La 5ème édition du Breizh CTF se tient à Rennes ce 12 avril. La compétition de sécurité informatique reçoit 300 personnes, salariées ou non de la cybersécurité. Toutes passionnées. Lucas, co-organisateur y voit un moyen d'encourager les vocations dans un secteur trop souvent perçu comme compliqué.
"Mes premiers programmes, c'était pour ouvrir des lecteurs de disquettes ou de CD à distance. J'envoyais un fichier à des amis, ils cliquaient dessus et ça ouvrait leurs lecteurs." Lucas, 30 ans, se souvient de ses premières bidouilles informatiques. Il a alors 15 ans. Depuis, ce diplômé en ingénierie a fait de la cybersécurité son métier. Il est aujourd'hui pentester, spécialiste en tests d'intrusion.
"Pour aimer ce boulot, il faut aimer, creuser, chercher. Longtemps. Il faut être curieux, vouloir comprendre comment ça fonctionne derrière. C'est aussi contourner les choses, l'utilisation principale d'un outil ou une fonction."
Chasseur de bugs
Ses compétences et sa passion débordent du cadre du travail. Sur son temps libre, il se lance parfois en chasse, en traquant les vulnérabilités d'un site internet. Des plateformes permettent à des entreprises de dire "je vous laisse trouver les failles de mon site". Si une faille majeure remonte, celui qui l'a identifiée est rémunéré. Une prime appelée Bug bounty. "Cela offre un cadre légal pour ceux qui aiment ce genre d'exercice" souligne Lucas.
La cybersécurité, palpable dans le quotidien
Lucas se souvient d'une faille, la plus étonnante, voire dramatique qu'il ait découverte. Il travaille alors sur un audit, pour une entreprise médicale. Avec son équipe, il trouve par hasard un défaut, sur une application à destination de patients diabétiques. Ces derniers portent un boîtier, qui gère leurs doses d'insuline. "On se rend compte qu'on à la main dessus, qu'on peut modifier les dosages. Un clic et ça aurait pu tuer quelqu'un." Ils alertent immédiatement l'entreprise. L'application est fermée. "Tout ça, c'est du palpable. Le virtuel rejoint toujours le réel."
Le Breizh CTF, capture the flag !
Le Breizh CTF 2019 affiche complet avec 300 personnes attendues ce 12 avril, sur le campus de Rennes 1. Les participants sont des professionnels ou des passionnés par l'informatique (souvent les deux). L'événement gratuit s'autofinance grâce à des sponsors. CTF signifie "capture the flag" (trouve le drapeau) et incarne un mode de jeu en équipe, à la poursuite d'un objectif.
Durant toute une nuit, les participants vont en effet travailler par groupe de cinq et participer à 40 challenges, créés entièrement par les organisateurs dont Lucas, sur leur temps libre, selon différentes catégories et par niveau de difficultés. "On peut par exemple demander de se mettre dans une situation comme celle de prendre le contrôle d'un site. Ou alors de suivre un virus, et de comprendre comment il est entré."
[Infos pratiques] un petit récap des infos importantes :
— BreizhCTF 2k19 (@BreizhCTF) April 10, 2019
> Trouver : @UnivRennes1 Campus de Beaulieu https://t.co/UDRcbkU2SL
> Être à l'heure ! 17h pour le pointage
> Ne pas oublier : son adaptateur RJ45
> Contribuer : proposer une rump sur contact (at) https://t.co/N2MDx8Wnj7
Le jeune homme aimerait bien que les médias rangent l'image malhonnête du hacker qui "bricole dans le noir avec son sweat à capuche et ses lunettes vertes". "Un hacker bricole, désassemble, retourne, réassemble pour améliorer."
Le Breizh CTF se veut surtout un temps d'échange et de partage, un moment pour susciter les vocations. "Personne ne terminera avec 0 point" indique Lucas, "tout le monde doit apprendre". "Rien n'est compliqué, c'est juste une question de temps."
Les trois meilleures équipes remporteront des lots, une surprise non dévoilée ici.