La cinquième édition d'Insomni'hack s'est déroulée vendredi 2 mars à Genève, en Suisse, et a réuni passionnés et professionnels de la sécurité informatique autour de conférences et d'un challenge de hacking éthique.

Les conférences

Les conférences ont débuté à 10h, malheureusement nous avons eu un peu de retard, notre train arrivant à 10h16 en gare de Genève. De fait, nous avons manqué la première présentation de Gerald Litzistorf sur la virtualisation et la sécurité, mais nous avons pu assister à la présentation suivante d'Emmanuel Bouillon, traitant des protocoles de fédération d'identité, qui a reçu un bon accueil.Emmanuel a présenté les faiblesses présentes dans la majorité de ces protocoles, et en particulier celui d'OpenId.

Cette année, Insomni'hack accueilait un invité de marque, Timothy « Thor » Mullen, auteur de « Thor's Microsoft Secrets Bible » qui a fait une synthèse de la sécurité autour du protocole RDP de Microsoft, et donné quelques astuces sur la manière de stocker de façon sécurisée des données sur des supports distants.

Certaines présentations ont attiré tout particulièrement notre attention, comme celle d'Axelle Apvrille traitant des méthodes de rétro-ingénierie d'applications Android et livrant des astuces de reverser, et celle de Jean-Philippe Aumasson sur les fonctions de hashage cryptographiques et notamment le candidat au SHA-3 BLAKE, dont il est le co-auteur. Il a abordé la théorie des fonctions de hashage, et a tout particulièrement insisté sur la nécessité d'avoir de telles fonctions afin de pouvoir assurer la sécurité d'une foultitude de systèmes, les algorithme employés actuellement ayant montré quelques faiblesses (SHA1, MD5 par exemple).

Bruno Kerouanton, RSSI du canton du Jura a cloturé le cycle de conférences en abordant la conception d'épreuves de sécurité informatique et a présenté sa collection d'outils de sécurité, en vue du challenge qui venait (http://utools.xn--9caa.net/).

Le challenge de hacking éthique

Le challenge de hacking éthique organisé durant cet évènement vise à faire s'affronter différentes équipes de passionnés de sécurité autour de simulations de vulnérabilités. Les équipes doivent les exploiter correctement pour remporter des points, celle ayant le maximum de points étant déclarée vainqueur à la fin du temps imparti. Cette année, il y avait deux classements: un classement individuel et un second en équipe.

Le challenge de hacking éthique a débuté à 18h00, et a tenu en haleine les challengers jusqu'à 3h du matin. Les épreuves étaient variées, et somme toute intéressantes. L'équipe de Shell-Storm a été finalement déclarée gagnante tandis que du côté des challengers individuels Paul Rascagnères a été déclaré vainqueur. 

Synthèse

Les conférences de cette édition ont tout de même été un peu décevantes dans la globalité, malgré la présence de Timothy Mullen et les prestations de Jean-Philippe Aumasson et Axelle Apvrille. Le challenge a été tout particulièrement divertissant, et a fait oublier les quelques déceptions de la journée. Toujours est-il que de nombreuses rencontres ont pu être faites grâce à cet évènement, qui met aussi en avant le côté social du hacking éthique. Gageons que la prochaine édition corrigera ces petits défaut et sera tout aussi mémorable.