CTF Social Engineering de Québec
Suivez les préparatifs, la collecte de données et la compétition du CTF Social Engineering du HackFest 2024 de Québec.
1er octobre 2024 // J – 11
Ça y est, c’est parti ! Je viens de recevoir ma « cible » de la part des organisateurs du CTF (Capture the Flag) Social Engineering organisé lors du HackFest 2024 de Québec. Shane MacDougall, l’organisateur en chef, est une référence mondiale sur le sujet. Plusieurs fois vainqueur du CTFSE de Las Vegas [DEF CON], c’est lui qui a mis sur pied la compétition québécoise. Vous comprenez donc pourquoi il n’y a plus beaucoup de nouvelles sur ZATAZ ou sur les réseaux sociaux depuis plus de 10 jours : le temps est consacré à l’entraînement et à la récupération des flags. J’ai eu la chance de finir à la seconde place en 2023. Cette année, je vise à en apprendre encore plus sur le sujet. D’autant plus que Shane m’a proposé une « cible » de choix XXL ! Je ne l’ai pas choisi.
La compétition se déroule en trois phases
La première consiste à collecter un maximum d’informations sur la « cible« . Vous comprendrez que je ne peux pas vous révéler son nom, du moins pour le moment. Cette collecte se fait exclusivement en source ouverte. Un rapport doit être rédigé, contenant les informations comme le « Quoi », le « Où », et les contenus pertinents. Bref, il n’y a pas de place pour jouer à la « Jeune Mexicaine » qui s’aventure sur le darkweb comme pourrait le suggérer un internaute dans des commentaires (qu’il spamme) dans votre blog préféré.
Cette collecte n’est pas effectuée au hasard : il s’agit de répondre à 100 questions, correspondant à 100 flags. Cela va des informations « simples » comme les numéros de téléphone de l’entreprise et l’identité des personnes qui s’y cachent, jusqu’aux plus complexes, telles que les noms des imprimantes, les informations sur les employés, ou encore les caméras de vidéosurveillance. Tout doit être collecté en source ouverte, et les règles sont strictes. Le moindre écart et c’est la disqualification. Interdiction d’appeler la société pendant la création du dossier.
La seconde partie de la compétition se déroule en public
Les vidéos et enregistrements audio sont interdits. Les compétiteurs, un par un, sont placés dans une cage en verre, face aux spectateurs. Sur le côté, le jury, avec Shane en président de séance. Leur mission est d’évaluer les performances des compétiteurs. Si le rapport écrit représente 50 % des points, les 50 % restants se gagnent via des appels téléphoniques. Nous avons 30 minutes chacun pour obtenir un maximum de flags, les mêmes que ceux identifiés dans le rapport, mais cette fois-ci via des conversations téléphoniques. Le défi est de convaincre les employés de l’entreprise cible de répondre à nos questions sans éveiller de soupçons. Les scores sont annoncés vendredi soir, et les finalistes se retrouvent pour la grande finale le samedi.
Dans la nuit de vendredi à samedi, Shane communiquera une nouvelle cible. Même mission pour les finalistes : trouver les numéros de téléphone à appeler samedi matin. Encore 30 minutes dans la boîte en verre, pour extraire le maximum de flags. En cas d’égalité, Shane sortira un chapeau noir. Les deux derniers compétiteurs tireront au sort une entreprise à cibler. Ils pourront également faire appel au public, créer une équipe, qui les aidera à trouver les numéros à appeler pour la grande finale.
6 octobre 2024 // J – 5
Le rapport est rendu. Dans mon cas, 87 pages d’informations : numéros de téléphone, documents publics révélateurs, PDF « confidentiels », etc. J’ai réussi à identifier 83 flags sur 100 ! Pas mal. Shane s’est amusé en disant : « JESUS CHRIST. 87 PAGES… You just made it on to my enemies list LMAO« . Les responsables de l’entreprise seront présents vendredi. Il faut savoir que toutes les informations trouvées leur seront remises. Le CTFSE a pour but de les aider, de leur montrer à quel point le SE est « la reine des hacks » : il s’agit de pirater les esprits avant de pirater les systèmes.
Rendez-vous le 11 pour la suite de l’aventure. Si vous êtes à Québec, passez par le Hackfest ! De nombreuses conférences, des CTFs, un village hacking, etc. Shane y présentera une conférence sur « ChapGPT pour la collecte OSINT pour le SECTF« , tandis que je donnerai une présentation intitulée « Le Social Engineering : du CTF à la réalité« , ainsi que la démonstration de mon outil « Bubule« , et comment cet outil a permis de suivre des pirates informatiques durant les Jeux Olympiques Paris 2024. L’outil (son vrai nom est CAFE (Citius, Altius, Fortius, Communiter – Plus vite, plus haut, plus fort, ensemble) et les données seront offerts, téléchargeables via cette page.
10 octobre 2024 // J -1
La compétition approche. Shane et les organisateurs du HackFest2024 installent l’espace du CTFSE. J’apprends que mon dossier a fait sensation. J’ai 97 flags sur 100. Le plus difficile approche, demain, au téléphone. La « cage » de verre est prête. J’en profite pour me balader en ville, parler avec des commerçants, me rendre dans des « administrations » locales et à la mairie, histoire de « jazzer » avec des Québécois et Québécoises. Récupérer du vocabulaire. Bref, me permettre d’être le plus convaincant possible. Mon carnet de notes est prêt, chaque page, un scénario et les portes de sorties en cas où mon interlocuteur au téléphone se doute de quelque chose.
Jour J
Ma cible : Bombardier. Je ne préciserai pas quel « secteur » de cette prestigieuse entreprise j’ai dû cibler. Bombardier travaille aussi bien dans l’aviation civile, d’affaires, militaire, les motoneiges et les transports comme les rames de métro.
Le public afflue en masse. Nous sommes un peu des bêtes curieuses, d’autant plus que nous sommes dans notre cage de verre. Shane, le grand patron du CTF SE, nous rappelle les règles : uniquement des numéros de téléphone trouvés sur le web, avec preuve du lieu de découverte. Je me suis arrêté à 47 numéros « personnels » en plus des numéros publics de l’entreprise et des contacts internes. Tirage au sort pour déterminer l’ordre de passage. Je dois appeler l’entreprise à 13 heures. Petite subtilité cette année : un moniteur cardiaque. Un détecteur de mensonges contrôlable par le public, en direct, à l’écran. Certains concurrents ont atteint des pics à 145 BPM ! Un médecin dans la salle ? 🙂 De mon côté, grâce à un travail sur la respiration et à mes entraînements, j’ai pu maintenir une fréquence cardiaque oscillant entre 82 et 91 BPM, ce qui reste élevé. Une différence de 9 BPM permet néanmoins de détecter certains stress cachés.
J’ai écrit neuf scénarios différents, tenant compte de l’heure, de la personne ciblée, de son activité, de son « niveau » hiérarchique. Petit bonus, mais prévu dès le départ : c’est le week-end de l’Action de Grâce. Autant dire que les bureaux ne sont pas très actifs ! Une « option » loin d’être négligeable, qui offre des opportunités intéressantes. Ce week-end correspond à une fête des récoltes, décorée de cornes d’abondance, de citrouilles et d’autres symboles d’abondance. La fête se célèbre un lundi, et les Canadiens se retrouvent souvent pendant ce long week-end. Ce sont souvent les nouveaux venus qui se « tapent » la corvée de rester au travail pendant que les autres parlent de « barbecues » et de « chalets » depuis des jours.
Mon attaque se déroulera en cinq phases, divisées en intervalles de 5 minutes. Un peu comme dans un livre dont vous êtes le héros, la phase 1 pouvait renvoyer vers les phases 3 et 5, la phase 2 vers les phases 1 et 4, etc. Pas question d’attaquer frontalement. Les chemins détournés sont souvent les plus amusants. Je ne parlerai que d’une seule de mes cinq phases (pour l’ensemble de la compétition, demi-finale et finale, j’ai créé 16 scénarios). Je vais m’approcher de l’un des syndicats de l’entreprise. Parmi les 100 flags (éléments imposés par le jury à faire dire au téléphone), tout un pan concerne l’emploi, l’intégration des nouveaux employés, les départs à la retraite, les horaires, et les salaires. Bref, il s’agit de tout savoir ! Le dernier cas d’infiltration de faux employés (mais de vrais Nord-Coréens) dans des entreprises américaines laisse une bonne marge de manœuvre !
Résultat de ma collecte : 63 hits sur 100 ! En quart de finale, j’en ai eu 97 sur 100. Avec l’équipe du Hackfest, Bombardier a reçu mon rapport intégral ainsi que plus de 10 000 preuves d’infiltrations et d’exploitations d’URLs, mots de passe, etc., par des pirates. Bref, nous ne clamons pas être des « gentils hackers ». Nous sommes simplement des cyber citoyens qui savent de quoi ils parlent.
En route pour les finales
Samedi, j’apprends que je suis finaliste. Le premier : KGB. Un super gars que j’avais rencontré pour la première fois en 2023. Ce Québécois souriant [le vrai de vrai qui peut descendre une bouteille de pure malt d’un coup sec] a une barbe à faire pâlir de jalousie le père Noël. Il avait gagné l’édition 2023. Je finissais alors en seconde place.
En demi-finale, sa cible : un grand média canadien. Il sympathise tellement avec sa cible que celle-ci finit par lui expliquer quelles saucisses elle aime pour ses barbecues.
Samedi, nous voilà donc à quatre pour la demi-finale. Shane nous annonce nos cibles. Quatre cibles différentes. Nous avons 30 minutes pour trouver un maximum d’informations. Élément génial : le public peut participer. Résultat, je divise la salle comble [un joyeux chaos] : à gauche, je ne veux que des numéros de téléphone ; au centre, le public doit trouver toutes les identités des employés ; à droite, je veux tous les commentaires des clients publiés sur les réseaux sociaux.
Bilan, je sors « BUBULLE » pour cartographier tout ce joyeux capharnaüm 2.0. Ma cible : « Best Buy », l’équivalent nord-américain de la FNAC. Il me reste 10 scénarios possibles préétablis. Shane, étant TRES joueur, décide que ChatGPT doit être l’une de nos sources. La bestiole IA d’OPENAI, on maîtrise. Résultat, 9 numéros de téléphone « magiques » apparaissent. Je ne vous dévoilerai pas toutes les approches qui m’ont permis de gagner cette compétition, mais si les Ressources Humaines vous appellent un samedi matin, dès 9 heures, assurez-vous de n’avoir rien à vous reprocher, sinon, c’est la curée.
Et ce fut la curée.
À noter : l’éthique n’est pas un vain mot pour moi. Chaque personne contactée pendant cette compétition de 48 heures intenses du CTF SE du HackFest de Québec a ensuite été rappelée pour lui expliquer l’objectif, et, dans deux cas, les rassurer.
La finale fut aussi amusante, surtout quand on aperçoit les responsables de l’entreprise que l’on « attaque ». Je ne vous parle même pas du ministre de la Cybersécurité qui débarque 10 secondes après que ses équipes aient été appelées… et que l’on réussit à extraire des informations.
J’ajouterai qu’il est essentiel d’éduquer les gens. Dans certains cas, les interlocuteurs préfèrent être directs et répondre : « Je ne vous répondrai pas, je ne vous connais pas« . Radical, efficace, infaillible… sauf quand je rappelle sous couvert de l’équipe cyber pour féliciter cette même personne d’avoir déjoué une attaque.
Bien plus que les 2500 $ offert par le sponsor de l’epreuve, la société Malleum, ou la superbe médaille de vainqueur, je retiendrai les échanges avec les autres participants. Les coups de main, les conseils, les encouragements et les rires du public. Deux concurrents, pour qui c’était la première participation, voulaient découvrir la difficulté d’un SE global proposé par le CTF. Ils ont été servis. Et bravo à eux d’avoir osé !
Bref, un super CTFSE dont les finalités étaient : Apprendre, comprendre, s’instruire, partager et se protéger, ensemble !
Petit bonus pour vous remercier d’avoir lu jusqu’au bout : le piratage d’un coffre-fort avec… une pomme de terre.
Je suis tellement curieux de ce genre de CTF. Plus abordable je trouve en terme de sécurité comparé aux CTF classiques plus « techniques » et orientés tech.
Je suppose qu’il sera impossible de donner plus de détail(s) sur les méthodes employées, bien dommage.
Sauriez vous où apprendre ces types de techniques ? Si des CTF en ligne existent de ce type ?