News
 Challenges
  Solutions
 Forum
 Articles

Dernièrement

30 mai 2020

Vol de données - password reuse

Que s’est-il passé ?

Historiquement l’association Root-Me a toujours fait confiance à tous ses contributeurs et à ce titre les membres les plus actifs jouissent généralement de droits forts.
Un administrateur de la plateforme qui a beaucoup contribué à son époque puis s’est éclipsé pour poursuivre sa vie professionnelle et familiale a été victime d’une attaque par réutilisation de mot de passe : son mot de passe est apparu dans un leak quelconque et malheureusement c’était le même que sur la plateforme Root-Me. Ce compte compromis a permis un accès illégitime au backend depuis lequel nous gérons Root-Me.

Quand est-ce que ça s’est passé ?

L’intrusion a commencé le 23 mai 2020 et a duré jusqu’au lendemain, le 24 mai 2020.

Quels sont les impacts ?

Les solutions, mais surtout les adresses emails des utilisateurs de la plateforme ont été volées. Les condensats de vos mots de passes ne sont pas impactés. Les autres données récupérées telles que pseudonymes et clés GPG sont déjà des informations publiques affichées sur le profil des utilisateurs.

Et maintenant ?

Pour la protection du backend et donc de vos données, nous avons mis en place une double authentification via GPG des administrateurs.


29 janvier 2020

Toulouse Hacking Convention 2020

Le 6 mars 2020, l’ENSEEIHT de Toulouse accueillera la quatrième édition de la Toulouse Hacking Convention. Il s’agit d’une journée de conférences tournant autour de la sécurité, dans une ambiance conviviale et avec des membres de la communauté du Libre. :)
Les précédentes éditions ont été un franc succès avec près de 300 participants. Comme l’an dernier, il n’y aura pas de CTF (manque de bénévoles motivés). Cette année, nous accueillerons exclusivement des conférenciers francophones. Les sujets iront de la cryptographie post-quantique jusqu’à l’instrumentation d’applications. Le programme complet est disponible sur le site Web.
Les vidéos des conférences de l’année dernière sont disponibles sur YouTube (nous n’avons pas encore de PeerTube…)
Inscrivez‐vous rapidement, les inscriptions vont fermer d’ici peu  !


24 janvier 2020

Nouvelle série de challenges en environnement kernel Microsoft Windows

Une nouvelle série de challenge d’exploitation Windows Kernel est désormais accessible ! Le premier challenge est ouvert à tous, les suivants sont temporairement exclusifs aux membres premium et seront ouverts au public aux dates suivantes :

Un grand merci à Synacktiv, __syscall pour leurs challenges !
Un autre grand merci à und3ath & Ech0 pour leur travail sur l’architecture de ces exercices.


23 janvier 2020

Root-Me Pro : une version entièrement dédiée aux professionnels

Avec plus de 10 ans d’existence, Root-Me est devenue la plateforme en ligne proposant le plus grand nombre et la plus grande variété de contenus pratiques dédiés à la sécurité informatique (ethical hacking, devsec, forensic, etc.). Grâce à une communauté de près de 300 000 membres, les diverses contributions permettent à Root-Me de proposer des contenus réalistes, documentés et adaptés aux problématiques techniques auxquelles font face les experts en cybersécurité. Dernièrement, de nouvelles catégories d’exercices ont d’ailleurs vu le jour : série Blockchain - Ethereum, série Windows PE, série Windows Kernel.

Fort de cette expertise, la plateforme Root-Me est aujourd’hui utilisée par des joueurs du monde entier dont de nombreux professionnels qui souhaitent entraîner leurs équipes, organiser des événements cybersécurité (CTF, Hackaton, etc.) ou encore détecter de nouveaux talents. Face à ces besoins et pour répondre aux nombreuses sollicitations d’écoles et entreprises, nous avons pris le temps de préparer une offre complète que vous pouvez retrouver dès maintenant sur la plateforme Root-Me PRO.

Pour en savoir plus, vous n’hésitez pas à contacter les équipes Root-Me Pro !


23 janvier 2020

Synacktiv sponsorise Root-Me !

Synacktiv est une société spécialisée en sécurité offensive fondée en 2012 par des experts du domaine. Nous recrutons des passionnés dans nos différents pôles : pentest, reverse-engineering et développement d’outils offensifs.

Synacktiv dispose de sites à Paris, Toulouse, Rennes et Lyon et d’une équipe de plus de 55 experts. Nous sommes agréés CESTI par l’ANSSI et en cours de certification PASSI.


3 janvier 2020

HackSecuReims 2020

Pour la 4ème année, un événement sécurité est organisé à Reims.
Il se nomme HackSecuReims et est ouvert à tous les étudiants de l’enseignement supérieur dans la limite de 120 places.
L’évènement aura lieu dans les locaux de l’UFR Sciences Exactes et Naturelles de l’Université de Reims Champagne-Ardenne du vendredi 7 février 2020 à 21h au samedi 8 février 2020 11h.
Au préalable de ce CTF, des conférences auront lieu de 14h à 19h sur le thème de la sécurité et de la simulation numérique.

Plus d’informations sur https://www.hacksecureims.eu/


6 décembre 2019

Nouvelle série de challenges : AppSys/Windows

Une nouvelle série de challenge d’exploitation Windows est désormais accessible ! Le premier challenge est ouvert à tous, les suivants sont temporairement exclusifs aux membres premium et seront ouverts au public aux dates suivantes :

- PE32 - Local stack buffer overflow basic : public
- PE32 - Advanced stack buffer overflow : 3 janvier
- PE32+ Egg Hunter : 3 février
- PE32+ Basic ROP : 3 mars


18 novembre 2019

API : api.www.root-me.org

Une API vous permettant d’interagir avec les données du portail est disponible à cette adresse api.www.root-me.org. Les "endpoints" disponibles sont les suivants :

Vous devez être authentifié, c’est à dire envoyer votre cookie de session ’spip_session’ pour y accéder.
Aucune limite n’est pour le moment fixée, cela pourrait évoluer rapidement en cas d’abus.

Il s’agit d’une première version encore en développement, merci pour votre indulgence.


18 novembre 2019

Nouvelle série de challenges : Programmation/Ethereum

Une nouvelle série de challenges sur le thème "cryptomonnaie - smart contract" est désormais accessible. Le premier challenge est ouvert à tous, les 3 autres sont exclusifs et deviendront publics aux dates suivantes :

- Ethereum - Tutoreum : public
- Ethereum - Takeover : 22 décembre
- Ethereum - NotSoPriv8 : 22 janvier
- Ethereum - BadStack : 22 février


18 novembre 2019

Évolution du portail : Root-Me v10

Au menu des changements

  • le sommaire du portail a changé, les modifications permettent d’expliciter les différents types de compte disponibles :)
  • vos pages profils, score, statistiques évoluent
  • votre page parametres vous permet désormais de saisir une adresse et vos informations professionnelles. Cela nous permettra notamment de gérer plus facilement l’envoi de goodies ou autre aux contributeurs et de vous proposer plus formellement des stages/alternances/postes à travers les offres portées par Root-Me Pro
  • des badges de compétences vous sont affectés lors de la validation d’un challenge, de la création d’un contenu ou d’une réalisation particulière
  • un champ textuel permet de filtrer la liste des challenges d’une rubrique
  • quelques changements de style :
    • l’ensemble des icônes du portail est désormais au format SVG
    • revue légère des styles CSS
    • responsive design désormais compatible avec les petits écrans

Du cotés des nouveautés dans l’architecture

  • une machine de challenge Microsoft Windows (!) : challenge05.root-me.org
  • 20 nouvelles salles dans le CTF all the day
  • des dizaines de nouveaux environnement virtuels sont disponibles dans le CTF All the day

Happy hacking ,-)