404 CTF : le tournoi de cybersécurité conçu par les élèves et la DGSE

Vendredi 17 juin 2022, les participants au challenge de Cybersécurité 404 CTF se pressent sur le stand de la Direction Générale de la Sécurité Extérieure (DGSE) à VivaTech, le plus grand salon de la technologie européenne. Parmi les milliers de participants, cette première édition distingue l'unique vainqueur de l'ensemble des épreuves.

Conçu par les élèves ingénieurs de Télécom SudParis, membres du club d'HackademINT Cybersecurity, le 404 CTF met à l’honneur les 80 ans du BCRA, les services secrets de la France libre et les 40 ans de son héritier, la DGSE. Rencontre avec Julien Ribiollet et Martin Horth, deux élèves organisateurs de ce défi.

TSP : Le club HackademINT Cybersecurity brille souvent lors des compétitions CTF (Capture The Flag). Pour le 404 CTF, vous avez été davantage impliqué dans la conception et la communication. Quelle est la différence ?

Julien Ribiollet : Grâce aux CTF auxquels nous participons tout au long de l'année, nous avons acquis suffisamment d'expérience pour mettre en place le nôtre.  Lorsque nous participons à la résolution d'un défi, il nous suffit de trouver la faille. Mais lorsque nous sommes dans l'organisation, nous devons anticiper. Créer un challenge comme le 404 CTF est un travail complexe mais très intéressant et gratifiant.

Autre grande différence, c'est la responsabilité. Quand vous êtes dans une compétition, vous représentez votre école, et en tant qu'élève vous avez le droit à l'échec. Dans le cas du 404 CTF, c'est Télécom SudParis qui nous a confié, au travers des projets pédagogiques (GATE en 1ère année, Cassiopée en 2e année), la tâche de concevoir des challenges pour le compte de la DGSE : vous n'avez pas le droit à l'erreur, cette responsabilité est très lourde à porter.

TSP : Pouvez-vous nous décrire vos tâches pour la conception de ce concours de cybersécurité ?

Martin Horth : Il faut déjà rendre hommage à Quentin Michaud, l'ancien président du Club. C'est sur son mandat que la conception de ce challenge a commencé. De notre côté, la nouvelle équipe en place, nous avons commencé à travailler sur ce CTF en novembre 2021. Certains avaient pour mission de créer des défis, de les rendre les plus complexes possible. D'autres avaient pour mission de déployer l'infrastructure.

Pour ma part, j'ai créé la page web du concours et son design. Hector a participé très activement au déploiement de notre infrastructure chez OVH, notre partenaire qui nous a fourni les serveurs utilisés. Nous avons tous créé des challenges comme nous en avions envie, en suivant nos inspirations. Ensuite, certains d'entre nous se sont spécialisés afin que ces défis puissent être intégrés à la compétition.

TSP : La compétition a débuté le 16 mai et s'est terminée le 10 juin. Pourtant tout le monde pouvait s'inscrire à tout moment. Pourquoi ?

Julien Ribiollet : Le format de la compétition est composé de 71 défis. En laissant les inscriptions ouvertes, cela laissait la liberté aux participants de faire tous les défis ou pas, de les résoudre dans l'ordre de leurs envies.
Ce format très libre convient très bien au public que nous essayons d'atteindre avec la DGSE.

Nous ne visions pas seulement un public d'étudiants qui peut consacrer une journée entière à ce défi. Nous voulions aller plus loin et le proposer aux entreprises et à leurs salariés. Pour ces personnes, qui ne peuvent consacrer qu'une heure ou deux le soir, pouvoir s'inscrire à tout moment est une formidable opportunité.

Au début du concours, nous étions à 125 inscrits, à la fin nous avons dépassé la barre des 2700 inscrits.

TSP : Comment les enseignants-chercheurs de Télécom SudParis vous ont-ils aidé à organiser ce challenge ?

Martin Horth : Grâce à nos enseignants, notamment Olivier Levillain et Gregory Blanc, nous avons pu nouer des contacts. Ils nous ont donné des conseils en matière de méthodologie et de communication. Ils ont également été d'une aide précieuse pour l'encadrement et ont pu participer à la phase de test lorsqu'il s'est agi de mettre en place la plateforme.

TSP : Qu'est-ce que ça fait d'être un élève ingénieur fan de cybersécurité et de travailler avec la DGSE ?

Julien Ribiollet : C'est un privilège, presque une opportunité. La DGSE nous a invités, Quentin Michaud et moi, à venir promouvoir le concours au Cyber Campus, qui est le nouveau haut lieu de la sécurité française. C'était un honneur d'être devant le président de la DGSE et des personnes de l'ANSSI (Agence nationale de la sécurité des systèmes d'information) et de leur présenter notre projet. D'autant plus que j'étais en première année d'école d'ingénieurs sans jamais avoir touché à la cybersécurité auparavant. C'était un honneur incroyable.

Martin Horth : Cela nous permet de nous fixer un objectif. Dès le début de l'année, nous savions que cet événement allait arriver.

Je voyais les CTF comme un terrain d'observation. A chaque fois, j’identifiais certaines choses utiles pour l'organisation de notre propre compétition, notamment les éléments capables d'intéresser les participants.

TSP : Sur le plan personnel, qu'attendiez-vous de ce projet ?

Martin Horth : Apprendre et gagner en compétence. Mais aussi de passer du temps avec des personnes qui ont les mêmes objectifs que moi, le même état d'esprit. Nous sommes partis de rien et l'aspect collaboratif était quelque chose que j'attendais vraiment avec impatience. Avec ce 404 CTF, organisé avec la DGSE, nous sommes passés de l'autre côté, celui de l'organisateur, et je trouve cela vraiment intéressant, vraiment différent de celui du concurrent.

Julien Ribiollet : Ce que j'attendais vraiment de ce projet était d'acquérir de nombreuses compétences en cybersécurité et des contacts. Les projets HackademINT, tout comme les projets GATE, le permettent.