Si, il y a quelques années, beaucoup assimilaient hackers et pirates, il est en revanche, de nos jours, bien plus difficile de ne pas les confondre avec des flibustiers. L’activité est strictement la même, mais les motivations morales et la légalité des actions de chacun ne fait plus aucun doute : la nuit, tous les hackers de la NDH sont blancs. Ou kaki.
Pour preuve, la présence très remarquée d’un stand du Ministère des Armées, tenu par des cyber-soldats arborant un t-shirt frappé des mots « Combattant Numérique ». Beaucoup de curiosité de la part des participants, dont la plupart n’avaient jamais entendu parler du Calid. De quoi largement souffler la vedette à l’Anssi, pourtant familière de cette manifestation. Voilà pour les forces régaliennes. Côté flibuste patentée portant lettres de courses, les « combattants civils », chasseurs de bugs indépendants pour la plupart, mais œuvrant dans le cadre contractuel d’une plateforme de « bug bounty ». Et lorsque l’on prononce bug-bounty, on pense à YesWeHack, structure fondée par Korben et Guillaume Vassault-Houlière (aka Free_man), et à leur structure Bounty Factory. Et pour la deuxième année consécutive, Denyall a joué le rôle du commanditaire, rétribuant chacun des chercheurs impliqués dans cette chasse. Chasse dont le résultat servira à renforcer les solutions de sécurité de l’éditeur. Flibustiers également tous ceux qui sont « venus à confesse » auprès de notre confrère Damien Bancal (Zataz) qui, dans des habits presque sacerdotaux, a pu recueillir en une nuit 55 alertes dont 7 « plus que critiques » et servir d’intermédiaire neutre entre l’inventeur de la vulnérabilité et l’entité vulnérable.
Je hacke, tu ackes, mon héritier hacke aussi
Du petit CTF réunissant une petite centaine de geeks dans les cales surchauffées d’une péniche en bord de Seine a la mégalomaniaque manifestation attirant près de 2500 personnes dans un hôtel du parc Eurodisney, le contenu de la NDH a également évolué.
L’âge des hackers tout d’abord. Majoritairement post-ado il y a 15 ans, ils ont les tempes grisonnantes pour certains… « ou pas », puisque les plus passionnés et expansifs se situaient, cette année encore, dans la tranche des 8-16 ans. Montages électroniques, fabrication de badges lumineux, crochetage de serrures, initiation au chiffrement avec le code César, découverte de la programmation et même premiers pas en chimie, la NDH kids a une fois de plus connu un formidable succès.
Bravo à Manon, Guillaume, Phil qui ont montré fièrement à leurs parents que souder un circuit intégré et crocheter une serrure n’était pas réservé aux « grands ».
Aire de jeux également pour les plus âgés et les plus résistants à la fatigue, dans le cadre d’ateliers pluridisciplinaires : comment durcir une station de travail sous Windows, effectuer une mesure dans les domaines temps/fréquence, analyser, décortiquer un malware Android (démonstration magistrale signée Axelle « Cryptax » Apvrille), se lancer dans le lockpicking encore et encore, s’abîmer dans la robotique pratique par le groupe DTRE ou se passionner pour la fabrication de drone. Et enfin, et surtout, une très médiatique démonstration d’analyse et de hack de l’informatique embarquée dans une « voiture intelligente » (Tesla en l’occurrence), atelier orchestré par Gaël « Ratzilla » Musquet. Une preuve par le hack pratique à ranger à côté des hacks similaires tels que ceux de Charlie Miller et Chris Valasek sur certaines Jeep, de Flavio Garcia, de la société Kasper & Oswald sur les systèmes d’antidémarrage des principaux constructeurs automobiles Européens, dont Volkswagen. Le message est toujours le même : il ne peut exister de sécurité par l’obscurantisme ou le camouflage technique. Seule une véritable ouverture, un échange non biaisé à propos des techniques adoptées par les équipementiers peuvent déboucher sur des efforts effectifs en matière de sécurité automobile du XXIème siècle.
Le contenu des présentations a également largement évolué durant ces années. Des quelques travaux très « proches du binaire » et systémo-centriques linuxiennes, la NDH s’est ouverte à tous les types de recherches liées de près et parfois de loin avec la sécurité des systèmes d’information. Une fois de plus, la palme de la conférence la plus « hype » a été remportée par Renaud « nono2357 » Lifchitz. Lequel présentait un nouveau programme de « crack bounty sha256» reposant sur la chaîne de block Ethereum. Le tout avec une complexité digne de la chaine de reproduction de la douve du mouton. Dans un premier temps, il est nécessaire de posséder un petit kit de développement fpga, composant programmable conceptuellement proche de la logique câblée, et dont la rapidité des cycles d’exécution renvoie la plus véloce des GPU dans la catégorie des chéloniens. Reste ensuite à entamer l’apprentissage du langage de description matériel propre à ce genre de composant (vhdl et proches parents), apprentissage qui conduira peu à peu à l’écriture d’un algorithme de cassage de clef. Il ne reste plus qu’à mettre cette puissance de calcul au service de la communauté.