3 PLACES À GAGNER POUR leHACK PARIS 2026

Le scénario

Cette nuit, vers minuit, un attaquant s'est introduit dans les locaux de la société NotSecureApparently. 
‍
N'ayant ni protection 802.1X ni SOC, il a pu facilement se connecter au réseau avec un cable éthernet d'un autre PC, lui permettant d'avoir accès au LAN et de faire des actions malveillantes en tout tranquilité, pendant lesquelles il a ciblé l'AD.
‍
La société NotSecureApparently nous demande de l'aide pour réussir à comprendre l'attaque et ce qu'il s'est passé, car d'après les log FW il a visiblement exfiltré des informations.
Nous disposons d'une capture réseau mais malheureusement, les flux sont chiffrés et il nous est impossible de savoir ce qu'il a obtenu.
Le peu de choses que nous avons :
- à l'aide à la caméra de vidéosurveillance placée dans un coin de l'agence, nous avons pu voir seulement une partie de l'écran. Notre équipe a réussi, en améliorant l'image et en analyzant chaque frame de la vidéo, à observer que l'attaquant a créé une paire de clef RSA sur son PC pour, à priori, établir la connexion sécurisée avec son serveur (nous n'avons que le flux jusqu'à la gw mais c'est suffisant). Grâce à leur travail, nous avons pu voir quelques commandes et notamment un bout de clef privée RSA (partial.key)
- la capture du flux chiffré (capture.pcap)
- sur l'AD : un binaire suspect qui semble servir à chiffrer et envoyer les données de façon sécurisée (client)

Aide nous à comprendre comment l'attaquant a fait et surtout, quelles données il a pu exfiltrer ! 
‍
‍Tous les fichiers utiles sont présents dans "challenge_login_securite_2026.zip"
(pass : lehack2026). 

Bon chance.

‍Aucun bruteforce ni connexion sur une quelconque machine/IP n'est nécessaire.