Symposium sur la sécurité des technologies de l'information et des communications

Conférence d'ouverture par Céline Entfellner, directrice de la Fabrique Numérique au sein du commissariat numérique de défense, au Ministère des Armées.

Home automation technologies are widely deployed in both domestic and enterprise environments. Philips Hue, in particular, is a leading smart lighting platform. As with many IoT products, however, uneven code quality and limited hardening can lead to serious security implications.

As part of Pwn2Own Ireland, we identified several bugs that allowed full compromise of the Philips Hue Bridge, the control center of the Hue lighting system. Due to its central role, an attacker may manipulate the lighting network to disrupt home automation, but also gain a persistent foothold into the local network.

In this talk, we will go over the internal architecture of the bridge before presenting a chain of bugs targeting a flawed implementation of Apple's HomeKit protocol.

We will also discuss a vulnerability reachable via Zigbee, a wireless protocol used by many smart home appliances. While it is used by the bridge to communicate with accessories such as light bulbs, it introduces a valuable attack surface for physically close attackers.

In both scenarios, we will demonstrate how these bugs were exploited to gain root access on the device.

Présentation d'Unblob

Unblob est une suite d’extraction open source (licence MIT) dédiée à l’analyse de firmwares et autres binary blobs, conçue pour être à la fois précise, sûre et rapide. Elle prend en charge une large gamme* de formats (archives, compressions, systèmes de fichiers) et permet une extraction récursive tout en signalant les données inconnues restantes. L’outil est utilisable aussi bien en ligne de commande que comme bibliothèque Python, ce qui facilite son intégration dans des pipelines d’analyse automatisés.

L’objectif principal d’Unblob est de permettre l’extraction fiable de firmwares hétérogènes. Contrairement à des outils traditionnels comme Binwalk, Unblob identifie précisément les délimitations (offsets de début et de fin) des composants extraits et gère les formats multi-fichiers ou multi-volumes. Cette approche réduit les faux positifs et améliore la prise en charge de firmwares fragmentés ou non standards.

Contenu de la démonstration

La démonstration (15 minutes) s’articulera autour des points suivants :

• Présentation rapide de l’outil : problématique adressée et principes de fonctionnement (détection d’offsets, extraction récursive, rapport JSON).
• Extraction en conditions réelles : analyse d’un firmware afin de mettre en évidence la rapidité et l’efficacité d’Unblob dans l’identification et l’extraction automatique des différents composants.
• Sécurité : illustration du sandboxing via Landlock à travers un cas d’extraction potentiellement malveillant, montrant comment Unblob empêche toute écriture hors du périmètre autorisé.
• Modularité : présentation du développement d’un handler simple en Python, accompagnée de retours d’expérience issus de la conception et de la maintenance de plus d’une centaine de handlers.
• Intégrations : aperçu de l’intégration d’Unblob dans des outils et plateformes tierces (ex. Binary Ninja, EMBA) et de son usage dans des workflows d’analyse de firmware à grande échelle.

Références

• Dépôt du projet : https://github.com/onekey-sec/unblob
• Documentation officielle : https://unblob.org

* 70 formats supportés dans la version publique, 130 dans la version commerciale.

Dans le cadre de ses missions, l'ANSSI collecte et analyse des données techniques potentiellement sensibles sur les systèmes de ses bénéficiaires.

Pour sécuriser ces informations tout au long de leur cycle de vie (collecte, transport, archivage), leur chiffrement est indispensable. En outre, les volumes importants de données nécessitent une compression efficace, tout en respectant des contraintes spécifiques, telles que la minimisation de la perte de données en cas de troncature ou de corruption.

Pour répondre à ce besoin, l'ANSSI a développé l'outil Multi Layer Archive (MLA), publié en open source en 2020. En 2025, pour répondre aux nouveaux enjeux de type "Harvest now, decrypt later" une seconde version majeure a été publiée, intégrant une hybridation cryptographique pour résister aux attaques quantiques futures, ainsi qu'un nouveau format conçu pour une robustesse accrue sur le long terme.

Cet article vise à exposer les défis concrets posés par l'hybridation cryptographique, en s'appuyant sur le cas d'usage de MLA 2, dont le développement a débuté en 2024. Il détaille comment l'ANSSI a mené cette transition post-quantique dans un contexte où les standards étaient encore émergents et les choix algorithmiques sujets à débat parmi les cryptographes, tout en proposant une solution pragmatique et opérationnelle.

Secure Messaging apps are used by billions of people daily. However, due to imminent threat of a “Harvest Now, Decrypt Later” attack, secure messaging providers must react now in order to make their protocols hybrid-secure: at least as secure as before, but now also postquantum (PQ) secure. Since many of these apps are internally based on the famous Signal’s Double-Ratchet (DR) protocol, making Signal hybrid-secure is of great importance.

In fact, Signal and Apple already deployed various Signal-based variants with varying levels of hybrid security: PQXDH (only on the initial handshake), and PQ3 (on the entire protocol), by adding a PQ-ratchet to the DR protocol. Unfortunately, due to the large communication overheads of the Kyber scheme used by PQ3, real-world PQ3 performs this PQ-ratchet approximately every 50 messages. As we observe, the effectiveness of this amortization, while reasonable in the best-case communication scenario, quickly deteriorates in other still realistic scenarios; causing many consecutive (rather than 1 in 50) re-transmissions of the same Kyber public keys and ciphertexts (of combined size 2272 bytes!). In this work, we present a new Signal-based, hybrid-secure messaging protocol with improved complexity compared to PQ3: the “Triple Ratchet” protocol.

– First, Triple Ratchet uses erasure codes to make the communication inside the PQ-ratchet provably balanced. This results in much better worst-case communication guarantees compared to PQ3.

– Second, we design a novel variant of Kyber, called Katana, with significantly smaller combined length of ciphertext and public key (which is the relevant efficiency measure for “PQ-secure ratchets”). For 192 bits of security, Katana improves this key efficiency measure by over 37%: from 2272 to 1416 bytes. In doing so, we identify a critical security flaw in prior suggestions to optimize communication complexity of lattice-based PQ-ratchets, and fix this flaw using recent advances in lattice security proof techniques.

This protocol has been developed with the Signal team, and some ideas discussed in this work have been brought into production by Signal, as explained in their blog post: https://signal.org/blog/spqr/.

This submission is based on this EUROCRYPT 2025 paper: https://eprint.iacr.org/2025/078. While the original paper was aimed at cryptographers, we aim to make this presentation more geared towards an audience of security practitioners. We will first present the threat model and design rationale of the original Double Ratchet protocol. We will then highlight how this design breaks when trying to port it naively to the post-quantum setting. Finally, we will present our improved protocol and explain how it is tailored to the quirks and unique properties of post-quantum cryptographic primitives. Our presentation will be in French.

WireGuard is widely deployed in industry thanks to its performance, simplicity, and reduced attack surface. As organizations prepare for the post-quantum transition and the "harvest now, decrypt later" threat, VPN handshakes must evolve without compromising operational constraints such as packet size, latency, and extended attack mitigation. In this talk, we revisit post-quantum WireGuard, presenting a redesign that significantly improves deployment feasibility compared to prior work. Our construction reduces server-side key storage requirements by factors of 190–390× while strictly adhering to WireGuard’s practical constraints. Along the way, we discuss the challenges of migrating real-world protocols to the post-quantum setting, highlighting how we uncovered and addressed several pitfalls in earlier proposals.

This presentation is based on our full paper, to appear at S&P 2026. This talk focuses on the high-level ideas and practical implications of our work.

Cet outil recherche des polynômes secrets ML-KEM en mémoire (dans un processus ou dans un dump), et tente de reconstruire une clé secrète ou un secret partagé encapsulé. Le programme utilise la représentation sous la forme NTT (Number Theoritic Transform) des polynômes secrets pour détecter leur présence en mémoire.

L'outil est disponible sur le lien suivant : https://github.com/Almond-EU/mlkemkeyfind

---

This tool search and find for ML-KEM secret polynomials in memory (in live process or in a file dump), and try to reconstruct a secret key or an encapsulated shared secret. This program makes use of the representation under the NTT (Number Theority Transform) of secret polynomials to detect their presence in memory.

The tool is accessible at the following link: https://github.com/Almond-EU/mlkemkeyfind

Frinet est un plugin pour IDA qui intègre les données de trace d’exécution au désassembleur. Ces traces représentent une mine d’or d’informations à propos du programme cible. La corrélation de ces données permet de traiter efficacement des tâches qui étaient jusque-là manuelles et fastidieuses. Cependant, un défi technique subsiste : en conditions réelles, les traces d’exécution peuvent atteindre et dépasser le milliard d’instructions, tandis que le backend actuel sature aux alentours de 200 millions.

Pour passer à l’échelle, un changement de paradigme s’impose : plutôt que de parcourir linéairement la trace, l’état du processus à un instant donné est désormais recherché spatialement, tel un point dans une forêt de rectangles. Cet article détaille la conception de ce nouveau backend de Frinet fondé sur les Packed Hilbert R-Tree.

La complexité croissante des systèmes modernes rend la recherche de vulnérabilités difficile, car l'identification des chemins d'attaque est elle-même difficile. Les graphes de provenance sont une abstraction qui facilitent cette identification, en reliant les processus, les ressources et les flux d'information. Dans ce travail, nous introduisons les graphes de provenance à états étendus (State-Expanded Provenance Graphs ou SEPG) afin d'aider un évaluateur en cybersécurité à identifier des vulnérabilités dans un système partiellement connu. Nous nous appuyons sur des traces légères d'appels système, tout en conservant une construction indépendante de la méthode de collecte de traces. Nous proposons des solutions au problème de sur-connexion (over-linking,) dans lequel les modèles de processus persistants peuvent corréler à tort de nombreuses entrées avec des sorties, masquant ainsi de véritables chemins d'attaque. Deux techniques complémentaires sont présentées pour résoudre en partie ce problème d'over-linking, capables de passer à l'échelle dans des systèmes complexes et hétérogènes. L'approche est illustrée à l'aide d'un exemple, et nous décrivons un outil interactif qui aide les évaluateurs à explorer les traces du système et à interagir avec le graphe de provenance résultant. Des interactions itératives avec l'outil produisent des graphes plus petits et des chaînes causales plus claires, améliorant ainsi l'efficacité de l'analyse.

Recursive functions are a fundamental programming pattern for processing nested data structures. However, recursion on untrusted input introduces a frequently overlooked vulnerability: attackers can trigger stack exhaustion to cause Denial of Service (DoS) attacks. This vulnerable pattern affects diverse programming languages, including memory-safe languages like Rust. This paper is two-fold. First, we document the journey of building an effective CodeQL query detecting recursive functions, including the challenges and iterations required to make it work in practice. Second, we apply the query to real-world codebases and present analyses of vulnerabilities discovered in major open source projects.

Un fabricant propose des cartes SD permettant de protéger leur contenu à l'aide d'un mot de passe. Le mécanisme utilisé est relativement simple mais avec de nombreuses couches d'obfuscation ce qui le rend plutôt intéressant à analyser.

Ce mécanisme est pourtant faillible, et il est possible de contourner la protection par mot de passe en modifiant un paramètre accessible sans authentification, ce qui rend cette protection inutile.

En plus des fuzzers traditionnels s'appuyant sur l'instrumentation de code source, beaucoup d'efforts ont été investis dans le développement de fuzzers pour logiciels en boîte noire. Des exemples notables de tels fuzzers, basés sur l'émulation, sont qemuafl ou encore TriforceAFL.

LibAFL est une bibliothèque qui fournit une multitude de composants afin de construire des fuzzers. Récemment, le support pour Intel PT a été ajouté à LibAFL comme nouvelle source de couverture de code. Cette technologie a déjà été utilisée dans le même but par le passé, notamment avec kAFL/Nyx.

Intel PT est une fonctionnalité offerte par le processeur qui permet de collecter des traces d'exécution au niveau matériel, sans nécessiter d'instrumenter le code source ou d'émuler la cible. Celle-ci peut s'exécuter avec des performances quasi natives, sans avoir à exécuter des instructions supplémentaires. De plus, cette approche est utilisable pour une large variété de logiciels, qu'il s'agisse de binaires Linux et Windows, ou de pilotes noyaux.

Cette soumission propose plusieurs exemples de fuzzers construits au dessus de LibAFL et d'Intel PT. Deux fuzzers simples (<< baby fuzzers >>) sont disponibles pour fournir une démonstration dans des cas simples: l'un cible une fonction très simple sur Linux et l'autre un bootloader simpliste s'exécutant dans QEMU/KVM grâce à LibAFL QEMU. De plus, il est possible de trouver un fuzzer plus réalistes ciblant la bibliothèque libpng.

LibAFL est entièrement open source et disponible sur Github à l'adresse: https://github.com/AFLplusplus/LibAFL

Fuzzwizard est un orchestrateur permettant de gérer des fuzzers 24/7.

Cette soumission présente l'analyse d'un micrologiciel de montre connectée conçu pour un système-sur-puce JieLi AC6958 qui repose sur un processeur Pi32v2. Cette architecture héritée des processeurs Blackfin n'est pas entièrement supportée par Ghidra, rendant la rétro-ingénierie de code très difficile.

La soumission détaille donc la méthodologie employée pour identifier les instructions manquantes, comprendre leur encodage et ajouter ces dernières dans une implémentation incomplète initiée quelques années auparavant par un autre chercheur. Elle détaille les spécificités du langage SLEIGH de Ghidra ainsi que certains usages avancés qui nous ont été nécessaires vu la particularité de certaines instructions Pi32v2. Enfin, elle présente les résultats de notre analyse qui a été rendue possible grâce à l'amélioration du support de ce processeur dans Ghidra.

L'implémentation en SLEIGH du processeur Pi32v2 est sous licence libre et disponible dans un dépôt Github.

Les réseaux de capteurs industriels s'appuient sur des mécanismes de communication déterministes et sécurisés afin de répondre à des contraintes strictes de fiabilité et de temps réel. WirelessHART est un protocole sans fil basé sur la norme IEEE 802.15.4 qui répond à ces exigences. Il constitue une extension sans fil du protocole HART, offrant une communication bidirectionnelle entre instruments industriels dits intelligents. Malgré son utilisation au sein d'environnements industriels potentiellement sensibles, la sécurité de ce protocole a été peu étudiée et essentiellement de façon théorique. En effet, peu d'outils sont aujourd'hui disponibles pour analyser et surveiller ce protocole pourtant critique, limitant significativement l’étude des mécanismes de sécurité déployés. Dans cet article, nous décrivons un protocole expérimental qui nous a permis d’évaluer en pratique la sécurité du protocole WirelessHART. Nous avons notamment déployé un environnement réaliste sous la forme d’un réseau de capteurs industriels Dust (Analog Devices), et étendu le framework WHAD en développant un sniffer nous permettant de capturer et d'injecter du trafic au sein du réseau. Sur cette base, nous avons pu évaluer plusieurs attaques de l'état de l'art reposant sur l'injection de paquets malveillants, ainsi qu'identifier une attaque de désynchronisation lors de nos expériences. Nous présentons le modèle de menace considéré et la conception des primitives nécessaires pour la mise en œuvre pratique de ces attaques.

Les vecteurs d’attaque basés sur les Group Policy Objects (GPOs) peuvent être décrits comme les vilains petits canards de l’exploitation Active Directory. Dans le monde de l’audit offensif d’environnements internes, une certaine réticence à l’implémentation de chemins de compromission supposant la manipulation de GPOs est régulièrement observée, et ce, malgré leur potentiel certain. Une telle situation résulte en une sous-estimation de l’impact et de la criticité de ces vecteurs d’attaque, en raison d’un manque de démonstration concrète des risques qui y sont liés.

Diverses raisons peuvent être avancées pour expliquer un tel manque de popularité, et la plupart d’entre elles sont liées à certaines limitations de l’outillage existant : pas ou peu de fonctionnalités visant à répondre aux risques inhérents à la manipulation de ces composants d’infrastructure sensibles, pas de possibilité de nettoyage après exploitation, possibilités d’injection et de manipulation des GPOs limitées.

GroupPolicyBackdoor est un outil visant à répondre à ces limites en proposant un cadre d’exploitation stable et modulaire des GPOs. Écrit en Python à partir des librairies ldap3 et smbprotocol, l’outil est disponible sur Github (https://github.com/synacktiv/GroupPolicyBackdoor). Son objectif est de permettre une meilleure évaluation des risques liés aux vecteurs d’attaque passant par la manipulation de GPOs en démontrant leur impact concret.

ETW (Event Tracing for Windows) est une infrastructure de télémétrie puissante mais souvent méconnue des équipes Blue Team et Red Team.

Bien qu'historiquement concue et utilisée pour le diagnostic, le debug système et l'analyse de performance, cette dernière est de plus en plus utilisée au sein des EDR et solutions de sécurité pour sa capacité à apporter une dimension d'analyse comportementale autrefois absente des antivirus plus classiques.

Des outils intégrés, tels que Logman, Tracelog et Tracerpt ont ainsi été progressivement intégré au système d'exploitation pour manipuler ces informations, et d'autres outils ont vu le jour de par la communauté sécurité pour explorer les possibilités liées à certains providers, comme KrabsETW ou SilkETW.

Ces outils sont toutefois orientés "consommation" de traces et visualisation en temps réel sur le terminal et ne capitalisent pas sur le format natif de stockage des journaux d'événements au format .etl. Par ailleurs, il est souvent nécessaire de déjà connaître les providers intéressants à étudier, ce qui peut complexifier leur cout de prise en main. Enfin, ces outils ne sont aujourd'hui plus maintenus.

L'outil Metamorph tente donc de répondre aux limitations existantes pour simplifier la recherche sur les signaux ETW et fournir un peu plus de transparence sur les signaux réellements traités par les EDR avec :

• La possibilité de stocker la télémétrie au format .etl pour laisser la possibilité d'être ingéré comme un event log classique,
• La possibilité de générer des sessions pré-définies correspondant au même niveau de télémétrie que certains EDR en une seule commande.

The video game industry is a $200B+ market with 3.3 billion users, yet its security receives a fraction of the scrutiny it deserves. Drawing on 15 years building game engines and two decades defending them, Philippe Paquet maps eleven interconnected threat areas and shows how familiar they look: kernel-mode anti-cheat versus BYOVD, hypervisor and DMA-based evasion, cheat loaders that are indistinguishable from rootkits and infostealers, credential stuffing and account farming at scale, supply-chain exposure, and virtual economies used for laundering. Expect concrete cases, including a $76M cheat operation dismantled in China, and a candid look at why the "cheat" players pay for is often the breach itself. A tour of an adversarial ecosystem with real engineering behind it, seen from both sides of the fight.

Les chaînes CI/CD constituent des environnements complexes, reposant sur de nombreux composants en interdépendances, et occupent une place de plus en plus critique au sein des entreprises. Ces caractéristiques en font des cibles privilégiées pour les attaquants et rendent les tests d'intrusions particulièrement pertinents pour évaluer et renforcer leur niveau de sécurité.

Cet article présentera comment les runners ou agents de la chaine de CI/CD peuvent être exploités par un attaquant pour élever ses privilèges au sein la chaine de CI/CD et de l'entreprise.

En nous appuyant sur divers exemples, nous présenterons le fonctionnement de ces systèmes, les privilèges et attaques permettant d’y obtenir un accès initial et les possibilités d’élévation de privilèges et de latéralisation qui en découlent.

Les pipelines CI/CD sont par nature des systèmes privilégiés. Ils détiennent des secrets, déploient des charges de travail et communiquent directement avec des systèmes de production. Contrairement aux interfaces d'administration classiques, ces systèmes sont accessibles par un public bien plus large (développeurs, opérateurs, processus automatisés). Cette combinaison en fait une cible de choix pour les attaquants : compromettre les pipelines revient à s'emparer des clés du royaume.

Helm est l'un des nombreux outils essentiels dans un environnement CI/CD Kubernetes. Il simplifie le partage de packages applicatifs, appelés charts, afin de déployer des applications complexes tout en permettant aux administrateurs de ne configurer que les options et paramètres nécessaires. Cependant, comme tout élément intervenant dans une chaîne de déploiement automatisée, il introduit ses propres risques de sécurité.

Lors de l'audit d'un tel système, nous avons découvert une injection YAML dans un template Helm déployé par ArgoCD. Étonnamment, il n'existe pas de ressource détaillant les possibilités d'injections dans des templates Helm. Le but de cette présentation est donc de décrire cette classe de vulnérabilité et son exploitation jusqu'à la compromission d'un cluster, ainsi que de proposer des recommandations concrètes pour s'en prémunir.

GitHub est une plateforme largement utilisée par les particuliers comme par les entreprises pour héberger du code et automatiser des pipelines CI/CD via GitHub Actions, ce qui en fait une surface d’attaque intéressante. Au-delà de l’exposition classique de code et de secrets (credentials, tokens, CI secrets), certaines fonctionnalités comme l’OAuth device flow et les workflows GitHub Actions peuvent être détournées pour obtenir un initial access sans compromettre d’identifiants ni contourner le MFA. Lorsque des self-hosted runners sont déployés au sein de réseaux de confiance, un contrôle même limité sur un repository peut alors mener à de l’exécution de code à distance, à l’extraction de secrets (la plupart du temps sensible) et pour finir à la compromission de systèmes internes et d'environnement cloud.

Dans cette présentation, nous traiterons principalement des points suivants :

1. Vecteur d'accès initial réaliste basé sur le OAuth device code phishing, permettant d’obtenir des GitHub tokens sans vol de credentials ni contournement du MFA.

2. Comment un contrôle limité sur un repo contenant des fichiers de workflows Github Actions suffit à transformer GitHub Actions en primitive d'exécution de code à distance, notamment via des self-hosted runners.

3. Extraction de secrets et usurpation d’identité d'un runner

4. Les impacts en termes persistence, mouvement latéral (interne/cloud)

5. Les mesures de défense associées.

Un système SAP ERP, aussi appelé simplement SAP, est un environnement de logiciels assistant les entreprises dans de nombreux processus métier (Gestion des stocks, paies des employés, gestion clients, etc.). En vertu de sa fonction, un tel système héberge et a accès à une quantité importante de données sensibles, telles que des coordonnées bancaires, des fiches de paies ou des secrets industriels. Cependant, SAP est un environnement fermé, peu accessible pour des entreprises de cybersécurité. Il existe peu de recherches sur la sécurité de cet environnement pourtant complexe. À raison, les logiciels SAP sont payants et réservés aux entreprises clientes. L'outillage public est limité et vieillissant pour la plupart, voire abandonné.

Ici, Synacktiv souhaite apporter sa pierre à l'édifice en éclaircissant deux concepts fondamentaux d'un système SAP : l'authentification des utilisateurs et leurs autorisations. Des outils open-source permettant d'explorer ces concepts, et de les exploiter, seront publiés à l'issue de la présentation.

Au-delà de l'outillage développé, ce document détaille l'analyse du format propriétaire des "Logon Tickets", jusqu'ici peu documenté publiquement. Nous démontrerons comment ce mécanisme permet de transformer une lecture de fichier arbitraire sur un système SAP, en une compromission totale du système dans sa configuration par défaut. Bien qu'elle soit peu connue, cette fonctionnalité de "Logon Ticket" est prévue par l'éditeur et par conséquent n'est pas une vulnérabilité.

1. Rump 0 (CO)
2. SAEtan ou tofu? petite vue sur SAE-PK (Jézabel ‘Ajabep’ Parmentier)
3. La crypto-agilité (et son importance en milieu industriel) (Quentin Delage)
4. Fuites en transition sur HQC (Arthur Villard)
5. The bot left a fingerprint: détecter et attribuer des mots de passes générés par des LLMs (Gaetan Ferry)
6. Hacke ton corps au SSTIC (Aris Adamantiadis)
7. Retex: avoir un C2 à son insu (Jan)
8. Open SLEIGH : Des specs CPU plus mieux (Jack Royer)
9. Winreg (Ebrix)
10. JAWS les dents du cloud (Pasdoue)
11. Frama-C dans Sentry-Kernel: preuve du W^X (Philippe Thierry)
12. Quelques nouvelles de Hackropole (Ambre Iooss)
13. Contournement de restriction sur les stockages USB (Antoine Cervoise)
14. La course à la billetterie (Christophe Grenier)
15. Magic hashes - un cas pratique (maggick)
16. Supervision de sécurité (Cyril Poirret)
17. La session utilisateur la plus sécurisée ? (Corentin Mors)
18. Pwner du grenier (Tomtombinary)
19. ENCORE ETW, vos paquets s'il vous plait ()
20. Olé! Package (Philippe Lagadec)
21. Wi-Fi + EAP + xG = Problèmes (Tristan Claverie)
22. Suricata Language Server 2.0 et Stamus AI Tools (Eric Leblond)
23. Comment booster son cyber égo (en trichant) (Hugo Vincent)
24. Bonnes pratiques pour bien stocker ses secrets sur GitHub (guedou)
25. Méthodologie de purple team (Maël Auzias)
26. reverse de chaîne d'injection de cheat ()
27. La smartwatch Gifi, partie 2 (Damien Cauquil)
28. On recrute (Nicolas Ruff)

Nous commencerons par présenter APT28, un mode opératoire d’attaque associé à la Direction Générale des Renseignements (GRU) de l'État-Major des Forces Armées de la Fédération de Russie. Ce mode opératoire s’inscrit dans le contexte de la guerre en Ukraine, ce qui en fait une menace actuelle ciblant l’Ukraine, et ses alliés, dont la France. Depuis 2022, ce mode opératoire utilisait majoritairement des implants à usage unique ou utilisés pendant un cours laps de temps ainsi qu’une infrastructure basée sur des équipements de bordures compromis, souvent peu supervisés. Depuis décembre 2024, APT28 utilise une chaîne d’infection plus évoluée composée de plusieurs implants en C, C++ et .NET qui, contrairement aux précédents implants, est vouée à être ré-utilisée. Nous présenterons alors comment l’analyse de ces implants en 2025 nous a fait prendre conscience que les outils d’intelligence artificielle peuvent dès à présent accélérer le travail d’un analyste de logiciels malveillants mais qu’il manquait une couche d’orchestration pour obtenir une meilleure automatisation. Cela nous a mené à développer un outil d’aide au reverse de logiciel malveillant à l’aide d’intelligence artificielle. Nous détaillerons donc le fonctionnement global de la solution d’un point de vue méthodologique ainsi que les résultats obtenus sur les différents implants de cette chaîne d’infection.

Les objectifs sont ainsi de présenter à l’auditoire :

• Une menace étatique Russe via sa chaîne d’infection actuelle. Ce MOA a aussi pour particularité d’utiliser des équipements de bordure compromis comme infrastructure opérationnelle. Ces équipements ont pour avantage (ou inconvénient) d’être peu supervisés et souvent non mis à jour. L’objectif est donc aussi de sensibiliser l’auditoire à cette problématique et aux TTPs d’APT28.
• Comment des outils à base de LLM peuvent actuellement aider à analyser ce type d’implant en présentant notre approche et nos résultats (qu’il s’agisse des succès mais aussi des limitations). Nous espérons que cela contribuera à donner un meilleur aperçu des possibilités d’automatisation du reverse engineering via LLM en allant plus loin que la simple utilisation d’un serveur MCP.

Private key leaks represent a critical security vulnerability, with over 430,000 leaked keys on GitHub in 2025, yet their real-world impact remains largely unknown due to the challenge of linking these mathematical objects to their operational usage. We present the first systematic analysis mapping leaked private keys to active certificates, combining GitGuardian's dataset of 945,560 unique leaked private keys with Google's historical Certificate Transparency databases. Our methodology successfully mapped 42,690 private keys to 139,767 certificates, revealing the impact of private keys leaked on GitHub and DockerHub. Using custom online and offline validation, we identified 2,622 valid certificates, enabling website impersonation and MITM attacks. Our analysis reveals systematic failures in certificate revocation practices, with only 80 certificates revoked via CRL/OCSP and just 3 properly marked as key-compromised. Finally, we successfully attributed certificates to 600 organizations across critical industries, though many could not be mapped to identifiable owners. With 20% of valid certificates having been exposed for over two years, our large-scale responsible disclosure campaign sent thousands of emails and revealed significant challenges in reaching certificate owners.

IronHusky est un acteur de menace persistante avancée sinophone apparu en 2017. Ses cibles principales sont les agences gouvernementales, qu'il attaque à des fins de cyberespionnage. Ce groupe est particulièrement connu pour exploiter les vulnérabilités afin de déployer ses implants, qu'il s'agisse de failles zero-day ou déjà connues. Par exemple, en 2018, IronHusky a utilisé la vulnérabilité CVE-2017-11882 pour diffuser les implants malveillants PlugX et Poison Ivy lors d'une campagne liée à la rencontre entre le Fonds monétaire international et le gouvernement mongol. De plus, en 2021, ce groupe a été observé en train d'exploiter la faille zero-day CVE-2021-40449 pour attaquer des organisations militaires, de défense et diplomatiques situées en Europe et en Asie via une porte dérobée nommée MysterySnail.

Depuis la publication de l'exploit CVE-2021-40449 en 2021, aucune information n'a filtré concernant les activités de cet acteur de menace, qui a disparu des radars des chercheurs. Nous avons toutefois récemment découvert une nouvelle campagne de cet acteur, ciblant des institutions gouvernementales, des organismes scientifiques et des entreprises industrielles. Cette campagne a débuté mi-2024 et ses dernières traces ont été observées fin 2025.

Dans cet article, nous fournissons des informations sur cette campagne, en nous concentrant plus particulièrement sur l'évolution des implants uniques observés, notamment des versions modifiées du backdoor MysterySnail mentionné précédemment, ainsi que sur les méthodes d'exfiltration inhabituelles utilisées et les erreurs de sécurité opérationnelle commises par les attaquants. Bien que tous les implants observés soient différents, certains présentent un point commun : ils contiennent de multiples références aux États-Unis, ce qui suggère que les développeurs des logiciels malveillants découverts éprouvent un certain intérêt pour la culture américaine.

Island est un nouvel outil qui s'appuie sur Landlock pour créer des environnements d'exécution restreints. Chacune de ces sandbox est définie par un ensemble de fichiers de configuration comprenant une politique de sécurité et un contexte d'exécution. Une fois configuré, Island permet de sandboxer automatiquement les commandes lancées dans un terminal Linux, en se basant sur des propriétés comme le dossier courant de l'appelant. Cette approche permet d'automatiser et de généraliser l'usage de commandes shell avec des droits limités afin de protéger efficacement des administrateurs système ou développeurs sur Linux, tout en limitant l'impacte sur leur charge mentale au quotidien.

Cette présentation passera en revue les mécanismes de sécurité utilisés, les propriétés du format de configuration, l'architecture logicielle, et l'usage concret d'un tel outil par rapport aux alternatives.

Les menus contextuels font partie intégrante et familière de l’expérience utilisateur de Windows : un clic droit, le choix d’une action, et le travail continue. Mais que se passerait-il si cette interaction quotidienne pouvait être détournée pour déclencher une injection de commandes ? Dans cette présentation, nous révélons deux vulnérabilités inédites d’injection de commandes dans les menus contextuels de Windows, affectant à la fois Windows 10 et Windows 11.

Nous commencerons par démontrer un bug présent dans la dernière version de Windows 11, avant de l’exploiter pour obtenir une injection de commandes en un seul clic, sans scripts fournis par l’utilisateur ni privilèges élevés. Nous analyserons ensuite la manière dont les commandes des menus contextuels sont générées, mettant au jour un moteur de templates dangereux au cœur du problème. Cette enquête conduit à la découverte d’une seconde vulnérabilité, plus ancienne, affectant les versions de Windows 10 depuis 2017.

Nous conclurons avec plusieurs scénarios d’exploitation concrets basés sur l’ingénierie sociale où un simple clic peut devenir un vecteur d’exécution de code, et nous proposerons également des pistes de mitigation pour les défenseurs.

Network protocol implementations (stacks) are pervasive in our modern systems. Indeed, we rely on various protocols on a daily basis, the most proeminent thereof being TLS. One of the problem with network stacks is that they can exhibit wrong transitions in their state machines, which can lead to security issues. This is especially true when protocols are specified using natural language, which encourages ambiguities and discrepancies between implementations.

In this paper, we present a black-box approach to study real-world implementation and their internal state machines. Our methodology relies on Active Automata Learning to infer the behavior of a given stack. Using this approach, we were able to reproduce existing bugs and uncover new vulnerabilities, including authentication bypasses in TLS and SSH.

Lors de compétitions Capture-the-Flag (CTF) au format "Attaque-Défense", les équipes ont besoin d'analyser efficacement les flots réseau pour détecter les attaques et corriger rapidement les vulnérabilités. Pour remplir ce besoin, l'équipe nationale de CTF formée par l'ANSSI développe depuis 2023 l'outil Shovel. Cet outil synthétise et enrichit la dissection réseau réalisée par la sonde réseau Suricata (https://suricata.io/).

Shovel permet aux équipes d'identifier rapidement des requêtes illégitimes, même en situation de stress. Il met en avant les éléments importants de chaque flot réseau dans une interface web équipée de fonctionnalités puissantes de filtrage.

L'outil est publié sous une licence libre GPLv2 sur https://github.com/FCSC-FR/shovel. Il a été utilisé avec succès par plusieurs équipes lors des dernières éditions du FAUSTCTF, ENOWARS et de l'European Cybersecurity Challenge (ECSC). Ce projet permet également de motiver les plus jeunes à apprendre et contribuer à la sonde Suricata tout en améliorant l'écosystème opensource des outils de CTF.

Clear NDR Community est une solution open source de détection des menaces sur le réseau basée sur Suricata développée par Stamus Networks. Il s'agit du successeur de SELKS. Basée sur Docker, elle bénéficie d'un tout nouvel outil de déploiement et de gestion de la configuration. Les composants logiciels ont été mis à jour par rapport à SELKS avec notamment un passage de Elasticsearch à Opensearch. La solution peut ingérer le trafic depuis une interface réseau ou rejouer le trafic depuis des fichiers pcaps. Clear NDR intègre une interface dédiée d’analyse des données et une gestion web des règles de détection. Elle inclut également un serveur MCP permettant d’accéder aux événements générés depuis un assistant IA.

Conférence de cloture. Le nom de l'orateur et le contenu seront précisés ultérieurement.