Retour de la Nuit du hack 2k16

Retour de la Nuit du hack 2k16

Comme prévu, la nuit du hack a été un événement très enrichissant et surtout très convivial ! Cela faisait de nombreuses années que je n'y étais pas allé et revenir a la conférence avec le projet Protetkoid fut un vrai plaisir !

Entre les conférences, wargames et workshops, il y avait vraiment de quoi découvrir et profiter, même si on s'est concentré de notre coté sur le Bug Bounty, sponsorship oblige.

La nuit du hack 2k16

Avant de détailler le déroulement de l'événement pour le projet, laissez moi un peu présenter le déroulement d'un point de vue général. 

Tout d'abord, l'arrivé au pays de Disney était assez pratique, surtout pour ceux qui viennent de l'étranger. Et ensuite, l'hôtel de Tic&Tac, c'est quand même pas mal. D'un point de vue organisation sur cet aspect facilité de l'accueil, vraiment rien ou peu a dire, Disney oblige (bon, je ne ne détaillerai pas les déboires de la douche a 2h du matin ..).

Direction la salle des organisateurs pour voir Virtualabs et la team HZV.... fini a 1 heure du matin. Ensuite, il faut se lever tot, ce qui est dur (surtout si on se couche tard ...)

 Préparation du stand Protektoid BountyEt la, tout s'enchaîne : récupération du badge VIP, fouille complète par la team Disney. Un peu "parano" disons, car ils ne me croyaient pas quand je leur disait que la valise était remplie de mugs. Logique quand meme, une valise remplie de mugs :). Préparation du stand Bounty et ensuite un peu de repos pour découvrir la grandeur de l'événement.

Rien a voir avec Toulouse en 2002 !!! Chaque salle est plus grande l'une que l'autre. Une zone de wargame .. pouvant contenir facilement 1000 personnes, une zone de workshops pour plus de 200 personnes, une zone de CTF pour 10 équipes ... Bref, une organisation de folie ! Et ca fait plaisir a voir.

La fin de la soirée - 6h30 du matin

Arcade Rambo NDH 2k16 La nuit du hack, c'est aussi tout une histoire. J'avais oublié les fins de soirées "techniques" a 6h30. Celle-ci va prendre du temps avant d'etre oubliée ! Un petit souvenir d'il y a  20 ans : j'ai pu profiter d'un super rambo...

Protektoid a la Nuit du Hack.

Tout d'abord, un grand merci a ceux qui ce sont prêtés au bug bounty. Cela a été une tres belle expérience. La Bounty Factory (https://bountyfactory.io) team nous avait prévenu, on a pas été déçu ! Et bien entendu, un grand merci aux 3 hunters qui ont signalés les failles de sécurité découvertes durant l'événement.

Présentation de Protektoid en main-room
Présentation de Protektoid en main-room 

Remises en questions

Je pense que participer a un bug bounty, c'est tout d'abord accepter d'être remis en question. Si vous partez sur ce principe, soyez certains que vous le serez : doutes, sueurs froides et autres sensations garanties. J'avais la chance de pouvoir patcher en direct donc cela aidait un peu.

Le principal apprentissage que l'on a pu obtenir est qu'il n'est pas aisé de tout sécurisé, et surtout de sécuriser malgré tout ce que l'on connaît. Dans notre cas, une simple erreur sur le clonage des serveurs (pour en faire un dédié au bounty) a engendré les deux principaux bugs de sécurité découverts dans la soirée. On parle de 14 caractères ...

Conclusion : cloner un serveur, ce n'est pas simple et pas sans risque ! Mais c'est désormais intégré dans nos process pour les prochains clonages nécessaires dans le cas du dimensionnement de la plateforme end-user.

Ces failles auraient impactées la divulgation d'une partie du code logiciel. Mais ne vous inquiétez pas, les données utilisateurs n'ont pas été affectées en raison de la séparation physique mise en place sur les serveurs !

Une facon de penser différente

Le bug bounty permet aussi de rencontrer des personnes qui pensent différemment. Par exemple, il n'est pas évident de penser qu'une API faite pour des applications mobiles sans webkit pourrait être utilisée pour générer des liens emails et des attaques XSS sur navigateur web . Et bien si, c'est possible. Meme si le scope de l'attaque était limité dans l'état actuel, cette usage non prévu de l'API aurait pu avoir des conséquences dans le futur. 

La suite

Le bug bounty fut pour nous une belle expérience et nous allons retenter celle-ci une fois la prochaine version majeure du projet en place !

Si vous etes intéressés pour faire partie des beta-testers en obtenir les beta-releases en avant premiere, rejoignez la communauté  Google+ beta-testing https://plus.google.com/communities/101802986330867597124

Comments