Le réseau national :

Le Hacking Challenge du Groupe ADP avec Epitech

Hacking-Challenge-CTF-Groupe-ADP-Epitech-1.2.jpg

Le Groupe ADP (Aéroports De Paris) a lancé mercredi 5 avril une opération inédite avec Epitech : un hacking challenge oui, mais un challenge de sécurité informatique en conditions réelles, c'est-à-dire sur les services du Groupe ADP qu'un salarié lambda est amené à utiliser quotidiennement. Une opération sur de vrais services, c'est là toute la différence et c'est pour cela que les 15 étudiants de l'école invités ont adoré. Ils provenaient de plusieurs des 12 écoles du réseau national Epitech, de Bordeaux, Marseille, Nantes, Paris, Rennes et Toulouse.

Mais c'est quoi le Groupe ADP ?

ADP est l'acronyme d'Aéroports de Paris. Le groupe se situe dans le top 3 mondial du secteur aéroportuaire. Le Groupe ADP opère et exploite notamment les deux principales plateformes françaises que sont les aéroports de Paris-Charles de Gaulle et Paris-Orly.

CTF or not CTF

Pour être précis sur le contenu de ce challenge organisé par le Groupe ADP, notamment par Eric Vautier, Responsable de la Sécurité des Systèmes d'Information (RSSI) du Groupe ADP, laissons la parole à Lucas Santoni (promo 2021) : « ce n'était pas vraiment un CTF - Capture The Flag, prise de drapeaux en français -, plutôt une opération de "pentest". On est arrivé dans les locaux, on avait un poste banalisé avec seulement les droits d'un utilisateur. On devait alors trouver le plus de failles possibles et essayer de gagner en privilèges ».

Réel, fun et professionnel

« Pour que ce soit plus fun, poursuit Lucas, le Groupe ADP a donc ajouté un format CTF, avec des drapeaux, en catégorisant les différentes failles que l'on pouvait trouver avec un nombre différent de points à gagner en fonction du type de failles... C'est ça qui était super sympa : c'était un CTF totalement professionnel, ce n'était pas à blanc, avec ce genre de challenges classiques pas très réalistes. Là, on était en situation réelle sur un système en production ». Un autre Lucas (Lucas Languedoc, promo 2019) abonde : « ce n'était pas un contexte où l'on nous a facilités la tâche. Le Groupe ADP nous a demandés d'intervenir sur de vrais services. Du coup, c'est un niveau au-dessus de ce que l'on a l'habitude de faire, et c'était vraiment intéressant pour ça ».

Hacking-Challenge-CTF-Groupe-ADP-Epitech-diaporama.jpg

Les objectifs

Pour Raphaël Frayssinet, Project manager - Innovation au sein du Groupe ADP, « cette opération avait deux objectifs : d'abord tester la fiabilité de notre système sur le plan des habilitations en plaçant les étudiants dans la position d'un utilisateur mal intentionné, avec leurs compétences et créativité. C'est pour cette raison qu'on les a équipés de PC "masterisés" par le Groupe ADP avec des comptes utilisateurs uniquement, pour voir ce qu'ils étaient capables de faire à partir de ce niveau-là. Le deuxième objectif, au-delà de savoir ce qu'ils ont trouvé, est de comprendre comment ils fonctionnent, quelles sont leurs méthodes. On va bénéficier de ce retour, en regardant de près ce qu'ils ont fait ».

Les gagnants

Après examen des « trouvailles » faites par les étudiants, le jury a désigné le trio formé par Louis Venne, Benjamin Drouard (tous deux promo 2019 que l'on a déjà rencontrés au 9ème Forum International de la Cybersécurité) et Manuel Poncet (promo 2017). Ils ont remporté chacun un USB Armory bundle et un Ubertooth, pendant que tous les autres participants sont eux repartis avec un Raspberry Pi. Sans oublier la cerise sur le gâteau de la victoire : un week-end offert à Louis, Benjamin et Manuel à Londres pour le salon InfoSecurityEurope 2017. Fougue de la jeunesse et envie d'aller toujours plus loin mais peut-être trop loin, Louis trouve juste « dommage qu'on n'ait pas pu utiliser nos machines pour tester l'environnement mais sinon, c'était très stimulant de hacker en conditions réelles... ».

Hacking-Challenge-CTF-Groupe-ADP-Epitech-Marc-Lebrun-Manuel-Poncet-Louis-Venne-Benjamin-Drouard.jpg

(Marc Lebrun, Manuel Poncet, Louis Venne & Benjamin Drouard)

La sagesse des Anciens

Cette réflexion a fait sourire Marc Lebrun, Epitech promo 2013 et directeur pédagogique adjoint d'Epitech Nantes : « je les connais bien, c'est moi qui m'occupe du module sécurité dans le cursus de l'école avec Quentin Poirier : on les a sélectionnés parce que ce sont de jeunes qui bossent bien et qui s'investissent dans le domaine (...). Accessoirement, avant de revenir à Epitech, j'ai travaillé dans le secteur de l'audit de sécurité pendant 3 ans et demi... C'est un exercice que j'ai souvent fait, j'étais aussi là aussi pour leur donner des conseils de façon à ce qu'ils ne bloquent pas et que ça avance... ».

Rester simple

Idem pour quentin Poirier, Accompagnateur Pédagogique Epitech et promo 2016, « j'étais là non pas pour leur donner des solutions mais pour voir ce qu'ils faisaient parce que l'on va évidemment faire un debriefing avec eux après, en parlant des pistes qu'ils auraient pu prolonger plus avant. Sur le moment quand je voyais qu'ils partaient trop loin dans un angle que je ne jugeais pas très pertinent, j'essayais de leur dire que ce n'était pas prioritaire. J'en ai vu qui partaient sur des choses techniques très poussées alors que le nerf de la guerre sur des "pentests" de ce type, c'est plutôt de chercher quelque chose de mal configuré avec un mot de passe par défaut, sur une version obsolète... J'essayais de leur faire passer de message selon lequel il vaut mieux se concentrer sur ce genre de choses ».

Hacking-Challenge-CTF-Groupe-ADP-Epitech-participants.jpg

L'énergie de la jeunesse

Gilles Lévêque, DSI du Groupe ADP avoue aisément que « l'on a un peu hésité avant de se lancer dans cette aventure mais une opération comme celle-ci est très positive pour nous (...). Je suis passé plusieurs fois dans la journée, je m'interroge toujours, quand je vois des jeunes comme eux qui se lancent dans la carrière, si l'on va réussir à les "cadrer" mais je suis à chaque fois enthousiasmé et surpris par l'énergie qu'ils amènent et leur capacité à se discipliner tous ensemble vers un même but ».

Innovation Hub

Enfin, Edward Arkwright, directeur général exécutif, chargé du développement, de l'ingénierie, et de la transformation du Groupe ADP a tenu à souligner aussi en s'adressant aux étudiants: « vous êtes les premiers à bénéficier de cet espace, le Hub Innovation. Il est ouvert à tous ceux qui ont envie d'expérimenter, d'innover, tous ceux qui ont envie de faire des choses différentes dans nos aéroports. Cet espace est le seul à être en dehors des codes et des règles et qui régissent tout le reste de l'aéroport. L'Innovation Hub est un espace livré à l'imagination ». Comme à Epitech.

  • Catégorie Evénements
  • Posté le 18/04/2017
  • Lien