Le challenge de hacking de la Nuit du Hack 2014 s’est tenu ce week-end avec l’objectif d’évaluer la technologie DAVFI Mobile, livrée à Nov’IT en octobre 2013 et commercialisée sous la marque Uhuru Mobile.
Ce type de concours revêt une démarche de grande importance pour Eric Filiol et son équipe. Une étape inscrite dès la mise en œuvre du projet conçu pour être développé de manière ouverte, afin d’y associer pleinement les acteurs de la SSI et la communauté de hackers.
Le challenge de hacking NDH avait pour objectif de tester le haut niveau de sécurité de Uhuru Mobile, sans aucune restriction. Les smartphones étaient paramétrés en configuration commerciale et en conditions nominales (carte SIM avec un numéro permettant de recevoir des SMS et des appels). Ces appareils mobiles ont été adressés aux candidats volontaires trois jours avant le concours afin de faciliter la prise en main et leur permettre une analyse critique et sans limite du produit. Préalablement configurés comme s’il avait été attribué à un décideur et déjà utilisé (mot de passe, emails, données personnelles ou sensibles…), chaque participant était donc dans la situation d’un attaquant ayant volé ou emprunté le smarphone (ou ayant un accès physique pour un temps relativement long) pour l’attaquer.
Le règlement prévoyait 1000€ de prix attribué pour chaque action exécutée, soit :
– Exécution d’un code malveillant
– Accès aux données privées ou sensibles présentes sur le téléphone
– Contournement ou remplacement du mot de passe
– Toute autre action (après évaluation par le jury) pouvant représenter un risque important pour la sécurité des données ou l’activité de l’utilisateur.
A l’issue du concours, lundi 30 juin, aucune attaque enregistrée. Le challenge comptait quatre participants dont 2 pentesters seniors issus de grands Groupes français et international.
Une étape encourageante pour DAVFI Mobile, en vue d’un prochain dépôt de dossier de labellisation CSPN (Certification Sécurité Premier Niveau) par l’ANSSI.