Le planning des conférences

SAMEDI 8 NOVEMBRE
08h45 - 09h45 Accueil des participants par un café de bienvenue
09h45 - 10h00 Ouverture de la conférence - Introduction - Informations
10h00 - 10h30 Modéliser la menace informationnelle : « Au commencement était l’incident »

par Bertrand BOYER et Anaïs MEUNIER

10h30 - 11h15 Fabrication d'une Dropbox, ou l'art d’obtenir une backdoor en test d'intrusion physique

par Matthieu MOQUET

11h15 - 12h00 Advancing Vulnerability Tracking and Disclosure Through an open and distributed platform

par Cédric BONHOMME et Alexandre DULAUNOY

12h00 - 13h30 Pause méridienne
13h30 - 13h45 Démarrage de la session « après-midi »
13h45 - 14h15 Construire son CERT mobile pour une CTI adaptée !

par David LE GOFF - CERT Aviation
14h15 - 15h00 Tiering Active Directory : La Théorie, La Pratique… et le Crash Test

par Aurélien CHALOT (Deft_)
15h00 - 15h30 « Faites entrer le hacker qu'est coupable » (jurisprudences 2023-2025)

par Marc Antoine LEDIEU
15h30 - 16h00 Pause
16h00 - 16h30 Latrodectus en mutation : 3 ans d’évolution d’un loader en milieu hostile

par Pierre LE BOURHIS
16h30 - 17h00 Recherche « boîte noire » de vulnérabilités physiques et logicielles sur des équipements maritimes

par Littleship, Adrien BARCHAPT-PERROT et Léo SEILER
17h00 - 17h45 Rumps sessions / Lightning Talks
17h45 - 18h00 Conclusion

Modéliser la menace informationnelle : « Au commencement était l’incident »

Par Bertrand BOYER et Anaïs MEUNIER

La modélisation des menaces dans le contexte de la lutte contre la manipulation de l’information (LMI) est un exercice encore récent pour lequel un flou conceptuel persiste. Contrairement à la cybersécurité, qui s’appuie sur une terminologie stabilisée et des modèles d’échange normalisés (STIX, MITRE ATT&CK), la LMI peine à définir clairement ses objets d’étude.

Dès lors, que faut-il capitaliser ? Sur quoi porte la modélisation de la menace. Cette keynote propose une exploration critique des tentatives de transposition de concepts de la terminologie militaires et cyber à la LMI (campagnes, opérations, TTPs, incidents et met en lumière leurs limites.

Nous présenterons une approche s’appuyant sur la compréhension de la menace et des typologies d’actions malveillantes telles que pensées par l’attaquant et non perçues par le défenseur. En identifiant ces points fixes, plus que des objets conceptuellement plus attirants, mais finalement pas actionnables, c’est une nouvelle approche de la modélisation de la menace qui est proposée.

Fabrication d’une Dropbox, ou l’art d’obtenir une backdoor en test d’intrusion physique

Par Matthieu MOQUET

Dans le cadre des tests d’intrusion physique et des opérations de Red Teaming, l’un des objectifs clés consiste à s’introduire de manière discrète et efficace dans le système d’information (SI) de la cible. Pour atteindre cet objectif, l’utilisation d’un implant réseau s’avère particulièrement stratégique : cet outil permet d’établir une présence furtive et persistante au sein du réseau interne.

Au fil de nos missions de pentest, ce type de problématique se présente régulièrement. Pour y répondre, nous avons conçu des implants réseaux capables de :

  • Mettre en place un canal de communication sécurisé entre le réseau interne compromis et un serveur externe de commande et de contrôle (C&C) ;
  • Réduire la durée et la complexité des intrusions physiques ;
  • Optimiser les chances de succès grâce à des techniques d’évasion automatisées et adaptatives, contournant les mécanismes de sécurité.

Cette conférence présentera notamment :

  • Le processus de conception et de déploiement de ces implants réseau ;
  • Les techniques de contournement des systèmes de sécurité 802.1X (Network Access Control) ;
  • La mise en place d’un serveur C&C et d’un implant beacon assurant un accès distant furtif, difficilement détectable par la Blue Team ;
  • La gestion de l’autonomie et de la consommation énergétique de l’implant ;
  • La prise en compte des cas spécifiques et des environnements contraints rencontrés sur le terrain.

Advancing Vulnerability Tracking and Disclosure Through an open and distributed platform

Par Cédric BONHOMME et Alexandre DULAUNOY

This short paper explores how an open, distributed, and collaborative platform can improve vulnerability disclosure and tracking. By aggregating security advisories, sightings, user contributions, the platform addresses key challenges such as CPE fragmentation, enables automated notifications, and facilitates more effective sharing of security information within the community through multi-source data correlation.

Vulnerability-Lookup is a powerful platform designed to help security teams, researchers, and system administrators track and analyze vulnerabilities across various vendors and products. By leveraging known vulnerability databases, sightings, and configurations, it provides accurate and up-to-date insights into security risks. The platform enables rapid correlation of vulnerabilities, independent of specific identifiers, and supports the management of Coordinated Vulnerability Disclosure (CVD).

Vulnerability-Lookup is released under the terms of the GNU Affero General Public License v3.0 or later, and all related projects are published as open source.

Construire son CERT mobile pour une CTI adaptée !

Par David LE GOFF

Objectif : Avec des développements accessibles à tout le monde et en ciblant bien les besoins opérationnels des membres et le niveau des attaquants, il est tout a fait possible de s’outiller pour démarrer les activités opérationnelles d’un CERT.

Les développements que nous allons évoquer dans cet article ont été conduits par les opérations depuis un an.

  • Surveillance des sites Web
    • Motivation : à l’aube des JO, de nombreux groupes d’hacktivistes annoncent vouloir attaquer les intérêts français et un mode d’action avec de l’attaque par dénis de service sur les sites Web. Afin de mesurer l’efficacité de ces groupes et en suivant, au début, les cibles annoncées par le groupe Noname057(16), nous nous sommes lancés dans le développement d’un outil de surveillance de disponibilité et de défacement des sites Web.
  • Surveillance des vulnérabilités exposées
    • Motivation : Afin d’aider nos membres à surveiller leur surface d’exposition dite aussi d’attaque, nous avons mis en œuvre une méthode d’empreinte numérique de premier niveau.
  • Détection Ransomware Surveillance Deep & Dark Web (DRSD)
    • Motivation : Une des menaces permanente et récurrente est l’attaque par des groupes de cybercriminels dérobant et chiffrant les données. Ces attaques dites de « ransomware » peuvent avoir des effets dramatiques sur les environnements. Dès le début de nos activités, nous avons été confrontés à une attaque de ransomware. L’outil assure une veille sur différentes sources de déclaration des victimes des groupes de ransomware et en comparant avec une base de nom de membre et de sous-traitants stratégiques, nous tentons d’être avertis le plus tôt possible.
  • Spider-Data-Leak
    • Motivation : Il est indispensable de faire l’analyse de sensibilité en cas d’attaque pas ransomware. Pour cela, il faut savoir en permanence où sont les sites en .onion, savoir comment les aspirer en sécurité sans polluer les systèmes d’information et avoir une méthode déconnectée d’analyse.
  • Bot informationnel Telegram
    • Motivation : Les échanges d’informations et déclaration de cible ou de victoire se font principalement dans des canaux Telegram qu’il faut soit infiltrer ou tout simplement rejoindre. Nous ne parlerons ici que des canaux que l’on peut atteindre sans conditions, canaux dit ouverts.

Tiering Active Directory : La Théorie, La Pratique… et le Crash Test

Par Aurélien CHALOT (Deft_)

Le tiering Active Directory est un principe de sécurité permettant de compartimenter son environnement AD aussi bien au niveau réseau qu’au niveau des autorisations d’accès. Si de plus en plus d’entreprises essayent de le mettre en place, dans la pratique de nombreuses erreurs sont commises et permettent de passer outre et compromettre le domaine.

Au cours de ce talk nous nous intéresserons au concept théorique de tiering AD, je présenterai ensuite plusieurs attaques avancées peu connues (techniques de ninja) permettant de passer outre lorsqu’il est mal déployé tout en évitant les outils de sécurité (AV/EDR). Puis, nous verrons comment mettre en place un tiering sécurisé et fonctionnel.

Ce talk s’adresse donc aussi bien aux pentesters, qu’aux sysadmins, aux membres de la blueteam et aux RSSI’s.

« Faites entrer le hacker qu’est coupable » (jurisprudences 2023-2025)

Par Marc Antoine LEDIEU

Analyse (toute en BD) de la jurisprudence des Tribunaux français qui ont un peu de mal avec la notion de « hacker éthique »…

Latrodectus en mutation : 3 ans d’évolution d’un loader en milieu hostile

Par Pierre LE BOURHIS

Latrodectus, également appelé BlackWidow ou Lotus est un loader apparu en 2023 comme le successeur d’IcedID. Il est aujourd’hui utilisé activement dans des campagnes orchestrées par des groupes tels que TA577 et TA578. Ses groupes sont présents sur la scène cybercriminel depuis plusieurs années, leur principale activité est de faciliter l’accès initial pour des campagnes de ransomware. Si le malware a déjà été largement documenté, l’intérêt de son analyse ne réside plus dans sa simple détection, mais dans la manière dont son développement et son infrastructure évoluent.

Ce talk présentera une analyse technique ciblée de plusieurs campagnes impliquant Latrodectus, avec un focus sur trois axes :

  1. Évolution de la chaîne d’infection : modifications fonctionnelles, ajout de commandes C2, obfuscation, et contournements de sandbox/EDR observés entre 2023 et 2025.
  2. Infrastructure et delivery : étude des infrastructures de phishing utilisées pour la distribution (PDF, OneNote, Zipped ISO or LNK), et mise en lumière de schémas de réutilisation d’infrastructure pour le C2 et les mises à jour du malware. Nous montrerons comment certains domaines ou serveurs sont réutilisés, et comment les opérateurs adaptent leur infrastructure selon les cycles de détection.
  3. Comportement en environnement réel: commandes envoyées post-infection, chaînes de livraison, et techniques de persistance déployées dans les campagnes.

Cette présentation mettra en évidence les itérations régulières du loader et de ses opérateurs face à sa détection, et aux efforts de démantèlement (opération Endgame). Des cas concrets et des artefacts seront partagés pour illustrer les leviers d’analyse possibles : détection basée sur les patterns d’infrastructure, hunting, et points d’ancrage partagés entre différentes campagnes.

Ce talk s’adresse aux analystes SOC, aux reverseurs et aux threat hunters cherchant à comprendre la logique opérationnelle derrière les malwares comme Latrodectus ainsi que de mettre en avant une méthodologie pour effectuer le suivi de ce type d’acteur malveillant.

Recherche « boîte noire » de vulnérabilités physiques et logicielles sur des équipements maritimes

Par Littleship & Adrien BARCHAPT-PERROT

Les navires sont des systèmes d’information complexes à sécuriser, pour des raisons systémiques (cycle de vie long, niveau de maturité faible de certains équipementiers, etc.). Il y a quelques années, nous avons acquis plusieurs équipements représentatifs de navires et créé un cyber range hybride dédié sur cette thématique.

Après une analyse matérielle et logicielle plus détaillée par notre red team, l’objectif de cette intervention est de revenir sur quelques unes des vulnérabilités logicielles et matérielles qui ont été identifiées, qu’elles soient imputables à des protocoles spécifiques au secteur ou à des erreurs de conception.