ECSC : deux pentesters d’Orange Cyberdefense membres de l’équipe de France


Deux auditeurs de l’équipe Ethical Hacking d’Orange Cyberdefense ont réussi les sélections pour participer à l’European Cybersecurity Challenge (ECSC) en octobre prochain. Quelles ont été les épreuves de qualification ? Comment se préparent-ils ? Rencontre.

L’un sera membre de l’équipe des juniors, l’autre de celle des séniors. Switch, la vingtaine à peine entamée, et Titanex, 25 ans cette année, sont tous deux pentesters au sein de l’antenne rennaise d’Orange Cyberdefense. En octobre prochain, ils tenteront de remporter, avec 10 (14 avec les remplacants) autres ethical hackers français, l’European Cybersecurity Challenge (ECSC).

L’ECSC, qu’est-ce que c’est ?

Comme son nom l’indique, l’ECSC est une compétition de cybersécurité. Elle a été créée en 2014 avec le soutien de l’ENISA pour European Agency for Network and Information Security, entité de l’UE spécialisée dans la cybersécurité.

Le but de cette initiative : « trouver des cyber talents et les encourager tous à poursuivre une carrière dans la cybersécurité », écrit l’ENISA en 2017[1]. Cette année, vingt pays participent à la compétition, dont, pour la deuxième fois, la France.

L’Autriche, la Belgique, Chypre, la République Tchèque, le Danemark, l’Estonie, l’Allemagne, la Grèce, l’Irlande, l’Italie, la Lituanie, le Luxembourg, les Pays-Bas, la Norvège, la Pologne, la Roumanie, l’Espagne, la Suisse et le Royaume-Uni seront aussi représentés.

Chaque équipe est composé de dix membres : cinq juniors (14-20 ans) et cinq séniors (21-25 ans), accompagnés de quatre remplaçants, deux pour chaque tranche d’âge.

L’an dernier, la France a terminé deuxième, juste derrière l’Allemagne et devant le Royaume-Uni. Un classement que Switch et Titanex, avec leur équipe, tenteront de surpasser du 9 au 11 octobre prochain, à Bucarest (Roumanie).

De 1200 à 50

Lors des pré-sélections qu’elle lance en mai dernier, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) propose une quarantaine d’épreuves, accessibles à toute personne intéressée par la cybersécurité. Sur les 1200 candidats inscrits, seuls 50 (25 candidats par catégorie) seront sélectionnés sur les critères suivants :

  • résolution des épreuves techniques ;
  • rapidité d’exécution ;
  • qualités des write-up (explications du raisonnement choisi).

Pour rejoindre l’équipe de France, les dernières phases de qualification ont lieu durant leHack, le 6 et 7 juillet dernier.

De 50 à 14

« Les épreuves proposées pendant leHack m’ont semblé plus difficiles que celles de la pré-sélection. Il y avait neuf challenges, il fallait vraiment creuser à fond pour réussir et obtenir un maximum de points », se rappelle Switch. Une impression partagée par Titanex : « Les épreuves rapportant le plus de points étaient en effet plus dures. L’ANSSI a aussi mis en place un mécanisme intéressant : chaque explication de raisonnement aux coachs rapporte des points supplémentaires aux cinq premiers ».

En moyenne, il faut entre deux et cinq heures pour résoudre une épreuve, le temps passé augmentant avec la difficulté. Après les délibérations du jury de l’ANSSI, Switch et Titanex, comme 12 autres participants, apprennent la bonne nouvelle : ils font officiellement partie de l’équipe de France. Prochaines étapes ? Une semaine d’entraînement avec les coachs de l’ANSSI en septembre avant les deux jours d’épreuve à Bucarest.

Un challenge pour les passionnés

« J’ai commencé à m’intéresser à la sécurité vers 15 ans. Je pratique presque tous les jours, j’adore essayer de comprendre comment les choses fonctionnent. A force de fouiller et de me documenter, je me suis rendu compte qu’essayer de trouver des bugs allait avec ma façon de réfléchir. La manière dont on essaie de les exploiter m’intéresse particulièrement. Essayer d’exploiter quelque chose, c’est une démarche intellectuelle, un moyen de raisonner motivant », explique Switch.

Pour Titanex, la passion est aussi au rendez-vous : « Je rejoins complètement Switch. J’ai toujours voulu comprendre le fonctionnement des machines, me servir d’une fonctionnalité pour une autre utilisation que celle initialement prévue. Contrairement à Switch, je n’ai pas de formation cyber. Quand j’ai entamé mes études, il en existait très peu. J’ai commencé en tant qu’ingénieur et j’ai appris sur le tas ». Pour le jeune expert, l’entraînement est aussi au rendez-vous, surtout sur la cryptographie.

La récompense ? Ils ne s’en préoccupent pas. D’ailleurs, ils ne savent même pas ce qu’il y a à gagner. « Le but reste de passer un bon moment, de prendre du plaisir à participer. Ayant 25 ans cette année, c’est la dernière session à laquelle je peux participer, alors une victoire serait tout de même un beau cadeau », conclut Titanex.

 Nous leur donnons donc rendez-vous en octobre, avec on l’espère, cette belle victoire en poche.

Notes :

[1]The European Cyber Security Challenge: Lessons Learned report, ENISA, 2017