Le planning des conférences
SAMEDI 8 NOVEMBRE | |
---|---|
08h45 - 09h45 | Accueil des participants par un café de bienvenue |
09h45 - 10h00 | Ouverture de la conférence - Introduction - Informations |
10h00 - 10h30 | par Bertrand BOYER et Anaïs MEUNIER |
10h30 - 11h15 | par Matthieu MOQUET |
11h15 - 12h00 | par Cédric BONHOMME et Alexandre DULAUNOY |
12h00 - 13h30 | Pause méridienne |
13h30 - 13h45 | Démarrage de la session « après-midi » |
13h45 - 14h15 | par David LE GOFF - CERT Aviation |
14h15 - 15h00 | par Aurélien CHALOT (Deft_) |
15h00 - 15h30 | par Marc Antoine LEDIEU |
15h30 - 16h00 | Pause |
16h00 - 16h30 | par Pierre LE BOURHIS |
16h30 - 17h00 | par Littleship, Adrien BARCHAPT-PERROT et Léo SEILER |
17h00 - 17h45 | Rumps sessions / Lightning Talks |
17h45 - 18h00 | Conclusion |
Modéliser la menace informationnelle : « Au commencement était l’incident »
Par Bertrand BOYER et Anaïs MEUNIER
La modélisation des menaces dans le contexte de la lutte contre la manipulation de l’information (LMI) est un exercice encore récent pour lequel un flou conceptuel persiste. Contrairement à la cybersécurité, qui s’appuie sur une terminologie stabilisée et des modèles d’échange normalisés (STIX, MITRE ATT&CK), la LMI peine à définir clairement ses objets d’étude.
Dès lors, que faut-il capitaliser ? Sur quoi porte la modélisation de la menace. Cette keynote propose une exploration critique des tentatives de transposition de concepts de la terminologie militaires et cyber à la LMI (campagnes, opérations, TTPs, incidents et met en lumière leurs limites.
Nous présenterons une approche s’appuyant sur la compréhension de la menace et des typologies d’actions malveillantes telles que pensées par l’attaquant et non perçues par le défenseur. En identifiant ces points fixes, plus que des objets conceptuellement plus attirants, mais finalement pas actionnables, c’est une nouvelle approche de la modélisation de la menace qui est proposée.
Fabrication d’une Dropbox, ou l’art d’obtenir une backdoor en test d’intrusion physique
Par Matthieu MOQUET
Dans le cadre des tests d’intrusion physique et des opérations de Red Teaming, l’un des objectifs clés consiste à s’introduire de manière discrète et efficace dans le système d’information (SI) de la cible. Pour atteindre cet objectif, l’utilisation d’un implant réseau s’avère particulièrement stratégique : cet outil permet d’établir une présence furtive et persistante au sein du réseau interne.
Au fil de nos missions de pentest, ce type de problématique se présente régulièrement. Pour y répondre, nous avons conçu des implants réseaux capables de :
- Mettre en place un canal de communication sécurisé entre le réseau interne compromis et un serveur externe de commande et de contrôle (C&C) ;
- Réduire la durée et la complexité des intrusions physiques ;
- Optimiser les chances de succès grâce à des techniques d’évasion automatisées et adaptatives, contournant les mécanismes de sécurité.
Cette conférence présentera notamment :
- Le processus de conception et de déploiement de ces implants réseau ;
- Les techniques de contournement des systèmes de sécurité
802.1X
(Network Access Control) ; - La mise en place d’un serveur C&C et d’un implant beacon assurant un accès distant furtif, difficilement détectable par la Blue Team ;
- La gestion de l’autonomie et de la consommation énergétique de l’implant ;
- La prise en compte des cas spécifiques et des environnements contraints rencontrés sur le terrain.
Advancing Vulnerability Tracking and Disclosure Through an open and distributed platform
Par Cédric BONHOMME et Alexandre DULAUNOY
This short paper explores how an open, distributed, and collaborative platform can improve vulnerability disclosure and tracking. By aggregating security advisories, sightings, user contributions, the platform addresses key challenges such as CPE fragmentation, enables automated notifications, and facilitates more effective sharing of security information within the community through multi-source data correlation.
Vulnerability-Lookup is a powerful platform designed to help security teams, researchers, and system administrators track and analyze vulnerabilities across various vendors and products. By leveraging known vulnerability databases, sightings, and configurations, it provides accurate and up-to-date insights into security risks. The platform enables rapid correlation of vulnerabilities, independent of specific identifiers, and supports the management of Coordinated Vulnerability Disclosure (CVD).
Vulnerability-Lookup is released under the terms of the GNU Affero General Public License v3.0 or later, and all related projects are published as open source.
Construire son CERT mobile pour une CTI adaptée !
Par David LE GOFF
Objectif : Avec des développements accessibles à tout le monde et en ciblant bien les besoins opérationnels des membres et le niveau des attaquants, il est tout a fait possible de s’outiller pour démarrer les activités opérationnelles d’un CERT.
Les développements que nous allons évoquer dans cet article ont été conduits par les opérations depuis un an.
- Surveillance des sites Web
- Motivation : à l’aube des JO, de nombreux groupes d’hacktivistes annoncent vouloir attaquer les intérêts français et un mode d’action avec de l’attaque par dénis de service sur les sites Web. Afin de mesurer l’efficacité de ces groupes et en suivant, au début, les cibles annoncées par le groupe Noname057(16), nous nous sommes lancés dans le développement d’un outil de surveillance de disponibilité et de défacement des sites Web.
- Surveillance des vulnérabilités exposées
- Motivation : Afin d’aider nos membres à surveiller leur surface d’exposition dite aussi d’attaque, nous avons mis en œuvre une méthode d’empreinte numérique de premier niveau.
- Détection Ransomware Surveillance Deep & Dark Web (DRSD)
- Motivation : Une des menaces permanente et récurrente est l’attaque par des groupes de cybercriminels dérobant et chiffrant les données. Ces attaques dites de « ransomware » peuvent avoir des effets dramatiques sur les environnements. Dès le début de nos activités, nous avons été confrontés à une attaque de ransomware. L’outil assure une veille sur différentes sources de déclaration des victimes des groupes de ransomware et en comparant avec une base de nom de membre et de sous-traitants stratégiques, nous tentons d’être avertis le plus tôt possible.
- Spider-Data-Leak
- Motivation : Il est indispensable de faire l’analyse de sensibilité en cas d’attaque pas ransomware. Pour cela, il faut savoir en permanence où sont les sites en .onion, savoir comment les aspirer en sécurité sans polluer les systèmes d’information et avoir une méthode déconnectée d’analyse.
- Bot informationnel Telegram
- Motivation : Les échanges d’informations et déclaration de cible ou de victoire se font principalement dans des canaux Telegram qu’il faut soit infiltrer ou tout simplement rejoindre. Nous ne parlerons ici que des canaux que l’on peut atteindre sans conditions, canaux dit ouverts.
Tiering Active Directory : La Théorie, La Pratique… et le Crash Test
Par Aurélien CHALOT (Deft_)
Le tiering Active Directory est un principe de sécurité permettant de compartimenter son environnement AD aussi bien au niveau réseau qu’au niveau des autorisations d’accès. Si de plus en plus d’entreprises essayent de le mettre en place, dans la pratique de nombreuses erreurs sont commises et permettent de passer outre et compromettre le domaine.
Au cours de ce talk nous nous intéresserons au concept théorique de tiering AD, je présenterai ensuite plusieurs attaques avancées peu connues (techniques de ninja) permettant de passer outre lorsqu’il est mal déployé tout en évitant les outils de sécurité (AV/EDR). Puis, nous verrons comment mettre en place un tiering sécurisé et fonctionnel.
Ce talk s’adresse donc aussi bien aux pentesters, qu’aux sysadmins, aux membres de la blueteam et aux RSSI’s.
« Faites entrer le hacker qu’est coupable » (jurisprudences 2023-2025)
Par Marc Antoine LEDIEU
Analyse (toute en BD) de la jurisprudence des Tribunaux français qui ont un peu de mal avec la notion de « hacker éthique »…
Latrodectus en mutation : 3 ans d’évolution d’un loader en milieu hostile
Par Pierre LE BOURHIS
Latrodectus, également appelé BlackWidow ou Lotus est un loader apparu en 2023 comme le successeur d’IcedID. Il est aujourd’hui utilisé activement dans des campagnes orchestrées par des groupes tels que TA577 et TA578. Ses groupes sont présents sur la scène cybercriminel depuis plusieurs années, leur principale activité est de faciliter l’accès initial pour des campagnes de ransomware. Si le malware a déjà été largement documenté, l’intérêt de son analyse ne réside plus dans sa simple détection, mais dans la manière dont son développement et son infrastructure évoluent.
Ce talk présentera une analyse technique ciblée de plusieurs campagnes impliquant Latrodectus, avec un focus sur trois axes :
- Évolution de la chaîne d’infection : modifications fonctionnelles, ajout de commandes C2, obfuscation, et contournements de sandbox/EDR observés entre 2023 et 2025.
- Infrastructure et delivery : étude des infrastructures de phishing utilisées pour la distribution (PDF, OneNote, Zipped ISO or LNK), et mise en lumière de schémas de réutilisation d’infrastructure pour le C2 et les mises à jour du malware. Nous montrerons comment certains domaines ou serveurs sont réutilisés, et comment les opérateurs adaptent leur infrastructure selon les cycles de détection.
- Comportement en environnement réel: commandes envoyées post-infection, chaînes de livraison, et techniques de persistance déployées dans les campagnes.
Cette présentation mettra en évidence les itérations régulières du loader et de ses opérateurs face à sa détection, et aux efforts de démantèlement (opération Endgame). Des cas concrets et des artefacts seront partagés pour illustrer les leviers d’analyse possibles : détection basée sur les patterns d’infrastructure, hunting, et points d’ancrage partagés entre différentes campagnes.
Ce talk s’adresse aux analystes SOC, aux reverseurs et aux threat hunters cherchant à comprendre la logique opérationnelle derrière les malwares comme Latrodectus ainsi que de mettre en avant une méthodologie pour effectuer le suivi de ce type d’acteur malveillant.
Recherche « boîte noire » de vulnérabilités physiques et logicielles sur des équipements maritimes
Par Littleship & Adrien BARCHAPT-PERROT
Les navires sont des systèmes d’information complexes à sécuriser, pour des raisons systémiques (cycle de vie long, niveau de maturité faible de certains équipementiers, etc.). Il y a quelques années, nous avons acquis plusieurs équipements représentatifs de navires et créé un cyber range hybride dédié sur cette thématique.
Après une analyse matérielle et logicielle plus détaillée par notre red team, l’objectif de cette intervention est de revenir sur quelques unes des vulnérabilités logicielles et matérielles qui ont été identifiées, qu’elles soient imputables à des protocoles spécifiques au secteur ou à des erreurs de conception.