Un concours capture the flag (CTF) est un type particulier de concours de cybersécurité conçu pour inciter ses participants à résoudre des problèmes de sécurité informatique et/ ou à capturer et défendre des systèmes informatiques. En règle générale, ces compétitions se déroulent en équipe et attirent un large éventail de participants, y compris des étudiants, des passionnés et des professionnels. Un concours de la FCE peut prendre quelques petites heures, une journée entière ou même plusieurs jours.
Les compétitions de la FCE sont passées de leurs humbles racines à un statut de niveau sportif, avec des milliers de jeux individuels et de ligues qui ont maintenant lieu chaque année à travers le monde — y compris la compétition annuelle DEF CON, l’un des événements les plus prestigieux de la FCE au monde.
Comment fonctionne un concours de la FCE
Il existe plusieurs variantes du format capturer le drapeau. Les styles les plus populaires sont jeopardy, attaque-défense et un mélange des deux.
Dans un format CTF de jeopardy, les équipes doivent relever autant de défis de cybersécurité qu’elles le peuvent à partir d’une sélection donnée, en testant leurs compétences et leurs connaissances sur un large éventail de catégories de sécurité informatique de manière novatrice et créative. Les tâches typiques sont liées à la mise en réseau, à la programmation, aux applications, au mobile, à la criminalistique, à la rétro-ingénierie et à la cryptographie. Pour chaque défi qu’une équipe termine, un nombre spécifique de points est récompensé.
Dans une compétition CTF attaque-défense, les équipes doivent capturer et défendre des systèmes informatiques vulnérables, généralement hébergés sur des machines virtuelles dans un réseau isolé. Pour gagner des points, une équipe peut conserver la propriété d’autant de systèmes que possible tout en refusant l’accès aux autres équipes concurrentes.
Enfin, un CTF mixte est sans doute le plus difficile pour les participants. Combinant les styles jeopardy et attaque-défense, les équipes qui réussissent doivent répartir stratégiquement leurs efforts et miser sur les forces de chacun de leurs membres en relevant des défis de sécurité tout en piratant simultanément les systèmes vulnérables cibles, en maintenant l’accès à ces machines et en les défendant contre leurs concurrents.
Le gagnant est généralement l’équipe ou l’individu avec le plus de points à la fin de la partie. Comme de nombreux événements sportifs, les prix sont généralement décernés pour la première, la deuxième et la troisième place. Dans l’intérêt de l’intégrité du concours et du respect de la plateforme de jeu, les règles de base de la FCE sont partagées avec les participants avant l’événement. La violation de ces règles peut entraîner des restrictions, voire une élimination de la compétition.
Dans les coulisses d’un événement de la FCE
Il approche de 9 heures du matin en novembre. 24 dans la Grande salle de bal de l’Hôtel Ballsbridge à Dublin. Alors que la compétition tant attendue ne commence pas officiellement avant une heure, plusieurs équipes de concurrents enthousiastes ont embrassé le froid matin d’hiver irlandais et sont arrivées bien à l’avance sur le site, ordinateurs portables de confiance et commutateurs réseau bien usés à la main, prêts à jouer.
La salle de bal décadente, avec ses lustres et son riche mobilier souvent réservés aux mariages et autres occasions formelles, accueille la compétition capture the flag de l’IRISSCON 2016. La compétition est un élément de base de la conférence annuelle sur la cybersécurité, qui est l’un des plus grands événements du genre en Irlande. La FCT attire des concurrents de partout au pays. Certains participants sont des visages réguliers sur le circuit, tandis que d’autres jouent pour la toute première fois.
Un environnement vivant
William Bailey, architecte de la sécurité opérationnelle chez IBM en Irlande, est l’un des organisateurs de cet événement CTF.
« Nous visons à démontrer et à enseigner aux participants des techniques d’attaque et de défense pratiques dans un environnement en direct, où la découverte et l’exploitation des vulnérabilités, ainsi que la sécurisation des systèmes et la réalisation de défis individuels, sont récompensées”, a-t-il expliqué.
Bailey et son collègue Jason Flood sont des organisateurs chevronnés de la FCE, ayant organisé la grande compétition de l’IRISSCON au cours des dernières années. Aujourd’hui, Flood et Bailey sont soutenus par une grande équipe de bénévoles dévoués de la division cybersécurité du laboratoire IBM Ireland. Tout le monde travaille dur à l’hôtel de Dublin depuis 5 heures du matin pour configurer le lieu de la compétition, trimballer de gros équipements de serveurs, faire passer des câbles de réseau informatique dans la salle et déployer leur plate-forme CTF personnalisée à partir de la console principale.
Malgré le début précoce, l’excitation et l’énergie dans la pièce sont palpables. Le buzz reprend en harmonie avec le flux constant de joueurs divers qui arrivent sur le site, s’alignant sur les derniers efforts de préparation de l’équipe organisatrice. Au total, 17 équipes, chacune composée de quatre joueurs, se sont préenregistrées pour l’événement. Les joueurs nouveaux et chevronnés seront exposés à de nouveaux outils, technologies et méthodes d’attaque et de défense.
« Nous avons conçu la plate-forme pour que tous les joueurs puissent utiliser efficacement des outils d’attaque réels, et même les joueurs chevronnés peuvent trouver de nouvelles techniques pour exploiter ces systèmes, le tout dans un environnement en bac à sable”, a déclaré Bailey. « Nous englobons à la fois les techniques d’attaque et de défense dans un environnement sûr et ludique, en évaluant les joueurs sur leur capacité à relever des défis, à découvrir et à exploiter les failles de sécurité, ainsi qu’à combler les lacunes de sécurité qu’ils trouvent sur les systèmes vulnérables.”
Un Silence Étrange
À 10 heures., avec les concurrents prêts et en attente à leurs tables rondes d’équipe assignées, les lumières sont drastiquement atténuées pour créer la scène dramatique. Après un bref briefing et un aperçu des règles de la maison de Flood, la compétition IRISSCON CTF commence officiellement.
Un silence étrange descend sur la grande salle de bal de l’hôtel alors que la FCE démarre, interrompu seulement par les bavardages occasionnels de l’équipe et le bourdonnement régulier et rythmé de la bande sonore de la musique électronique de l’événement. En regardant autour de lui, une transe s’est emparée des joueurs, qui sont profondément immergés dans le jeu. L’atmosphère, bien qu’initialement de nature joviale, acquiert rapidement un caractère beaucoup plus sérieux.
Un tableau de bord géant est projeté sur le mur, un point de fixation central détaillant le succès de chaque conquête et victoire tout au long de la journée et présentant les 10 meilleures équipes en fonction de leurs points accumulés. Les yeux des joueurs regardent parfois nerveusement vers le haut, évaluant comment leurs efforts se portent contre les autres au classement.
Jeu par jeu
Outre les défis autonomes, les équipes reçoivent des points en exploitant et en maintenant le contrôle des systèmes informatiques vulnérables à partir d’un pot de 25 machines virtuelles, exécutant un mélange de systèmes d’exploitation Windows et Linux, sur le réseau CTF isolé. Pour chaque système qu’une équipe capture et possède avec succès tout en empêchant l’accès des autres équipes, elle recevra un point par minute de possession. Chaque système informatique vulnérable est visuellement cartographié à un pays spécifique sur le globe de rotation 3D du tableau de bord du FCT. Un pays s’allume sur l’écran lorsqu’une équipe revendique la machine correspondante.
Une équipe, dans un coup de génie technique et une stratégie de défense impitoyable, a coupé l’accès à ses machines en désactivant Secure Shell (SSH). Cela a rendu difficile pour leurs concurrents de capturer et de contester la propriété de ces systèmes informatiques, même s’ils ont réussi à découvrir les exploits qui auraient autrement fourni une porte dérobée pour y accéder.
Pendant l’heure du déjeuner, la plate-forme de la FCE est temporairement éteinte pour permettre une pause alimentaire bien méritée pour tous. Pourtant, de nombreuses équipes restent plantées à leurs postes, discutant prudemment de leurs stratégies dans de simples murmures. Comme des joueurs de football dans un vestiaire pendant la mi-temps, ces concurrents de la FCT sont profondément absorbés par leur sport, examinant la position de leurs équipes et planifiant de s’adapter en conséquence.
Un sponsor de l’entreprise fournit une table de collations et de boissons gazeuses dans le coin de la salle de bal, un booster d’énergie indispensable pour maintenir la concentration et la concentration des joueurs à un niveau optimal tout au long de la journée. Plus tard, pendant une pause-café, un certain nombre de participants curieux à la conférence qui ne participent pas au FCT entrent dans la salle de compétition. Un homme modeste dans la foule demande tranquillement d’être informé des équipes gagnantes afin qu’il « sache qui embaucher. »
Tirer le bouchon
Finalement, après près de six heures de compétition intense aux enjeux élevés, le bouchon est tiré sur la plate-forme. Il y a une expiration collective massive, comme si tout le monde à l’intérieur de la salle de bal retenait son souffle toute la journée. Le FCT est terminé et le tableau de bord raconte l’histoire spectaculaire d’un gagnant hors concours.
L’équipe de la première place, qui a dépassé la première place après une dernière partie de jeu féroce, est plus qu’extatique, sans parler d’un peu épuisée mentalement. Ces quatre joueurs reçoivent une salve d’applaudissements de la part de leurs pairs et des chèques-cadeaux importants en récompense de leur performance gagnante.
Pour de nombreux concurrents, les gros prix sont les bienvenus, mais une aubaine matérielle. On peut dire que le vrai prix est l’expertise inestimable, le perfectionnement professionnel, le savoir-faire et les contacts avec l’industrie que les concurrents de la FCT ont à gagner, que leur équipe arrive en première ou en dernière place. Pour les gagnants, la gloire et la reconnaissance par les pairs reçues sont un bonus supplémentaire.
Avantages du monde réel
Vous cherchez à commencer une carrière dans la cybersécurité ou à rehausser le profil de votre industrie? Un concours de la FCE est un excellent point de départ. Ces événements sont souvent suivis de près et suivis par les recruteurs et la direction dans l’espoir de repérer les talents en herbe et de chasser les professionnels existants.
Recherche d’emploi ou non, un CTF est l’un des meilleurs moyens de contester votre expertise dans un environnement sûr, indulgent et collaboratif, que vous soyez étudiant, passionné ou gourou de la sécurité. Outre les avantages évidents du développement technique, les CTF offrent également aux participants une excellente occasion de travailler sur leurs compétences générales, telles que la communication, le travail d’équipe, la gestion du temps, la résolution de problèmes et l’adaptabilité.
Malgré l’environnement concurrentiel, l’occasion a également un fort élément social. Il donne aux joueurs une chance de se rencontrer dans la vie réelle pour réseauter, partager des connaissances et créer des liens autour d’objectifs, d’expériences et d’intérêts communs. Mais si vous êtes le genre de personne qui aime aller chercher de l’or, de nombreux FCT, par le biais de commandites et de financements, offrent de généreux prix.
Enfin, les CTF sont bénéfiques pour les chercheurs en sécurité et les universitaires qui peuvent utiliser les données d’attaque et le trafic réseau générés lors des compétitions comme études de cas pour aider à modéliser, prédire et prévenir les incidents de sécurité réels.
Comment participer
Les compétitions de la FCE ont lieu chaque année dans une variété de formes, de tailles et de formats à travers le monde. La popularité de ces événements augmente à mesure que l’intérêt pour la cybersécurité et le piratage éthique se généralise rapidement.
En règle générale, les événements CTF fonctionnent sur la base du BYOD (apportez votre propre appareil), ce qui signifie que les joueurs qui souhaitent jouer devront apporter leur propre ordinateur portable pour y participer. Cependant, il est possible d’exécuter un CTF avec la configuration appropriée et l’autorisation d’utiliser l’infrastructure existante, telle qu’un lycée, un collège, un bureau ou même un laboratoire informatique public.
Si vous souhaitez participer à un concours de la FCE, effectuez une recherche rapide en ligne ou discutez avec un professionnel local de la sécurité informatique ou un professeur d’informatique pour trouver un événement près de chez vous. Il existe de nombreuses informations et plateformes en ligne pour aider les participants potentiels à se préparer, à s’entraîner et même à trouver une équipe pour un prochain événement de la FCE. Le Guide de terrain de la FCE est une ressource brillante pour commencer.
Les débutants ne doivent pas trop se préparer ni trop s’inquiéter. Les jeux de la FCE sont des événements inclusifs aux ambiances ouvertes et accueillantes. Si vous n’avez pas d’équipe avec laquelle jouer, vous en recevrez une avant la compétition ou le jour du.
Comment organiser un événement du FCT
Pour ceux qui organisent un FCT, assurez-vous de communiquer clairement les règles et les limites appropriées à la compétition avant l’événement. Par exemple, il est généralement interdit aux participants d’attaquer le réseau du site hôte, d’effectuer des attaques par déni de service ou de violer les appareils d’autres concurrents.
Les chefs de la sécurité de l’information (RSSI) devraient envisager d’encourager de manière proactive le personnel à participer aux concours de la FCE dans le cadre de leur perfectionnement professionnel. Cela leur permettrait de perfectionner leurs compétences en équipe rouge, de créer des liens en équipe et de maintenir leur avantage dans l’industrie.
Mieux encore, envisagez d’investir dans votre propre compétition de type FCT au sein de votre organisation. Invitez vos employés, les étudiants locaux et les passionnés de sécurité à y participer. Ces initiatives constituent une base efficace pour une stratégie plus large d’éducation et de sensibilisation à la cybersécurité. Les compétitions de la FCE peuvent aider votre équipe de sécurité à rester sur son A-game, à promouvoir votre entreprise et à fournir des canaux fiables et mesurables pour attirer de nouveaux talents.
Lire le Rapport X-Force : Le rôle des exercices de la FCE dans la Planification des interventions en cas d’incident de sécurité