La nouvelle édition d’un des évenements majeurs en matière de cybersécurité en Nouvelle-Aquitaine s’est déroulé ce vendredi 12 mai : la Sthack 2023 !
Comme l’année dernière, les conférences se sont déroulées à la Cité du Vin de Bordeaux avec des acteurs toujours aussi passionnants et près de 250 personnes étaient au rendez-vous. Pour les personnes qui ne pouvaient pas se déplacer, il y avait un stream qui avait été mis en place.
La Sthack n’est plus un événement bordelais ou départemental, mais bel et bien national et même international puisqu’il y avait des personnes venant de la Suisse ou encore de la Belgique.
Programme de la Sthack 2023
La Sthack 2023, comme les anciennes éditions, est scindée en deux évenements :
- Conférences
- Capture The Flag (CTF)
Après avoir dégusté un petit déjeuner et assisté à la keynote d’ouverture, les hostilités ont commencé.
Nous avons eu le droit à une présentation d’un bug dans EDK II (implémentation publique d’UEFI) par Gwaby. Ensuite, JP Aumasson nous a parlé d’ordinateurs quantiques, des risques sur les anciens algorithmes cryptographiques, mais aussi sur les nouveaux. Dans la foulée, Antoine Cervoise a fait un talk sur les attaques DMA (Direct Memory Access) donnant un accès à la RAM, le matériel à choisir en fonction des connectiques et les différentes méthodes pour se protéger de ces attaques (en activant l’IOMMU au niveau du BIOS tout en vérifiant la compatibilité avec son système d’exploitation).
12 h 15 : une pause s’impose, avec le cerveau bouillant. Direction sur les quais pour le repas.
Nous sommes repartis l’après-midi, le ventre bien rempli, pour cinq interventions. On reprend avec un état des lieux des cyberviolences par Laure Salmona. En suivant, Eloïse Brocas et Benoît Forgette nous ont partagé leur retour d’expérience sur le concours bug bounty Pwn2own 2022 avec quelques conseils et erreurs à ne pas faire. Après ça, Pierre Besombes, ingénieur réseaux, nous partage sa manière d’analyser et évaluer les risques des différents équipements, les raisons d’attaquer de tels équipements, etc. Pour finir, Nicolas Correia Vitorino nous a présenté le composant CLFS (Common Log File System) ainsi que les 2 CVE découvertes suite à une alerte de leur EDR CrowdStrike.
Rumps
Les rumps sont un moment dédié aux personnes qui ont des sujets plus ou moins sérieux, souvent avec un soupçon d’humour. Contrairement aux conférences, vous n’avez pas besoin de vous inscrire.
Près d’une dizaine de personnes sont passées, mais deux rumps ont particulièrement attiré mon attention :
- Postmaniac : nouvel outil d’OSINT sur Postman
- Pandora : un article à ce sujet arrivera dans les jours qui suivent.
Capture The Flag
Comme l’année dernière, le CTF s’est déroulé dans les salons de la mairie de Bordeaux de 20h00 à 06h00. Les équipes étaient constituées de cinq personnes maximum et l’événement était en physique uniquement.
Voici un aperçu du tableau des scores final :
Conclusion Sthack 2023
Cette édition, comme celles des années précédentes, est un franc succès et c’est probablement pour ça que cet initiative perdure depuis 2011. On notera cette année que les deux sessions de mises en vente de tickets ont été très courtes et ils sont partis à une vitesse phénoménale !
Pour les intéressés, voici le discord de l’événement ainsi que leur compte twitter.
Et pour ceux qui souhaiteraient proposer un talk, voici l’adresse email à contacter : staff[at]sthack[dot]fr
Laisser un commentaire