Black Hat à 20 ans – Un bref résumé
Le principal évangéliste de la recherche sur les menaces de F5 enfile sa casquette de journaliste pour vous apporter quelques éclairages sur l'une des plus anciennes conférences de hackers qui existent.
Black Hat a maintenant 20 ans, ce qui semble vieux, mais cela montre à quel point notre industrie est jeune. Si Black Hat était une personne, elle serait encore trop jeune pour jouer dans la ville où se déroule l’événement. Avant de plonger dans les détails de cette année, examinons quelques chiffres d’événements pour illustrer la différence entre hier et aujourd’hui.
| Briefings sur le chapeau noir, 1997 | Chapeau noir, 2017 | |
|---|---|---|
| Participants | 100 | Plus de 15 000 |
| Commanditaires | 3 | 250+ |
| Réseau | Aucun | Plus de 70 bénévoles |
Conférence n°1
Jeff Moss (alias Dark Tangent), fondateur de Black Hat et de DEF CON, a prononcé un discours qui était principalement une promenade dans le passé. Il n’y avait rien de mal à cela, mais son discours ne communiquait que peu de vision pour l’avenir. Il a lancé un appel aux « vétérans » de la cybersécurité pour encadrer la prochaine génération de white hats afin que nous ayons tous des gens à embaucher. 
Je suis tout à fait d’accord avec ce sentiment, qui me donne envie de terminer le cours Hacking 101 que j’ai mis en place pour les plus petits…
Keynote #2
Alex Stamos fait certaines choses bien. En tant que responsable de la sécurité informatique de Facebook, il a décidé de remettre un million de dollars de prix pour les meilleures recherches en matière de défense présentées à l’USENIX. Il sponsorise également des programmes éducatifs[1] pour aider les jeunes à s’intéresser à la cybersécurité et à renforcer notre infrastructure numérique grâce au projet Internet Bug Bounty[2]. Il a passé un peu trop de temps à vanter les mérites des nombreux programmes de sensibilisation auxquels Facebook participe, et pas assez de temps à aborder ce que beaucoup considéraient comme le sujet le plus débattu : la lutte contre les problèmes de « maltraitance humaine » liés à Facebook, comme les fausses informations et le cyberharcèlement.
Où sont les zero-days, mec ?
Une plainte courante à propos de Black Hat est : « Où sont les zero-day, mec ? » Eh bien, selon Daniel Cuthbert, qui a présenté l'événement du soir Day Zero, cette année, il y a eu plus de zero-days que lors de n'importe quelle conférence Black Hat avant elle.
Par exemple, lorsque j’ai atterri à Las Vegas, mon iPhone m’a poliment informé qu’il souhaitait être mis à jour vers la dernière version : iOS 10.3.3. Mettre à jour mon ordinateur, ou même mon téléphone, lors d'une conférence de hackers est une chose à laquelle j'hésite.
Mais cette mise à jour du téléphone est le résultat direct d'une faille zero-day publiée lors du Black Hat 2017. La vulnérabilité « Broadpwn » affecte le chipset Broadcom BCM43xx, utilisé par les téléphones iOS et Android. Alors, félicitations à vous, Black Hat, pour avoir obtenu l'un des plus gros zero-days de l'année lors de votre conférence.
Ambiance générale
S’il y avait un thème officiel parmi les briefings du Black Hat 2017, c’était la surveillance. Ou peut-être plus précisément, un guide pratique contre la surveillance. Deux autres zero-days Black Hat ont été publiés, et tous deux avaient pour objectif de briser les réseaux mobiles. Le premier, « Ghost Telephonist », exploite une authentification manquante dans la liaison de secours entre les réseaux LTE et 4G, permettant à un espion d’intercepter des appels et même des SMS.[3]
La deuxième vulnérabilité mobile permet à un attaquant (qui utilise un appareil personnalisé de type Stingray d'une valeur de 1 500 $ comme proxy) de localiser et de suivre les utilisateurs mobiles en exploitant une autre étape d'authentification manquante dans les protocoles mobiles.[4]
Mon briefing préféré était « Hacking Serverless Runtimes », où les chercheurs Andrew Krug et Graham Jones ont montré comment utiliser les fonctions AWS Lambda et exécuter du code dans les microservices d'autres personnes. [5] Hilarant.
Krug et Jones ont également plaisanté sur le fait que quelqu'un a découvert comment intégrer un conteneur Docker dans une fonction lambda.[6 ] Pourquoi ferais-tu ça ? C'est ridicule !
Les prix Pwnie : Récompenser les échecs en matière de sécurité pour 2017
Pwnies 2017 : La 11e édition annuelle du prix « Pwnies » a accueilli de superbes candidatures cette année. Le gagnant du prix du meilleur bug côté serveur est allé à The Equation Group (absolument pas la NSA, ha ha) pour la vulnérabilité SMB EternalBlue, qui a été divulguée par les Shadow Brokers (absolument pas la Russie, ha ha) et militarisée par le groupe Lazarus (absolument pas la Corée du Nord, ha ha).
Le Pwnie de la meilleure porte dérobée a été décerné au M.E. Doc, trouvé par Kaspersky dans le système fiscal ukrainien. Le mérite revient à : « Ce n’est absolument pas la Russie, ha ha. » Le Pwnie de la meilleure attaque cryptographique a été décerné à Google, qui a provoqué cette année la première collision SHA1 au monde. Et la controverse sur SystemD a remporté à juste titre le prix de la « réponse la plus boiteuse du fournisseur ».
Malcolm Turnbull, du gouvernement australien, a remporté le prix Most Epic Fail pour avoir exigé que les fournisseurs décryptent les données des utilisateurs pour le gouvernement.[7]
L'Arsenal
Un espace souvent négligé chez Black Hat est l'Arsenal. C'est ici que les amateurs de sécurité open source font la démonstration de leurs outils pour votre divertissement. Tous les outils ne sont pas convaincants, mais bon, vous pouvez parler au véritable codeur de l’outil. Mon préféré cette année était l’outil Pymultitor de Tomer Zait. [8] Il s'agit d'un proxy local qui utilise plusieurs processus TOR pour vous permettre de contourner les compteurs basés sur IP pour les pages de connexion. Vous savez, pour la recherche. Pas pour forcer brutalement les comptes Facebook.
Cette année, plus de 100 outils étaient présentés aux postes du petit arsenal. Arsenal est suffisamment charmant et axé sur la communauté pour que Black Hat lui fournisse un espace plus important plutôt que de le placer tout en haut, tout au fond de la conférence.
Alors... Black Hat est-il toujours d'actualité ?
Pour répondre à cette question, revenons au fondateur. Lors de son discours, Jeff Moss a évoqué le fait qu’il pensait que les briefings Black Hat, en tant que conférence, ne dureraient jamais très longtemps. Mais après 20 ans de croissance quasi constante, Black Hat prend son envol et s'installe pour devenir une conférence sur la sécurité assez décente pour une conférence de sa taille.
Références
[2] https://internetbugbounty.org/
[3] https://www.blackhat.com/docs/us-17/thursday/us-17-Yuwei-Ghost-Telephonist-Link-Hijack-Exploitations-In-4G-LTE-CS-Fallback.pdf
[4] https://www.blackhat.com/docs/us-17/wednesday/us-17-Borgaonkar-New-Adventures-In-Spying-3G-And-4G-Users-Locate-Track-And-Monitor.pdf
[5] https://www.blackhat.com/docs/us-17/wednesday/us-17-Krug-Hacking-Severless-Runtimes.pdf
[6] https://hackernoon.com/how-did-i-hack-aws-lambda-to-run-docker-containers-7184dc47c09b
[7] ^