Compétition de sécurité informatique

illustration20090331022.jpg(Chronique modifiée à 19 h 45) Loin de moi l’idée de vous infliger un autre poisson d’avril ce matin, mais, croyez-moi, je suis présentement entouré de « hackers »; dans cette vie, rien ne m’aura été épargné ! Je suis en plein centre d’une compétition de sécurité informatique parrainée par l’Institut de sécurité de l’information du Québec (ISIQ) dont vous voyez ci-contre le directeur, Jacques Viau, en compagnie de l’animateur de l’événement, le collègue Denis Talbot. Je n’ai pas encore aperçu de reste de pizza, mais les haut-parleurs crachent du hard rock, quasiment métal et quelques mines patibulaires m’ont déjà repéré en émettant de sinistres « hé-hé-hé ».

illustration2009033101.jpgPour tout dire, je suis en train de couvrir la troisième édition de cet événement haut en couleur, un événement qui, cette année, met en présence quinze équipes universitaires ou collégiales du Québec et de la France (ajout de 13 h 10: les Français et les gens de McGill ne se sont pas présentés…). On est loin des vrais « hackers », on est plutôt devant les futurs professionnels de l’industrie. (Ajout de 19 h 45) Pour l’instant, ce sont des étudiants, des gens du réseau académique québécois qu’un organisme mal financé, l’ISIQ, collabore à former en sécurité informatique, sans que le ministère de l’Éducation ne lève le petit doigt.

Depuis hier, ces commandos ont comme objectif de rendre leur serveur le plus impénétrable possible tout en essayant de déjouer ceux des autres équipes. De plus, de temps à autre, on leur inflige des épreuves supplémentaires. Vers 16 h, aujourd’hui, on connaîtra le nom des trois équipes gagnantes, lesquelles se partageront des prix d’une valeur de 5 000 $.

Pourquoi un tel concours ? D’expliquer Jacques Viau, « la sécurité de l’information est devenue un enjeu majeur dans les entreprises puisque les infrastructures informatiques sont maintenant de plus en plus exposées aux cyberattaques. » Dois-je vous rappeler que c’est probablement le segment du crime organisé qui prospère le plus depuis quelques années ?

Cela étant dit, je vous glisse quelques photos et je vais, de ce pas, me promener, cueillir des commentaires, des points de vues, question d’essayer de bien vous informer tout au long de la journée.

À tout à l’heure !

ligne3.jpg

illustration2009040103.jpg

ligne3.jpg

illustration2009033104.jpg

ligne3.jpg

illustration2009033105.jpg

ligne3.jpg

illustration2009033106.jpg

ligne3.jpg

illustration2009033108.jpg

ligne3.jpg

illustration2009040109.jpg

ligne3.jpg

illustration2009033110.jpg

ligne3.jpg

Ajout de 13 h 10

Metallica joue tellement fort que je ne m’entends pas taper. Par contre, la bouffe n’est pas si mal. Pas de pizza, mais des crudités et des sandwich santé.

Jacques Viau vient de me raconter qu’hier, ils ont convié les équipes à une épreuve surprise, consistant à craquer deux réseaux sans fil (WiFi). L’un était protégé avec un WEP et un filtrage d’adresse MAC, l’autre avec un WPA. Or, 12 minutes plus tard, toutes les équipes avaient déjoué le WEP et celle de l’Université de Sherbrooke avait craqué le WPA. Douze minutes ! Quand on connaît l’importance relative de la protection WEP en comparaison avec celle du WPA, on ne peut que frémir. Et dois-je rappeler que bien des gens n’ont même pas de WEP ?

On vient de mettre fin à une nouvelle épreuve inattendue. On a demandé aux équipes d’essayer de s’infiltrer dans un serveur bien protégé sans se faire repérer par les cerbères logiciels. Tout un art ! L’idée est de ne pas trop envoyer de paquets. Juste assez pour ne pas attirer l’attention. Sinon, crac ! Les molosses attaquent et vous bouffent tout cru.
(Ajout de 13 h 40)L’équipe la plus ratoureuse, la plus furtive, celle qui ne s’est pas fait pincer est celle de l’École de technologie supérieure 2 (photo ci-après). Bravo !

ligne3.jpg

illustration2009040111.jpg

ligne3.jpg

Ajout de 13 h 40

En me promenant, j’ai constaté que la salle était lourdement masculine. En fait, je n’ai rencontré qu’une fille, Justine Dieppedale (photo ci-après), étudiante au bac en informatique à l’Université de Sherbrooke. Elle fait partie de cette équipe qui, hier, a craqué WEP et WPA WiFi.

Denis Talbot vient d’annoncer aux équipes une nouvelle épreuve. Il s’agit simplement de trouver de l’info sur une page Web facilement accessible, ce qui va leur permettre de découvrir comment pénétrer dans un commutateur. De là, s’ils y arrivent, il pourront fouiner pour découvrir un certain numéro de téléphone. Hum ! (Ajout de 14 h 00: C’est l’équipe de l’Université Laval qui a trouvé le numéro. Bravo !)

ligne3.jpg

illustration2009040112.jpg

ligne3.jpg

illustration2009040113.jpg

ligne3.jpg

Ajout de 14 h45

En circulant au travers des tables, j’ai posé quelques questions sur le niveau de préparation que les équipes avaient connu, sur ce qui les avait marqués, sur les leçons qui se dégageaient, sur leur expérience personnelle. Mes interlocuteurs étaient étudiants en technique de gestion de réseau, au bac en génie logiciel ou en informatique. Les plus jeunes avaient un peu moins de 20 ans, les plus vieux autour de 25. Tous avaient des réserves par rapport au mot « hacker » et se définissaient plus comme « défenseur », « bon gars au chapeau blanc » au lieu de « menace ».

Il se dégage de ma virée que tous semblent avoir « allumé » plus qu’ils ne l’étaient déjà au départ sur les questions de sécurité informatique. Voici quelques remarques que j’ai notées:

« On a compris que pour se prémunir contre les attaques, il fallait se mettre dans la peau d’un pirate, penser en pirate. Ainsi, on le voit venir. Il pense toujours une «coche» d’avance. »

« On a appris qu’on ne connaissait rien en sécurité informatique ! »

« Naturellement, on est prédisposé pour l’attaque ou la défense. Un exercice comme celui-ci nous permet de mieux nous connaître; on voit ainsi nos forces et nos faiblesses. »

« La sécurité informatique, il n’y en a jamais assez. Ce n’est pas quelque chose de statique. Il y a toujours une nouvelle faille qui surgit ! »

« En sécurité, je sais maintenant qu’il ne faut jamais baisser sa garde, qu’il faut prendre note de tout, même de ce qui nous semble insignifiant. Rien ne doit être laissé pour compte. »

« On réalise maintenant à quel point un réseau est vulnérable et facile à pénétrer. On sait maintenant de façon concrète comment ça se fait. On sait que le Web est un endroit dangereux et qu’il existe des outils pour le craquer. »

« On a appris ici beaucoup plus que pendant nos cours; on peut parler d’une mise en pratique extrême. Sans compter la richesse de l’interaction qu’on a eue avec nos collègues des autres équipes. »

« Nous avons acquis de meilleurs réflexes, nous avons appris à utiliser de bons outils et nous avons découvert le travail en équipe. »

ligne3.jpg

illustration2009040114.jpg

ligne3.jpg

illustration2009040115.jpg

ligne3.jpg

Ajout de 16 h 45

Les trois formations gagnantes viennent tout juste d’être proclamées. Le 3e prix, celui qui salue la deuxième équipe ayant le mieux sécurisé ses serveurs, revient aux gens de l’UQAM (alias UQAM@BDC09). Le 2e qui est remis à la bande ayant découvert le plus grand nombre de vulnérabilités sur les autres serveurs, revient à l’équipe no 1 de l’ETS (alias Team Random), enfin, le 1e prix, honneur qui reconnaît l’excellence de l’équipe ayant le mieux sécurisé ses propres serveurs sur le circuit, est accordé aux gens du Collège Édouard-Montpetit (alias Sens-Unique).
Félicitations à tous !

Ajout de 19 h 45

Je viens de corriger mes fautes, dans le calme de mon bureau où la seule musique que j’entends, est celle de mon feu de bois qui crépite. Serais-je rendu trop vieux pour produire un texte potable sous influence de Rock Metal ? Question intéressante !

Publicités

30 réflexions sur “Compétition de sécurité informatique

  1. Est-ce que cette compétition a un site? J’aimerais avoir plus de détails. Craquer un réseau protégé en WEP est à la portée de tous, mais on est dans le noir quant à la difficulté d’infiltrer le serveur, puisqu’on ne sait même pas quels services roulent dessus. C’est un serveur Web, mail ou autre? Quels genres de détails ont les équipes? À quels genre de conditions doivent-ils se soumettre dans cette compétition. Que leur dit-on quand on leur soumet une nouvelle épreuve? J’aimerais bien savoir.

  2. YO Ma’am belette-lachinoise

    Ce Mercredi 1 Avril 2009 vous avez remarqué:

     » Zéro fille sur les photos!  »

    Mes hommages Madame. AFAIK les fouineurs (hackers) sont très majoritairement des hommes, jeunes, parlant anglais et bon en maths …

    Si vous aviez hacké cet article vous auriez remarquée que l’avant-dernière photo est celle d’une fille. (Car il y en a qlq 1s)

    STFW n00b :
    http://www.google.ca/search?hl=fr&safe=off&rlz=1B3GGGL_frCA320CA320&q=hackers+%2B+women&btnG=Rechercher&meta=&aq=f&oq=

    Puis installez Ubuntu ou une autre mouture Linux, BSD Unix si vous avez du guts (et OpenBSD si vous avez des ******** IMHO ).

    😉


    Claude LaFrenière [climenole]
    Qc city, Canada
    Not an Anonymous Coward, therefore:
    http://www.google.com/s2/profiles/111152488607912291231?hl=fr&zx=cfrw6lacngsd

  3. Comment me procurer un WEP ? Je viens d’installer un wirless chez moi afin de jouir de ma PS3 et de mon ordi en même temps. Sauf que je ne trippe pas à l’idée d’avoir simplement la connection  »la plus sécurisée » offerte par défaut sur mon D-Link hehehe.

  4. Je viens de visiter leur site et il est vraiment vide de contenu technique. Tout les textes semblent cibler des gestionaires plutôt que des gens techniques. C’est dur d’y être plus intéressé et de prendre cette compétition au sérieux, ce qui est triste pour les équipes qui y participent.

    @louisphilippep

    Eh? Je ne comprends pas ta question. Si tu veux savoir comment activer WEP sur ton routeur, lis ton manuel. Si tu veux savoir s’il y a mieux que WEP, la PS3 fonctionne avec WPA2.

  5. Ce matin, les photos, ça s’arrêtait au paquet de fils bleus!

    Je n’apprécie pas du tout qu’on m’accuse de ne pas savoir lire. 😦

  6. Le CRIM, et Jacques Viau aka le pire institut de sécurité au monde et le pire intrus en sécurité en informatique.

    (note de modération: j’ai retiré un paragraphe qui portait des accusations que je n’ai pas le temps de vérifier
    N. Dumais)

    Voir un des nombreuses preuve: http://www.securityfocus.com/archive/1/435155

    Svp. Arrêtez-moi l’affichage des commentaires vide de sens de ce « super » Viau.

    Merci

  7. @pontobumbleroot

    Concernant les épreuves les participants on peu de détail, si ce n’est que les serveurs à pirater ou les thèmes surprise. La plupart des attaques se font de par leur connaissance et en analysant les serveurs/page web/service fonctionnant sur lesdites machines.

    L’an passé chaque équipe avait 2 serveurs (Un Windows et un *nix) et ils devaient s’entre attaqué. De plus, le Crim avait mis sur place (parfois) quelques serveurs mal sécurisés à pirater et des activités telles que : Novell, Oracle, Wep, analyse réseau sans être détecté, etc.

  8. @pontobumbleroot

    Merci j’arriverai à poursuivre avec ça. Je croyais qu’un WEP était un acronyme pour parler d’un accessoire supplémentaire à installer. Je suis assez profane de ce côté, je veux juste pouvoir profiter du wireless en sécurité pour ainsi dire. J’ai sélectionné la  »plus sécurisée » quand on m’a demandé selon mon guide d’installation le type de connection wireless que je désirais implanter.

  9. Une autre preuve affligeante, par la pratique, que le WWW n’est plus. Parlons plutôt du WWC (World Wide Computer), dixit Nicholas Carr, The Big Switch, 2008. Mes machines (sous Windows) sont suspectes. À voir cette compétition, j’ai comme une hésitation à toucher au clavier, et la webcam est devenu un outil primitif. Semble aussi que les prosélytes Linux n’hésitent pas à s’afficher.

  10. @louisphilippep

    Je vais essayer de résumer et caricaturer mes connaissances de bases dans ce domaine.

    En gros, WEP, WPA, WPA 2 sont des protocoles de communication avec encryption (brouillage) entre les composantes sans-fil (ordi à routeur). Ce qui se promène dans les airs, peut malheureusement être lu et vu par d’autres antennes, lire un troisième ordinateur et qui écoute la discussion entre les deux premières composantes. En comprennant ce que les deux premiers ce disent, il peut ainsi voler de l’information.

    La grosse faiblesse du WEP c’est qu’en communiquant avec le routeur, il doit constament donner le mot de passe pour avoir un droit d’accès au routeur et un 3ieme ordinateur, même s’il ne comprend pas le discour encrypter, peut deviner le mot de passe assez rapidement dans le jargon.

    Pour caricaturer davantage: tu veux entrer dans un party VIP arable, mais tu es Québecois unilingue. Pour entrer, tu dois fournir un mot de passe secret. En écoutant, à portée de voie à l’extérieur, les arabes qui veulent entrés disent toujours le même mot/son. Ainsi, tu as de bonnes chances de pouvoir entrer malgré ton manque de connaissance de la langue arabe.

    Le WPA 1 et 2 visaient à régler le tout, en changeant les modes de communications et les règles d’accès. Cependant, ils ont d’autres faiblesses et ne sont pas parfaite.

    Aucun système n’est parfait et c’est pourquoi, il existe des firewall et des logiciels de détection des tentatives de connexion, mais ce ne sont que des mesures additionnelles dans un monde de 0 et de 1 et il faut être en mesure de donner les bons 0 et 1 pour passer inaperçus. WPA 2 ca demeurera le plus sécurisée et en n’étant pas un réseau du système de défence américain, tu as de bonnes chances d’avoir la paix avec tes voisins. Sache que tu ne seras pas sécuritaire à 100%, mais une bonne clé encryptée à 128 bits sur WPA2 risque d’être un bon minimum.

    Le plus troublant c’est de savoir la facilité de percer ces réseaux et le sentiment de sécurité qu’ils procurent à ceux qui les installent … Par chez nous une banque (non non je ne la nomme pas) à un wi-fi tout près de ma clinique médicale. Un bon matin en attendant mon rendez-vous avec le médecin, je me suis pris à vouloir me connecter à leur routeur et v’lan un ti logiciel bien connu me trouve la clé WEP en peu de temps 2 à 5 minutes. Simple recherche sur le réseau de fichiers *.xls/*.doc et vlan la liste des clients (si pas complète, elle était pas mal fournies avec 3000 entrées). Allo la sécurité… Les bilans personnels, coordonnées et les cibles de sollicitation étaient présents. Je savait même quels conseillers faisaient le plus de vente et quels étaient ses objectifs … J’y vois ici 2 problème, le semblant de sécurité du wi-fi et l’insouciance d’un employé de laisser sur un portable/borne internet non sécurisée des informations aussi vitales.

    Très bon sujet pour un journaliste ça …

  11. Mon commentaire n’apportera rien de plus que celui de claude-henri (Grignon)…

    Le gars avec son DELL (je crois) et ses autocollants de Firefox et Ubuntu : yeaaaah!

    Le gars avec son Sytem76: yeaaaaah!

    Il est assez loufoque de voir qu’on doit étudier en sécurité informatique mais pas en «hacking». À quand le baccalauréat ès piratage et le doctorat ès sécurité informatique?

    @Nelson

    Un peu de musique qui brasse, c’est ce que ça prend dans ce genre d’événement. Histoire de se faire «crinquer» le taux d’adrénaline. Je n’irais pas avec Cannival Corpse, cependant. Ça te fige la circulation sanguine cette musique là!

    La Dauphin fort math-TIC

  12. @jpmononk

    euh pourquoi ?!? c’est pas windows ou Linux qui est en cause dans la sécurité, mais ce que l’on en fait et la qualité de nos mesures de sécurité. Le serveur doit être solide, les mises à jour faites partout et ne pas laisser trop de fichiers importants. Par exemple, après avoir fait ton rapport d’impôt sauvegarde le fichier .TAX qui se sauvegarde sur un support amovible tel qu’un CD ROM et affce le de ton ordi ou demande au compteux du coin de faire de même.

    Même chose dans mon exemple précédent.

    Le plus drôle j’ai vu une PME qui c’était fait offrir une soumission pour protéger ses devis techniques, brevets et plan CAO/CAD de ses produits. Ils avaient une soummission à l’époque pour LE système de protection qui coutait deux bras. Ce que j’ai suggérer au dirigeant (membre de la famille) met les sur un CD ROM, car vous les consultés que 3 ou 4 fois par mois et c’est pour les imprimés. Pour éviter d’être espionner sur l’ordi qui les consulte utilse une borne interne non reliés à Internet. Coût total, juste les CD, car la borne était un veil ordinateur. Des fois faut juste être rigoureux et logique. Ça va au delà de l’OS.

  13. Question a Nelson ….

    D,autres convention (blackhat/Defcon) sur la sécurité parlent de certain outils et des menaces qu’ils représentent comme Kismet/Kismac entre autre ou bien des remotes de vers/trojan comme anormis et cellis .

    Est-ce que cette exercice ont plus longuement parler comment se prémunir de ce genre de problème ou bien c’était simplement au niveau de la forme et rendre compte du possible ?

  14. @louisphilippep

    De rien. On ne peut pas tout savoir. Au moins, tu poses des questions.

    @jpmononk

    Faut pas devenir fou quand même (dixit le mec qui a trois niveaux de firewalls à la maison).

    @pathetiq

    Merci. Tu dois déjà avoir participé à la compétition à ce que je vois. Il n’y avait pas de règles ou de détails spéciaux? Une liste spécifique de services à rouler ou l’interdiction de se lever et aller inspecter l’architecture du réseau à l’oeil par exemple. J’imagine par contre, d’après ce que tu as écrit, que vous deviez vous limiter aux deux serveurs sans autres mesures de sécurité externes.

  15. @jpmononk

    Je suis allé voir qui était ce Nicholas Carr et votre message fait encore moins de sens maintenant. Son WWC ne semble qu’une tentative maladroite de laisser son nom dans la courte histoire de l’informatique et rien de ce qu’il avance est nouveau. Vous ne semblez pas avoir bien compris ce qu’est le WWW non plus en mélangeant son WWC et WWW. Si, déjà vous avez peur de toucher à votre clavier, voudriez vous faire confiance à un serveur situé à 2000 km de vous et administré par un tiers?

    De plus, cette compétition n’est pas une preuve que le World Wide Web se meurt. Si cette compétition est comme plusieurs autres, une grosse partie ne devrait même pas toucher le WWW.

  16. @claude_lafreniere

    l’informatique se fait dans la langue du commerce, l’anglais en l’occurence. quel est le lien avec une partie de votre signature « Qc city », est-ce que c’est pour faire plus « gangsta » ?

  17. Nelson : «Je viens de corriger mes fautes, dans le calme de mon bureau où la seule musique que j’entends, est celle de mon feu de bois qui crépite. Serais-je rendu trop vieux pour produire un texte potable sous influence de Rock Metal ? Question intéressante !»

    Oh que non, ce n’est pas l’âge! J’peux t’en trouver une bonne «trâllé» parmi ceux qui me dévisagent pendant une heure et quart, qui écoutent de cette musique et ne savent pas écrire. Conclusion : c’est la miouzik!

    Le Dauph intra-veineux

  18. Hum, Question stupide, mais j’ai regarder la photo avec le paquet de RJ45, et je me demandais, est-ce que tout les ordis sont relier sur la même switch, pour pénétrer dans le serveur, pourquoi ne pas simplement avoir sniffer le réseaux, tu capture les paquets vers le serveur X, et tu tente de briser le cryptage des échanges SSH, bon en même temps … c’est peut’être que c’est un peux à la bourrin mon truc, et ils auraient pu facilement se protéger contre ce genre d’espionnage…

  19. Aussi j’aimerais bien savoir sous quel OS ils ont fait tourner leurs serveurs, c’était au choix? Debian? ETCH, ou Lenny, FreeBSD, Slackware, Gentoo?

  20. A ouais, mais j’ai jamais utiliser … donc… \o/ j’ai pas le réflexe de le mettre dans ma « liste » des OS pour serveur

  21. @ belette-lachinoise

    Ben voyons Mme Belete Lachinoise :-S

    Je voulais seulement vous taquiner un peu. Je me doutais bien que la photo de la fille n’était pas publiée quand vous aviez porté votre premier commentaire. S.v.p. ne pas tout prendre au tragique.

    Bien cordialement.

    @ claude-henri

    Vous avez demandé:

    « l’informatique se fait dans la langue du commerce, l’anglais en l’occurence. quel est le lien avec une partie de votre signature “Qc city”, est-ce que c’est pour faire plus “gangsta” ? »

    Non c’est pour faire enrager mes compatrioretardés. C’est mon côté provocateur. J’ai aussi un côté sucré mais seulement pour les jolies filles sauf celles qui ont un MAC. (Je refuse de dire pourquoi publiquement).


    Claude LaFrenière [climenole]
    Qc city, Canada
    Not an Anonymous Coward, therefore:
    http://www.google.com/s2/profiles/111152488607912291231?hl=fr&zx=cfrw6lacngsd

  22. @ Claude_Lafrenière

    Je ne suis pas plus anonyme que toi et je ne m’arroge pas le droit de traiter les autres de retardés pour autant.

    Pas fort, celle-là!

  23. Cher Claude-le-pas-peureux.

    Tut-tut-tut. Ton excuse est faiblette, c’est assez évident que tu pensais que la photo avec une fille était là plus tôt. Je te met 4/10.

    Alex

  24. @ dennis_dubeau

    Pas LES autres: certains autres… (relisez svp) 😉

    Pour être tout à fait précis je n’ai pas écrit que les anonymous cowards sont des retardés mais que mes « compatriotards » sont des retardés ce qui donne le mot-valise: compatrioretardés.
    (Pour le suffixe « ard » je vous laisse trouver.)

    Pour lire des choses plus horrifiantes sur ce sujet voir le (simili? demi?) blog de Patrick Lagacé.

    Tribus, je vous hait! :-O !

    Idem pour le combat contre l’anonymat de mauvais aloi … (Il vous manque le contexte mais ce n’est pas de votre faute. C’est quasiment un ‘inside gag’…)

    @ alexanticosti

    Faiblette ou pas la justification était vraie. Pour le 4/10 je vous trouve pas mal sévère avec moi d’autant plus que l’évidence dont vous parlez ne prouve rien. Avez-vous consulté mes logs de connexion? 😉

    Question au sujet du sujet de ce billet de N.D. :

    Sur les photos on ne voit aucun gars la barbe pas faites, ni de café, ni de T-Shirts malpropres ni même des indispensables croûtes de pizza éparpillées partout: sont-ce de véritables hackers? 😉

    Bonne journée à tous et gardez le sourire (quand même).


    Claude LaFrenière [climenole]
    Qc city, Canada
    Nota Bene: Commentaire republié sur Google Notebook, FriendFeed et Twitter.

    Not an Anonymous Coward, therefore:
    http://www.google.com/s2/profiles/111152488607912291231?hl=fr&zx=cfrw6lacngsd

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s