Sthack

14 - 06 - 2019

Bordeaux

Sthack was first held in 2011. The event takes place in Bordeaux and was first an overnight security contest. It was born from the desire of its founders to have a local CTF and to combine security and epicurean lifestyle.

It now provides 24 hours of an interesting atmosphere for open discussions about security with speakers from all around the world

Sthack is one of the main security event in Aquitaine (and France :D), with high quality line up of speakers !


Schedule

Time Location Title Author Abstract
9:00 - 9:45 Location Breakfast Staff Time for cofee, "cannelés" and "chocolatines"
9:45 - 10:00 Cinéma le Français Intro Staff We will try to write something :)
10:00 - 10:45 Cinéma le Français Mobile Cryptojacking and related abuse Axelle Apvrille Est-il possible de miner du Bitcoin ou d'autres crypto-monnaies sur un téléphone portable ? Certes, nos téléphones portables sont de plus en plus puissants, mais est-ce suffisant pour miner ? La réponse est plus compliquée qu'il n'y parait. Combien rapporte un mineur pour téléphone mobile aux cyber-criminels ? Est-ce rentable pour eux, ou pas ? Nous avons suivi les profits réalisés par certains d'entre eux, en utilisant les données publiques disponibles sur Internet: transactions et statistiques en direct de pool de minage. Outre le minage, il existe malheureusement plusieurs autres façons d'utiliser et voler les crypto-monnaies des victimes : vols via copié-collés malicieux, logiciels de demande de rançon, faux porte-monnaies etc. Quelles sont les méthodes les plus rentables pour les cyber-criminels actuellement ? Nous désassemblerons en direct un virus récent.
10:45 - 11:30 Cinéma le Français Retro-ingenierie et recherche de vulnerabilites sur les puces WiFi Broadcom bcm43 et leur pilotes. Phenol Les puces WiFi fabriquées par Broadcom sont présentes dans de très nombreux  produits: smartphone, laptop, IoT, etc. Nous verrons ici comment récupérer leur firmware, l'analyser et le fuzzer. Nous présenterons plusieurs vulnérabilités affectant les différents firmwares de ces puces, mais aussi le pilote propriétaire broadcom ainsi que le pilote Linux brmcfmac.
11:30 - 12:15 Cinéma Le Français IOT Security : Hack the Damn Vulnerable IOT Device Arnaud COURTY Le projet DVID est tout d'abord une initiative totalement OpenSource visant à permettre à chacun d'apprendre et s'exercer à la sécurité IoT. Basé sur des composants simples, il permet sous la forme d'une carte physique et de travaux pratiques didactiques de découvrir les vulnérabilités les plus communes et comprendre comment les exploiter
12:15 - 13:45 Location Drink and food TBD Of course there will be wine !
14:00- 14:45 Cinéma le Français DIY DNA OSINT ! Renaud Lifchitz Le premier séquençage complet du génome humain a nécessité des années d'efforts et a coûté environ 2,2 milliards d'euros en 2003. Aujourd'hui, il faut quelques semaines et quelques centaines d'euros pour obtenir son propre séquençage (ou celui de quelqu'un d'autre !). Plus de 20 millions de citoyens américains ont déjà séquencé leur ADN et plusieurs centaines de fichiers d'ADN brut sont disponibles sur le Web, parfois sans le consentement de leur propriétaire.... Même si l'ADN n'est pas un format complètement documenté, beaucoup de choses peuvent être trouvées contre quelqu'un en disposant de son ADN, particulièrement dans un cadre de social engineering.
14:50- 15:35 Cinéma le Français Abusing bash for Windows Antoine Cervoise Bash est de plus en plus présent dans l'environement Windows. Que ce soit au travers de Cygwin ou de WSL. Ce talk présente différents moyens de profiter de cet utilitaire pour un attaquant. Quels sont les méthodes d'éxploitation, que peut on récupérer .. ?
15:35- 15:50 Cinéma le Français Break Staff Will be time to finish the wine
15:50- 16:35 Cinéma le Français J'irais m'introduire chez vous Quentin De Priester & Jean Castel Quoi de plus efficace que de rentrer par la grande porte ? Il n'y a rien qui ressemble moins à une mission RedTeam qu'une autre mission RedTeam... Nous vous proposons de revenir sur nos moments particuliers de ces derniers mois. Ce sera l'occasion pour nous de parler drone, intrusion physique, escalade, spéléologie et sécurité !
16:40- 17:25 Cinéma le Français Rump You Prepare your best rump session !
20:00 - 8:00 Cdiscount CTF Staff Let's have some CTF tasks ! Beers and Food are waiting for you
Submit your talks : staff[at]sthack[dot]fr

CTF

"Capture the Flag" is a kind of compeon where people can practice offensive IT security. The "Flags" are passwords participants can obtain after having successfully exploited vulnerabilities in applications specifically developed for the challenge, they simulate confidential information. The Flags cost points, and the team that earns the most of point win the compeon.

At Sthack, teams are made up of 5 members max which fight for 12 hours. The points are calculated taking account of the teams that hack the challenge (Chall01 = 50*(NbTeams-NbTeamsThatSolvedChall01)). You can expect web applications, network forensic, reverse engineering, steganography and software exploitation.


Partners