Hack in Paris 2016 – Jour 1

Le pass V, comme VIP, pour PiXel et Nan0

Compte rendu de la première journée

Aujourd’hui, le contenu des conférences étaient :

  • Le vote par Internet : risques et contre-mesures.
  • Comment commander son assistant personnel (sur smartphone : « Siri », « Ok Google », etc…) sans la voix ? Et avec tous les travers que cela implique. Abracadabra!
  • Détection des comportements anormaux sur les réseaux par des techniques de « machine learning ».
  • Apprendre de ses erreurs. Au titre, on peut se demander ce que ça fait ici, mais finalement, la réaction devant une erreur, une faute, peut parfois aggraver la situation ; alors qu’en Sécurité, il faut avoir le « self-control ».
  • Le déraillement du train Northeast Regional no. 188, aux États-Unis en mai 2015, et s’il s’agissait d’une cyber-attage?
  • Les systèmes d’accès physiques (serrures électroniques, lecteurs de badge, etc…) manquent de Sécurité, ils ont 15 ans de retard, par rapport à la Sécurité dans l’informatique.
  • Élévation de privilège sur des systèmes Windows, s’appuyant sur le déploiement des GPO.
  • Débat : Chercher des bugs dans un programme : une bonne (d’avantages de découverte de bugs) ou une mauvaise (ne respecte pas les conditions d’utilisation) chose ?

Toutes les conférences étaient intéressantes, mais pour moi, deux sortent du lot : « Siri sans voix » et « cyberattaque d’un train ».

Je prendrai le temps de rédiger un résumé pour chaque conférence cet été, mais je vous fait un rapide résumé de ces deux là (ba oui, demain il faut se lever tôt pour la J2!). Celui que je viens d’appeler « Siri sans voix » consiste à donner des « ordres » à Ok Google ou Siri sans que l’on ait besoin de parler. L’équipe de recherche a étudié les niveaux électromagnétiques émis par le câble USB lorsqu’on appelle l’assistant, puis lorsqu’on lui donner un ordre. Ensuite, avec un injecteur de flux électromagnétique autour du câble, l’ordre est retranscrit par le smartphone.

Concernant la cyberattaque de train, il s’agit en fait d’une spéculation, mais elle semble très crédible. En mai 2015, un train roulant à plus de 100mph arrive sur une zone où sa vitesse devrait être limitée à 50mph, par rapport au virage. Lors de la conf, on apprend que la société ayant la gestion des trains décide d’offrir le WiFi dans ses trains quelques semaines plus tôt, ce qui se fait de plus en plus aujourd’hui. Par contre, j’espère que les autres ne partagent pas leur WiFi avec le réseau de gestion des systèmes automatisés du train. De plus la sécurité des équipements aurait été quasi inexistante.

Je m’arrête là pour le moment. C’est l’heure de prendre du repos pour la J2. 🙂

hip16-sponsors

Partager cette histoire

Conférence, Sécurité

1 Commentaire

  1. 1

Laisser un commentaire

Votre adresse mail ne sera pas publiée. Champs requis *

Vous pouvez utiliser ces balises HTML et attributs: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Vous pourriez être intéressé par