Une équipe du LSE première dans un concours de sécurité américain

Depuis janvier, une dizaine d’étudiants du Laboratoire Système de l’EPITA (LSE) a monté une équipe pour participer aux concours Capture The Flag (CTF). En octobre, ils sont arrivés premiers lors de la compétition CSAW CTF organisé par l’Université Polytechnique de New York.

Chaque année, le monde de la sécurité informatique organise plusieurs dizaines de concours Capture the Flag (CTF). Ces compétitions, qui couvrent la quasi intégralité des thématiques de la sécurité, permettent ainsi aux étudiants, mais aussi aux professionnels et aux chercheurs, de mesurer les capacités de chacun. « Généralement, ces compétitions se déroulent en parallèle de conférences sur la sécurité, explique Pierre Bourdon (EPITA promotion 2013 et LSE), membre de l’équipe lauréate. Elles sont généralement préparées et supervisées par les organisateurs mêmes de la conférence. Mais il arrive aussi que des équipes mettent elles-mêmes en place de petites compétitions. Parfois, quelques entreprises spécialisées dans la sécurité informatique préparent ces types de concours dans une optique de recrutement. »

ctfctf.jpgL’équipe de CTF du LSE lors de la Nuit du Hack 2012.

La sécurité informatique : une discipline empirique

Du fait de leur discipline de prédilection – la sécurité informatique – et de leur motivation, une équipe d’une dizaine d’étudiants du LSE s’est formée en début d’année. Chaque nouvelle compétition propose de nouveaux sujets, souvent inédits : « Il y a quelques exercices connus, classiques même, mais généralement, les organisateurs proposent des contenus inédits, poursuit Pierre Bourdon. Le challenge évolue aussi avec l’actualité de la sécurité informatique, qui change constamment. Récemment, ce sont les questions de failles de sécurité dans des systèmes industriels qui ont émergées. Aussi, sommes-nous obligés de fonctionner par tâtonnements. Il n’y a pas de solution toute prête. »

Un travail d’équipe bien rôdé

La petite dizaine de membres de l’équipe avait 48 heures pour plancher sur les 32 problèmes que comptait l’épreuve. Il ne leur en aura fallu que 26 heures pour les résoudre, ce qui fait d’eux les participants au concours les plus rapides toutes catégories confondues. Pour Pierre, ce succès n’est pas le fruit du hasard : « Nous avons eu le temps d’apprendre de nos premières expériences. Plusieurs facteurs ont été pris en compte. Nous avons bien mieux organisé nos cycles de sommeil : un CTF est une épreuve de fond ; on ne peut pas se permettre que tout le monde dorme en même temps, cela reviendrait à laisser une avance de cinq à huit heures aux autres participants. De fait, nous nous sommes répartis le travail dès le départ en fonction des affinités de chacun avec les sujets. Ainsi, au lieu d’être dix à perdre notre temps sur le même exercice, nous étions trois ou quatre petits groupes à résoudre autant de problèmes. Enfin, nous avons eu de la chance, tout simplement ! Nous avions déjà travaillé sur des situations similaires à certains sujets donnés. Là où certains de nos concurrents ont mis quatre à six heures à répondre, nous n’en avons mis qu’une ! »

Ce succès international relance encore plus la motivation de l’équipe, qui s’apprête d’ailleurs à relever de nouveau défi très prochainement : « Nous allons participer à deux concours dans un futur proche. Le premier aura lieu à Grenoble, le GreHack, organisé par l’Ensimag. Nous nous déplaçons d’ailleurs là-bas exprès pour l’occasion, grâce à un financement de l’EPITA. Le second aura lieu en ligne et aura donc une envergure internationale. Il s’agit du Hack.lu, organisé par le Centre de Réponse des Incidents Informatiques du Luxembourg. Nous espérons pouvoir faire aussi bien que lors du CSAW CTF ! »