ZATAZ » CTF Ingénierie Sociale de Québec

Trends elya. REPORT

Suivez les préparatifs, la collecte de données et la compétition du CTF Social Engineering du HackFest 2024 à Québec.

– Cliquez sur l’image –

1er octobre 2024 // J – 11

Ça y est, c’est parti ! Je viens de recevoir ma « cible » des organisateurs du Social Engineering CTF (Capture the Flag) organisé lors de la HackFest 2024 à Québec. Shane MacDougall, l’organisateur en chef, est une référence mondiale en la matière. Plusieurs fois vainqueur du CTFSE de Las Vegas [DEF CON]c’est lui qui a mis sur pied le concours québécois. Vous comprenez donc pourquoi il n’y a pas eu beaucoup de nouvelles sur ZATAZ ou sur les réseaux sociaux depuis plus de 10 jours : du temps est consacré à l’entraînement et à la récupération des drapeaux. J’ai eu la chance de terminer à la deuxième place en 2023. Cette année, j’ai pour objectif d’en apprendre encore plus sur le sujet. Surtout que Shane m’a proposé un ” cible » des choix XXL ! Je ne l’ai pas choisi.

Le concours se déroule en trois phases

La première consiste à collecter un maximum d’informations sur le « cible« . Vous comprendrez que je ne peux pas vous révéler son nom, du moins pour le moment. Cette collection se fait exclusivement via open Source. Un rapport doit être rédigé, contenant des informations telles que « Quoi », « Où » et le contenu pertinent. Bref, pas de place pour jouer au « jeune mexicain » qui s’aventure sur le dark web comme pourrait le suggérer un internaute dans les commentaires (qu’il spamme) sur son blog préféré.

Cette collecte n’est pas réalisée au hasard : elle consiste à répondre à 100 questions, correspondant à 100 drapeaux. Cela va des informations « simples » telles que les numéros de téléphone de l’entreprise et l’identité des personnes qui s’y cachent, à des informations plus complexes, comme les noms des imprimeurs, les informations sur les employés ou encore les caméras de vidéosurveillance. Tout doit être collecté en open Source, et les règles sont strictes. Le moindre écart est la disqualification. Interdiction d’appeler l’entreprise pendant la création du dossier.

La deuxième partie du concours se déroule en public

Les vidéos et les enregistrements audio sont interdits. Les concurrents, un à un, sont placés dans une cage vitrée, face aux spectateurs. A côté, le jury, avec Shane qui préside la séance. Leur mission est d’évaluer les performances des concurrents. Si le rapport écrit représente 50% des points, les 50% restants sont gagnés via des appels téléphoniques. Nous disposons chacun de 30 minutes pour obtenir le plus de drapeaux possible, les mêmes que ceux identifiés dans le rapport, mais cette fois via des conversations téléphoniques. L’enjeu est de convaincre les salariés de l’entreprise cible de répondre à nos questions sans éveiller les soupçons. Les scores sont annoncés vendredi soir et les finalistes se retrouvent pour la grande finale samedi.

Dans la nuit de vendredi à samedi, Shane communiquera une nouvelle cible. Même mission pour les finalistes : trouver les numéros de téléphone à appeler le samedi matin. Encore 30 minutes dans la boîte en verre, pour extraire le plus de drapeaux possible. En cas d’égalité, Shane sortira un chapeau noir. Les deux derniers concurrents tireront une entreprise à cibler. Ils pourront aussi faire appel au public, constituer une équipe, qui les aidera à trouver les numéros à appeler pour la grande finale.

L’outil « bubule » ZATAZ sera présenté au Hackfest 2024 et proposé sur cette page. (Mot de passe du fichier 7z : HackFest_2024)

Cliquez pour en savoir plus et vous protéger.

6 octobre 2024 // J – 5

Le rapport est remis. Dans mon cas, 87 pages d’informations : numéros de téléphone, documents publics révélateurs, PDF « confidentiels », etc. J’ai réussi à identifier 83 drapeaux sur 100 ! Pas mal. Shane a plaisanté : « JÉSUS-CHRIST. 87 PAGES… Vous venez d’arriver sur ma liste d’ennemis LMAO« . Les responsables de l’entreprise seront présents vendredi. Il faut savoir que toutes les informations trouvées leur seront remises. Le CTFSE a pour objectif de les aider, de leur montrer à quel point la SE est « la reine des hacks » : il s’agit de hacker les esprits avant de hacker les systèmes.

Rendez-vous le 11 pour la suite de l’aventure. Si vous êtes au Québec, passez au Hackfest! De nombreuses conférences, des CTF, un hacking village, etc. Shane présentera une conférence sur « ChapGPT pour la collection OSINT pour SECTF», tandis que je ferai une présentation intitulée « Ingénierie sociale : du CTF à la réalité», ainsi que la démonstration de mon outil « Bubule», et comment cet outil a permis de traquer les hackers lors des Jeux Olympiques de Paris 2024. L’outil (son vrai nom est CAFE (Plus rapide, plus haut, plus fort, plus commun – Plus de vie, plus de hauteur, plus de force, ensemble) et les données vous seront proposées, téléchargeables via cette page.

10 octobre 2024 // J -1

La compétition approche. Shane et les organisateurs du HackFest2024 ont mis en place l’espace CTFSE. J’ai appris que mon dossier faisait sensation. J’ai 97 drapeaux sur 100. Le plus dur, c’est demain, au téléphone. La « cage » en verre est prête. J’en profite pour me promener en ville, discuter avec les commerçants, me rendre dans les « administrations » locales et à la mairie, histoire de « jazzer » avec les Québécois. Récupérer du vocabulaire. Bref, permettez-moi d’être le plus convaincant possible. Mon carnet est prêt, chaque page, un scénario et les portes de sortie au cas où la personne au téléphone se douterait de quelque chose.

Shane, à droite, et son équipe installent la cage vitrée qui accueillera les concurrents, un à un, pendant 30 minutes.

Shane à droite, KGB à gauche.

Jour J

Ma cible : le bombardier. Je ne préciserai pas quel « secteur » de cette prestigieuse entreprise je devais cibler. Bombardier œuvre dans l’aviation civile, d’affaires et militaire, les motoneiges et les transports comme les métros.

Le public afflue en masse. Nous sommes des bêtes un peu curieuses, d’autant plus que nous sommes dans notre cage vitrée. Shane, le grand patron de CTF SE, rappelle les règles : uniquement les numéros de téléphone trouvés sur le web, avec preuve du lieu de découverte. Je me suis arrêté à 47 numéros « personnels » en plus des numéros d’entreprises publiques et des contacts internes. Tirage au sort pour déterminer l’ordre de passage. Je dois appeler l’entreprise à 13 heures

J’ai écrit neuf scénarios différents, en tenant compte du moment, de la personne ciblée, de son activité, de son « niveau » hiérarchique. Petit bonus, mais prévu dès le départ : c’est le week-end de Thanksgiving. Autant dire que les bureaux ne sont pas très actifs ! Une « option » loin d’être négligeable, qui offre des opportunités intéressantes. Ce week-end est une fête des récoltes, agrémentée de cornes d’abondance, de citrouilles et d’autres symboles d’abondance. La fête est célébrée un lundi et les Canadiens se réunissent souvent pendant ce long week-end. Ce sont souvent les nouveaux arrivants qui « subissent » la corvée de rester au travail tandis que les autres parlent de « barbecues » et de « chalets » depuis des jours.

Mon attaque se déroulera en cinq phases, réparties en intervalles de 5 minutes. Un peu comme dans un livre dont vous êtes le héros, la phase 1 pourrait faire référence aux phases 3 et 5, la phase 2 aux phases 1 et 4, etc. Pas question d’attaquer de front. Les chemins détournés sont souvent les plus amusants. Je ne parlerai que d’une de mes cinq phases (pour l’ensemble de la compétition, demi-finale et finale, j’ai créé 16 scénarios). Je vais m’adresser à l’un des syndicats de l’entreprise. Parmi les 100 drapeaux (éléments imposés par le jury à dire au téléphone), tout un volet concerne l’emploi, l’intégration des nouveaux salariés, les départs à la retraite, les horaires et les salaires. Bref, il s’agit de tout savoir ! Le dernier cas d’infiltration de faux employés (mais de vrais Nord-Coréens) dans des entreprises américaines laisse une belle marge de manœuvre !

Résultat de ma collecte : 63 hits sur 100 ! En quarts de finale, j’ai obtenu 97 sur 100. Avec l’équipe du Hackfest, Bombardier a reçu mon rapport complet ainsi que plus de 10 000 preuves d’infiltration et d’exploitation d’URL, mots de passe, etc., par des pirates. Bref, nous ne prétendons pas être des « gentils hackers ». Nous sommes simplement des cybercitoyens qui savent de quoi ils parlent.

En route vers la finale

Samedi, j’ai appris que j’étais finaliste. Le premier : le KGB. Un gars formidable que j’ai rencontré pour la première fois en 2023. Ce Québécois souriant [le vrai de vrai qui peut descendre une bouteille de pure malt d’un coup sec] a une barbe à faire pâlir d’envie le Père Noël. Il a remporté l’édition 2023. J’ai ensuite terminé à la deuxième place.

En demi-finale, sa cible : un média canadien majeur. Il sympathise tellement avec sa cible qu’elle finit par lui expliquer quelles saucisses elle aime pour ses barbecues.

Samedi, nous sommes quatre pour la demi-finale. Shane nous indique nos cibles. Quatre cibles différentes. Nous avons 30 minutes pour trouver le plus d’informations possible. C’est une bonne chose : le public peut participer. Résultat, je divise la salle pleine [un joyeux chaos] : à gauche, je veux uniquement des numéros de téléphone ; au centre, le public doit retrouver toutes les identités des salariés ; c’est vrai, je veux que tous les avis des clients soient publiés sur les réseaux sociaux.

En fin de compte, je sors » TONNERRE » pour cartographier tout ce joyeux chaos 2.0. Ma cible : « Best Buy », l’équivalent nord-américain de la FNAC. Il me reste 10 scénarios possibles préétablis. Shane, étant TRÈS joueur, décide que ChatGPT doit être l’une de nos sources. Nous avons la bête OPENAI AI sous contrôle. Résultat, 9 numéros de téléphone « magiques » apparaissent. Je ne vous raconterai pas toutes les démarches qui m’ont permis de remporter ce concours, mais si les Ressources Humaines vous appellent un samedi matin, dès 9 heures, assurez-vous de n’avoir rien à vous reprocher, sinon, c’est le curé.

Et c’était le remède.

Attention : l’éthique n’est pas pour moi un vain mot. Chaque personne contactée lors de cette intense compétition CTF SE de 48 heures au HackFest de Québec a ensuite été rappelée pour expliquer l’objectif et, dans deux cas, pour la rassurer.

La finale était également amusante, surtout quand on voit les responsables de l’entreprise que nous « attaquons ». Je ne parle même pas du ministre de la Cybersécurité qui est arrivé 10 secondes après l’appel de ses équipes… et nous avons réussi à soutirer des informations.

J’ajouterais qu’il est essentiel d’éduquer les gens. Dans certains cas, les interlocuteurs préfèrent être directs et répondre : « Je ne te répondrai pas, je ne te connais pas« . Radical, efficace, infaillible… sauf quand je rappelle sous le couvert de l’équipe cyber pour féliciter cette même personne d’avoir déjoué une attaque.

Bien plus que les 2 500 $ offerts par le sponsor de l’événement, la société Malleum, ou la superbe médaille du gagnant, je retiendrai les échanges avec les autres participants. Les coups de main, les conseils, les encouragements et les rires du public. Deux concurrents, dont il s’agissait de la première participation, ont souhaité découvrir la difficulté d’une SE globale proposée par la CTF. Ils furent servis. Et bravo à eux pour leur audace !

Bref, un superbe CTFSE dont les objectifs étaient : Apprendre, comprendre, s’éduquer, partager et se protéger, ensemble !

Petit bonus pour vous remercier d’avoir lu jusqu’au bout :lpirater un coffre-fort avec… une pomme de terre.

 
For Latest Updates Follow us on Google News
 

PREV Raphael Varane revient sur son départ de Manchester United
NEXT L’itinérance n’hiberne pas

Related posts

Jean-Luc Reichmann nargue Emilien, la mystérieuse star révélée ce jeudi 17 octobre 2024 sur TF1 ?

Le Gier dépasse une digue, un quartier de Givors évacué

Images impressionnantes du centre-ville d’Annonay complètement inondé, « fermé » et « évacué »

plus de trains entre Lyon et Saint-Étienne, l’A47 inondée et fermée à Givors et Ternay