Événement-phare dans le domaine de la cybersécurité, la 7ème édition de la European Cyber Week a eu lieu entre le 15 et le 17 novembre 2022, à Rennes. Matthieu Daumas, étudiant en 3ème année à Epitech Bruxelles, s’y est rendu pour participer à la finale du challenge Capture The Flag. Traditionnellement dédié aux étudiants, pendant cette édition, le challenge s’est également ouvert aux professionnels du secteur et aux militaires. Enthousiasmé par l’expérience, Matthieu a répondu à nos questions.
Comment as-tu découvert la European Cyber Week et qu’est-ce qui t’a poussé à aller jusqu’à Rennes pour y participer ?
Matthieu Daumas: J’ai entendu parler de cet événement sur un serveur Discord créé autour de la cybersécurité. Un membre avait envoyé le lien pendant la phase de sélection et je me suis dit que cela pourrait être sympa d’y participer. La sélection a duré une quinzaine de jours pendant lesquels on a réalisé des challenges qui étaient listés par catégorie : cryptographie, web, hardware, etc. J’ai réalisé les épreuves et j’ai commencé à avoir de bons résultats. Cela m’a beaucoup encouragé, donc je suis allé de plus en plus loin et finalement je me suis qualifié. Seulement les 48 premiers du classement ont été sélectionnés pour participer à la finale du challenge Capture The Flag et se rendre à Rennes.
As-tu déjà participé à ce genre d’activité liée à la cybersécurité dans le passé ?
MD: C’était mon premier défi Capture The Flag, en tout cas le premier CTF où je me suis qualifié et qui nécessitait un déplacement. Sinon, c’est vrai que c’est une chose qui m’intéresse. Avant, j’aimais surtout regarder les gens faire parce que j’estimais que je n’avais pas encore le niveau suffisant pour le faire moi-même. Mais grâce à tout ce qui a été mis en place autour de la cybersécurité dans l’équipe d’Epitech Bruxelles, j’ai suffisamment progressé pour prendre les choses en main et me lancer dans cette première édition de la European Cyber Week qui a été pour moi une très bonne source d’expérience.
À part le CTF Challenge, as-tu participé à d’autres activités et conférences lors de la European Cyber Week?
MD: La ECW est un salon dédié à la cybersécurité et aux nouvelles technologies dans ce domaine. Étant occupé avec le défi CTF, je n’ai pas pu assister à tout. Mais j’ai tout de même pu passer une journée entière là-bas, j’ai visité les stands et j’ai découvert plein des technologies et entreprises liées à la cybersécurité.
En quoi a consisté le défi CTF ?
MD: Le challenge CTF était très différent de ce qu’on a eu lors de l’épreuve de sélection. Nous avons travaillé par équipes de quatre, faites au préalable. Les personnes venant d’une même école étaient automatiquement mises ensemble sauf en cas d’une quelconque insuffisance dans une équipe. Dans ce cas, on mélangeait les écoles entre elles. C’était mon cas. J’étais le seul étudiant d’Epitech et j’ai été mélangé avec d’autres étudiants qui étaient eux aussi les seuls représentants de leur école.
Concernant le challenge en lui-même, tout le monde était connecté à une machine individuelle. Chacun avait accès à un réseau qui représentait une entreprise. Il s’agissait d’une entreprise de logistique et on devait découvrir nous-mêmes ce qui se cachait sous ce réseau – tous les différents services, tous les sites web, etc. Il y avait des vulnérabilités dans la plupart des services et c’était à nous de comprendre quel service était quel challenge. On n’avait qu’une description brève de chaque défi et c’était à nous de trouver où il se cachait dans le réseau et le résoudre. Parfois, certains des défis impactaient les autres tandis que d’autres étaient progressifs. Par exemple, dans la catégorie Forensics il y a eu cinq étapes. Pendant une des étapes, il fallait se rendre physiquement dans les stands de l’ECW. Les organisateurs avaient créé un stand fictif qui contenait les informations nécessaires pour progresser dans notre recherche. C’était pratiquement une chasse aux trésors tout en restant dans le domaine de l’informatique.
Quels ont été les résultats de tes efforts ?
MD: Pour les qualifications, j’ai fini deuxième dans le classement global. Dans le classement de la finale, mon équipe a fini septième avec 3000 points, très proche de la deuxième place qui avait obtenu 3200 points. La compétition a été très serrée dans le classement. Il n’y avait que la première place qui se démarquait réellement avec 5000 points, ce qui est énorme. Sinon, on s’est beaucoup bagarré avec les autres. Au début, on était 3ème, ensuite on est descendus très bas dans le classement, à la 12ème place. Nous avons réussi à bien remonter à la dernière minute en retrouvant plein de challenges. Nous avons eu une équipe assez équilibrée et on a fait de notre mieux malgré le fait que la plupart d’entre nous étaient des débutants.
As-tu des anecdotes à raconter ?
MD: Oui. Je venais de trouver un bout de code et j’étais sur le point de terminer un challenge, mais au moment où j’ai voulu envoyer le flag, les organisateurs ont annoncé qu’on ne pouvait plus le soumettre. Ça fait partie du jeu. D’autres ont été plus rapides. Si on avait obtenu ces points-là, on aurait au moins été à l’égalité avec le top trois, voire peut-être le top 2.
Certains challenges allaient vraiment loin et d’autres étaient très subtils. Par exemple, chaque équipe avait au centre de la table une tasse. On pensait que c’était un simple goodie comme tous les autres, sauf que nous avons trouvé étrange qu’il n’y ait qu’une seule tasse pour quatre participants. Les organisateurs nous avaient pourtant dit de prêter attention aux détails ! Il se fait que tout autour du logo imprimé sur la tasse, il y avait des petites inscriptions qui étaient un défi de cryptographie. Ça m’a pris un peu de temps, mais finalement j’ai compris de quoi il s’agissait et je crois avoir été le premier à le résoudre. Donc j’ai pu repartir avec la tasse.
Qu’est-ce que tu as appris lors de cette expérience ?
MD: La finale a été bien différente de la version gamifiée des qualifications où chaque challenge était bien séparé, clairement identifiable, etc. Pendant la finale, j’ai essentiellement appris comment fonctionnait un vrai CTF. On était dans une black box, face à l’inconnu. On peut littéralement appeler ce que nous avons fait une « real life application ». Nous nous sommes pratiquement infiltrés dans une entreprise pour trouver en moins d’une dizaine d’heures toutes les informations possibles et résoudre les failles de sécurité.
Donc vivement la prochaine édition ?
MD: En effet, j’ai super envie de participer à ce challenge l’année prochaine aussi. Maintenant que j’ai un peu d’expérience je sens que je vais faire mieux ou au moins aussi bien. La cybersécurité est à la fois un domaine amusant et passionnant. Parfois, tu te prends la tête parce que tu es presque sur d’y être mais il te manque une pièce du puzzle. Tu veux absolument avoir le fin mot de l’histoire et cela te pousse à toujours faire plus et aller toujours plus loin.
Qu’est-ce qui t’a marqué le plus pendant cet événement ?
MD: J’ai été surpris du point auquel le secteur militaire était investi dans ce domaine. J’ai croisé plein de généraux et de très haut gradés dans l’armée qui étaient venus voir des potentiels candidats et recruter dans la cybersécurité. C’est quelque chose de très prisé en ce moment avec l’explosion d’internet, etc. Pourtant je n’imaginais pas voir autant de présence que ce soit militaire, où même d’entreprises qui présentaient des différentes solutions. J’avoue avoir été assez surpris de l’ampleur de l’événement. La cybersécurité est quelque chose d’important qu’il ne faut pas négliger et généralement il faut aller piocher chez les plus jeunes, chercher le renouveau et laisser les nouvelles générations apporter leur vision de la cybersécurité.