Dans le cadre de la Cyberweek 2023, l’Agence du Numérique de Digital Wallonia a organisé en collaboration avec l’ASBL BeHack une compétition Capture the Flag (CTF) pour les étudiants passionnés de cybersécurité. L’évènement a duré toute une nuit, de 19h le 13 octobre au 14 octobre, à midi. Rythmé par une diversité de défis, le but de l’évènement était de tester les compétences des étudiants et de faire ressortir les savoir-faire et les futurs talents dans le domaine. Des entreprises telles que Wavestone et Thales étaient présentes pour animer des workshops, repérer ces talents et combler la pénurie de spécialistes en cybersécurité qui est bien réelle.
Notre partenaire BeHack, co-organisateur de la compétition, a invité les étudiants d’Epitech Bruxelles à y participer, bien évidemment, défi relevé avec grand succès, car un des deux groupes d’étudiants Epitech inscrits a été le grand gagnant ! Un deuxième groupe d’étudiants Epitech s’est situé à la 7ème place.
MyLittlePwnies
Le groupe gagnant s’appelle MyLittlePwnies. Plus qu’un groupe constitué ad-hoc à l’occasion de cette compétition, MyLittlePwnies est une association étudiante engagée dans la sensibilisation à la sécurité informatique. Faisons la connaissance de ses membres !
Après avoir suivi les trois premières années de leur scolarité à Epitech Nancy, Nathan Chiodin et Lucie Thomas effectuent leur quatrième année d’études en informatique à Epitech Bruxelles qui les spécialise précisément en cybersécurité. Leurs camarades d’Epitech Nancy, Alexandre Romanowski et Mathieu Gillet, les ont rejoints pour l’occasion afin de compléter le pool de compétences de l’équipe et capturer ensemble le plus de flags possible. Alexandre est actuellement étudiant en troisième année et Mathieu vient de finir ses cinq années d’études à Epitech, mais s’amuse toujours à participer à des CTF et des hackathons dans son temps libre. Visiblement, ce domaine est pour eux plus qu’une possibilité professionnelle, c’est une passion.
Le nom de l’équipe qui se réunit régulièrement plus ou moins dans cette formule pour participer à des compétitions de cybersécurité est un jeu de mots sorti de l’imagination de Mathieu. Terme du slang des hackers, « to pwn » signifie « compromettre » ou « contrôler ». Sa prononciation étant proche du mot « own », « MyLittlePwnies » fait penser à des poneys. Nous, nous préférons y voir des « licornes ».
Comment gagner une compétition CTF
Devant la série de challenges lancés par les entreprises organisatrices – Cresco, RedSystem et Approach Cyber -, MyLittlePwnies ont prouvé être une équipe solide grâce aux compétences complémentaires de ses membres. Ils ont pris le lead une heure après le début du CTF et c’est à ce moment-là qu’ils se sont rendus compte que cela pourrait très bien se passer, malgré les obstacles.
Cela nous a motivés énormément que chacun puisse aller vers son domaine de prédilection et faire à sa guise, nous raconte Nathan.
L’OSINT est le thème que Lucie préfère le plus, donc elle a attaqué de plein fouet les challenges liés à ce domaine. En utilisant des données numériques dissimulées et pourtant disponibles en open-source, elle a pu identifier le lieu où une image a été prise. Lors du deuxième défi OSINT, elle a aussi retrouvé un lieu secret à partir de trois mots. Overpass Turbo, What3words, Google Images… le secret est de savoir quels outils employer pour arriver à ses fins. Lucie s’est aussi amusée en faisant du crochetage de serrures et en résolvant des challenges de stéganographie. Mais tout n’a pas été rose : « J’ai pratiquement passé de minuit à 9h30 et 16 secondes sur les challenges de cryptographie et j’en ai pleuré du sang ! »
Aidé par Alexandre et Mathieu, Nathan a assuré au niveau des défis en reverse engineering et password cracking. Néanmoins, le Forensics est la catégorie que Nathan apprécie le plus. Il a eu le plaisir d’être le premier à résoudre deux des quatre challenges de cette discipline – une prouesse, vu son état :
J’avais mal à la tête, à la gorge, aux oreilles et pas de voix. L’avantage, c’est que j’étais tellement malade que je ne sentais plus la fatigue. J’ai réussi donc à me concentrer toute la nuit. Je suis parti du principe que tant que je ne tombais pas, j’étais capable de continuer. C’était la première fois depuis longtemps qu’on avait réussi à refaire un CTF ensemble en présentiel. C’est ce qui m’avait motivé le plus. En plus, j’ai été le premier à avoir trouvé un flag en début de soirée et c’est à ce moment-là que j’ai réalisé qu’il y avait peut-être une chance.
Les leçons à emporter
MyLittlePwnies ont été marqués par le fait d’avoir été aussi loin et de gagner. Ils sont entrés dans la compétition pour s’amuser et ils ont fini par se surprendre eux-mêmes.
En plus d’acquérir des compétences liées à la cryptographie, cette expérience a aidé Lucie gagner encore plus de confiance en elle-même. Nathan a amélioré sa manière de penser et a appris à voir certaines choses sous un angle différent : « Je suis tombé sur un flag que je n’ai pas reconnu, par exemple. Prochaine fois, je ferai mieux. »
En même temps qu’apprendre, MyLittlePwnies aiment partager leurs connaissances : « Moi, j’ai pas mal tourné voir toutes les équipes et aider au niveau des challenges OSINT. En effet, nous avons donné des indications aux autres participants. C’est une des choses qui nous tenaient à cœur : garder l’ambiance Epitech lors du CTF. On préfère faire apprendre aux gens », affirme Lucie.
En tant que membres de l’association MyLittlePwnies, Lucie et Nathan ont déjà organisé leur propre compétition CTF à Nancy et sont en train de préparer la deuxième édition, peut-être sur le campus d’Epitech Bruxelles. Ce CTF, accueilli par l’Agence du Numérique de Digital Wallonia, les a sûrement inspirés pour enrichir leur événement à eux qui aura lieu en mars 2024. Stay tuned !
