Salut à tous !

La NDH a cette année aceuilli plus de 1000 personnes. Nombre d'entre vous ont sûrement des retours à donner, en bien ou en mal.
Vous pouvez suggérer toutes les idées que vous voulez. Il n'y a cependant aucune garanti pour que le staff en tienne compte.





Ayant moi-même participé sans organiser, je vais commencer mes petites critiques.

0) Général
Toujours une très bonne ambiance, des gens qui sont là pour le fun, réunis autour d'une passion commune, ça n'a pas de prix.
Et personnellement, ça me fait toujours plaisir de revoir la "famille HZV".
La salle est vraiment vraiment pas mal. Très accessible, beaucoup d'espace... Mais avec plus de 1000 personnes, on commence pas à être un peu à l'étroit ?
Les bornes d'arcade : génial.

Juste dommage que les t-shirt soient en taille unique.

1) Les talks
Certains diront qu'ils n'ont rien capté à la crypto quantique. D'autres diront que le "hacking mobile" était très bas de gamme. Moi je dirais qu'il y en avait pour tous les niveaux.
Ma seule remarque concerne la langue. Si on veut internationaliser l'événement, il faudrait un peu plus de talk en anglais. Ici 70% étaient en français.

2) Les workshops
Juste un point, c'est un peu dommage que les workshops aient été prévus en même temps que le CTF, le wargame et la crashparty.

3) Les challenges
Je laisse les autres parler du réseau du wargame s'ils en ont envie.

Du côté du CTF, je pense que le staff sait déjà quoi faire pour l'année prochaine.
Juste un point : ce n'était pas toujours clair pour les challengeurs ce qu'on avait le droit de modifier pour patcher un service. En gros, la fonctionnalité à préserver n'était pas forcément évidente. Ça pourrait être sympa de donner les scripts de monitoring.
(S'ils sont bien foutus on ne devrait pas pouvoir s'en servir pour tromper le moniteur.)

Et sinon... Les challenges ont gravement manqué de musique !
C'était sûrement pour ne pas déranger les workshops, mais il y a des solutions alternatives.

Bonjour, je vais vous faire part de mon retour de cette NDH (en plus c'était ma toute première... ). Cependant je voudrais d'abord remercier toute l'équipe d'HZV car pour organiser un évènement comme ça heuuu bah c'est un peu plus qu'une boom dans un garage !

J'ai eu la chance (le courage et la non maîtrise du temps? oui aussi!) d'arriver dans grosso merdo les 20 premiers dans la salle le matin (avec mon tee shirt XL, mais moi du haut de mes 1m65 y'a pas de problème je suis "à l'aise" dedans ) , j'étais carrément surpris, super salle, clim, pleins de sièges partout, bref déjà le sourire au bords des lèvres!

Est donc ensuite venu le moment des talks, là aussi c'était bien cool, sujets très variés, pour tous les goûts!

Contrairement aux personnes qui diront que le sujet sur l'HADOPI etc... ne présentait pas aussi bien (à cause du traque) que celui du hacking mobile par exemple, le contenu était pourtant bien là et il faudrait être un peu plus indulgent car moi même je sais très bien que si je devais ne serait-ce que de me présenter sur scène devant 1000 personnes bah j'aurais grave les miquettes!

Ce qui aurait été appréciable, c'est de faire un time break (1 petite heure comme le soir) entre deux conf, à midi histoire de pouvoir aller chercher des sandwichs! Je ne sais pas du tout si c'est vous qui la gériez à votre guise la climatisation, un renclenchement en tout début d'après midi de cette dernière n'aurait pas été de trop, bien que la salle est très grande, il commençait à y faire sacrément chaud!

Pour ma part je n'ai pas trouvé dérangeant que le CTF, le wargame et la crashparty "tournent" en même temps, car les 3 trois durent suffisamment longtemps pour pouvoir les apprécier un par un!

Les workshops m'ont beaucoup plus, à mon grand regret, je n'ai pas pu faire celui sur metasploit, trop de monde il y avait, peu de temps il durait. J'étais agréablement surpris de l'ouverture d'esprit des intervenants, j'ai vraiment la sensation d'avoir apprit pleins de trucs! (faire des robot capsule de bierre? oui aussi ) et donc merci à vous tous, car c'est sans hésiter que j'ai envie de revenir l'année prochaine!

Bon je ne vais pas écrire un roman non plus, je vais donc conclure par ceci:
Qu'importe l'évènement organisé, réunissant 10 ou 10 000 personnes, bien que vous vous cassiez en 4, bien que l'organisation représente une engagement aussi bien en temps que financier, il y aura toujours des mécontents, c'est comme ça! Une lan party sans un disjoncteur qui saute, un pc qui blue screen, des mecs qu'on oubliés leur rj45, est-ce vraiment une lan party ? Là c'est pareil,il y aura toujours des couacs, qui énerveront les plus ingrats, qui mettront mal à l'aise d'autres (les organisateurs).

En tous cas merci encore pour tout j'ai vraiment passé un excellent moment et ne regrette pas de m'être levé à 4h!

Hello,

Voilà mes quelques critiques pour l'édition de cette année.
N'ayant pas vraiment suivi les confs & workshops, je ne parlerai que des challenges.

- Fail total du challenge public : Pas de challenge public cette année. Le vrai problème est que des annonces ont été faites toute les demi-heures pour dire que le challenge public allait arriver, ce qui n'a pas été le cas. Finalement, les challengers ont poireauté pendant plusieurs heures, puisque c'est bien après minuit que l'annonce de l'annulation a été faite alors que le départ était prévu pour 20h. Evidemment on s'attend forcément à des problèmes, "shit happens", mais plus à quelques épreuves supprimées qu'à l'abandon du challenge complet, ce qui rappelle fortement le fail du ctf de l'année d'avant.

- DoS pour le challenge privé : Faire un CTF sur le modèle attaque/défense est une excellente idée, il n'y en a pas des masses et c'est plus sympa qu'un simple liste d'épreuves. Par contre ça nécessite d'être bien mieux encadré. Je sais que la question des DoS a été abordée plusieurs fois, mais c'est quand même à cause de ça que le CTF a été arrêté en plein milieu, pour finalement ne jamais redémarrer au contraire de ce qui avait été annoncé (finalement il aura duré de 22h à 5h, au lieu de 20h à 8h)

- Organisation générale du challenge privé : on voit bien d'années en années que le CTF s'améliore et ça fait plaisir, mais il y a toujours quelques couacs :
* Aucun accès à internet, pendant toute la durée du challenge (enfin, on pouvait afficher une page web de temps en temps)
* Fausses infos dans les manuels envoyés ou distribués aux équipes (VM windows supprimée, flags propres à chaque équipe alors qu'ils sont les mêmes pour tous, ...)
* Manque d'informations (clé ssh sur les VM à ne pas supprimer, fonctionnalité des services à conserver, ...)
* Dysfonctionnement du système de status des services, très gênant.
* Possibilités aux équipes de jouer en dehors des règles, parfois compter sur le "fair-play" n'est pas assez (kernel module permettant de masker les services, possibilité de faire du filtrage sur le serveur plutôt que depuis le firewall (en installant un vrai iptables depuis un repo local par exemple ou directement au niveau applicatif), tunnels, ...)
* Accès physique à des personnes étrangères au CTF à la zone du challenge (dafuq !!!)
* Pas de musique :'(

Et dernière chose qui me laisse personnellement un petit gout d'amertume : voir les 1ers repartir avec le gros lot sans que les 2èmes et 3èmes n'aient un petit lot de consolation, comme c'était le cas les années précédentes :p

Et pour que la critique ne paraisse pas trop rude, je tiens quand même à dire qu'on (mon équipe) repart avec une assez bonne impression, et que malgré les points négatifs cités au dessus, on voit que le staff a fait un gros travail pour ce challenge. D'ailleurs il n'y a rien à redire aux épreuves (qu'on a seulement pu regarder en partie, vu la quantité, la complexité, les autres aspects à gérer et le peu de temps). On a apprécié la disponibilité des membres du staff quand on avait un souci, et également le ravitaillement en grignotages/boissons !

A bientôt o/

Salut,

Comme toujours, vous avez fait un boulot de fous furieux ! De plus en plus de monde chaque année, des gens vraiment pointus, intéressants et heureux de faire partager leur passion. Je suis venu avec un pote qui ne connaissait rien au hack : il a adoré.

Je n'ai pas trop eu le temps de regarder le CTF ni les autres Workshops, mais il y avait du beau monde. Seul bémol : la salle commence à être petite . On peut pas réserver tout le parc et faire le CTF dans les manèges ?

J'aime bien l'idée des manèges

Première fois que je viens, je repars avec un avis mitigé.
Les conférences étaient géniales. Rien à redire. Des sujets intéressants, présentés avec plus ou moins de complexité, je ne me suis pas sentit si perdu que ça alors que je ne pense pas connaître grand chose.

Les workshops étaient bien sympathique. Grande variété, mais un peu à l'étroit. Il y avait peut-être moyen d'espacer les tables. Un peu de mal à tout suivre aussi, entre le nombre de workshop, le nombre de personnes et un peu de fatigue...

Viens le "point noir" de la soirée, le challenge public qui n'a pas eu lieu. C'est là que je regrettes un peu puisque l'annonce de la non tenue du challenge s'est faites à 3h du matin, il était trop tard pour rentrer. J'espérais pouvoir profiter du wargame pour apprendre deux-trois trucs, essayer les épreuves avec d'autres et ainsi mettre les mains dans la cambouis mais il n'en fut pas ainsi... Entre temps j'aurais pu aller voir le challenge privé mais avec ma faible connaissance, je ne comprenais pas ce qui se passait sur les écrans des participants que je pouvais voir. Quand au challenge du robot, n'ayant pas les outils sur ma distrib et pas internet, je n'ai pas vraiment pu essayer.
J'en ai profiter pour dormir un peu au final.

Dans l'ensemble c'était super sympa. La salle était assez spacieuse, facile d'accès, l'organisation correcte, rien de spécial à redire. Peut-être repenser aux espaces inter-table lors de la réorganisation de la salle afin de faciliter les déplacements, prévoir des petits amplis et micro pour les workshops puisqu'on entend pas tellement ce qui se dit, par exemple aux workshops de reverse et de forensic, et imaginer des activités/fournir quelques épreuves sur clé en cas de soucis du réseau durant le challenge public.

Je suis tenté de revenir, au moins pour les confs, mais ce ne sera apparemment pas possible pour moi l'année prochaine. Peut-être si je suis stagiaire à Sysdream et qu'il faut de l'aide pour l'organisation, qui sait

Un grand bravo aux organisateurs

Ah ça... On ne peut pas savoir avant d'avoir entendu l'orateur. Toutes les conférences ont ce soucis.

Je plussoie pour ceux qui ont envie d'aller au macdo. Mais si tu veux juste des sandwichs sur place, rien ne t'empêche d'écouter la conf pendant que tu fais la queue. Et d'ailleurs ne pas faire de pause permet d'éviter un gros rush avec une queue tellement interminable que les conf reprennent avant que tu n'ais ton sandwich (ce qui revient au même que de ne pas avoir de pause).

Voilà à peu près le genre de commentaire que j'aurais aimé éviter.
Le staff est bien au courant de ce qu'il s'est passé avec le challenge public. En rajouter une couche n'est pas très constructif ici.
Bien évidemment, on s'attend toujours à des problèmes, mais attendons le débriefing pour en savoir plus sur les causes.
Fake AP ? Attaque deauth ? C'est vite fait de foutre le bordel sur un réseau wifi. Ce n'est pas forcément que de la faute du staff si ça n'a pas marché.

Cela dit, on peut toujours suggérer la mise en place d'une solution alternative en Ethernet. À voir si c'est réalisable en terme de coût matériel, de temps de configuration, de monitoring / maintenance sur place lors de l'événement.

Je suis complètement d'accord que c'est pas cool pour les challengers de les faire attendre en leur disant que ça va remarcher et pour finalement leur annoncer que c'est annulé. Cela dit, regarde les choses de l'autre côté. Si t'es sysadmin, que le seveur de dev marche, et qu'à la mise en production, tout se chie dessus. Au début t'es optimiste, tu dis que t'en as pour 5 minutes. Au bout de 5 minutes t'as tout juste trouvé ce qui ne marche pas. Là tu te rend compte qu'il faut recompiler mysql avec une option à la con parce que la machine n'est pas strictement la même que celle de dev. Tu annonce que tu en as pour une heure.
Après 1h20 (60 minutes de compilation et 20 minutes pour virer l'ancien mysql et mettre le nouveau à la place), tu te rend compte que ça ne marche toujours pas parce que le module mysql de php ne marche plus avec la version de mysql que tu viens de compiler.
Etc, les petites merdes s'enchaînent. Et après 3 heures à faire attendre les gens tu annonce que tu as besoin d'une semaine supplémentaire pour faire marcher la machine de prod. (Tu penses être large en prévoyant une semaine, mais le moment venu, tu te rend compte que c'était pas de trop.)

Ce que je veux dire c'est que c'est pas de la mauvaise volonté, je suis sûr que tu sais au fond de toi que le staff a fait de son mieux (et c'est pas des branq').

De ce que j'ai entendu, ce n'est pas que le DoS le problème. L'architecture du réseau était conçu de manière à ce qu'on puisse (dans le pire des cas) couper complètement le réseau vers l'extérieur et que seule la team ait accès à son serveur.
J'ai entendu dire qu'une barrette de RAM aurait cramé dans une des machines. C'est à confirmer et voir aussi quel était le rôle de cette machine.

De plus, le DoS a toujours été autorisé. Sans vouloir trahir personne, je crois que ça fait plus ou moins parti de l'esprit que CrashFr voulait donner au CTF. Que ce soit le boxon, que ça s'attaque dans tous les sens, que tous les coups soient permis (dans la limite du raisonnable). Juste pouvoir faire, le temps d'une soirée, tout les choses (informatique) qu'il serait illégal de faire dans le monde réel. Et par corollaire, le staff a beaucoup de travail pendant le CTF puisque tout peut exploser à tout moment. Je pense que cette idée de "nolimit" est aussi celle qui fait que le piratage des machines personnelles des autres challengers est autorisé.

Malheureusement, moins on met de limite, plus il faut que les gens soient responsables, et donc fair-play dans le cadre du CTF. Et c'est parce qu'il y a des gens qui ne sont pas toujours fair-play que des règles sont ajoutées tous les ans.
Et donc, selon ce que dira le débrief du CTF, peut-être que le DoS deviendra interdit...

Pour le reste de tes remarques, je suis relativement d'accord.


Allons, c'est avant tout un jeu. L'important c'est de s'y amuser, pas de gagner.

L'accès à la "crime scene" est censée être interdite aux profanes.
En effet, c'est un peu chiant quand t'as des gens qui passent derrière ton écran et qui te posent des questions sur ce que tu fais *tousse* comme Clad *tousse* . Ou simplement quand ces gens collaborent avec une team adverse.

Une première pour moi

Tout d'abord la salle était top! Aucun problème pour trouver une place pour les conf. Cependant, l'organisation pour les workshops était un peu galère : trop de monde => une circulation extrêmement difficile. Prévoir donc si possible des "couloirs" de circulation la prochaine fois

Sinon, sur le contenu... Très bon. Certaines conférences mieux construite que d'autres. Concernant la conf "HADOPI & Cie" qui a été mentionné plus haut un diapo clair manquait je pense. Le contenu était là mais bon. Je m'attendais à un truc " le hack & la loi " donc un peu déçut mais pas grave

Une pause "miam" manquait également, ça m'a bien fait chier de louper des conf car j'avais pas mangé depuis 24h "^^

Bref, continuez comme ça, on se revoit l'année prochaine !

Je n'étais pas dans l'espace, je suis restais à la limite et je n'ai pas posé de question puisque les gens étaient occupé. Mais du coup c'est justement le fait de ne pas connaitre grand chose qui a fait que je n'ai pas regardé plus que ça et que j'ai eu un petit moment d'ennuie durant la soirée.
Essayer de pallier au problème wifi par de l'ethernet n'est pas une mauvaise idée mais le soucis de petit plaisantin qui abîme le réseau est aussi présent... Et le coût aussi. D'où mon idée de passage d'épreuve par clé. Il me semble que le passe de l'année dernière était programmable ou un truc dans le genre, peut-être reprendre l'idée et stocker les challenge dedans en cas de secours où comme premier challenge.



Il fallait prévoir son coup, perso j'ai embarqué de quoi me faire des sandwichs sur place et c'était nickel Mais c'est vrai qu'il y aurait un petit quelque chose à revoir là dessus.

Ce que je retire de cette nuit du hack c'est que j'ai bien envie de m'y mettre et je vais commencer un peu de reverse et peut-être du forensic. La conf et les workshops m'ont plu

WTF ? Au contraire parlons en puisque ça a été le soucis MAJEUR de cette nuit du hack. Et on parle du challenge public mais personnellement je n'ai pas réussi à maintenant une connexion durant plus de 2 minutes de toute la journée.

Donc j'aimerais au moins savoir (bien que j'imagine que c'est encore trop tôt) d'où provenait le problème, était à cause des petits cons (ne machons pas nos mots, mais se prendre pour un hacker en détournant un réseau wifi, pour finalement ne rien faire d'extraordinaire et emmerder un bon millier de personne qui n'ont rien demander de tout ça, en info on dit un lamer, moi j'appelle ça un gamin de merde).

Bref donc au fond ça serait surtout sympa de nous tenir au courant de la raison (ces gamins de merde là, erreur matériel, ou même simplement mauvaise configuration (ça peut arriver à tout le monde, et le reconaittre n'es pour moi pas du tout une faiblesse loin de là, organiser ce genre de chose c'est pas rien)).

Parce que sans vouloir vexer, d'après les explications qu'on nous a donné, j'ai surtout eu l'impression qu'on essayait par tout les moyens de noyer le poisson.

Comprenez aussi que moi qui attendait depuis des mois ce challenge pour créer quelques liens, approfondir mes connaissances etc, eh bah j'ai VRAIMENT été déçu et je n'ai rien foutu de la nuit.

Pour info j'étais justement assis sur la chaise à coté de Panda qui je crois à partager aussi mon amertume, comme beaucoup d'autre.

Pour le reste parce que bon y a quand même eu la journée;

Première nuit du hack, premier lien avec un gars de ma région rencontré sur le quai et avec qui j'ai fait le voyage et la journée, arrivé en retard (merci la SNCF ta da dadaaa) de plus d'1h + tourné en rond pour trouver cet hotel (oui je sais c'est ridicule...), ce qui fait que nous sommes arrivés en plein milieu de la conférence sur les tickets de métro, nous étions donc sans place et avons installé notre campement tout au fond de la salle.

Y avait du monde mais j'ai connu plus serré que ça donc à ce niveau je trouve l'endroit idéal, il ne faisait pas trop chaud (un peu quand même mais c'est largement compréhensible). Pour les confs c'était intéressant (je n'ai rien compris à la crypto quantique c'est grave docteur ? ) ) même si comme vous dites certaines étaient un peu plus bas niveau (et donc surement plus accesible pour un noob comme moi xP) mais globalement j'ai pas été déçu.

Alors autre remarque à la con; SVP si vous foutez une borne d'arcade avec Street Fighter, ne la foutez plus en plein milieu de la zone VIP merdeuuh. xD On a voulu y jouer avec le copain en question, on nous a dit revenez plus tard, on est revenu plus tard, on s'est fait jeté comme des malpropres, pourtant je vous assure on ne venait pas faire chier l'équipe corréenne/japonaise (z'avaient pas hyper l'air très sociable eux xD Mais bon ça peut se comprendre vu le voyage), copain qui a justement shooté le boss de fin, sans même le savoir, à la borne d'arcade de la Crash Party. J'y suis allé faire un tour, bien sympa de faire une soirée pour Crash, mais j'y suis pas resté très longtemps.

Alors quelqu'un a dit plus haut plus de musique; par pitié NON ! C'était déjà assez dur comme ça d'entendre ce que les types des workshops disaient alors du BOUM BOUM en plus non merci ! Pour ça y avait la Crash Party cette année.

Et pour finir les bières étaient pas si dégueulasses que ça (par contre les frites c'était pas ça xP).

Bref je ne vais pas dire que j'ai des regrets à être venu (ma toute première NDH) mais je ne vais pas cacher mon gout d'amertume pour le CTF et j'espère sincèrement qu'on pourra s'y frotter l'année prochaine, je suis venu principalement dans cette optique alors si vous enlevez ça bah il ne reste plus grand chose. Si il y a challenge public l'année prochaine, alors je risque très fort de revenir, ça me ferait un peu mal au coeur de lâcher ça comme ça mais bon je ne me tape pas non plus 400km pour glander.

Enfin je tenais à venir à cette nuit du hack et c'est chose faite comme promis.

Bien le bonjour,
je vais essayer d'éclaircir un peu l'histoire du CTF public. Le débrief sera surement fais aujourd'hui donc je vais essayer de faire un résumé de la situation.

Le CTF lui même fonctionnait très bien, les épreuves étaient prêtent, c'est en effet l'infra qui a posée problème.

Alors concernant l'origine du problème, ça se corse, Les points d'accès ont posé problèmes, peut être à cause des petits malins qui les attaquais, soit à cause du matériel en lui même il est trop tôt pour le dire.

Mais il y avait un deuxième soucis derrière, vu que même le staff as eu des coupures de net régulières en filaire. Donc encore une fois il faudra analyser la situation pour voir si le soucis venait du FAI (orange) ou du matériel, ou du staff. La priorité ayant était donnée pendant la nuit au bon déroulement du CTF privé.

Enfin je vais parler d'une gène qui est revenue souvent à mes oreilles, le fais qu'il y ai aucunes informations durant le CTF privé. Il est vrai qu'il était difficile (sauf vers la fin de la nuit) de voir quelle équipe était en tête. Et puis ensuite il y avait la manière dont les joueurs s'y prenaient pour attaquer/défendre, ça c'est difficile de le montrer au public sans avoir le risque qu'une autre équipe en profite Donc pour l'année prochaine des solutions seront apportées la dessus, reste à les trouver... des idées ?


Sur ce bonne journée!