Security Quest

Le concours Security Quest est axé sur des problématiques de sécurité réseau. L’équipe encadrante, le Lab ESL, installe des machines physiques mais aussi, désormais, virtuelles, des systèmes d’exploitation et des applications, qui sont susceptibles de comporter des failles. Les étudiants sont chargés de déceler ces brèches et de les exploiter.

À l’issue de cette intrusion dans le système, les étudiants trouvent un fichier appelé certificat. Ce certificat est à transmettre dans les plus brefs délais aux personnes gérant le concours, signalant ici que la tentative d’attaque a débouché sur la compromission de la machine.

Les certificats cachés

Les certificats sont gérés par une machine à l’intérieur de l’école :

• Non accessible depuis l’ensemble du parc informatique
• Qui pour un « challenge » précis, va attribuer un identifiant unique basé sur une clé RSA.
• Une personne ayant réussi à obtenir un certificat l’envoie à l’administrateur de cette machine, qui va vérifier la correspondance du fichier généré et du fichier transmis.
• Si les deux sont identiques, l’attaque est jugée réussie, et les points sont donnés au groupe d’où elle provient.

L‘Epitech met à disposition cette infrastructure, avec aussi quelques entreprises extérieures, dont le système d’informations va être éprouvé afin d’en mesurer la qualité (ou les défauts), ceci en terme de sécurité informatique.



Plutôt que de se concentrer sur les failles applicatives des systèmes Unix et Windows, le concours est organisé sur des thématiques multiples, avec une intervention ponctuelle des entreprises. De fait, les étudiants peuvent désormais tester leurs acquis sur des challenges de “reverse engineering”, d’analyse de codes malicieux ou encore de résolution des schémas opérationnels de programme. Par exemple, en analysant le comportement d’une application souffrant de failles type “buffer overflow”.

L’intervention ponctuelle des entreprises, plutôt que d’être confronté dès le début du concours à toutes les structures concernées, apporte un côté événementiel au concours, qui reste nécessaire pour la motivation des étudiants. Ils peuvent ainsi se former à des attaques et à des protections nouvelles, via des architectures traditionnelles ou émulées, puisque certaines entreprises ont accepté l’installation de machines virtuelles. Cela agrémente énormément la structure même du concours. C’est par exemple le cas de l’entreprise ON-X, qui fournit aux étudiants des « Virtual machines » en les rendant accessibles sur les serveurs du lab.

Cela permet aux étudiants d’attaquer des systèmes d’exploitations divers, tout en ne multipliant pas le nombre de machines. Les tentatives d’attaques sont alors faites sur un seul point d’entrée, ne perturbant pas le réseau d’entreprises.

Le grand concours de l’Epitech est l’un des projets les plus importants pour les élèves de tek4, réunis en groupes de 4 à 6 personnes. L’enjeu est de récupérer des fichiers certificats cachés sur différents serveurs. Les élèves peuvent ainsi s’entrainer à pénétrer dans un système sécurisé, pour en détecter les failles. La seconde partie du concours consiste à cacher des certificats dans les systèmes d’entreprises partenaires, qui acceptent de se prêter au jeu. Les étudiants de l’Epitech signent une charte dans laquelle ils s’engagent à ne pas faire de déni de service, c’est-à-dire, à ne pas hacker les systèmes des sociétés qu’ils « visitent ». Le Security Quest permet donc aux entreprises de bénéficier d’un mini audit de sécurité, effectué par des étudiants ultra-motivés.

Si vous êtes vous aussi intéressés par ce projet pour votre société, vous pouvez contacter le service des Relations Entreprises au 01.44.08.00.00 ou [email protected]

– Le Security Quest vu par le Directeur Nicolas Sadirac. – Inscrivez-vous au Security Quest. – Le Security Quest au service des entreprises partenaires. – Le déroulement de l’épreuve du Security Quest/

• Partager
• 
•