Hacknowledge Contest Europa-Africa et sécurité offensive

Organisateur du Hacknowledge Contest Europa-Africa, Franck Ebel (ACISSI) met l’accent sur les points forts de cette compétition de hacking éthique.

Président de l’association ACISSI, membre de l’Université de Valenciennes et responsable de la licence professionnelle CDAISI, Franck Ebel présente le Hacknowledge Contest Europa-Africa, une compétition de hacking éthique dont la finale se déroulera en France, à Maubeuge (Nord), en novembre 2013.

Silicon.fr – Quelles ont été les motivations des RSSIL à l’origine du Hacknowledge Contest Europa-Africa ?

Je suis universitaire et ai toujours été confronté à des problèmes de sécurité. Les étudiants ont toujours tenté, sur le réseau interne, des logiciels trouvés sur le Web, scans de ports et intrusions. Ils ont aussi été le vecteur d’infections virales des machines en interne par le biais des supports amovibles…

Je m’intéressais également, en amateur averti, aux problèmes de piratage informatique. J’ai donc voulu trouver une formation « officielle » débouchant sur un diplôme. Malheureusement, rien n’existait sous la forme que je souhaitais : c’est-à-dire la sécurité dite offensive. J’ai donc entraîné deux collègues vers des formations beaucoup moins officielles, des rencontres de hackers, conférences, challenges de hacking.

Nous nous sommes aperçus que beaucoup de jeunes avaient d’énormes compétences, pas de diplômes et que, parfois, ceux-ci partaient à la dérive.

L’idée m’est donc venue de créer en 2004 une association, ACISSI (Audit, conseil, installation et sécurisation des systèmes informatiques), et ensuite, en 2006, une manifestation : les RSSIL (Rencontres des solutions de sécurité et d’informatique libre), qui permettraient de mettre en relation ces jeunes hackers, les écoles de formation et les professionnels de la sécurité, afin de créer une osmose entre eux.

Or, le meilleur moyen de regrouper ces hackers était de créer un challenge de hacking éthique… L’initiative a débuté il y a 7 ans. J’ai ensuite créé la licence professionnelle (L3) de ethical hacking appelée CDAISI (Collaborateur pour la défense et l’anti-intrusion des systèmes d’information). Elle est unique en Europe sous cette forme, puisque de type offensive, et son adage est le suivant : « apprendre l’attaque pour mieux se défendre. »

Depuis 2009, par le biais de mes autres activités associatives et professionnelles, je suis allé dans plusieurs pays d’Afrique pour effectuer des audits de sécurité informatique et des formations, notamment au CI-CERT (CERT de Côte d’Ivoire)… Les jeunes là bas sont très demandeurs de connaissances, de rencontres. Le lien s’est très vite créé entre ces demandes et notre challenge !

Lire aussi : Wikileak publie le code source des outils de hacking de la CIA

Ainsi, l’idée du Hacknowledge Contest Europa-Africa a pris forme en décembre 2012 avec le premier de ces challenges ouverts en Côte d’Ivoire.

Comment se déroule la compétition ? Comment ont été sélectionnés les participants ?

Le pays hôte organise, d’un point de vue logistique et publicitaire, le challenge sur son territoire (Côte d’Ivoire, Maroc, Belgique, Espagne, France…). Mon équipe se rend sur place avec des épreuves créées par nos soins (70 épreuves passant par les failles web, applicatives, physiques, hardwares, sans-fils, systèmes…).

Nous fournissons donc un challenge « clé en main » et sommes jury de l’évènement. Quant aux inscriptions, elles s’ouvrent sur notre site hacknowledge-contest.org trois mois avant la date de la compétition et des équipes de 2 à 6 challengers peuvent s’inscrire.

Le challenge lui-même dure 12 heures et une plateforme des scores permet de comptabiliser les points qui sont affichés sur grand écran en direct. Le gagnant est celui qui a marqué le plus de points. Deux équipes de chaque pays sont sélectionnées afin de concourir pour la finale, qui se déroulera en France entre fin octobre et mi-décembre 2013.

Pouvez-vous préciser la notion de hacking éthique ?

Le hacker est un bidouilleur qui étudie les systèmes, qu’ils soient informatiques ou non, et qui essaie d’en détourner le fonctionnement normal.

En France, l’image du hacker est associée à celle d’un pirate, d’où l’ajout de éthique pour le différencier. Toutefois, à la base, un hacker n’est pas un pirate. On ne devrait donc pas dire hacking éthique, mais simplement hacking.

Lire aussi : Authentification : comment pirater les tokens

En résumé, le hacker éthique, dans le secteur informatique, va rechercher des failles potentielles afin de les révéler et de les combler, contrairement au pirate qui va se servir de ces failles à des fins illégales…

Il est vrai, cependant, que la frontière entre les deux est très proche et que chacun peut basculer d’un côté ou de l’autre.

Quels sont les objectifs du concours, au-delà d’une participation à la DefCon 2013 pour les lauréats ?

L’objectif de ce concours est de rassembler les meilleurs hackers d’Europe et d’Afrique. Il s’agit, premièrement, de créer un lien physique entre ces personnes qui se connaissent virtuellement ;

Deuxièmement, nous voulons regrouper en un même lieu tous ces individus ainsi que des recruteurs, afin que les entreprises et administrations trouvent la « perle rare » pour sécuriser leurs organisations ;

Troisièmement, le Hacknowledge Contest Europa-Africa est un moyen d’échanger ses connaissances à travers des discussions, conférences et tables rondes et d’essayer de faire avancer, dans le bon sens, la sécurité informatique.

Voir aussi
Quiz Silicon.fr – Êtes-vous un expert du « Hello world! » ?

Lire aussi : Microsoft combat les hackers russes de Fancy Bear avec… ses avocats