Une enquête numérique au cœur du challenge « Objectif EAGLE »

Entre investigation numérique et enjeux de cybersécurité : immersion dans une aventure captivante.

Un scénario conçu pour les détectives numériques

Imaginez-vous traquant un groupe de cybercriminels, les Fantasmas de Rede, pour déjouer un complot orchestré contre une entreprise fictive, Aeroguard. C’est le défi qu’a proposé Objectif EAGLE, un événement de type Capture The Flag (CTF) et qui a transporté nos étudiants de La Plateforme dans une simulation grandeur nature alliant enquête, stratégie et résolution d’énigmes complexes.

Un défi permettant à tous les participants de se plonger dans l’univers fascinant de l’OSINT (Open-Source Intelligence), des investigations numériques et du dark web.

À La Plateforme, une équipe d’étudiants en 2ᵉ année option cybersécurité s’est formée pour relever ce défi ambitieux : Raphaël Attias, Jean-Alexandre Gealazzi, et Nicolas Duhamel.

Pour Raphaël et Jean-Alexandre, cette première expérience mêlait intimidation et excitation. Nicolas, quant à lui, a mis à profit son expérience tout en explorant de nouveaux outils, comme Mastodon, un réseau social décentralisé qui s’est révélé une ressource précieuse dans leurs recherches.

Un défi stimulant mêlant technique et stratégie

Dès le départ, le CTF a challengé les participants en les poussant à l’exploration de territoires méconnus :

• Accéder à un site bloqué géographiquement,
• Décrypter des photos pour identifier des lieux précis,
• Contourner des limitations techniques via des astuces techniques comme la modification du user-agent du navigateur,
• Localiser une adresse IP liée à une attaque par injection SQL, une tâche exigeant rigueur et méthode.

Dans l’ombre, les Fantasmas de Rede laissaient des indices subtilement dissimulés : des fragments de code enfouis dans des sites accessibles via le réseau TOR, des profils intrigants sur GitHub ou Bluesky, et des connexions suspectes avec des employés d’Aeroguard. Grâce à une analyse minutieuse, l’équipe a découvert une taupe interne, Mathilde De Guerigny, directrice des ressources humaines. Cette révélation a mis en lumière un réseau complexe mêlant dettes personnelles, transactions douteuses, et espionnage industriel.

Des découvertes inattendues sur des thématiques globales

En marge des missions principales, des quêtes annexes ont enrichi l’expérience :

• Exploration de lois telles que le programme Blue Lantern et l’article L151.3 du Code monétaire et financier, soulignant les ramifications légales des exportations militaires et des investissements étrangers.
• Identification d’activités illicites menées par une entreprise chinoise, révélant l’ampleur de l’espionnage industriel moderne.

Ces volets supplémentaires ont offert un panorama global des enjeux de la cybersécurité dans le contexte international, tout en renforçant leur compréhension des régulations qui structurent ces domaines.

Une aventure collaborative et des leçons marquantes

Plus qu’une compétition, ce CTF a été une aventure éducative intense.

Pour les novices, l’événement a ouvert une fenêtre sur le pouvoir des outils OSINT, capables d’extraire des informations cruciales depuis des données accessibles à tous. Ils ont pris conscience que, dans un monde où chaque clic peut laisser une empreinte, une recherche bien conduite peut dévoiler des vérités insoupçonnées.

Le travail d’équipe a également été central : les forces et les faiblesses de chacun ont été exploitées de manière complémentaire, permettant de surmonter des défis complexes. Cette collaboration a non seulement renforcé leurs compétences, mais aussi montré que des perspectives variées sont souvent essentielles pour résoudre des problématiques multidimensionnelles.

Conclusion

En conclusion, Objectif EAGLE s’est avéré bien plus qu’un simple exercice technique. Il a permis une immersion unique dans le monde de la cybersécurité et une initiation précieuse aux outils et méthodologies du domaine.

Pour les étudiants de La Plateforme, cette expérience restera gravée comme un tournant dans leur formation, un premier pas vers la maîtrise des enjeux numériques contemporains. Plus encore, ce challenge a souligné une vérité essentielle : dans un monde ultra-connecté, protéger les données n’est plus seulement une nécessité technique, mais un impératif sociétal.

Rédaction : Raphaël Attias, Jean-Alexandre Gealazzi, et Nicolas Duhamel
Etudiants en 2ème année spé Cybersécurité à La Plateforme_.
Crédits photo : Ministre des armées et des anciens combattants 

La Plateforme_ a participé à l’événement Capture The Evidences de la Gendarmerie Nationale !

Une immersion unique et originale au cœur des enquêtes cyber de la Gendarmerie Nationale.

Dans un monde de plus en plus connecté dans lequel les cyberattaques et les menaces numériques se multiplient, la Gendarmerie Nationale intensifie ses efforts pour protéger les citoyens et lutter contre les crimes informatiques.

C’est dans cette optique que le projet Capture The Evidences (CTE) a été mis en place par l’équipe Cyber de la Région de Gendarmerie PACA pour permettre aux jeunes talents et au grand public de découvrir l’univers des enquêtes cyber et les défis auxquels les forces de sécurité intérieure sont confrontées. Le 15 septembre 2024 a marqué le début de cet évènement qui s’étendait sur une durée de 1 mois.

Une équipe cyber de La Plateforme_ s’est spontanément engagée pour relever le challenge : Team « Les Plateformers » composée de Nadir, Sofiane G., Cyril, Nico et Cédric Messeguer.

Objectifs du projet Capture The Evidences

Le programme Capture The Evidences, visait donc plusieurs objectifs clés :

1. Faire découvrir le métier de cyber-enquêteur : L’objectif est de sensibiliser le public à la profession de cyber-enquêteur, en montrant les multiples facettes de ce métier exigeant.
2. Proposer une expérience inédite : En permettant aux participants d’observer et d’analyser les preuves numériques et le processus judiciaire, le programme offre un regard unique sur le croisement entre technologie et justice.
3. Attirer de nouveaux talents cyber : La gendarmerie souhaite recruter des jeunes passionnés par le cyber pour renforcer ses équipes et répondre aux besoins croissants de sécurité numérique.
4. Montrer le haut niveau d’expertise des forces de sécurité intérieure : Ce programme permet aussi de démontrer les compétences avancées des cyber-enquêteurs et la capacité de la Gendarmerie Nationale à traiter des cas complexes et sophistiqués.

Et le moins que l’on puisse constater au vu des éléments communiqués lors du débriefing réalisé lors du CyberGendDay du 31 octobre à l’Hotel de Région, c’est que le défi a été relevé haut la main!

L’enquête en cours : Redphishers & Doubleface contre IDSTARK

Le cas d’école mis en avant est une affaire impliquant un secret d’impression hautement sécurisé et un réseau criminel spécialisé dans les faux documents avec plusieurs éléments troublants :

• Un secret d’impression sécurisé ultra convoité : Le document visé contient des informations sensibles dont la sécurité est cruciale.
• Un groupe criminel organisé : Ce groupe est spécialisé dans la production de faux papiers, ce qui représente une menace importante pour la sécurité nationale.
• Un groupe de pirates informatiques chevronnés : Ces pirates jouent un rôle clé dans l’obtention des informations nécessaires pour falsifier les documents.

Cette enquête, couvrant une année entière d’investigations et d’opérations, illustre la complexité des cyber-enquêtes contemporaines. Les agents doivent retracer minutieusement les faits et caractériser chaque élément pour construire une preuve solide.

C’est un véritable jeu de piste proposé aux équipes mettant en scène plusieurs acteurs et factions.

Nous sommes donc dès le début plongés au cœur du « Principe de Locard », principe fondateur de la police scientifique qui établit que chaque individu laisse des traces de son action et emporte avec lui des traces de l’environnement dans lequel il a agi. Charge aux équipes engagées de trouver ces traces numériques et gagner des points !

Les forces en présence

La présentation de l’enquête révèle une intrigue dense et complexe avec des rebondissements dignes d’un film d’espionnage !

Les Redphishers : Ce groupe de hackers est au cœur de l’affaire. Dirigés par la mystérieuse « Maga Anna », ils sont soupçonnés d’être impliqués dans des opérations de phishing sophistiquées.

Le Gang Doubleface : Ce gang, dirigé par « Le Papillon », et composé de membres comme Eric Pixou et Jean-Paul Jasquier, est impliqué dans des activités de falsification de documents et de production de faux billets.

Les victimes et acteurs secondaires : L’affaire implique également plusieurs victimes et complices secondaires, comme « IDSTARK », l’entreprise dont les informations sensibles ont été compromises, ainsi que des personnages comme Tony, directeur général de la société, et Michel, directeur de l’usine. Ces personnages, bien que secondaires, jouent un rôle dans l’engrenage complexe qui relie tous les acteurs de l’enquête.

Les liens et ramifications : L’intrigue se déploie également autour de « Worm », un administrateur suspecté de complicité, et de « Momo Zaim », qui aurait tenté d’assassiner un membre du gang. D’autres criminels internationaux, comme le redoutable « Ramzan Féroce », aux connexions tchétchènes, viennent étoffer cette histoire de crime numérique et de cyber-espionnage.

Les challenges à résoudre

Des catégories variées pour des compétences diversifiées.

Les 101 défis proposés étaient répartis en 16 catégories, chacune jouant un rôle clé dans la résolution de l’enquête et permettant de guider les enquêteurs dans leur recherche de preuves.
Quand on sait qu’un CTF classique regroupe en général une trentaine de challenges des plus faciles aux plus complexes, … 101 challenges c’est surement un record !

Ces catégories recouvrent les champs de compétences suivants :

• Général : Connaissances générales en cybersécurité.
• Web : Sécurité des applications web.
• Reverse : Ingénierie inverse et analyse de code.
• Hardware : Sécurité des composants matériels.
• IoT : Sécurité des objets connectés.
• Radio : Analyse des transmissions radio.
• Téléphonie : Investigations sur les réseaux téléphoniques.
• OSINT : Open Source Intelligence, collecte d’informations publiques.
• Pwn : Exploitation des vulnérabilités pour prendre le contrôle des systèmes.
• Indus : Sécurité des systèmes industriels.
• IA : Intelligence artificielle et cybersécurité.
• Cryptographie : Analyse des méthodes de cryptage et de décryptage.
• Forensic : Analyse forensique des données numériques.
• Stégano : Détection de données cachées par stéganographie.
• Réseau : Sécurité et analyse des réseaux.

Chaque catégorie correspond à des exercices pratiques, permettant aux participants de s’initier aux aspects variés du métier de cyber-enquêteur.

Les premières étapes de l’enquête : l’OSINT

L’enquête commençait par une phase d’OSINT (Open Source Intelligence), une discipline incontournable en cyber-investigation. Cette phase impliquait l’identification de l’entreprise cible uniquement à partir de son nom, une épreuve qui a servi d’introduction au cadre de l’enquête. À partir du site web de l’entreprise, les enquêteurs ont pu en apprendre davantage, notamment grâce à des fichiers comme le fichier security.txt, qui permet souvent de retrouver les contacts de sécurité.

Un autre exercice consistait à découvrir le profil du responsable de la sécurité de l’information, un certain « sysadmin », en se basant sur des éléments présents sur des plateformes comme GitHub. Cette partie d’investigation publique a permis de souligner l’importance d’une gestion rigoureuse des informations partagées publiquement, montrant ainsi l’efficacité des outils OSINT pour révéler des informations sensibles accessibles à tous.

Techniques avancées : exfiltration de données et analyse de RAM

Au-delà de l’OSINT, la compétition a présenté des défis plus techniques, comme l’exfiltration de données par des protocoles atypiques tels que DNS et ICMP. Ces techniques d’exfiltration sont souvent utilisées par des acteurs malveillants pour contourner les mécanismes de surveillance réseau en exploitant des canaux non conventionnels, mettant à l’épreuve la capacité des enquêteurs à identifier et neutraliser ces stratégies.

L’enquête incluait également une étape d’analyse de la mémoire RAM, un exercice crucial pour les analystes en forensic. À l’aide de Volatility, un outil d’analyse de la mémoire vive, les participants devaient extraire des informations essentielles permettant d’identifier des traces de l’activité malveillante directement depuis la mémoire du système compromis. Ce type d’analyse a permis de renforcer la compréhension des participants sur l’importance de la mémoire dans la collecte d’indices numériques.

Stéganographie : des messages cachés dans le son

La compétition a ajouté une dimension intrigante avec des exercices de stéganographie, et plus particulièrement l’insertion de messages cachés dans des fichiers audio. En combinant techniques d’analyse audio et compétences en cryptographie, les participants ont dû révéler des messages dissimulés sous forme de code morse, un procédé qui leur a permis de faire appel à une méthodologie d’analyse interdisciplinaire, enrichissant ainsi leurs capacités de détection et de déchiffrement, et leur goût pour cette discipline assez peu connue.

Un tableau de score efficace et des gagnants récompensés

Chaque challenge rapportait un nombre de points définis, qui ne varient pas selon le nombre de résolutions, et pour ajouter au réalisme du CTE, le rapport à rendre avant le 20 octobre 2024 pouvait rapporter des points qui s’ajoutaient au total du score atteint lors de la phase de résolution.

En complément un serveur discord dédié était mis en place avec des canaux réalistes pour procéder aux réquisitions, et échanger avec le Directeur d’Enquête.

Les Gagnants de l’Édition

À l’issue du challenge, plusieurs participants se sont démarqués par leur expertise et leur rapidité à résoudre les problèmes. Les meilleurs d’entre eux ont été récompensés, avec le podium suivant :

Conclusion

Une première compétition aux statistiques exceptionnelles et une référence pour les prochaines générations de cyber-analystes.

En clôturant ce premier exercice de cyber-investigation grandeur nature, la Gendarmerie nationale PACA a réussi à proposer une expérience immersive et technique qui, en plus de renforcer les compétences des analystes, a permis d’illustrer les défis quotidiens auxquels les cyber-enquêteurs peuvent être confrontés.

Les quelques statistiques révélées lors de la première édition du CyberGendDay à Marseille sont juste exceptionnelles : 170 équipes, 651 joueurs, 101 challenges, 800 actifs (personnages, comptes de réseaux sociaux, etc.) et plus de 750 heures de passées pour 15 administrateurs de la plateforme du CTE.

Rédaction :  Cédric Messeguer,
Coordinateur Lab Cybersécurité de La Plateforme_.
Crédits photo : Région de gendarmerie PACA

La Plateforme_ sponsor de Barbhack 2024 : Une Journée riche en cyber-savoirs et retours d’expériences

Le 31 août 2024, le Palais des Congrès de Toulon a accueilli pour la 5^ème année la communauté cybersécurité pour l’événement annuel Barbhack 2024. Avec environ 500 participants venus des quatre coins du pays mais aussi de l’étranger. Découvrez dès à présent un retour sur les moments forts de cette journée ! 

Une 5 ème édition : Un véritable succès

Cette édition a été marquée par la présence de speakers experts sur des sujets variés allant de la Crise Cyber au contournement des EDR en passant par le reverse du firmware de voitures. Une atmosphère cyber électrisante, alliant expertise technique et moments de convivialité.

Superbe effervescence autour de l’événement : stand d’entreprises, conférences et experts qui partagent avec passion, leurs savoirs et expériences autour des métiers de la cyber sécurité et plus largement autour des nouvelles technologies. Un salon qui rassemble professionnels et passionnés dans une ambiance conviviale ! Julie Steiner, Chargée relations entreprises, La Plateforme. 

Au programme de la journée, 11 conférences, 14 rumps, 3 workshops et un CTF, le tout en mode all-inclusive !

En effet, chaque billet (avec des tarifs étudiants pour les plus rapides) comprend non seulement l’accès à la conférence, un t-shirt et une éco-cup au logo de l’évènement, mais aussi les repas et boissons de toute la journée, … barbecue du soir compris !

Pour la première année l’équipe de La Plateforme_ était présente, mettant en valeur notre offre unique de grande école du numérique pour tous avec des parcours de formations d’excellence en informatique aux frais de scolarité à partir de zéro euros, ouverts à tous les talents, sans conditions de ressources et de diplômes.

Gestion de Crise : Une Réalité Impitoyable

La journée a débuté par le retour d’expérience poignant de Jérôme POGGI sur la gestion d’une crise majeure à Marseille. Le public a suivi avec attention les détails d’un incident où 90 To de données ont été chiffrés, déclenchant une réponse de crise immédiate. Cette présentation a mis en exergue la nécessité de se préparer à l’imprévu, en insistant sur l’importance de conserver des accès de secours et de récupérer rapidement les indices de compromission avant qu’ils ne disparaissent.

L’intervenant a également souligné l’aspect crucial de la gestion de la communication en période de crise. Cette expérience a rappelé à tous que la cybersécurité ne se résume pas à des protocoles techniques, mais qu’elle implique aussi une gestion humaine et stratégique des crises.

Des Conférences à la pointe de la Cyber-sécurité

La grande diversité des sujets abordés lors des conférences a permis aux participants d’enrichir leur expertise dans de nombreux domaines clés de la cybersécurité, et certaines ont particulièrement marqué les esprits.

• L’enquête numérique en environnement cloud : Une présentation détaillant les défis uniques posés par les environnements cloud en matière d’investigation numérique. Des solutions pratiques et des outils spécifiques ont été discutés, offrant des réponses aux problèmes de collecte de preuves dans des systèmes distribués.
• La sécurité des infrastructures critiques : Cette session a mis en évidence les risques particuliers auxquels sont confrontées les infrastructures critiques, telles que les réseaux électriques et les systèmes de transport. Des stratégies pour renforcer la résilience de ces systèmes face aux cyberattaques ont été proposées, soulignant l’importance de la sécurité dans les secteurs vitaux.
• Les vulnérabilités des objets connectés (IoT) : Une autre présentation essentielle qui a exploré les failles de sécurité souvent négligées dans les dispositifs IoT. L’accent a été mis sur les méthodes d’exploitation et les mesures de protection, cruciales pour un avenir où l’IoT sera omniprésent.

Rumps et échanges autour du barbecue : Un lien fort entre les participants

Les « rumps », ces sessions plus informelles qui permettent des échanges directs entre les participants, ont été l’occasion de discussions stimulantes et de partages d’expériences concrets. Ces moments ont renforcé la dynamique communautaire, offrant un espace où chacun pouvait s’exprimer librement et apprendre des autres dans une ambiance détendue mais studieuse.

Ces échanges permettent d’aborder en mode express (une rump dure 5 minutes !) des sujets divers favorisant le réseautage et la création de liens professionnels solides. Le mélange de rigueur technique et de convivialité a fait de Barbhack 2024 un événement où l’apprentissage va de pair avec le plaisir de se retrouver entre passionnés.

Le CTF : Une compétition originale

L’un des moments forts de Barbhack 2024 a été sans aucun doute le Capture The Flag (CTF). Cette compétition, qui a opposé les meilleurs experts présents, a testé leurs compétences en temps réel sur une série de défis complexes. Les participants ont dû résoudre des énigmes techniques, pénétrer les systèmes sécurisés mis à leur disposition, et déjouer des mécanismes de protection, le tout dans une course contre la montre. Aspect original de ce CTF, pour la première fois une infrastructure virtuelle Windows entière avait été mise en place, votre objectif si vous l’acceptiez était de devenir Domain Admin ! Le CTF a offert une dimension pratique et compétitive à l’événement, permettant aux participants de mettre en œuvre les connaissances acquises lors des conférences et de prouver leur expertise dans un environnement simulé mais réaliste. Les gagnants ont été salués pour leur ingéniosité et leur rapidité, ajoutant une touche d’excitation et de reconnaissance à l’événement.

Barbhack 2024, Un Rendez-vous Incontournable

Barbhack 2024 a été pour nous plus qu’une simple conférence ; c’était un véritable foisonnement de savoirs, d’expériences, et d’innovations en cybersécurité, aussi bien du point de vue de l’attaquant (Ethical hacking ou Red Team) que de l’équipe de défense (Blue Team). Les participants repartent enrichis, non seulement de nouvelles connaissances et compétences, mais aussi d’une meilleure compréhension des enjeux critiques auxquels ils devront faire face dans un avenir de plus en plus connecté.

Cet événement s’est imposé comme un moment clé du calendrier de la cybersécurité, un lieu où se croisent technique, pratique, et stratégie dans une ambiance aussi productive que conviviale. En somme, Barbhack 2024 a une nouvelle fois confirmé son rôle de rendez-vous incontournable pour tous les professionnels du domaine.

J’avais hâte de participer à ce grand évènement qu’est Barbhack, depuis le temps que j’en avais entendu parler. Autant vous dire que j’ai été d’autant plus ravi de savoir que mon école La Plateforme comptait parmi les grands sponsors comme Airbus, Naval Group ou la DGSI. Cet événement était riche tant au niveau des conférences que des rencontres, j’ai déjà hâte d’y participer l’an prochain avec ma team pour capturer tous les flags possibles et représenter l’école. Keira, Etudiante B2 Cybersécurité, La Plateforme.

C’était bien organisé, les conférences était de qualité, il y en avait pour tous les goûts, une préférence néanmoins pour la présentation par le RSSI lui même sur la compromission de la mairie de Marseille lors des élections municipales. Voilà ce qui je pense est à retenir de cette événement. Abed El Mouamine BEN AHMED, Etudiant B2 Cybersécurité, La Plateforme.

Rédaction :  Cédric Messeguer,
Coordinateur Lab Cybersécurité de La Plateforme_.