Banner fullsecure du Bug Bounty Express d'EVITAG NFC lors des Rrencontres Cybersécurité d'Occitanie le 29 mai 2108
Banner Fullsecure Bug Bounty #RCO2018 France

Le Bug Bounty Express #RCO2018 (Rencontres Cybersécurité d’Occitanie) réalisé sur la solution EVITAG NFC est organisé par Fullsecure dans l’espace Arena lors des 4e Rencontres de la Cybersécurité d’Occitanie qui auront lieu le 29 Mai 2018 à l’Hôtel de Région Occitanie à Toulouse (France).

Mise à jour le 21/05/2018 -15h04

Détails du Bug Bounty Express #RCO2018 sur EVITAG NFC

Cible

La cible du Bug Bounty Express est de détecter des vulnérabilités sur le produit EVITAG NFC. Le produit comprend une application sous Android et un module électronique NFC.

Scénarios

Récupérer les login, mots de passe et données bancaires hébergés à l’intérieur d’un coffre-fort EVITAG NFC

Période : 

Durée : 1 journée
Horaire : 9h à 18h00
Date : 29 Mai 2018

Lieu :

Hôtel de Région Occitanie à Toulouse (France)
Evènement

4ème Rencontres Cybersécurité d’Occitanie

Accès au Bug Bounty

Gratuit et libre d’accès

Espace ARENA “Fullsecure” « Bug Bounty Express #RCO2018 »

Inscription en ligne : https://wp.me/P9w621-1qY

Soumission en ligne des rapports de vulnérabilité : https://wp.me/P9w621-1ri

Contact mail : bugbounty2018@fullsecure.link

Matériel mis à disposition

Cinq EVITAG NFC ID5 contenant 4 labels, 4 login, 4 mots de passe et 1 carte bancaire ainsi qu’un lecteur de cartes NFC USB (norme ISO 15693)

5 postes seront disponibles . Chaque poste est composé de :

  • 1 EVITAG NFC ID5
  • Table
  • Chaise
  • Connexion internet
  • Multi prise électrique
  • 1 Routeur WIFI création d’un réseau local pour la fonction de EVILOCK NFC

Chaque EVITAG NFC pour le Bug Bounty Express utilise une application Android en version 2.5.6 ou supérieure optimisée pour de nouveaux usages

  • Mot de passe administrateur activé (jusqu’à 12 caractères)

Document technique sur EVITAG NFC cliquer ici

Application de la cible :

Matériel du participant

Le participant doit posséder au minimum un smartphone sous Android disposant de la technologie NFC.

Le participant est libre d’utiliser tout type de matériel pour réaliser ses attaques.

Le participant apporte son matériel sous son unique responsabilité, tel qu’ordinateur, smartphone, appareils de mesure et/ou radio fréquence.

Contrainte des attaques

D’une manière générale toute les attaques brute force sont autorisées, qu’elles soient passives et/ou intrusives. On considère les attaques :

  • numérique
  • électronique
  • radio fréquence
  • Root du smartphone
  • Attention il est possible que l’utilisation du WIFI en Réseau local de l’hôtel de Région de Toulouse ne permette pas d’utiliser la fonction EVILOCK NFC. Vous pourrez utiliser un réseau local dédié pour le Bug Bounty avec accès à internet.

Récompenses

Seule la capture des données en clair (non chiffrées) présentes dans l’un des cinq EVITAG NFC ID5 est éligible pour la récompense. Voir ci-dessous pour plus de détails.

Cibles Récompense
Gravité légère : Le participant a détecté un problème de sécurité suffisamment critique qui impliquera une modification du code à court terme. 1 x DUO EVITAG NFC 115
Gravité moyenne : Le participant a réussi à capturer la clé appairage de l’EVITAG NFC 1 x DUO EVITAG NFC 115
Forfait 2 personnes : Entrées Caldea 3h + Entrées Naturlandia 1 journée + 1 nuit et petit déjeuner Hôtel 4*
Gravité sévère : Le participant a réussi à capturer la clé d’appairage + le mot de passe administrateur + les login & mots de passe hébergés dans la mémoire 1 x DUO EVITAG NFC 115

Forfait 2 personnes : Entrées Caldea 3h + Entrées Naturlandia 1 journée + 1 nuit et petit déjeuner Hôtel 4*

Forfait 2 personnes : CALDEA Inúu 1 jour + 1 soin 60′ + 1 nuit et petit déjeuner Hôtel 4*

Certification des résultats

Les identifiants (clés d’appairage, labels et mots de passe présents dans les cinq EVITAG NFC) sont remis aux organisateurs des RENCONTRES CYBER OCCITANIE sous enveloppe cachetée.

Il est précisé que les clés d’appairage, les mots de passe adminitrateur, les labels, les login et les mots de passe sont uniques.

Fullsecure a en sa possession la copie exacte du document cacheté fourni à l’organisateur de l’événement RENCONTRES CYBER OCCITANIE.

Authentification

La réussite du participant est considérée comme authentique dans la mesure où le participant est en mesure de réaliser la démonstration explicite de l’attaque qui lui a permis de récupérer tout ou partie des données hébergées dans l’EVITAG NFC. Les clés d’appairage et/ou les labels et/ou les mots de passe et/ou les informations bancaires récupérés doivent être identiques au document de certification présenté par Fullsecure. En cas de conteste, le participant peut demander la confirmation par l’enveloppe cachetée remise à l’organisateur.

Identité du participant

L’identité des participants doit être préalablement connue de Fullsecure. Les informations suivantes seront demandées :

  • Etat civil complet
  • Adresse
  • Profession
  • Mail
  • Entreprise (facultatif)
  • Tel (facultatif)

Entendu, que toutes ces informations demeureront confidentielles pour l’entreprise Fullsecure. Elles ne seront utilisées qu’à des fins de traçabilité à usage interne et statistiques.

Deux possibilités pour l’inscription des participants :

  • L’inscription peut être réalisée sur le lieu et pendant l’événement en remplissant un document de renseignement et d’acceptation du règlement des conditions de participation.
  • Le participant s’inscrit sur le site internet à l’adresse suivante https://wp.me/P9w621-1qY

Domaines de concentration 

  • Récupérer la clé d’appairage en clair
  • Récupérer le mot de passe administrateur en clair
  • Récupérer les login hébergés dans EVITAG NFC en clair
  • Récupérer les mots de passe hébergés dans EVITAG NFC en clair
  • Récupérer les informations bancaires hébergées dans EVITAG NFC
  • Récupérer le code du brouillage d’affichage
  • Connexion automatique en LAN via réseau local dédié « Bug Bounty RCO2018 »

Exclusions générales soumises à autorisation

Afin de respecter les règles de sécurité de l’Hôtel de Région Occitanie de Toulouse.

  • Attaques DDoS / DoS (les attaques d’énumération nécessitent une notification et une approbation préalables)

Bugs exclus pour l’application Android

  • Dans le principe rien n’est exclus, y compris les débugueurs numérique et/ou matériel et/ou autres outils.
  • Cependant, seuls les bugs critiques permettant d’accéder aux données (mot de passe administrateur, clé appairage, login et mot de passe) seront retenus pour valider la réussite de la cible du Bug Bounty.

Bugs exclus pour les autres systèmes d’exploitation

Dans le principe, le participant utilise son matériel, il est donc l’unique responsable de son usage. Le seul élément sous la responsabilité de Fullsecure est l’application « EVITAG NFC » publiée et disponible gratuitement sur Google Play (https://play.google.com/store/apps/details?id=com.freemindtronic.evitagnfc).

 

FULLSECURE peut et veut vous aider !

Si vous souhaitez obtenir des informations sur l’application, ou si vous avez des questions concernant l’application qui pourraient vous aider, veuillez créer une soumission et demander cette information.

A noter que l’application possède une notice d’utilisation disponible sur YouTube :

Play liste EVITAG NFC

https://www.youtube.com/playlist?list=PLLyNxN21uUIpyflF19qN-zIGGTzTUibM3

Play liste EVILOCK NFC

https://www.youtube.com/playlist?list=PLLyNxN21uUIptcTAqFrw6yxXvmdOVrwkZ

Les plugins pour réaliser la connexion automatique avec EVITAG NFC

Animateur poste Bug Bounty

Un animateur sera présent pour répondre aux diverses questions des participants.
Le participant peut aussi envoyer un mail à l’adresse suivante :

bugbounty2018@fullsecure.link

Si vous avez des questions concernant le fonctionnement de l’application, ou des demandes d’informations sur l’Application Android vous êtes encouragés à les envoyer par courriel à bugbounty2018@fullsecure.link

Fullsecure acceptera également les soumissions d’hypothèses fautives, sans pénalité, et travaillera avec le participant pour développer une hypothèse raisonnable dans un exploit opérationnel, si cela est possible.

Notes sur le produit

EVITAG NFC est un module endurci faisant office de coffre-fort physique, qui héberge des labels composés en principe de login et mot de passe permettant par exemple la connexion automatique aux comptes sur internet.
Il fonctionne uniquement via le NFC d’un smartphone utilisé comme terminal préalablement appairé avec une clé unique. Il héberge les données de manière chiffrée en AES256 dans une mémoire non volatile physiquement sécurisée.

Le module EVITAG NFC est tamper proof et dépourvu de batterie. Il produit sa propre énergie pour fonctionner. Toutes les données qu’il héberge sont physiquement sauvegardées et sont toujours disponibles, pendant une durée d’au moins quarante sans être utilisées.

EVITAG NFC fonctionne en temps réel avec les mémoires électroniques dédiées internes. La technologie brevetée n’utilise aucune base de données, ni de connexion internet pour héberger et gérer les données.

Il dispose d’une fonction administrateur et utilisateur qui verrouille l’utilisation de fonction critique. Ce système permet d’utiliser un EVITAG NFC sans avoir besoin de connaître le mot de passe pour vous connecter à un compte sur internet.

Avec EVITAG NFC vous êtes mobile, furtif, ne laisser aucune trace numérique et vous pouvez vous connecter sur n’importe quel ordinateur.

L’application EVITAG NFC ainsi que le plugin EVILOCK NFC sont gratuits et libres de tout engagement financier. Non intrusif, le module fonctionne avec le plugin EVILOCK NFC disponible comme extension pour Chrome et Mozilla, qui permet de gérer des flottes de smartphone et d’EVITAG NFC pour se connecter aux comptes sur internet sans avoir besoin de connaître et visualiser le mot de passe.

EVITAG NFC est la seule application au monde capable de partager en clair son mot de passe de manière sécurisée grâce à la fonction « jamming ». Envoyer un mot de passe à une personne est aujourd’hui possible en toute sécurité via n’importe quel service de messagerie chiffrée ou en clair.

Le module est discret, se confond avec un tag RFID. Il est waterproof, endurci à l’extrême et fonctionne à des températures extrêmes de -40 à +85°.

Pour plus d’informations, vous pouvez visiter le site EVITAG NFC.  Des informations supplémentaires peuvent être trouvées ici.

Règles 

Ce scénario est encadré par des règles de confidentialité de non divulgation d’éventuels bugs découverts lors de l’événement. Entendu, que la divulgation de l’identité du participant à l’origine de la découverte est soumise à sa demande préalable selon les « Conditions générales de divulgation des Bug Bounty de Fullsecure®».

Les règles sont édictées dans le cadre des conditions générales de divulgation des Bug Bounty et classifiées selon des critères d’évaluation des degrés de priorité et de gravité.

a) Conditions générales de divulgation des Bug Bounty

b) Méthode d’évaluation du degré de priorité et de gravité pour nos bulletins, avis de sécurité et analyse des rapports des Bug Bounty

Cliquez ici, pour en savoir plus sur notre méthode de détermination élaborée par notre équipe de Recherche et développement pour évaluer les degrés de priorité et de gravité on fonction du type de vulnérabilités.

c) Principe général

Ce programme n’offre pas de récompenses pour les résultats déjà connus et/ou publiés dans les notes de version.

d) Il est entendu que la divulgation et la communication des informations qui ont conduit à la récompense sont soumises à une autorisation préalable et explicite de fullsecure®.

Droit à l’image

Le scénario du Bug Bounty est réalisé dans un lieu ouvert au public. Des photographies peuvent être prises des participants. En conséquence de quoi et conformément aux dispositions relatives au droit à l’image, le participant autorise à fixer, reproduire et communiquer au public les photographies prises dans le cadre du Bug Bounty EVITAG NFC à Rencontres Cybersécurité d’Occitanie.

Il est entendu, que les photographies pourront être exploitées et utilisées directement par Fullsecure®, sous toute forme et tous supports connus et inconnus à ce jour, dans le monde entier, sans limitation de durée, intégralement ou par extraits et notamment : – Presse, – Livre, – Carte postale, – Exposition, – Publicité, – Projection publique, – Concours, – Autre. Fullsecure®, s’interdit expressément de procéder à une exploitation des photographies susceptible de porter atteinte à la vie privée ou à la réputation, et d’utiliser les photographies de la présente, dans tout support à caractère pornographique, raciste, xénophobe ou toute autre exploitation préjudiciable.

Le participant reconnaît être entièrement rempli de ses droits et ne pourra pas prétendre à une rémunération pour l’exploitation des droits. Le participant garantis qu’il n’est pas lié par un contrat exclusif relatif à l’utilisation de son image ou de son nom. Il explicitement établit que tout litige né de l’interprétation ou de l’exécution des présentes, il sera fait attribution expresse de juridiction des tribunaux Andorran en langue Catalane.

Téléchargement