La Cybersécurité et son Forum International à Lille au centre de l’attention

Le Forum International de la Cybersécurité fêtait ses 10 ans à Lille, les 23 et 24 janvier derniers. Preuve, comme on le remarquait l’an dernier, que la cybersécurité devient un sujet d’intérêt majeur, pas moins de 3 ministres s’y sont déplacés dont Gérard Collomb, le ministre de l’Intérieur, pour ouvrir ce salon et Mounir Mahjoubi, secrétaire d’État chargé du numérique. Évidemment, des étudiants Epitech en étaient aussi, soit en animant un hacking truck soit en tant que participants aux challenges « forensic », dont celui organisé par Epita.

La conscience des risques

Quand le ministre de l’Intérieur souligne que « chaque Français possédant un smartphone ou une tablette doit comprendre que si la révolution numérique change leur vie, elle est porteuse de risques de vol d’identifiants, de vols de cartes bancaires, de blocage télécom et des transports à partir d’un simple appareil », on ne peut s’empêcher de penser aux animations mises en place par nos étudiants cette année et en 2017 de même, via les hacking trucks Epitech. Pourquoi ? Parce qu’ils visent à vulgariser auprès du grand public les risques que la communauté « sécu » connaît par cœur sauf que c’est bien la seule.

NFC is not secure

Cette année, le hacking truck Epitech était animé pendant ces 2 jours par Antoine Malhache (promo 2018), Nathan Vande Perre (promo 2020) et Antoine Zaczyk (promo 2020), tous trois d’Epitech Lille. Il s’agissait de « démontrer que les technologies NFC étaient intéressantes mais pas assez sécurisées, résume Antoine (Malhache). On s’est penchés sur les cartes de transports de la métropole lilloise, Transpol, pour déterminer si ces données sont correctement protégées. Et le résultat est… Non ! On a pu tracer tous les déplacements d’une personne – à quelle heure elle part au boulot, à quelle heure elle rentre etc…. Avec ces infos en main, il est facile de déterminer où cette personne habite, où elle travaille… ».

Comment ça hacke ?

Antoine continue d’expliquer comment ils ont eu accès à cet ensemble de données : « Sur la carte, les infos sont écrites en hexadécimal. Avec un lecteur NFC – qui coûte à peine dix euros… -, on a récupéré ce qu’il y avait sur la carte et on a comparé cette carte à d’autres pour comprendre le « langage » commun à toutes les cartes. On a donc pu déterminer quelles infos correspondaient au type d’abonnement ou quelles infos indiquaient les voyages, les dates, heures… ».

Le cas des CB sans contact

« Il en va de même pour les cartes bancaires avec l’option sans contact, puisqu’elles aussi marchent avec le système NFC… On peut récupérer les derniers paiements sans contact effectués, l’heure, le montant, la date, le TPE utilisé (le terminal sur lequel on fait le paiement), mais aussi le cryptogramme derrière la carte bancaire ». C’est dit.

La sécu, une passion

Antoine nous en dit plus sur son expertise : « Je m’occupe du Focus Group « Cybersécu » au Hub Innovation de l’école. Tous les mardis, on se retrouve et on anime des ateliers. Notre grand projet, c’était cette animation du FIC, parce qu’on voulait faire une démo qui soit propre. Au FIC, on est vraiment entre passionnés de la cybersecurité, le format est international… C’est une chance d’être ici ! ».

Networkers

« C’est sympa d’animer le Hacking Truck, ça fait une bonne expérience. Je suis aussi dans le Focus Group Sécu au Hub Innovation d’Epitech Lille ; quand on a monté ce projet avec Antoine, on s’est vraiment mis à fond dans le projet », confirme Nathan. « J’ai déjà mon stage de troisième année qui ne sera pas dans ce domaine mais pour la cinquième année, j’aimerais bosser dans la cybersécurité, je commence donc la prise de contact dès maintenant » ! Un FIC est effectivement le bon moment pour collecter les cartes de visite…

Profiter de l’occasion

Bryan Guilliod d’Epitech Paris (promo 2021) le confirme : « On a eu l’occasion de voir beaucoup de start-up, plein de grosses entreprises… On a pu parler avec Thales par exemple ». Bryan était lui au FIC 2018 pour participer aux challenges cybersécurité organisés chacun des 2 jours, des « Capture The Flag » (CTF) dont celui d’Epita, très réputé sur cet évènement et qui s’est déroulé le premier jour de ce FIC 2018, le mercredi 23 janvier.

Training, learning and doing

Jean Plancher (promo 2020) et Grégoire Lodi (promo 2021) sont venus d’Epitech Lyon exprès pour y participer, comme Valentin Poitier et Quentin Buathier, tous les deux de la promo 2018. Ces 2 équipes lyonnaises de 2 membres sont arrivées, comme un fait exprès, l’une derrière l’autre en haut du classement : huitième et neuvième. « C’est notre premier FIC, poursuit Jean, par contre c’est notre vingtième CTF… On a déjà fait le HitCon par exemple qui est le 2ème plus gros CTF au monde. En général, pour les CTF, on n’y va pas avec l’intention de gagner. On voit plus ça comme de l’entrainement pour apprendre à gérer le stress, à travailler sous pression. Pour être bien classés, il y a beaucoup de réflexes à avoir ».

Happy hour pas comme les autres

C’est une sorte de méthodologie qu’il s’agit d’acquérir, Grégoire acquiesce : « Il faut faire beaucoup de veille et être à jour sur les technos pour les exploiter au mieux ». Précision : les étudiants d’Epitech Lyon auraient pu arriver plus haut dans le classement s’ils avaient compris le système de « l’happy hour » de la dernière demi-heure quand les points comptent double…

La sécu, leur passion

Valentin, en cinquième année lui, nous confie : « je ne me suis pas beaucoup entrainé en termes de CTF cette année, les 3ème année (promo 2020) en ont fait régulièrement toute l’année en revanche. Personnellement, je travaille déjà dans la cyber sécu en part-time ». Quentin, lui, a prévu de participer au renouvellement des contenus pédagogiques « sécu » au sein de l’équipe d’Epitech.

Les newbies de Paris

Bryan dont on vient de parler n’était pas le seul à être venu au FIC depuis Paris, Hugo Laroche, Thibaut Jacquart et Jérémy Thiriez (promo 2020) ont fait de même mais quasi sans expérience de ce type de concours : « On est arrivés 32èmes, on a donc fait mieux que la moitié mais bon… » (rires). Thibaut poursuit : « On a appris comment rechercher des failles, identifier leurs sources et retracer un « hack » éventuel pour identifier le hackeur ». Bryan nous explique que « c’est le premier salon dans ce genre que je fais même si j’ai déjà fait des conférences avant sur la cybersécurité. On a beaucoup appris ».

Toute la cybersécu est au FIC

En plus des dizaines de stands d’entreprises, organisations ou de ministères (Intérieur et Défense notamment) sur la plateforme centrale de Lille Grand Palais, les organisateurs du salon organisent des dizaines de workshops, masterclasses et autres conférences spécialisées sur les multiples sujet et objets de la cybersécurité. Dans ces allées, on a croisé Marc Lebrun, Epitech promo 2013 qui était revenu travailler à l’école l’année dernière.

Les enjeux de la RGPD

Aujourd’hui manager de l’équipe technique de Digitemis à Nantes pour les missions des tests d’intrusions, il nous résume son travail quotidien : « On fait du conseil en « cybersécu » et vie privée. Des « audits » sur les volets organisationnels et moi, je m’occupe de la partie technique et juridique. On accompagne les sociétés sur la mise en œuvre du nouveau Règlement européen sur la protection des données (RGPD), qui est un gros enjeu pour 2018. On propose même des solutions logicielles à nos clients, qui leur permettent de faciliter cette transition, de faire la cartographie des traitements ». Il est désormais manager d’une équipe technique de cinq personnes.

La conférence plénière #3 du FIC 2018

Et justement, le thème de la troisième plénière du FIC du mercredi 24, a été : « L’Europe peut-elle gagner la bataille des données ? », ouverte par Mounir Mahjoubi. Le secrétaire d’État a évidemment parlé RGPD, qui va impacter beaucoup de filières, mais aussi neutralité du web, en rappelant les origines d’Internet : celui-ci n’existe que parce que l’on a interconnecté des réseaux qui ne l’étaient pas. Et non l’inverse… Cette table ronde réunissait, outre Mounir Mahjoubi, Florence Raynal, chef du service des affaires européennes et internationales au CNIL ; Séverin Cabannes, directeur général délégué de la Société Générale ; Joe McNamee, directeur exécutif d’European Digital Rights ; Christian Buchel, directeur général adjoint, président de EDSO – ENEDIS et Eric Leandri, directeur général de Qwant dont les interventions ont suscité l’approbation et parfois même les applaudissements du public. On reparlera de ces sujets très bientôt.