L’événement qui se tiendra en juin prochain au Centre de Congrès de Disneyland Paris comprendra 6 formations et 16 conférences : l’occasion pour l’écosystème de la sécurité informatique de se former sur les pratiques de hacking et de se réunir autour d’experts internationaux pour s’informer sur la réalité du hacking, ses enjeux et ses conséquences.
Organisé pour la seconde fois, Hack in Paris, événement en France exclusivement en anglais, réunissant les professionnels de la sécurité informatique (DSI, RSSI, RSI) et les experts techniques du hacking, se déroulera du 18 au 22 juin prochain au Centre de Congrès de Disneyland Paris.
L’événement Hack in Paris se déroulera en deux temps :
‐ 6 formations menées par des experts techniques sur 3 jours (du 18 au 20 juin)
Training 1 : Corelan Live –‐ Win32 Exploit Development animé par Peter Van Eeckhoutte, fondateur de Corelan et l’auteur de la formation « Win32 Exploit Development »
Le Bootcamp Corelan Live est une opportunité unique d’apprendre à la fois les techniques de base et les techniques avancées d’un développeur de programmes permettant d’exploiter des failles de sécurité. Pendant 3 jours, les participants apprendront les tenants et les aboutissants sur l’écriture de l’exploit pour la plate–‐forme Win32. Peter Van Eeckhoutte, développeur confirmé, fera part de son retour d’expérience et de ses trucs et astuces pour devenir encore plus efficace dans l’écriture de ces exploits.
Training 2 : iOS Applications –‐ Attack and Defense animé par Sébastien Andrivet, co–‐fondateur Advtools
Apprendre les secrets de la plateforme iOS, comment attaquer des applications iOS et comment développer des applications iPad et iPhone sécurisées. Cette formation permettra aux participants d’apprendre à prendre le contrôle d’un appareil iOS, à intercepter les communications, trouver des failles de sécurité et mettre en oeuvre correctement des applications iOS sécurisées ainsi que les erreurs de sécurité les plus courantes et les solutions correspondantes. La formation se termine par la démonstration de techniques avancées de hacking.
Training 3 : Malware Reversing Laboratory animé par Lee Ling Chuan, chercheur
Focus sur les mécanismes de lutte et de défense des malwares avancés qui ciblent les plates–‐formes communes telles que Windows et les navigateurs web. Des techniques d’analyse avancées et complexes des malwares seront présentées, y compris des techniques d’ « anti–‐debugage » et anti analyse qui mettront les élèves face à des logiciels malveillants perfectionnés.
Training 4 : Metasploit for Penetration Testing animé par Georgia Weidman, chercheur
Formation sur les bases de l’utilisation du Framework Metasploit, sur la méthodologie de test de pénétration utilisant Metasploit pour exploiter les systèmes vulnérables. La formation permettra également aux participants d’écrire leurs propres modules Metasploit et de créer des attaques complexes côté client. Formation adaptée aux initiés et non initiés souhaitant ajouter le Framework Metasploit à leur expertise.
Training 5 : Hacking IPv6 networks animé par Fernando Gont, spécialiste de la sécurité des protocoles de communication
Formation sur la sécurité du protocole IPv6 permettant d’évaluer et d’atténuer les menaces et les conséquences sur la sécurité des environnements IPv6. Ce cours permettra notamment d’apprendre comment chaque fonctionnalité du protocole IPv6 et des technologies connexes peuvent être exploitées à des fins malveillantes. Les participants utiliseront une variété d’outils d’évaluation de sécurité afin de mettre en pratique la théorie enseignée.
Training 6 : Reverse‐engineering of Android applications and malwares animé par Anthony Desnos, spécialiste de la sécurité open‐source
Analyse du système Android et de ses applications. Le système Android est aujourd’hui largement répandu et utilisé par les professionnels. Cette formation a pour but de montrer comment il est possible d’analyser une application Android avec différents outils Open Source afin de modifier le comportement de celles–‐ci. En outre, cette formation permettra de voir comment des outils open source perfectionnés analysent des applications malveillantes afin d’apprendre à créer ses propres signatures pour détecter les malwares.
Au‐delà des formations, un comité de validation composé d’experts a sélectionné et retenu :
‐ 16 conférences, dont 2 keynotes, avec l’intervention de spécialistes mondialement reconnus (21 et 22 juin).
Keynote 1 : Measuring Risk with Time Based Security par Winn Schwartau
Keynote 2 : Where Are We And Where Are We Going par Mikko H. Hypponen
Conférence 1 : Got your Nose! How to steal your precious data without using scripts par Mario Heiderich Comment les hackers volent les mots de passe en texte clair, lisent les tokens CSRF et autres données sensibles et créent des fichiers pour espionner les courriels sans l’exécution d’une seule ligne de JavaScript.
Conférence 2 : A bit more of PE par Ange Albertini Pour tout savoir sur le format PE et sa complexité, en l’exploitant jusqu’à ses limites.
Conférence 3 : Windows Phone 7 platform and application security overview, par David Rook Caractéristiques de sécurité de Windows Phone 7 et orientations données aux développeurs pour créer de manière sécurisée des applications pour Windows Phone 7.
Conférence 4 : SCADA Security: Why is it so hard? par Amol Sarwate Attaques et défis techniques de la sécurité pour les environnements SCADA. Exemples d’exploits et de contrôles de sécurité en matière d’atténuation du risque.
Conférence 5 : Attacking XML Processing par Nicolas Grégoire Basée sur des résultats obtenus après plus d’un an de recherche sur la technologie XML, cette conférence détaillera les enjeux de sécurité liés au format XML et ses pratiques de traitement.
Conférence 6 : Breaking Windows 8 using HID with Kautilya par Nikhil Mittal Comment fonctionne Windows 8 après une attaque avec Kautilya ?
Conférence 7 : PostScript: Danger ahead! Par Andrei Costin Fonctionnalités du langage PostScript et les aspects dangereux de PostScript sur un PC ou tout autre terminal.
Conférence 8 : Neuro Linguistic Hacking –‐ Emotional Mind Control par Chris Hadnagy Comment est né le terme Neuro Linguistic Hacking ? Explications sur le mélange des principes de la PNL, du langage du corps et des micro–‐expressions utilisés pour manipuler les cibles dans un état émotionnel qui permet de les contrôler.
Conférence 9 : Bypassing the Android Permission Model, par Georgia Weidman Les différentes façons de contourner le système Android en profitant des pratiques de stockage offertes par les applications installées et comment s’introduire dans les applications non sécurisées.
Conférence 10 : Results of a Security Assessment of the Internet Protocol version 6 (IPv6) par Fernando Gont Fernando Gont présentera les résultats d’un projet mené durant ces dernières années sur la sécurité d’IPv6. Il fournira également des conseils sur la façon de déployer les protocoles IPv6 de manière sécurisée, en mettant en évidence un certain nombre de vulnérabilités qui ont été trouvées dans plusieurs déploiements IPv6. Inédit : démonstration de l'utilisation de certains outils d'attaque
Conférence 11 HTML5 : Something wicked this way comes par Krzysztof Kotowicz Recherche du maillon faible en combinant plusieurs techniques d’attaque pour mettre à jour les dernières failles de sécurité dans un exploit réussi.
Conférence 12: The road to hell is paved with the best practices par Frank Breedijk & Ian Southam Est–‐ce que les meilleures pratiques garantissent une meilleure sécurité ? Est–‐ce qu’une forte politique des mots de passe est efficace grâce à des mots de passe forts ? Quand considère t–‐on qu’il y a trop d’administrateurs du système ?
Conférence 13 : Securing the Internet : You’re doing it wrong (an INFOSEC Intervention), par Jayson Street Comment engager la direction d’une entreprise dans la sécurité ? Comment responsabiliser les utilisateurs finaux ? Comment participer à l’industrie INFOSEC ?
Conférence 14 : You spent all that money and you still got owned ? par Joe McCray Méthodes pratiques de l'identification et du contournement des solutions de sécurité dédiées aux entreprises tels que les Load Balancers, Network et Host–‐based Intrusion Prevention Systems (IPSs), Web Application Firewalls (WAFs), et Network Access Control Solutions (NAC).
Pour plus d'informations : http://www.hackinparis.com/talks