Chaque année est organisé le CSAW, le plus grand concours académique de cybersécurité au monde. Plusieurs étudiants de l'INSA Centre-Val-de-Loire, à Bourges, avaient fait le déplacement, cette année, pour celui de Valence. Sous l'oeil des recruteurs...
S'il existe en informatique des pirates, ceux-là seraient plutôt des corsaires. Valence, Abu-Dhabi, Kanpur et New York... Chaque année, les professionnels de la cybersécurité ont les yeux rivés sur les finales du CSAW.Il s'agit du plus grand concours académique de cybersécurité au monde. Le but : 12 000 futurs professionnels de la cybersécurité sont invités à pirater systèmes informatiques et objets connectés, afin d'en révéler les failles à leurs concepteurs.
Adèle Journée, 22 ans, est étudiante en 5ème année à l'Institut National des Sciences Appliquées (INSA), à Bourges. Elle étudie en filière "sécurité et technologies de l'information" et a participé, en novembre, à celui de Valence. D'abord intéressée par les sciences et les mathématiques, puis par l'informatique, elle a découvert la cybersécurité un peu plus tard.
"Ce qui m’a plu, c’est que c’est comme aux échecs : on met des défenses, les attaquants essaient de passer au-dessus… C’est un jeu constant, en fait, enfin je vois ça comme ça !" raconte-t-elle.
"Ce n'est pas une faille, c'est une porte ouverte !"
Avec son binôme, elle a participé au Security Embeded Challenge. Cette année, le défi était de pirater une lampe connectée.
"Ces lampes sont connectées en bluetooth, en fait le bluetooth n’est pas sécurisé, il n’y a aucun mot de passe. Il suffit de trouver le bluetooth dans la liste, et s’y connecter. C’est même pas une faille : c’est une porte ouverte ! (rires) Nous ce qu’on a fait, c’est qu’on a utilisé les différentes lumières pour envoyer de l’information. Chaque couleur de la lampe correspondait à une lettre."
Impossible de conduire ce piratage en une seule journée, direz-vous. Evidemment : les étudiants s'y préparent depuis des mois déjà. "Il faut énormément de recherches, détaille Adèle Journée. Sur le protocole réseau, comment ça fonctionne, comment est faite la lampe... Pour voir les possibilités d’attaque. Et pour implémenter l’attaque, certaines vont prendre une semaine, d’autres plusieurs mois."
Entreprises à l'affût
Elle et son binôme, venus plus pour le sport que pour la compétition, n'ont rien remporté. Excepté une pluie d'offres de stages. Car les entreprises, le géant Thales en première ligne, scrutent avec attention ces compétitions, pour dénicher leurs futurs employés.
"Moi, je suis en cybersécurité généraliste, mai la sécurité des objets connectés plus précisément, c'est capital, parce que les entreprises ne s’en préoccupent pas du tout, on le voit avec le bluetooth. La société d'aujourd'hui est de plus en plus informatisée. Il y a eu déjà des failles, sur des voitures qui ont été contrôlées à distance… On a vu passer le RGPD en Europe, c’est vraiment des sujets d’actualité, qui vont prendre de plus en plus d’ampleur", analyse la jeune femme.
Selon une étude du Groupe DIS, les pertes financières des entreprises fin 2017 ont augmenté de 50% en un an en raison des cyberattaques. En France, seulement 22% des sociétés estiment leurs données protégées.
