Concours de hackeurs, "il faut connaître les techniques des pirates pour se protéger"

Le HackSecu'R est organisé à Reims ce vendredi 29 et samedi 30 mars. Il allie conférences grand public et défi réservé aux étudiantes et étudiants pour apprendre à détecter et corriger des failles de cyber-sécurité.

Des troupes de hackeurs convergent vers Reims (Marne)... Mais pas de quoi s'inquiéter : c'est pour promouvoir la cyber-sécurité, et ce depuis 2017 (sauf l'année du covid).

Le vendredi 29 mars 2024, la septième édition de la HackSecu'R a lieu. Elle devrait accueillir tellement de monde que cette fois-ci, elle se tiendra au parc des expositions. Des conférences pour le grand public comme pour les spécialistes y sont organisées : elles sont gratuites, mais sur inscription. Ceci en parallèle d'un forum des entreprises travaillant dans ce domaine (pratique pour les jeunes qui se destinent à ces études et ces métiers). 

Le soir, et jusqu'au matin du samedi 30 mars, place ensuite à un défi. Ce sont près de 300 élèves étudiant la sécurité informatique qui vont passer toute la nuit à détecter des failles et apprendre à les corriger. Un riche moment d'émulation (voir emplacement sur la carte ci-dessous).

France 3 Champagne-Ardenne a contacté Florent Nolot, l'un des principaux organisateurs (et son créateur). Il est aussi enseignant-chercheur à l'Université de Reims-Champagne-Ardenne (Urca) : il y gère le master Réseaux Télécom. "Les conférences visent deux publics. Certaines sont techniques, pour un public averti : principalement des professionnels du domaine et des étudiants. Et en parallèle, d'autres conférences grand public." Il donne l'exemple d'un atelier où l'on peut apprendre à créer un site Internet ou une boutique en ligne de manière sécurisée. De quoi leur donner des clés pour éviter d'être victime de cyber-malveillance.

Un défi pendant toute la nuit

De 21h00 à 09h00, les étudiantes et étudiants (avec un minimum de compétences ou de formation, à peu près deux ou trois ans d'études) qui ont fait leur inscription s'embarquent pour un défi d'envergure. "Il va leur falloir trouver un flag." Ce qui signifie drapeau en anglais. "C'est une information dissimulée quelque part sur un système informatique. Comme une énigme, mais informatique. Soit c'est sur un site Web, mais l'information n'y est pas directement visible en naviguant. Soit cette information se trouve sur des fichiers chiffrés, donc il faut réussir à les déchiffrer."

Ainsi, "les étudiants doivent hacker le site. Ce principe leur permet de savoir ensuite le sécuriser. Ils ne sont pas dans le positionnement de faire de la sécurité des sites, mais plutôt de trouver les vulnérabilités et les exploiter. Afin, par la suite, dans le cadre de leur métier, pouvoir sécuriser et faire les bonnes recommandations aux utilisateurs et aux clients. C'est la grande difficulté de ce secteur : on ne forme pas des pirates, mais il faut connaître leurs techniques pour pouvoir se protéger." 

On ne forme pas des pirates, mais il faut connaître leurs techniques pour pouvoir se protéger.

Florent Nolot, organisateur du HackSecu'R

L'importance de la démarche est considérable, alors qu'on ne parle plus que de cyberattaques contre de grandes institutions (Pôle Emploi, Caisse des allocations familiales, hôpitaux) et de tentatives de hameçonnage par SMS ou courriel visant la population. "C'est maintenant indispensable, qu'on soit informaticien ou grand public, d'être sensibilisé." Il donne un exemple frappant : les bornes de recharge pour véhicules électriques. "Il y a un QR code dessus. Et des gens mettent un faux QR code par-dessus. Les gens font des paiements avec pour recharger, et se font avoir..." 

Résultat, il y a de plus en plus de monde qui participe. "Au tout début, on faisait ça dans les locaux de l'université : la salle d'examens du campus Moulin de la Housse, avec une quarantaine d'étudiants de notre licence d'informatique et du master Réseaux Télécom. Et vu l'engouement, c'est la première fois qu'on le fait au parc des expositions. L'an passé, on avait 120 places réservées pour ce concours, et elles avaient été réservées en 24 heures. D'où le pari de cette salle plus grande, d'un forum avec une quinzaine d'exposants au lieu de cinq ou six, et des conférences ouvertes au grand public et pas qu'aux spécialistes." Cette fois, 300 élèves devraient participer. "Ils viennent de la France entière. Il y a même quelques lycéens." 

Motivation et soif d'apprendre

Parmi elles, Céleste Moreau. Elle étudie à l'École supérieure de génie informatique (Esgi), l'une des offres de formation privées qui se multiplient à Reims depuis plusieurs années : il y a beaucoup de demande de la part des élèves comme des professionnels du secteur. "Ma formation inclue la sécurité informatique." Au mois de décembre, elle participait à un évènement un peu similaire, mais de moindre envergure au sein de son établissement : la Hack in Time. Le concours avait duré de 18h00 à minuit.

Ce grand soir du 29 mars, elle l'attend avec beaucoup d'impatience. Ce sera sa première participation. "C'est un challenge, une soirée fun avec plein d'autres gens qui ont le même objectif que nous." Qui consistera à "trouver un flag. Il y a plusieurs petits challenges. Dans chacun d'entre eux, on doit entrer le flag. Ça peut être un texte à localiser dans une image ou une vidéo. Ça peut être des informations dissimulées. Il y a de la cryptographie, de l'Osint [renseignement de sources ouvertes en français; ndlr]... On doit faire beaucoup de recherches."

Les compétences, les "outils très spécifiques" qu'elle va mettre en oeuvre et apprendre à connaître lui seront bien utiles là où elle travaille. En effet, elle est alternante en sécurité informatique et réseaux auprès du groupe Intuis, l'une des figures de proues des chauffages et pompes à chaleur sur le sol français. Autant dire que l'entreprise a intérêt à bien protéger son parc informatique et ses serveurs. 

"C'est amusant ce challenge, ça me stimule, mais derrière, on apprend à identifier et corriger les défauts de sécurité informatique. J'aime bien tout ce travail de recherche." Un classement en temps réel affichera le nombre de points que chaque équipe détient. Les mieux placées remporteront un prix. "Mais je ne suis pas là pour gagner. Je préfère participer, apprendre, et m'amuser." Elle concourt avec deux autres personnes de son école dans son équipe, Gino et Ahmad (d'autres ont rejoint des équipes différentes). Elle a prévu de nombreux gâteaux sucrés pour que tout ce beau monde puisse tenir toute la nuit.

Un secteur à féminiser

Il n'y a pas encore beaucoup de filles dans ce secteur. Mais les équipes du HackSecu'R veillent au grain. Florent Nolot précise que "depuis 2022, on organise un évènement spécifique pour les lycéennes."

"Sur une journée complète, on accueille des étudiantes de seconde pour les sensibiliser aux métiers de la sécurité informatique, et on leur fait rencontrer d'anciennes étudiantes de notre Master. C'est pour les motiver d'aller vers les carrières scientifiques : en informatique, en mathématiques appliquées..." Peut-être qu'on retrouvera quelques-unes de ces lycéennes au HackSecu'R, qui sait.