"C'est une question de bidouille": coder, souder et pirater... On a suivi une compétition de hacking éthique

Une grande salle remplie d'étudiants et de profesionnels concentrés sur leur ordinateur portable. Certains avec leurs capuches. Sur leurs tables se trouvent aussi des canettes de boissons énergisantes pour tenir sur la longueur. Ils participent tous à la cinquième édition de l'European Cyber Cup (EC2), compétition européenne de hacking ou piratage éthique, lors du Forum InCyber à Lille.

Derrière ce terme se cache un métier bien moins connu que le piratage. Là où un pirate utilise des techniques ou logiciels malveillants, comme un rançongiciel ou le hameçonnage, pour dérober des données ou de l'argent, un pirate éthique se sert de ses compétences pour tester, pénétrer le système d'une entreprise, d'une collectivité ou autre et l'alerter de ses failles.

21 équipes, avec 10 membres dans chacune d'entre elles, se sont affrontées pour gagner des points, montrant leurs compétences lors de sept épreuves se déroulant les 1er et 2 avril. À la clé de cette compétition, un chèque de 5.000 euros pour l'équipe gagnante. Tech&Co a pu assister à cette compétition qui reprend les codes du esport.

Des épreuves pour montrer une pluralité de compétences

Parmi les différentes épreuves, certaines durent quelques heures tandis que d'autres se déroulent sur les deux jours. Les équipes ne travaillent ainsi pas sur une épreuve à la fois, les membres se répartissant le travail. Certains se concentrent par exemple sur l'AD (Active Directory)/Windows. Lors de celle-ci, les participants devaient infiltrer une entreprise fictive afin de récupérer des informations critiques ou encore exfiltrer des données sensibles en exploitant des vulnérabilités.

"L'objectif est plutôt simple: c'est de prendre le contrôle total et absolu d'un réseau d'entreprise simulé, mais réaliste quand même. Ce qu'il faut faire, c'est essayer d'attaquer des machines, des serveurs, des utilisateurs, des ressources partagées sur un réseau", explique le hacker Charlie Bromberg, alias Shutdown, à Tech&Co.

Participant à l'EC2 depuis la première édition, ce hacker éthique, qui a travaillé pour des entreprises, des banques, des collectivités ou encore des hôpitaux, est le coach de l'équipe Phreaks 2600 de l'école 2600.

Pendant ce temps, d'autres membres se focalisent sur l'épreuve d'Osint (renseignement d'origine sources ouvertes), lors de laquelle ils doivent mener une enquête dans un scénario d'attaque rançongiciel à l'aide de sources d'informations publiques. Elle nécessite d'utiliser deux techniques de l'Osint, à savoir le Socint et le Geoint. La première, aussi appelée Social Intelligence, consiste à rechercher des informations sur les réseaux sociaux tandis que la seconde consiste à trouver de l'information géographique, comme un lieu en fonction d'une photo.

"On n'a pas besoin d'être un corps d'armée, d'être des forces de l'ordre pour récupérer des informations particulières (...) Ce sont vraiment des informations que tout le monde peut trouver sur internet. La seule question, c'est de savoir si on va trouver plus vite que les autres, si on va la trouver avec plus de méthodes et si on connaît les outils, les moteurs qui vont nous permettre de trouver de l'information".

Des épreuves combinant numérique et physique

Lors de ces deux jours, les équipes ne se sont pas seulement affrontées avec leurs ordinateurs. Certaines épreuves ont en effet un aspect physique, comme l'IOT (Internet des Objets). En plus de taper sur leur clavier, les participants devaient aussi souder, brancher des câbles et connecter des composants entre eux pour résoudre des énigmes techniques.

"On avait à prendre des petites billes qui pouvaient fondre en fonction de la température pour venir mouler en fait une espèce de clé pour ouvrir une serrure triangulaire", explique Charlie Bromberg.

L'épreuve de Battle Royale comprenait aussi une dimension physique. Pour commencer, les équipes se sont affrontées lors de six rounds (de 10 à 30 minutes) au cours desquels elles devaient rapidement trouver un flag (drapeau), soit une chaîne de texte volontairement cachée dans des programmes ou des sites vulnérables. Plus les rounds avançaient, plus ces drapeaux étaient difficiles à trouver et plus les équipes étaient éliminées.

Lors de ces rounds, certaines ont gagné des avantages, comme la possibilité de mener une attaque par déni de service (DDOS) pour empêcher temporairement toutes les autres équipes de se connecter et de trouver un drapeau, d'utiliser un rançongiciel pour voler des points à une autre équipe ou encore de revenir dans la course après son élimination grâce à l'option récupération.

C'est lors de la finale, avec quatre équipes, qu'est arrivée la dimension physique. Tour à tour en fonction du classement, un membre de chaque équipe avait 60 secondes pour crocheter la serrure d'un coffre afin de gagner des goodies. Alors que le premier n'y est pas parvenu, il n'a fallu qu'environ 10 secondes au deuxième pour y arriver. Les quatre équipes devaient ensuite trouver les deux codes d'un autre coffre sur leur ordinateur pour remporter l'épreuve de Battle Royale. Épreuve qui a été remportée par la même équipe ayant réussi à ouvrir le premier coffre.

Ce n'est pas étonnnant que cette compétition comprenne des aspects physiques. Si le mot hacking est utilisé pour parler de piratage et fait penser aux ordinateurs, il se traduit en réalité par "bidouillage", soit de trafiquer, bricoler un appareil, comme le rappelle Shutdown.

"Le hacking, ce n'est pas forcément de l'informatique. C'est une question de bidouille", souligne-t-il.

Repérer des talents

En dehors de la compétition, certaines choses sautent aux yeux. Sans surprise, les hommes sont beaucoup plus nombreux que les femmes. Plusieurs équipes ne comprennent que des hommes, tandis que d'autres une ou deux femmes. Elles sont néanmoins de plus en plus nombreuses à participer à l'EC2.

"Je suis contente de voir plus de femmes que l'année dernière. C'est cool, ça montre que ça se développe et que ça marche. De toute façon, il n'y a pas de caractéristiques physiques. Les femmes peuvent tout le faire", assure une étudiante qui participe à l'EC2.

Mais, selon elle, il ne faut pas faire du favoritisme en fonction du genre. Autrement dit, il faut choisir en fonction du niveau. "Il faut juste que la société évolue, que la culture se développe un peu plus, qu'on montre aux filles plus jeunes que c'est abordable pour elles et que ça peut être tout autant intéressant pour les femmes", estime-t-elle. Et, elle n'est pas la seule à le penser. C'est dommage qu'il y ait cette peur dans la cybersécurité de la part des femmes", a déploré une autre étudiante tout en se réjouissant de la compétition qui se démocratise de plus en plus.

On remarque également la présence d'entreprises, comme la Maif. Les compétitions de ce genre sont en effet un moyen pour elles de repérer et recruter des talents, dans un secteur en pénurie.

"Ce type de compétition est extrêmement important parce qu'elle permet plusieurs choses (...) Il y a un côté un petit peu gaming sur ce genre de compétition et qui permet donc d'identifier des talents professionnels ou des talents en devenir qui sont encore en école", indique Sébastien Bombal, directeur technique à la direction nationale du renseignement et des enquêtes douanières, qui préside aussi l'EC2, à Tech&Co.

C'est également un moyen de se faire connaître auprès de ce public. "La douane est peut-être une institution qui n'est pas toujours connue. On n'a pas forcément une idée du débouché dans ce genre de métiers et l'idée, c'est d'aller au contact de ces viviers pour pouvoir recruter", ajoute le président de l'EC2.

Les participants ne cherchent en outre pas forcément à gagner dans ce genre de compétition, qui leur permet de s'amuser. "Chacun va trouver son but dans ces compétitions-là. Le premier objectif, c'est de se former et de rester au niveau. Le second, ça va être de rencontrer plein de monde (...) et le troisième, c'est pour des profils, juniors ou confirmés, d'aller se mettre en avant aussi pour peut-être trouver leur job de demain", détaille Charlie Bromberg, qui se réjouit que l'EC2 ne soit pas une compétition trop sérieuse.

"À mon sens, il ne faut pas trop rentrer dans une réflexion de classement de la compétition. Oui, c'est une compétition. Il y a des gagnants, des perdants, certes. Mais, au final, très franchement, dans six mois, ce n'est pas ce qu'on retient. Ce qu'on retient, c'est l'expérience qu'on a eu ces deux jours-là", conclut le coach de l'équipe arrivée finalement deuxième, derrière l'équipe de l'école Esna, qui a gagné la compétition pour la troisième fois.