CPU ⬜ Carré Petit Utile

Extrait de l'émission CPU release Ex0244 : THCon 10 ans.

Bonjour à vous, audilectrices et audilecteurs et surtout amatrices et amateurs de la face numérique de nos civilisations.

C'est une chance.
C'est une chance énorme d'avoir à Toulouse un événement tel que la THCon, la Toulouse Hacker Convention, qui a fêté cette année ses 10 années et fait preuve d'une très bonne santé. Un événement annuel professionnel qui n'est pas un événement marketing, dont la programmation s'axe surtout sur la technique, dont le ticket d'entrée reste d'un tarif abordable, et qui peut inviter des conférenciers de très haut niveau.
Et surtout un événement qui se passe dans une très bonne humeur, alors que l'on y parle avant tout de sécurité informatique, de tentatives de compromissions et de pénétration, de défense périmétrique et de niveau de dangerosité, ce qui en général dès qu'on y met un commercial en cravate-costard, affiche une mine grave et concernée et sort des sophismes devant une assemblée professionnelle consternée. Au contraire : on a un peu de l'ambiance de la DEFCON de Las Vegas ou du CCC, le Chaos Communication Congress de Hambourg, à une échelle bien plus réduite, puisqu'on y trouve que 200 spectateurs dans l'amphithéâtre de prestige de l'université Paul Sabatier comme écrin.

Et je tiens à signaler dès maintenant aux grincheux, mauvais coucheurs et censeurs ignares en informatique et en droit que ce type d'événement est parfaitement légal, et je dirais même plus : absolument nécessaire afin d'assurer la solidité de nos systèmes. Il faut juste savoir réfléchir avec son cerveau pour y aller et comprendre quelque-chose, plutôt que réfléchir les arguments de lobbyistes commerciaux très quelconque, demandant au hasard d'affaiblir les systèmes de chiffrement.

Du 5 au 7 Mai 2026 a donc eu lieu cette dixième édition, dont nous fûmes dans l'assistance.

Et avant ça, Lundi 4 mai, eu lieue en préambule une demi-journée de conférences , à l'IRIT qui est le centre de calcul de l'Université Paul Sabatier. Une demi-journée scientifique « Sécurité pour et par le matériel », organisée par l'ICO, l'Institut de Cybersécurité d'Occitanie. Des conférences en français qui présentaient les derniers travaux en analyse et compromissions de systèmes de chiffrement. Lors de ces 5 conférences, des représentants du LAAS-CNRS (le laboratoire du numérique), du LIRMM (Laboratoire robotique et microélectronique de Montpellier), des démonstrations d'attaques par Ninjalab (un laboratoire de recherche privé sur les failles en side-channel) et Thales (sur les micro-architectures et l'implémentation de secrets).

Pour vous expliquer le type de travaux qui y furent présentés, disons que vous avez un système de tokens d'authentification en clé USB. Le genre d'engins qui sont utilisés pour la double-authentification par les salariés des très grandes banques internationales et les entreprises très très très sensibles, mais que vous pouvez aussi avoir à utiliser sur des comptes à cryptomonnaies. En clair, ce que vous aurez très rarement en France ou dans une administration publique. Normalement, la clé privée n'est absolument pas extractible de ce genre d'engins.

Enfin… normalement. Car nous avons vu des démonstrations à base d'analyse de consommation électrique, de tirs lasers (eh oui !), de scanners à champs magnétiques, d'abus de micro-instructions et autres joyeusetés. Nous en parlerons très prochainement dans une autre release de CPU tellement ces attaques technologiques sont incroyables, et là, on n'est plus seulement dans la programmation logicielle. C'était dense, passionnant, effrayant pour son compte bancaire et qu'un amuse-méninges pour la suite de la semaine.

Mardi 5 et Mercredi 6 mai, premiers jours de la THCon, nous avons eu droit dans le prestigieux grand amphithéâtre de l'Université Paul Sabatier à de passionnantes conférences.
Point important à noter : ces conférences furent faites en anglais, ce qui a toujours été la règle pour la THCon. Non pas par snobisme ou pour écarter les moldus qui s'y égareraient, comme diraient certains dans notre équipe, mais parce que les intervenants invités venaient du monde entier, parfois d'Arabie Saoudite ou des États-Unis. C'est dire la réputation qu'a acquis la THCon à l'international et ladite réputation n'est absolument pas usurpée, elle.

Je vais résumer très succinctement les termes abordés. Accrochez-vous, la liste est très dense :

• Comment sont menées des attaques sur des réseaux mobiles pour tromper des smartphones et implémenter des dispositifs d'écoutes ;
• Les différentes méthodes d'attaques pour arriver à deviner une clé secrète enfouie au sein d'un processeur, aussi bien en analysant sa consommation électrique, qu'en jouant sur des effets de bords d'instructions ;
• Une étude de la sécurité du protocole WirelessHART, un protocole sans fil industriel dans la bande des 2.4 GHz ;
• Le framework python open-source de hacking sans fil WHAD (Wireless Hacking Devices) ;
• CasinoLimit, un framework conçu par l'INRIA d'identification de risques sur la base de vulnérabilités connues dans le catalogue MITRE ;
• Comment détecter la présence d'un malware par l'analyse du bus d'un système embarqué, au hasard, un train, un avion ou un satellite ;
• Les problèmes de sécurité dans des applications écrites en vibe-coding. Un classique depuis 3 ans, mais un rappel toujours salutaire qu'un code écrit par une IA génératrice n'est pas toujours facilement auditable ou bien clair ;
• Le standard d'analyse de risque EBIOS-RM mis au point par l'ANSSI ;
• Les bugs d'architecture matériels exploitables par des personnes malveillantes ;
• Comment un langage de programmation peut espérer éviter les possibilités d'injections de vulnérabilités ;
• Les dernières inventions business dans la cybercriminalité, vue par une spécialiste du renseignement militaire américain. Une économie souterraine dont l'oratrice estime le volume d'affaire généré par les arnaques et extorsions à 10,5 mille milliards de dollars l'année dernière, soit à peine moins que le PIB de la Chine ;
• La méthode développée par Airbus pour capitaliser sur les tentatives d'intrusions pour mettre en place des systèmes d'alertes ;
• Les attaques par ré-écriture du master boot record de votre disque dur [pas le groupe de métal italien], ce moment dans le démarrage de votre ordinateur entre l'UEFI et le lancement de votre système d'exploitation usuel où un programme peut tourner avec le maximum de privilèges sur le matériel ;
• Les tentatives de découvertes de logiciels de triche dans les FPS, parce que là aussi, y'a du mouron à vous faire, et pas que quand vous jouez ou que vous pariez en ligne ;
• Et la recherche de possibilités d'attaques multifactorielles dans un système complexe.

Ouais, deux journées très très très très très très denses, avec un retour bienvenu sur les 10 ans de la THCon, et la possibilité de toujours exploiter des failles qui ont un certain âge.

Et à côté des conférences, des stands professionnels et aussi des ateliers afin d'échauffer phalanges et méninges dans une saine compétition de hacking.

Parce que le badge pour suivre les conférences était complété par un badge électronique de chez Dvid.eu, un badge programmable conçu pour éduquer à la pénétration sans consentement par Bluetooth, Wi-Fi ou via les bus I2C, UART, JTag et autres protocoles séries.
Comme Enflammée me l'a fait remarquer, il est beau comme un badge de la DEFCON, et un spécialiste du Tetalab l'a trouvé fort bien conçu avec des composants de qualité. Au prix de notre participation, c'était plus que rentable !
Un jeu a été proposé aux participants à la conférence : extraire de ce badge farpaitement sécurisé une clé secrète qu'il embarque dans son code. Histoire de repartir avec quelques lots rigolos. Le challenge étant au final de faire tourner sur le badge, le jeu Doom. Ouais, ce bon vieux FPS. Sur un écran de 96 par 48 pixels monochrome.
J'ai même pas eu le temps d'oser tenter : Deux concurrents l'ont fait en moins de deux heures. C'est vous dire comment les participants étaient d'un très haut niveau.

Pendant ce temps, dans les travées, tout le monde parlait de la dernière faille assez violente qui touche tout l'écosystème linux, la faille copy.fail et ses dérivées. Nous en parlerons dans cette release avec DXC://0 qui était lui aussi parmi les spectateurs.

Jeudi 7 a été lancé le Capture The Flag de l'événement, un concours durant 24 heures que je pourrais expliquer comme un escape game d'énigmes numériques. Nous allons aussi parler de CTF avec Cryptax durant cette release.

Bref, cette belle première semaine du mois de mai, on aurait pu la passer à tenter de bronzer entre les giboulées dans le toujours magnifique campus de Rangueil, mais à la place, on a décidé de se prendre des coups de chaud et de froid en termes de sécurité informatique.
Y'a eu aucun mort, aucun blessé, aucune donnée privée divulguée, mais soyez assurée que dans l'assistance, bien des egos, furent blessées, bien des croyances furent violentées, mais c'est justement le but de ce genre d'événement, rappeler que, comme on l'a souvent dit, A.C.A.B, All computers are broken et que tôt ou tard, une faiblesse deviendra le levier d'attaque d'une puissance adverse.

Si le niveau pouvait sembler ardu et demande des connaissances qui peuvent sembler très avancées en informatique et électronique, en plus d'un niveau d'anglais oral confirmé, la THCon est accessible à des étudiants (certaines écoles privées achètent des places à cet effet), à des développeurs d'applications lambda type web et appli mobiles, tout en côtoyant dans les fauteuils des responsables de laboratoires d'antivirus, des responsables sécurité de grandes entreprises, des chercheurs de faille et des bétonneurs d'applications.
Car si toutes les conférences dont j'ai donné qu'un très court résumé, sont disponibles en vidéo comme pour les précédentes, notre meilleur conseil reste d'aller les vivre sur place, d'aller discuter, échanger, bricoler, tester, bref de découvrir cette communauté. Car comme tous les événements techniques dont nous parlons dans notre émission (au hasard : Capitole du Libre, Paris Web, Devfest Toulouse), le programme officiel, leur discord et les enregistrements des conférences n'en sont qu'un aperçu. Ce qui se passe sur place est encore plus instructif.
Et plus il y aura de public, plus ces événements seront assurés d'exister une année de plus, avec peut-être encore plus de participants, de communications stupéfiantes, de magie pure à apprendre.

Nous remercions les organisateurs et les bénévoles pour la qualité de l'événement, les sponsors pour qu'il accueille son public avec respect, et vous ! Oui, car outre moi et Benoît, nous avons eu plaisir de retrouver des auditeurs de CPU.

Textes : Da Scritch
Photo : macro flou du badge, CC-By-NC Da Scritch