La grande finale du CSAW CTF 2013
Après s’être démarquées lors des qualifications en septembre dernier, nos deux équipes de l’ÉTS, DCI-ÉTS et les CISSP Groupies, se sont rendues à New York du 14 au 16 novembre pour la finale du CSAW CTF 2013 au Polytechnic Institute of New York University. Le Cyber Security Awareness Week (CSAW), qui en était à sa 10e édition cette année, est un évènement qui regroupe conférences, compétitions et autres activités autour du monde de la sécurité informatique.
La journée du 14 novembre fut consacrée aux conférences THREADS (abordées dans un article écrit par mon coéquipier Félix Cloutier) et c’est le soir même que débutait la finale de cette compétition de sécurité informatique.
Parmi les défis qui nous ont été présentés, on y a trouvé des épreuves de cryptographie, des vulnérabilités XSS, des situations de concurrence (race conditions), des dépassements de tampon (buffer overflows), divers défis de rétro-ingénierie, ainsi qu’une faille de sécurité CRIME.
La faille de sécurité Compression Ratio Info-leak Made Easy (CRIME) repose sur la compression de données, sur la capacité de l’attaquante ou de l’attaquant à y injecter du texte avant sa compression ainsi que sur l’habileté de celui-ci à voir la longueur des données compressées. Elle consiste à injecter du texte dans le paquet original avant sa compression de façon à pouvoir deviner, en observant la variation de longueur du paquet compressé, le contenu du paquet original. En observant cette variation de longueur, l’attaquante ou l’attaquant peut ainsi savoir si le texte qu’il vient d’injecter était déjà présent dans le paquet original. De cette façon, il peut, morceau par morceau, reconstruire l’information qu’il recherche dans le paquet original. Cette faille permet donc d’obtenir une information censée rester confidentielle, par exemple l’identifiant d’une session web appartenant à quelqu’un d’autre (de façon à pouvoir ensuite se faire passer pour lui). Lors de ce défi, il fallait retrouver une clé secrète utilisée lors d’un échange entre deux machines en n’ayant accès qu’à la longueur du paquet compressé et en ayant la possibilité d’y injecter du texte avant la compression.
Ces défis nous permettent de constater à quel point il est important d’être prudent en tant que développeur ou développeuse d’application. En effet, il ne suffit que d’une erreur pour permettre à des gens mal intentionnés d’obtenir l’accès à des ressources protégées, ou de compromettre l’information confidentielle de nos usagers et usagères. Savoir comment exploiter ces failles nous permet également de mieux comprendre comment s’en protéger.
C’est donc Carnegie Mellon University qui ressort la grande gagnante avec la première et deuxième position, la première position ayant été remportée par Georges Hotz, mieux connu sous le nom de GeoHot. Je vous invite à rechercher son nom si vous n’avez pas entendu parler de lui, mais il est entre autres connu pour avoir été le premier à déverrouiller le iPhone et à pirater la PS3.
Seules équipes canadiennes présentes à la finale, nous nous sommes classés troisièmes et cinquièmes dans un classement de 15 équipes. Les CISSP Groupies, équipe de vétérans, se sont améliorés par rapport à leur 4e position de l’année dernière en terminant troisièmes alors que la deuxième équipe, qui en était à sa première participation, a terminé cinquième. Il y a donc une bonne relève qui continuera de bien représenter l’ÉTS à cette compétition pour les années à venir.
Lors des qualifications, les deux équipes de l’ÉTS s’étaient classées premières et deuxièmes au Canada et troisièmes et quatrièmes parmi les universités nord-américaines (sur un total de plus de 300 équipes).
La DCI, pour Délégation des compétitions informatiques de l’ÉTS, participe annuellement à plusieurs compétitions, et est toujours intéressée à entrer en contact avec plus d’étudiantes et d’étudiants motivés qui désirent se mesurer à d’autres et en apprendre davantage. Notre site web se trouve à l’adresse dciets.com. Vous pouvez nous joindre à l’adresse [connectez-vous pour voir les adresses courriel] et nous trouver sur Facebook au nom « DCI — Délégation des compétitions en informatique de l’ÉTS ».