Archives par mot-clé : forensic

Fic 2014 – réponses aux épreuves du challenge Forensic

Voici la première partie des réponses concernant les épreuves du challenge Forensic proposé par les étudiants de la licence CDAISI lors du Forum International de la Cybersécurité 2014. Les 21 et 22 janvier derniers, la ville de Lille a reçu le 6ème Forum de la CyberSécurité. Pour la première fois, un Challenge Forensic (recherche de trace, Ndr) a été proposé. Le mardi 21, les étudiants de la licence CDAISI (Collaborateur pour la Défense et l’Anti-intrusion des Systèmes Informatiques) de l’Université de Valencienne (Antenne de Maubeuge) ont proposé une vingtaine d’épreuves. Étant l’animateur de ce rendez-vous, et que vous avez été très nombreux (et le mot est un doux euphémisme, Ndr) à demander les réponses aux épreuves, voici la première partie du Challenge Forensic FIC  2014. Le challenge FIC a eu pour objectifs, en distinguant quelques profils prometteurs, d’encourager et de valoriser chaque année, les métiers liés au Forensic et à la lutte informatique défensive. Vous allez comprendre pourquoi des étudiants, mais aussi des professionnels de chez Google, Thalès, … sont venus tâter du bit à la sauce ethical hacking [Voir]. Les premières épreuves que nous vous présentons ici sont signées par Lucas R., Florian E., Julien G.. Ils étaient encadrés par Thibaut Salut. Retrouvez les réponses de la première partie de ce challenge sur zataz.com. La suite sera diffusée lundi prochain, le 27 janvier.

L’épreuve du Morse
Un exécutable, codé en python, reposait sur l’exécution de print et de sleep. Chaque participant récupérait un exécutable qui, une fois lancé, affichait des lignes en hexadécimal. Ils devaient découvrir deux intervalles différents lors de l’affichage des lignes. Un court intervalle court qui correspondait à un point et un intervalle long qui correspondait à un tiret. En faisant la correspondance avec un tableau morse, on obtenait alors les coordonnées géographiques d’un toit dans un parc d’attraction, en Australie, sur lequel est écrit Big Brother. Big Brother était la clé qui permettait de passer à l’épreuve suivante.

Epreuve Scapy
L’idée de cette épreuve, dissimuler la clé dans les paquets ICMP. Pour cela, il a été utilisé un framework python spécialisé réseau nommé Scapy. Un petit script a envoyé les paquets ICMP modifiés à l’adresse voulue. Il suffisait d’exécuter le script et faire une capture Wireshark. Les participants recevaient une capture Wireshark contenant plusieurs milliers de trames. Parmi toutes ces trames, se trouvaient des trames ICMP dont le champ ID avait été modifié. Les candidats devaient alors, soit écrire un script permettant de récupérer le champ ID, soit le faire à la main en regardant le détail de chaque trame avec Wireshark.

Epreuve Windows
Pour créer l’épreuve, il a été utilisé une machine virtuelle Windows sous Virtual box. Pour modifier les shellbags, juste brancher une clé USB avec le dossier voulu, et attendre un peu que les shellbags soient modifiés. Chaque participant avait à sa disposition une machine virtuelle Windows. Son but était de retrouver le nom d’un dossier stocké sur une clé USB qui auparavant avait été branchée sur la fameuse machine virtuelle. Il suffisait d’utiliser des logiciels comme Windows ShellBag Parser (sbag) afin de remonter aux traces.

Epreuve de l’icône
Dans cette première étape, 2 fichiers : un fichier texte et un fichier ReadMe dans lequel se trouvait le sujet de l’épreuve. La partie 1 consistait à retrouver le mot de passe de l’épreuve 1. Il était dissimulé dans le fichier epreuve1.txt. Ce dernier est en réalité non pas dans le contenu du fichier texte mais dans l’icône de celui-ci. Le mot de passe était : funnyh4ck.

Epreuve archive
Les participants recevaient une archive contenant un dossier contenant lui-même un certain nombre d’images, un fichier ReadMe.txt (dans lequel se trouvait le sujet de l’épreuve) et un fichier chiffré comportant l’extension .axx. Il fallait donc, dans un premier temps, savoir ce qu’était un fichier .axx. Après une brève recherche, on s’apercevait que ce fichier était chiffré à l’aide de l’outil AxCrypt. Les challengers devaient ensuite déduire qu’il fallait un mot de passe, ou un fichier clé, pour lire le .axx. Etant donné qu’un dossier rempli d’images était donné aux candidats, ils devaient en déduire qu’un fichier avait été caché parmi elles. Cacher un fichier dans un autre est le principe même de la stéganographie. Ils devaient alors récupérer à l’aide de l’outil de leur choix (steghide par exemple), un éventuel fichier dans l’une des images fournies. Pour retrouver la passphrase, il suffisait de regarder les commentaires de l’archive : cdaisi. Une fois le fichier clé retrouvé, il suffisait de lancer AxCrypt, préciser le fichier clé et lancer le déchiffrement.

Epreuve Blowfish
Il fallait que le candidat déduise que le fichier proposé était crypté en blowfish-cbc. Dans le fichier ReadMe qui lui avait été proposé, il y avait des informations importantes. Il suffisait de regarder quel genre de chiffrement prenait deux paramètres. Blowfish prends 2 paramètres en hexadécimal, cependant les éléments donnés sont en ASCII et en base64. Il fallait donc les convertir. La commande pour le déchiffrer était la même que pour chiffrer sauf qu’il suffisait d’ajouter -d à la commande pour préciser l’action de déchiffrement. Une fois le fichier déchiffré, on obtenait un fichier texte contenant une suite de chiffre qui, à première vue, n’a rien de spécial. Sauf qu’il y avait un message caché : « Le Losc ira en champions league l’année prochaine. Félicitation : Vous avez réussi l’épreuve =) » Il ne restait plus qu’à tester cette phrase avec le fichier testEXE.!

La suite des solutions, le 27 janvier.

 

 

Testé votre identité numérique lors du FIC2014

Le Forum International de la Cybersécurité (FIC) 2014 organisé conjointement par la Gendarmerie Nationale, le cabinet CEIS et le Conseil régional du Nord-Pas de Calais se déroulera les 21 et 22 janvier à Lille Grand Palais. Pour cette 6e édition intitulée « Identité numérique et confiance », le FIC acte une nouvelle étape dans son partenariat avec Epitech, l’école de l’innovation et de l’expertise informatique (membre de IONIS Education Group).

Le partenariat s’est conclu dans le cadre du programme d’Epitech « Ecole citoyenne du numérique ». Ce dispositif permet aux étudiants de s’investir dans des projets concrets d’intérêt général. Au service des acteurs institutionnels et des collectivités, les étudiants de l’école traitent de thématiques liées au numérique. Deux 2 animations autour de l’identité numérique vont être proposées : « Selon où tu es, je sais qui tu es, le sais-tu ? » ; « Selon ce que tu sais, ce que tu as et qui tu es, tu pourras entrer ; ou pas ! ». Les équipes du laboratoire Sécurité d’Epitech, impliquées dans la pédagogie et dans les projets de recherche relatifs à ce sujet, ont créé deux démonstrations interactives et ludiques spécialement pour le FIC.

L’année derniére, les étudiants avaient réussi à piéger des visiteurs via une application distribuée via un flashcode.

Le FIC est devenu le « Salon européen de référence en matière de confiance numérique » réunissant les principaux acteurs institutionnels et experts du domaine dans une démarche de réflexion et d’échanges sous un angle stratégique (géopolitique, sociologique, juridique, managérial, technologique) et opérationnel. Manuel Valls, ministre de l’Intérieur sera présent pour la cérémonie officielle d’ouverture, le mardi 21 janvier 2014 à 9h00. Jean-Yves Le Drian, ministre de la Défense sera présent le mardi 21 janvier à 16h00. A noter que le ministère de la défense français, partenaire du FIC 2014, disposera d’un stand et participera à de nombreux ateliers, en particulier dans le parcours « stratégies de cyberdéfense ». L’intervention de M. Manuel Valls, ministre de l’Intérieur, sera suivie de la séance plénière « La cybersécurité est-elle un échec ? », avec l’intervention de Patrick Pailloux, directeur général de l’ANSSI, David Lacey, directeur de l’Institut des enquêtes criminelles à l’Université de Portsmouth, Jérémie Zimmermann, membre fondateur et porte-parole de La Quadrature de Net, Jean-Pierre Guillon, Président du MEDEF Nord Pas de Calais, Luc-François Salvador, PDG de Sogeti, Jean-Michel Orozco, CEO Cassidian Cybersecurity et Marc Watin-Augouard, Général d’armée (2S).

L’ensemble des conférences, séances plénières, tables rondes, ateliers et débats sont répartis selon 7 parcours thématiques : Lutte anti-cybercriminalité – Dynamiques industrielles – La fonction sécurité en entreprise – Technologies – Stratégies de cyberdéfense – Nouvelles citoyennetés numériques – Géopolitique du cyberespace. A noter que votre serviteur animera, mardi 21 janvier, le challenge Forensic mis en place par l’équipe de la Licence Professionnelle CDAISI. Le challenge consiste en deux séries d’épreuves informatiques de 4 heures dédiées au forensic et à la lutte informatique défensive.

Ces épreuves comportent différents niveaux et sont menées sur un réseau fermé. Le lendemain, mercredi 22 janvier, j’animerai la conférence « Le pouvoir de la perturbation massive sur Internet« . Le piratage du compte Twitter de l’Associated Press et ses conséquences considérables sur le cours de la bourse alertent quant au potentiel des réseaux sociaux. L’horizontalité et la viralité qui caractérisent ces outils en font des armes redoutables de perturbation massive et de soulèvement des populations. Comment anticiper ce risque ? Quel est le réel potentiel des réseaux sociaux et comment l’exploiter ?