CTF Social Engineering de Québec

Suivez les préparatifs, la collecte de données et la compétition du CTF Social Engineering du HackFest 2024 de Québec.

– Cliquer sur l’image –

1er octobre 2024 // J – 11

Ça y est, c’est parti ! Je viens de recevoir ma « cible » de la part des organisateurs du CTF (Capture the Flag) Social Engineering organisé lors du HackFest 2024 de Québec. Shane MacDougall, l’organisateur en chef, est une référence mondiale sur le sujet. Plusieurs fois vainqueur du CTFSE de Las Vegas [DEF CON], c’est lui qui a mis sur pied la compétition québécoise. Vous comprenez donc pourquoi il n’y a plus beaucoup de nouvelles sur ZATAZ ou sur les réseaux sociaux depuis plus de 10 jours : le temps est consacré à l’entraînement et à la récupération des flags. J’ai eu la chance de finir à la seconde place en 2023. Cette année, je vise à en apprendre encore plus sur le sujet. D’autant plus que Shane m’a proposé une « cible » de choix XXL ! Je ne l’ai pas choisi.

La compétition se déroule en trois phases

La première consiste à collecter un maximum d’informations sur la « cible« . Vous comprendrez que je ne peux pas vous révéler son nom, du moins pour le moment. Cette collecte se fait exclusivement en source ouverte. Un rapport doit être rédigé, contenant les informations comme le « Quoi », le « Où », et les contenus pertinents. Bref, il n’y a pas de place pour jouer à la « Jeune Mexicaine » qui s’aventure sur le darkweb comme pourrait le suggérer un internaute dans des commentaires (qu’il spamme) dans votre blog préféré.

Cette collecte n’est pas effectuée au hasard : il s’agit de répondre à 100 questions, correspondant à 100 flags. Cela va des informations « simples » comme les numéros de téléphone de l’entreprise et l’identité des personnes qui s’y cachent, jusqu’aux plus complexes, telles que les noms des imprimantes, les informations sur les employés, ou encore les caméras de vidéosurveillance. Tout doit être collecté en source ouverte, et les règles sont strictes. Le moindre écart et c’est la disqualification. Interdiction d’appeler la société pendant la création du dossier.

La seconde partie de la compétition se déroule en public

Les vidéos et enregistrements audio sont interdits. Les compétiteurs, un par un, sont placés dans une cage en verre, face aux spectateurs. Sur le côté, le jury, avec Shane en président de séance. Leur mission est d’évaluer les performances des compétiteurs. Si le rapport écrit représente 50 % des points, les 50 % restants se gagnent via des appels téléphoniques. Nous avons 30 minutes chacun pour obtenir un maximum de flags, les mêmes que ceux identifiés dans le rapport, mais cette fois-ci via des conversations téléphoniques. Le défi est de convaincre les employés de l’entreprise cible de répondre à nos questions sans éveiller de soupçons. Les scores sont annoncés vendredi soir, et les finalistes se retrouvent pour la grande finale le samedi.

Dans la nuit de vendredi à samedi, Shane communiquera une nouvelle cible. Même mission pour les finalistes : trouver les numéros de téléphone à appeler samedi matin. Encore 30 minutes dans la boîte en verre, pour extraire le maximum de flags. En cas d’égalité, Shane sortira un chapeau noir. Les deux derniers compétiteurs tireront au sort une entreprise à cibler. Ils pourront également faire appel au public, créer une équipe, qui les aidera à trouver les numéros à appeler pour la grande finale.

L’outil « bubule » de ZATAZ sera présenté au Hackfest 2024 et offert dans cette page. (mot de passe du fichier 7z : HackFest_2024)

Cliquer pour en savoir plus et vous protéger.

6 octobre 2024 // J – 5

Le rapport est rendu. Dans mon cas, 87 pages d’informations : numéros de téléphone, documents publics révélateurs, PDF « confidentiels », etc. J’ai réussi à identifier 83 flags sur 100 ! Pas mal. Shane s’est amusé en disant : « JESUS CHRIST. 87 PAGES… You just made it on to my enemies list LMAO« . Les responsables de l’entreprise seront présents vendredi. Il faut savoir que toutes les informations trouvées leur seront remises. Le CTFSE a pour but de les aider, de leur montrer à quel point le SE est « la reine des hacks » : il s’agit de pirater les esprits avant de pirater les systèmes.

Rendez-vous le 11 pour la suite de l’aventure. Si vous êtes à Québec, passez par le Hackfest ! De nombreuses conférences, des CTFs, un village hacking, etc. Shane y présentera une conférence sur « ChapGPT pour la collecte OSINT pour le SECTF« , tandis que je donnerai une présentation intitulée « Le Social Engineering : du CTF à la réalité« , ainsi que la démonstration de mon outil « Bubule« , et comment cet outil a permis de suivre des pirates informatiques durant les Jeux Olympiques Paris 2024. L’outil (son vrai nom est CAFE (Citius, Altius, Fortius, Communiter – Plus vite, plus haut, plus fort, ensemble) et les données seront offerts, téléchargeables via cette page.

10 octobre 2024 // J -1

La compétition approche. Shane et les organisateurs du HackFest2024 installent l’espace du CTFSE. J’apprends que mon dossier a fait sensation. J’ai 97 flags sur 100. Le plus difficile approche, demain, au téléphone. La « cage » de verre est prête. J’en profite pour me balader en ville, parler avec des commerçants, me rendre dans des « administrations » locales et à la mairie, histoire de « jazzer » avec des Québécois et Québécoises. Récupérer du vocabulaire. Bref, me permettre d’être le plus convaincant possible. Mon carnet de notes est prêt, chaque page, un scénario et les portes de sorties en cas où mon interlocuteur au téléphone se doute de quelque chose.

Shane, à droite et son équipe installe la cage en verre qui accueillera les concurrents, un par un, pendant 30 minutes.

Shane à droite, KGB à gauche.

Jour J

Ma cible : Bombardier. Je ne préciserai pas quel « secteur » de cette prestigieuse entreprise j’ai dû cibler. Bombardier travaille aussi bien dans l’aviation civile, d’affaires, militaire, les motoneiges et les transports comme les rames de métro.

Le public afflue en masse. Nous sommes un peu des bêtes curieuses, d’autant plus que nous sommes dans notre cage de verre. Shane, le grand patron du CTF SE, nous rappelle les règles : uniquement des numéros de téléphone trouvés sur le web, avec preuve du lieu de découverte. Je me suis arrêté à 47 numéros « personnels » en plus des numéros publics de l’entreprise et des contacts internes. Tirage au sort pour déterminer l’ordre de passage. Je dois appeler l’entreprise à 13 heures. Petite subtilité cette année : un moniteur cardiaque. Un détecteur de mensonges contrôlable par le public, en direct, à l’écran. Certains concurrents ont atteint des pics à 145 BPM ! Un médecin dans la salle ? 🙂 De mon côté, grâce à un travail sur la respiration et à mes entraînements, j’ai pu maintenir une fréquence cardiaque oscillant entre 82 et 91 BPM, ce qui reste élevé. Une différence de 9 BPM permet néanmoins de détecter certains stress cachés.

J’ai écrit neuf scénarios différents, tenant compte de l’heure, de la personne ciblée, de son activité, de son « niveau » hiérarchique. Petit bonus, mais prévu dès le départ : c’est le week-end de l’Action de Grâce. Autant dire que les bureaux ne sont pas très actifs ! Une « option » loin d’être négligeable, qui offre des opportunités intéressantes. Ce week-end correspond à une fête des récoltes, décorée de cornes d’abondance, de citrouilles et d’autres symboles d’abondance. La fête se célèbre un lundi, et les Canadiens se retrouvent souvent pendant ce long week-end. Ce sont souvent les nouveaux venus qui se « tapent » la corvée de rester au travail pendant que les autres parlent de « barbecues » et de « chalets » depuis des jours.

Mon attaque se déroulera en cinq phases, divisées en intervalles de 5 minutes. Un peu comme dans un livre dont vous êtes le héros, la phase 1 pouvait renvoyer vers les phases 3 et 5, la phase 2 vers les phases 1 et 4, etc. Pas question d’attaquer frontalement. Les chemins détournés sont souvent les plus amusants. Je ne parlerai que d’une seule de mes cinq phases (pour l’ensemble de la compétition, demi-finale et finale, j’ai créé 16 scénarios). Je vais m’approcher de l’un des syndicats de l’entreprise. Parmi les 100 flags (éléments imposés par le jury à faire dire au téléphone), tout un pan concerne l’emploi, l’intégration des nouveaux employés, les départs à la retraite, les horaires, et les salaires. Bref, il s’agit de tout savoir ! Le dernier cas d’infiltration de faux employés (mais de vrais Nord-Coréens) dans des entreprises américaines laisse une bonne marge de manœuvre !

Résultat de ma collecte : 63 hits sur 100 ! En quart de finale, j’en ai eu 97 sur 100. Avec l’équipe du Hackfest, Bombardier a reçu mon rapport intégral ainsi que plus de 10 000 preuves d’infiltrations et d’exploitations d’URLs, mots de passe, etc., par des pirates. Bref, nous ne clamons pas être des « gentils hackers ». Nous sommes simplement des cyber citoyens qui savent de quoi ils parlent.

En route pour les finales

Samedi, j’apprends que je suis finaliste. Le premier : KGB. Un super gars que j’avais rencontré pour la première fois en 2023. Ce Québécois souriant [le vrai de vrai qui peut descendre une bouteille de pure malt d’un coup sec] a une barbe à faire pâlir de jalousie le père Noël. Il avait gagné l’édition 2023. Je finissais alors en seconde place.

En demi-finale, sa cible : un grand média canadien. Il sympathise tellement avec sa cible que celle-ci finit par lui expliquer quelles saucisses elle aime pour ses barbecues.

Samedi, nous voilà donc à quatre pour la demi-finale. Shane nous annonce nos cibles. Quatre cibles différentes. Nous avons 30 minutes pour trouver un maximum d’informations. Élément génial : le public peut participer. Résultat, je divise la salle comble [un joyeux chaos] : à gauche, je ne veux que des numéros de téléphone ; au centre, le public doit trouver toutes les identités des employés ; à droite, je veux tous les commentaires des clients publiés sur les réseaux sociaux.

Bilan, je sors « BUBULLE » pour cartographier tout ce joyeux capharnaüm 2.0. Ma cible : « Best Buy », l’équivalent nord-américain de la FNAC. Il me reste 10 scénarios possibles préétablis. Shane, étant TRES joueur, décide que ChatGPT doit être l’une de nos sources. La bestiole IA d’OPENAI, on maîtrise. Résultat, 9 numéros de téléphone « magiques » apparaissent. Je ne vous dévoilerai pas toutes les approches qui m’ont permis de gagner cette compétition, mais si les Ressources Humaines vous appellent un samedi matin, dès 9 heures, assurez-vous de n’avoir rien à vous reprocher, sinon, c’est la curée.

Et ce fut la curée.

À noter : l’éthique n’est pas un vain mot pour moi. Chaque personne contactée pendant cette compétition de 48 heures intenses du CTF SE du HackFest de Québec a ensuite été rappelée pour lui expliquer l’objectif, et, dans deux cas, les rassurer.

La finale fut aussi amusante, surtout quand on aperçoit les responsables de l’entreprise que l’on « attaque ». Je ne vous parle même pas du ministre de la Cybersécurité qui débarque 10 secondes après que ses équipes aient été appelées… et que l’on réussit à extraire des informations.

J’ajouterai qu’il est essentiel d’éduquer les gens. Dans certains cas, les interlocuteurs préfèrent être directs et répondre : « Je ne vous répondrai pas, je ne vous connais pas« . Radical, efficace, infaillible… sauf quand je rappelle sous couvert de l’équipe cyber pour féliciter cette même personne d’avoir déjoué une attaque.

Bien plus que les 2500 $ offert par le sponsor de l’epreuve, la société  Malleum, ou la superbe médaille de vainqueur, je retiendrai les échanges avec les autres participants. Les coups de main, les conseils, les encouragements et les rires du public. Deux concurrents, pour qui c’était la première participation, voulaient découvrir la difficulté d’un SE global proposé par le CTF. Ils ont été servis. Et bravo à eux d’avoir osé !

Bref, un super CTFSE dont les finalités étaient : Apprendre, comprendre, s’instruire, partager et se protéger, ensemble !

Petit bonus pour vous remercier d’avoir lu jusqu’au bout : le piratage d’un coffre-fort avec… une pomme de terre.

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.
  1. Anon Reply

    Je suis tellement curieux de ce genre de CTF. Plus abordable je trouve en terme de sécurité comparé aux CTF classiques plus « techniques » et orientés tech.

    Je suppose qu’il sera impossible de donner plus de détail(s) sur les méthodes employées, bien dommage.

    Sauriez vous où apprendre ces types de techniques ? Si des CTF en ligne existent de ce type ?

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.