La conférence DEF CON va abriter le premier concours de hacking entre systèmes automatisés

Comme chaque année depuis 1993, l’édition 2016 de la conférence DEF CON va accueillir un public très varié, allant des professionnels de la sécurité des systèmes d’information aux employés du gouvernement fédéral intéressés par tout ce qui peut être hacké, mais également des journalistes ainsi que des avocats.

Au programme, différents concours permettant de mettre à nu les failles dans des systèmes, qu’il s’agisse d’objets connectés ou de systèmes.

En 2014 ont été définies les bases de CGC (Cyber Grand Challenge), un concours de types CTF (Capture The Flag) organisé par la DARPA (Defense Advanced Research Projects Agency), qui mène les programmes de recherche de la défense américaine.

Contrairement à un CTF classique où des hackers doivent réussir à s’introduire dans les systèmes « ennemis » et/ou protéger des systèmes ou des dispositifs, le CGC va pour sa part opposer des intelligences artificielles. Sept équipes devront s’affronter en se servant de systèmes automatisés conçus pour pénétrer d’autres systèmes, mais également pour détecter automatiquement et corriger leurs propres vulnérabilités.

La DARPA a expliqué que « l'approche actuelle de la cybersécurité dépend des experts en sécurité informatique : les experts identifient de nouvelles failles et menaces et y remédient manuellement. Ce processus peut prendre plus d'un an, de la première détection jusqu’au déploiement d'une solution, temps qui peut éventuellement être suffisant pour pénétrer sans permission les systèmes critiques. Ce cycle de réaction lente a créé un avantage offensif permanent.

Le Cyber Grand Challenge (CGC) vise à automatiser ce processus de défense cybernétique, établissant la base de la première génération de machines qui peuvent découvrir, éprouver et corriger les failles logicielles en temps réel, sans aucune aide. En cas de succès, la vitesse d'autonomie pourrait un jour émousser les avantages structurels dont disposent les offensives ».

Les qualifications pour ce concours ont commencé en 2014. 104 équipes se sont inscrites pour participer à ce concours. À l’issue de trois tours de qualification, il n’en reste plus que sept, notamment : CodeJitsu, CSDS, Deep Red, Disekt, For All Secure, Shellphish et TechX.

CodeJitsu est une équipe affiliée à l’université de Berkeley (Californie, États-Unis). CSDS est une équipe constituée par un professeur et un chercheur disposant d’un doctorat de l’université de l’Idaho. Deep Red rassemble des ingénieurs issus de l’entreprise Raytheon dont le siège social est à Arlington (Texas, États-Unis ). Disekt est une équipe de la ville d’Athens (Georgie, États-Unis) composée de quatre membres. For All Secure est une startup dont le siège social est à Pittsburgh (Pennsylvanie, aux États-Unis) fondée par une équipe de chercheurs en sécurité de l’université Carnergie Mellon. Shellphish, de Santa Barbara (Californie, États-Unis), rassemble un groupe de diplômés de l’université de la même ville. Et TechX, de Charlottesville (Virginie, États-Unis) regroupe des experts en analyse de GrammaTech Inc, un développeur de logiciels utilisés dans les assurances et en solutions de cybersécurité avancées.

Ces sept équipes vont s’affronter le 4 août 2016 à l’hôtel Paris de Las Vegas. Contrairement à un CTF classique où les équipes ont 48 heures pour pénétrer et/ou sécuriser dix logiciels afin de remporter la partie, le CGC a réduit ce temps de moitié.

Pendant la phase éliminatoire, les équipes ont fait face à 131 différentes versions de logiciels et durant la phase finale il pourrait y en avoir encore plus. Le vainqueur de cette épreuve va remporter 2 millions de dollars, le second en remportera la moitié et le troisième remportera 750 000 dollars. La DARPA a donc préparé au total près de 4 millions de dollars de récompense.

Les équipes ont eu 13 mois pour se préparer pour la finale et améliorer leurs logiciels. La DARPA exige que chaque logiciel dont disposent les équipes puisse être en mesure de se servir de techniques de mitigation, pour éviter que les adversaires ne puissent exploiter des vecteurs d’attaques connus sur leurs propres systèmes.

Source : site dédié (Cyber Grand Challenge)

Voir aussi :

Des hackers ont détourné des centaines de caméras de surveillance pour mener des attaques DDoS en utilisant l'outil dédié LizardStresser

Une faille dans le protocole RDP permet à un hacker de voler des centaines de milliers d'enregistrements de données de trois organismes de santé US

Un bogue de la cryptomonnaie Ether permet à un hackeur de s'emparer de 50 millions $ en exécutant une fonction récursive du système de transaction