Le réseau national :

La victoire au bout de la nuit

Sylvain-Laurent-Epitech-Nuit-du-Hack-1.jpg


Sylvain Laurent, Epitech promo 2015, fait partie de l'équipe qui a remporté la Nuit du Hack 2014, un des concours en matière de sécurité informatique les plus réputés au niveau national. Nous l'avons rencontré, il nous raconte tout.

La compo

« Notre équipe était composée de trois Anciens Epita, quelqu'un qui tient à rester anonyme et moi-même. »

Comment ça se passe ?

« On est arrivé à Disneyland vendredi soir, pour en sortir dimanche matin, en sachant qu'il y avait une pré-qualification avant ce week-end. Celle-ci s'est déroulée sur une seule nuit, c'était aussi un Capture the flag (« CTF ») mais sur un mode « Jeopardy » (des épreuves multiples). Le concours en tant que tel était, lui, un « attaque / défense ». De mon point de vue, le plus fun, c'est l'attaque / défense, parce qu'il y a de l'administration systèmes et réseaux. »

La mise en bouche

« Mon rôle pendant la finale a d'abord consisté, pendant la première demi-heure où le réseau est fermé, à consolider un accès au firewall qui sert de passerelle pour « mitiger » certaines attaques. On ne pouvait pas être administrateur, on n'avait pas la main sur le « root » du système (sa « racine », ndr), seulement certaines commandes manuelles, par exemple iptables de Linux. »

Sylvain-Laurent-Epitech-Nuit-du-Hack.jpg

Le plat de résistance

« Ensuite, la seconde partie de la soirée a débuté, pour se finir à 6h le lendemain matin. C'est à ce moment-là qu'a vraiment démarré l'attaque / défense, avec moins de temps à passer sur les failles de sécurité. Vers 3h on a commencé à avoir des attaques par déni de service, le but du jeu étant de garder le service « up », toujours avec ce même nombre limité de commandes à disposition. »

Perdre un peu pour gagner beaucoup

« Dans le monitoring, nous avons associé IP et port, afin qu'en cas d'attaque nous puissions couper l'accès à tel port à partir de tel IP spécifique de façon à ce que les organisateurs puissent continuer à accéder au service.
On perdait donc des points à chaque « down » de service car le service de monitoring se faisait passer pour une équipe adverse qui pouvait potentiellement être celle que l'on avait bloqué.
Au final, on avait plus de chances de ne pas voir le service tomber, ce qui amenait à faire des vérifications toutes les 30 secondes pour débloquer certains adversaires. »

Un flag n'est pas un drapeau

« Ce qui était bien dans cette attaque / défense c'était que ce n'était pas un CTF « normal » : on prenait des gros datasets et on les soumettait manuellement, contrairement à des « flags » traditionnels, qui sont des preuves d'exploitation de la vulnérabilité du système. »

Vivement la prochaine

« C'est ma deuxième Nuit du Hack, en compagnie des mêmes personnes que l'an dernier où nous étions arrivés à la deuxième place ce qui fait que cette année, on avait vraiment envie de remporter celle-ci. D'où une grosse tension sur la fin d'ailleurs... »

Plaisir et compétences

« Nous, on fait ça pour le fun, l'ambiance cette année était encore hyper bonne, par exemple on venait nous proposer des verres exprès pour nous perturber, sans réussite... Et puis ceux qui organisent cette Nuit du Hack sont, logiquement, de vrais cadors dans le domaine. »

  • Catégorie Evénements
  • Posté le 16/07/2014
  • Lien