CaptureTheFlag : l’EPITA Rennes dresse le drapeau noir !

CaptureTheFlag : l’EPITA Rennes dresse le drapeau noir !

Depuis la rentrée 2020, une petite communauté d’étudiants passionnés de cybersécurité de l’EPITA Rennes a décidé de monter une équipe, la HackDrinkFlagRepeat (HDFR), pour participer à des événements CaptureTheFlag (CTF pour les intimes). À l’origine de cette initiative, Giovanni Le Bail (EPITA promo 2025) nous en dit plus sur cette discipline très prisée par les amateurs de sécurité informatique !

 

CaptureTheFlag : l’EPITA Rennes dresse le drapeau noir !

Giovanni (au centre, au premier rang) et ses coéquipiers

 

Quand as-tu commencé à t’intéresser à la cybersécurité ?

Giovanni Le Bail : Ma première approche avec la sécurité informatique s’est faite au collège, après qu’un virus ait infecté toutes les machines de l’établissement, rendant illisibles les documents des professeurs. Avec un ami, on a alors décidé de créer un antivirus, soit un programme capable de supprimer ce virus pour rendre à nouveau lisibles les documents. Cela a fonctionné et c’est à partir de là qu’a commencé mon intérêt pour ce sujet qui peut parfois être obscur pour le grand public mais qui regroupe un très vaste champ de connaissances : on n’en vient jamais à bout car l’on découvre de nouvelles choses en permanence. Pour autant, ce n’est vraiment qu’à mon entrée à l’EPITA Rennes que j’ai ensuite vraiment retouché à la sécurité informatique et que, grâce aux cours, j’ai pu enfin mettre en place toutes les idées qui me trottaient en tête jusqu’alors !

 

C’est comme ça qu’a débuté la création de l’équipe ?

En fait, j’ai d’abord voulu monter un club. En effet, durant le Cycle préparatoire de l’EPITA, on n’explore pas autant la sécurité informatique que lors des trois années du Cycle ingénieur. D’ailleurs, la sécurité informatique, ça se cultive aussi beaucoup sur le Net. D’où l’idée de lancer un club pour permettre aux autres étudiants de 1re et 2e années d’aller plus loin, de partager leurs connaissances et de suivre des cours spécifiques une à deux fois par semaine. Pour le moment, nous sommes deux à encadrer des activités – notre coach, expert en cybersécurité, et moi-même. Naturellement, il a été aussi rapidement question de prendre part à des compétitions CaptureTheFlag.

 

CaptureTheFlag : l’EPITA Rennes dresse le drapeau noir !

 

À quoi ressemble un CTF ?

Il y en a de plusieurs types. Celui que l’on pratique le plus souvent, c’est le « Jeopardy » qui regroupe plusieurs challenges de différentes catégories – de la cryptographie, du « reverse programming », etc. Généralement, durant un CTF, on se retrouve face à un problème sans solution apparente et il faut creuser afin de le résoudre dans le temps imparti et obtenir des points – plus l’on remporte de de challenges, plus on a de chance de gagner des points et de remporter la compétition. La mission d’un CTF consiste à retrouver des « flags », c’est-à-dire de petits morceaux de texte cachés dans chacun des challenges. Une fois un flag découvert, on le valide sur le site de la compétition pour gagner des points et monter dans le classement général. Chaque membre de l’équipe ayant ses propres préférences, chacun essaye alors de se concentrer sur un challenge en particulier, tout en ayant la possibilité de pouvoir demander de l’aider à ses coéquipiers si besoin. Lors d’un CTF, on partage d’ailleurs toutes nos avancées sur HackMD, pour indiquer ce qu’on a pu trouver aux membres de l’équipe.

 

Combien de temps prend la résolution d’un challenge ?

Cela dépend ! Un CTF en lui-même peut durer une heure comme plusieurs jours. On peut se retrouver avec des CTF assez faciles, proposant beaucoup de challenges rapides à relever, comme des CTF très difficiles, avec des challenges capables de vous accaparer durant toute la durée de l’événement, sur deux à cinq jours. Parfois encore, on peut se concentrer uniquement sur un seul challenge très difficile durant l’intégralité d’un CTF sans pour autant parvenir à trouver la solution… mais ce n’est jamais du temps perdu ! On apprend toujours quelque chose au final même lorsqu’on ne parvient pas à trouver le « flag » : on explore de nouvelles pistes, on découvre de nouvelles méthodes… On s’améliore toujours !

 

CaptureTheFlag : l’EPITA Rennes dresse le drapeau noir !

 

Existe-t-il une vraie communauté du CTF ?

Oui et c’est ce que j’aime d’ailleurs beaucoup dans la cybersécurité. C’est une énorme communauté, avec beaucoup de personnes qui, justement, apprennent en ligne, en trouvant des petits documents à droite, à gauche, et n’hésitent pas à partager leurs connaissances. Pour s’entraîner, des sites proposent ainsi librement des challenges semblables à ceux qu’on peut trouver lors d’un CTF mais que l’on peut réaliser sur une durée indéterminée. Parmi ces sites, il y a notamment Root-me, un site français rassemblant une très grosse communauté avec qui on peut échanger sur Discord ou IRC.

 

Depuis sa création, l’équipe HDFR a déjà réalisé de belles performances, n’est-ce pas ?

C’est vrai : en fin d’année scolaire (en juin, ndlr), nous étions dans le Top 10 France ! Ce classement se base sur l’ensemble de nos participations : en gros, sur chaque CTF notre équipe va gagner des points. Ensuite, chaque CTF terminé envoie ensuite les scores sur un site américain, CTF Time, qui lui-même redistribue des points en équipes en fonction de la difficulté du CTF concerné. C’est un bon classement pour une équipe encore jeune et sans trop d’expérience comme la nôtre. Nous espérons encore évoluer par la suite, en fonction des nouvelles choses que l’on va pouvoir apprendre à l’EPITA et au fil des challenges.

 

CaptureTheFlag : l’EPITA Rennes dresse le drapeau noir !

 

Quel CTF te rend le plus fier ?

J’ai bien aimé le P’Hack CTF de cette année, une compétition que l’on a failli remporter, avant de bloquer un peu sur le dernier challenge dans les dernières minutes. Nous avons finalement réussi à le résoudre, atteignant ainsi la 4e place dans une dernière ligne droite très serrée ! C’était la première fois qu’on se rapprochait aussi près d’un podium final et que l’on remportait des prix – en effet, lors d’un CTF, en fonction du classement, tu peux gagner des goodies, des certifications, etc. Là, nous avions remporté des t-shirts et d’autres petits goodies !

 

Quelles compétences faut-il pour participer à un CTF ?

Ce n’est pas tellement une question de compétences. Il faut surtout de la persévérance. Même si c’est dur et que l’on n’y arrive pas, il faut s’accrocher et continuer. Le but finalement, ce n’est pas toujours de réussir, mais d’apprendre de nouvelles choses à chaque CTF ! C’est le plus important. Surtout, il n’est pas rare d’avoir le déclic après que l’on ait pensé avoir épuisé toutes ses idées, en s’attaquant à un autre challenge ou en faisant une petite pause.

 

CaptureTheFlag : l’EPITA Rennes dresse le drapeau noir !

 

Combien d’étudiants de l’EPITA Rennes t’ont rejoint dans cette aventure ?

Le club sécu et l’équipe de CTF concernent une dizaine de personnes pour le moment sur notre campus. Toutefois, nous avons aussi d’autres membres, comme des anciens étudiants d’EPITA Rennes aujourd’hui suivant le Cycle ingénieur à Paris. Enfin, comme j’ai également mis en place un serveur de sécurité informatique pour nos activités, des étudiants des autres campus peuvent venir se joindre à nous. On a déjà des étudiants intéressés venus des campus de Lyon et de Strasbourg.

 

Enfin, comptes-tu travailler plus tard dans la cybersécurité ?

Oui ! J’aimerais faire le Cycle ingénieur en alternance pour ensuite travailler dans ce domaine et, pourquoi pas un jour, monter ma propre entreprise de cybersécurité même si je ne sais pas encore quel chemin je vais prendre dans ce vaste domaine. J’ai encore du temps devant moi avant de me décider et préfère d’abord explorer un peu tout avant de choisir ce qui me plaît le plus !

 

Retrouvez le club sécu et l’équipe HDFR de l’EPITA Rennes sur Discord et Twitter

Suivez les performances de HDFR sur CTF Time