les systèmes de contrôle d'accès et apprendrons comment les exploiter pour obtenir des accès et escalader des privilèges. Nous plongerons également dans les aspects techniques et de social engineering du scanning de cartes lors d'une évaluation Red Team, avec un exemple de chaîne d'attaque complète qui lui a permis d'accéder à des zones hautement sécurisées d'un bâtiment, en partant d'une position sans accès initial. Et enfin, nous discuterons de la manière de protéger votre organisation contre ce type d'attaques.

Découvrons comment pénétrer dans des organisations de manière stylée.

__________

À propos de l'intervenante :

Julia est une professionnelle de la cybersécurité qui aime accéder à des endroits qui ne sont normalement pas facilement accessibles 😉 Son métier de Red Teamer lui permet de pénétrer dans des zones et des infrastructures hautement sécurisées en utilisant non seulement des compétences en ingénierie sociale, mais aussi ses connaissances techniques - du piratage des systèmes de contrôle d'accès physiques à l'attaque de l'AD, des infrastructures internes et des applications web. Elle aime partager ses connaissances et a présenté ses recherches lors de plusieurs conférences : Top speaker à CONFidence 2023 (Cracovie, Pologne). Meilleure oratrice à SEC-T 2023 (Stockholm, Suède). Elle a également présenté à No Hat (Bergame, Italie) et Insomni'Hack (Lausanne, Suisse). Elle aime passer son temps libre à l'extérieur et est archer à cheval, grimpeuse, plongeuse, exploratrice de grottes et voyageuse.

Voir plus Voir moins

Quand mon appliance réseau me trompe pour un·e autre

Félix AIMÉ

Français

10:45 – 11:15

Les appliances réseau (« edges devices » tels que les routeurs, NAS, passerelles mail, VPN, etc.) sont devenues le nouvel eldorado des groupes cybercriminels et des acteurs étatiques. Ces dispositifs servent non seulement de points d’entrée ou de persistance dans certains systèmes d’information, mais également de supports aux opérations, en permettant la mise en place d’infrastructures d’anonymisation à faible coût.

Cette menace s'accompagne d'une augmentation récente des recherches en vulnérabilités sur ces dispositifs. Dès lors, une question se pose : comment superviser les tentatives d'attaques ciblant les appliances réseau à moindre coût ? Quelles sont les limites des "pots de miel" traditionnels face à ces nouvelles menaces ? Comment y répondre facilement ?

Après une revue des différentes menaces ciblant les appliances réseau avec des exemples issus d'investigations, ce talk présentera les limites des "pots de miel" traditionnels et des pistes pour y remédier. Parmi ces pistes, je présenterai un projet mis en oeuvre chez SEKOIA nous permettant de suivre aisément des tentatives d'exploitations ciblant des dizaines d'appliances réseau et les résultats obtenus sur une année.

__________

À propos de l'intervenant :

Félix est chercheur en renseignement sur les menaces et en cybersécurité, passionné par la géopolitique et la sécurité technique. Après avoir été pentester pour British Telecom, il a cofondé, entre 2013 et 2017, les capacités de renseignement sur les menaces de l'Agence nationale de la sécurité des systèmes d'information (ANSSI) en France, en travaillant avec une équipe pluridisciplinaire dédiée à l'enquête sur les acteurs de la menace menant des opérations de cyberespionnage.

En 2017, il a rejoint l'équipe de recherche et d'analyse mondiale (GReAT) de Kaspersky pour travailler sur des enquêtes concernant le cyberespionnage et la cybercriminalité hautement sophistiquée. En 2021, il a intégré SEKOIA.IO en tant que chercheur principal en sécurité pour renforcer leurs capacités en renseignement sur les menaces, grâce à des formations internes et des ateliers, du développement logiciel sur mesure, et des enquêtes de pointe sur les menaces APT et la cybercriminalité. L'objectif était d'accélérer et d'améliorer le niveau technique des enquêtes de l'équipe.

Lorsqu'il n'enquête pas sur les menaces, il aime développer de nouvelles capacités, des logiciels ergonomiques, et partager ses connaissances afin d'améliorer la capacité de son équipe à découvrir, suivre et traiter de nouvelles cybermenaces. Il réalise également des projets open source pour aider les gens, tels que SPYGUARD, ainsi que des recherches personnelles sur divers sujets liés à la sécurité informatique et à l'ergonomie/conception pour les analystes, leur permettant de gagner beaucoup de temps lors de leurs enquêtes, chasses et recherches.

Voir plus Voir moins

Secret temporel non sécurisé dans les applications web et exploitation par l'attaque Sandwich

Tom CHAMBARETAUD

Français

11:15 – 12:00

À la suite de découvertes au cours de Bug bounties, j’ai axé mes recherches sur les mauvaises pratiques de secret basé sur le temps au sein des applications web. Cette présentation a pour but de réaliser un éventail de ces mauvaises pratiques, et de montrer comment les détecter et les rendre exploitables.

Grâce à la création d’un outil Open Source [Reset Tolkien], une démo avec des cas pratiques, similaires à des cas extraits de bugs découverts, pourra être effectuée.

Voir plus Voir moins

L'ORC qui cache la forêt

Wandrille KRAFFT

Français

13:45 – 14:15

Le CSIRT LEXFO a développé un outil de traitement des traces collectées avec DFIR-ORC, un moyen de collecte de traces en « live » publié par l’ANSSI. L’outil du CSIRT LEXFO, qui sera prochainement proposé en OpenSource, a pour objectif d’extraire les archives collectées par ORC et d’organiser les fichiers collectés selon la même arborescence que le système source. Les collectes ainsi extraite sont plus facilement exploitables et peuvent être traité par des outils tels que Plaso. Après une introduction sur la collecte de trace dans le cadre d’une prestation DFIR, la présentation retrace la genèse du projet en s’appuyant sur un cas d’usage.

Voir plus Voir moins

Construction de chemins d'attaques par génération de graphes dans un cluster Kubernetes

Warren POSTDAM

Français

14:15 – 15:00

Kubernetes est un système cloud native qui permet l’orchestration de conteneurs en se basant sur une grande diversité de composants dont certains référencés dans la CNCF.
Dans le secteur des télécommunications, les clusters exécutent un nombre très important de pods avec différents niveaux de privilèges. Il est donc complexe pour un auditeur de trouver rapidement les chemins d’attaques les plus dangereux au sein du cluster d’un bénéficiaire car les audits sont limités dans le temps. Inspiré de BloodHound, OSAKA est un outil qui permet de construire et d’analyser les chemins d’attaques en générant des graphes à partir d’une base de données Neo4j.

Voir plus Voir moins

ACECrypter: anatomie d'un packer

Pierre Le BOURHIS

Français

15:00 – 15:30

La présence de **packers**, également appelés « crypters », n’est plus à démontrer dans le contexte cybercriminel actuel. Cette présentation portera sur l’analyse des packers dans le cadre du renseignement sur les menaces, et se servira du crypter vendu « as-a-service » nommé **ACECrypter** comme fil conducteur.

Présent depuis au moins 2016, ACECrypter a facilité la distribution de nombreux autres malwares, tels que des stealers (Redline, Raccoon), des ransomwares (Stop, DejaVue), des RATs (Remote Access Trojans) ainsi que des loaders (SmokeLoader, Amadey). Pour comprendre comment ce service a pu perdurer, nous réaliserons une **analyse technique** du packer. Cette analyse présentera les différentes étapes (aka: stages) qui le composent et aidera l’auditoire à mieux appréhender les divers éléments d’un packer. Il est également essentiel d’identifier ses capacités et fonctionnalités pour améliorer sa détection et automatiser son traitement dans de futures investigations

Voir plus Voir moins

Reconnaissance LDAP AD : OPSec et méthodologie Red Team

Paul SALADIN
Vincent GOURVENNEC

Français

16:00 – 16:45

Lors de l’accès à un réseau interne, la reconnaissance d’un domaine Active Directory est l’une des actions les plus couramment effectuées par les attaquants. Elle permet d’acquérir en peu de temps une grande quantité d’informations sur l’infrastructure attaquée.
Les solutions de sécurité récentes incluent divers mécanismes de détection relatifs à cette action, rendant l’utilisation d’outils bien connus tels que SharpHound détectable assez rapidement.
Dans le cadre de nos missions de Red Teaming, nous devons faire face à de telles solutions et nous avons donc dû trouver de nouvelles manières, plus discrètes, de réaliser cette reconnaissance LDAP.
Plusieurs méthodes de reconnaissance LDAP au sein d’un Active Directory et de détection propres à cette action seront mis en avant tout au long de cette présentation.

Voir plus Voir moins

Reality check : Gestion de vulnérabilités dans le Cyber Resilience Act

Rayna STAMBOLIYSKA

Français

16:45 – 17:15

Le Cyber Resilience Act (CRA pour les intimes et les flemmards) est sur le point d’être adopté par la nouvelle mandature européenne. Texte ambitieux, ce véhicule législatif vise à assurer qu’aucun produit contenant des composants numériques ne soit mis sur le marché européen avec des vulnérabilités connues non corrigées.

C’est une excellente idée. Souvent, toutefois, le diable est dans les détails. Comment une telle exigence serait-elle implémentée ? Quelles sont les dispositions du règlement et qu’est-ce que cela signifie pour les différents acteurs concernés ?

Dans cette présentation, on s’intéresse à la réalité technique qu’implique ce texte, avec notamment un focus sur les environnements cloud.

Voir plus Voir moins