Il est temps, après plus d'une semaine d'attente, de vous donner quelques retours sur ces Insomni'hack 2010.

Pour rappel il s'agissait d'un concours organisé par la société SCRT et visant à confronter une centaine de participants sur des challenges de sécurité informatique. Cette troisième édition se déroulait à Genève, en Suisse.

Direction donc l'aéroport de Bruxelles le Vendredi matin pour notre avion qui décollait aux alentours de 8h00. Nous étions 6 membres de la ACISSI à faire le voyage : TiteFleur, Fasm, Snake, Koreth, IVP et moi-même. Je vous passe les détails du vol mais sachez tout de même que les hôtesses de la compagnie étaient très charmantes (ce n'est pas IVP qui me contredira :D ).

Bref une heure d'avion puis 10 minutes de train plus tard et nous étions au centre de Genève. Le concours ne commençait pas avant 18 heures, nous en avons donc profité pour visiter la ville qui est assez classe quand même (des bijouteries partout!!!). La matinée s'est passée tranquillement, et comble du bonheur pour Koreth nous avons visité l'Apple Store de Genève, un vrai bon souvenir pour lui... :D

Je vous passe le reste de la journée où nous avons continué notre visite de la ville, et également déguster les spécialités culinaires du Pays (on était en Suisse... on a donc logiquement mangé dans un resto Mexicain ^^ ).

Aux alentours de 17 heures nous avons rejoint la team HZV qui venait d'arriver à la gare, puis 20 minutes plus tard c'était au tour de Nagual (de Backtrack-fr) de nous rejoindre. Direction l'école d'ingénieur de Genève où se déroulait le concours.

Le concours a débuté vers 18h15 après une rapide introduction par les organisateurs du salon. Chaque participant se devait de ramener son propre matériel, hormis les switchs. Pour ce qui est des outils un répertoire sur le serveur recensait plusieurs dizaine de tools, mais nous avons néanmoins (et comme beaucoup d'autres participants je pense) préféré utiliser les notres.

L'objectif du concours était de trouver le plus grand nombre de solutions aux épreuves et d'aller les faire valider par un organisateur (à mon goût un peu naz ce système...). Chaque épreuve découverte rapportait des points proportionnellement à sa difficulté.
Il est à noter que les épreuves se validaient individuellement, malgré tout nous pouvions nous entraider. Nous nous sommes donc associés tous les 6 à Nagual pour l'occasion.

Concernant les challenges, ils étaient de toutes sortes et couvraient la plupart des vulnérabilités : failles web, failles applicatives, reverse engineering, analyse de trames, etc...

Les épreuves se situaient sur le serveur principal et étaient accessibles via une page web :

Je ne m'étalerai pas sur le contenu des épreuves. Etant donné que nous avions tous notre spécialité, je ne me suis pas trop intéressé aux épreuves applicatives ni réseaux et je ne saurais pas vous les expliquer. En revanche les failles Web étaient bien sympa, la difficulté augmentant à chaque nouveau palier franchi. Il y avait en vrac du bruteforce de formulaire, de l'analyse de code PHP ainsi que quelques injections.

Au final, et après 7 heures passées derrière l'écran (le concours était de 18h à 1h00), nous avons eu les résultats qui étaient plutôt positifs pour la ACISSI :

Comme vous le voyez nous avons fini 4ème sur la centaine de participants présents ce jour-là. Le vainqueur de l'édition a été Trance suivi de Samsa, un espagnol fort sympatique (du moins il en avait l'air ^^).

Quelques solutions aux épreuves ont été donné sur place, néanmoins la société SCRT donnera certainement le reste des soluces sur leur site, comme ils l'ont fait pour les deux premières éditions des Insomni'hack.

Voici pour finir quelques liens qui pourront vous en dire plus sur ce concours :

• Photos de l'évènement par TiteFleur
• Site du SCRT
• La news sur Shatter-blog
• La news sur le site de Trance
• La news sur le forum de Backtrack-fr