Résumé : Actuellement en 3e année à l'ESIEA (Ecole supérieure d'informatique, d'électronique, et d'automatique), il consacre une partie de son temps à son travail chez EADS System & Defense Electronics au pôle SI, mais également à l'organisation du concours de sécurité informatique français Challenge Securitech. -
Lire l'article
Actuellement en 3e année à l'ESIEA (Ecole supérieure d'informatique, d'électronique, et d'automatique), il consacre une partie de son temps à l'organisation du concours de sécurité informatique français Challenge Securitech. Il lui arrive également de faire des prestations ou de travailler pour la Junior entreprise de son école. Pierre Betouin n'est pas à proprement parlé quelqu'un qui a suivi un cursus spécialisé dans la sécurité informatique, c'est sa passion apparu très tot pour ce domaine qui lui a fait passé de nombreuses heures à apprendre et en comprendre les différents mécanismes.
Le Challenge SecuriTech passe de 9 à 20 niveaux pour cette deuxième édition, votre concours semble avoir pris une plus grande envergure ?
Oui en effet, nous avions été étonnés l'année dernière, lors de la première édition du concours, de pouvoir rassembler plus de 1000 participants alors que le challenge se construisait petit à petit.
En décidant de réitérer l'expérience cette année, nous avons voulu faire encore plus grand, et surtout un concours qui permettrait à tout le monde, novices comme experts, de pouvoir comprendre la sécurité informatique en la pratiquant.
L'objectif est également de sensibiliser le public aux enjeux actuels de ce domaine : à une époque où l'informatique joue une rôle prédominant dans notre société, il est important de s'intéresser à ces sujets.
Cette année, alors que nous en sommes qu'à la première semaine du concours, nous comptons déjà plus de 1600 participants.
Les sponsors, nombreux cette année, ont joué un rôle majeur dans le challenge, car nous ne disposions pas d'aide extérieure.
Sur quels critères ont été choisis les différents niveaux ?
Nous voulions surtout "ouvrir" SecuriTech à un maximum de personnes. Il a donc fallu diversifier les épreuves, pour que les débutants puissent y participer, mais que les experts y trouvent également leur compte, ce qui explique le grand nombre de niveaux cette année.
Nous essayons de rendre le Challenge le plus ludique possible, en donnant aux participants tous les éléments pour réussir les niveaux (liens, documentations, etc...). Il faut ensuite y passer du temps, comprendre les fonctionnements, puis penser aux exploitations possibles, aux techniques à utiliser.
Combien de personnes ont participé à l'élaboration de ce concours ?
Le concours doit sa réussite à toute l'équipe, et aux personnes et sponsors qui nous ont aidé. Je tiens notamment à saluer le travail remarquable de Charles DE BEAUCHESNE, Thomas DELMAS, Vincent ESPOSITO, Marc GILLET, Louis LENOIR, et Alexis VILLEBRUN.
Une grande nouveauté cette année est la participation de personnes extérieures au projet dans l'élaboration des niveaux : Kostya KORTCHINSKY, responsable du CERT Renater (Computer Emergency Response Team), Nicolas BRULEZ, Armadillo, ou encore Robert ERRA (enseignant à l'ESIEA Paris).
Quel type de profil au sein de cette équipe ?
SecuriTech est né d'un projet scolaire, et grâce à la passion, et au travail acharné, nous avons pu atteindre des objectifs que nous n'aurions pas imaginés.
L'équipe SecuriTech est composée d'étudiants en 3eme année de l'ESIEA et les contributeurs sont des professionnels à la pointe dans ce domaine.
Est ce que la même équipe a été reconduite par rapport à l'édition précédente ?
Globalement oui, avec une personne en moins, et une en plus... C'est toujours très motivant de voir progresser un projet dont on est l'instigateur !
Comment s'est passée l'organisation de ce concours ?
Comme une entreprise qui se crée, nous avons dû travailler sur différents domaines, sur lesquels nous n'étions pas forcément formés : aspects juridiques, marketing, etc.
La communication a été très importante tout au long, tant pour la recherche des partenaires et sponsors que pour la promotion du concours.
Le staff SecuriTech regroupe des personnes polyvalentes et très ouvertes, mais l'organisation du challenge aurait pu représenter un job a temps complet a elle seule !
Avez vous rencontré des difficultés particulières ?
Ce domaine est très sensible, et effraye souvent les gens : la sécurité a beaucoup fait parler d'elle ces dernières années, et est encore trop souvent assimilée à la délinquance informatique.
Il est vrai que la frontière est parfois difficile à établir, nous pouvons d'ailleurs le voir avec la LEN (loi pour la confiance dans l'économie numérique) votée dernièrement.
Un audit offensif de sécurité (Pen-test pour Penetration Testing) est parfois la meilleure méthode de diagnostic d'une infrastructure mais peut représenter un danger si le cadre n'est pas clairement établi.
Est-ce que le site de présentation du concours fait également l'objet
d'attaques ?
Nous essayons de prévenir au maximum ces attaques car le site est hébergé par une société mais évidemment, beaucoup de personnes s'y intéressent, et essaient de nous attaquer.
Dans la sécurité, le "100% fiable" n'existe pas, mais nous n'avons, jusqu'à maintenant, jamais eu de mauvaise surprise.
Certains participants semblent avoir deja bien avancé, pensez-vous
possible que vous puissiez tenir jusqu'a la fin sans que l'ensemble des
niveaux n'ait été résolu ?
Les participants sont globalement très expérimentés : la première édition du concours nous a permis de calibrer le niveau, qui est un peu plus élevé cette année.
Certains se démarquent par leur rapidité, mais ils devraient pouvoir s'occuper encore quelques semaines...
A combien estimez-vous le nombre de personne pouvant arriver au terme des niveaux avant la fin du concours ?
Honnêtement, les dernières épreuves sont très compliquées ! Je ne pense pas que nous verrons plus de 3 personnes ayant tout validé, mais nous devrions voir des scores assez élevés sur la fin. A suivre...
Estimez-vous devoir à nouveau hausser la difficulté générale du concours pour les prochaines éditions ?
Nous tenons à l'accessibilité du challenge. Mais de nouvelles épreuves, plus compliquées encore pourraient être ajoutées, en complément de niveaux plus faciles.
Comment pensez vous que votre concours soit perçu par les professionnels du secteur ?
Nous avons fait beaucoup d'efforts sur l'image de SecuriTech car comme je le disais, ce domaine fait peur, et nous aimerions justement le "démystifier".
Certaines entreprises connues ont d'ailleurs été outrées que nous les contactions, elles axent pourtant leurs publicités sur la sécurité ! D'autres ont trouvé l'idée très bonne.
Pensez vous que certains de ces professionnels participent à ce concours ?
Nous en sommes sûrs ! De nombreux consultants, chercheurs, etc. participent au challenge. C'est une bonne occasion de représenter leurs entreprises, et d'entretenir leurs connaissances.
Les professionnels inscrits représentent environ 15 à 25% des inscrits au concours, les étudiants sont majoritairement inscrits. On trouve également de simples passionnés, dont l'informatique n'est pas le métier.
Les domaines abordés sont suffisamment divers : cryptographie, stéganographie, failles applicatives, web, etc. et permettent de toucher un public très divers.
Etiez-vous un adepte de ce genre de concours avant d'en organiser ?
Il m'est arrivé de faire certains concours, mais j'avoue n'y jamais avoir trouvé réellement mon compte. Soit le niveau était trop facile, soit justement, le concours était infaisable : "Le but du challenge est de trouver une faille sur ce serveur"... là où le serveur ne propose aucun service !
En France, SecuriTech n'a pas connu de précurseur à ma connaissance. Aucun concours n'avait proposé jusqu'à maintenant autant de niveaux, dans des domaines aussi variés, et de difficultés diverses.
Vous arrive t'il parfois d'etre surpris par certaines tentatives plutôt
insolites ou des résolutions que vous n'aviez pas prévues ?
Oui, très souvent ! Nous voyons parfois passer des choses très surprenantes...
D'ailleurs, nous gardons toutes les traces (logs, traces réseau, connexions, etc.) afin de pouvoir les analyser après le concours. C'est l'occasion idéale de découvrir de nouvelles techniques, etc.
Les niveaux que nous proposons sont la plupart du temps exploitables de différentes façons. Quand nous les concevons, nous développons toujours le "Proof of concept" qui permet de valider le niveau. Il en existe plusieurs, et nous ne pensons pas toujours à toutes les solutions.
La conférence (qui a lieu en Mai cette année) permet aux participants de comparer leurs techniques, et de débattre de l'actualité de la sécurité.
L'ESIEA ouvre en octobre 2004, un Mastère Spécialisé en Sécurité de
l'Information et des Systèmes (SIS) accrédité par la Conférence des Grandes Ecoles. Est-il envisageable que les éléments de cette promotion soient intégrés à l'organisation et à la réalisation d'une éventuelle future édition du challenge-securitech en collaboration avec l'ESIEA ?
En effet, le mastère SIS de l'ESIEA pourrait être une bonne occasion pour nous "d'embaucher" de nouvelles personnes dans notre staff.
A ma connaissance, peu de cursus proposent actuellement une formation aussi poussée dans ce domaine, et nous envisageons de travailler conjointement avec l'équipe pédagogique pour proposer certaines épreuves.
La sécurité informatique est un domaine de prédilection à l'ESIEA, et SecuriTech en est le projet phare de ce domaine.
Auriez-vous des conseils, voire un ou deux indices inédits pour nos
lecteurs qui planchent actuellement sur les niveaux de votre concours ?
Des recherches, du travail, et de la logique :)
Sinon, une date à retenir est la conférence SecuriTech qui aura lieu le 7 mai à Paris, lors de laquelle de nombreux intervenants viendront présenter plusieurs aspects techniques et qui sera l'endroit parfait pour rencontrer les acteurs de ce milieu.
Pierre Betouin, merçi pour votre collaboration.
- Article suivant : Renaud DERAISON, (TNS): La licence GPL est avant tout une sorte de contrat entre le développeur et les utilisateurs
- Article précédent : Kamal Okba (Casanet): La sécurité ne doit pas être un luxe
- Article suivant dans la catégorie Interviews : Renaud DERAISON, (TNS): La licence GPL est avant tout une sorte de contrat entre le développeur et les utilisateurs
- Article précédent dans la catégorie Interviews : Kamal Okba (Casanet): La sécurité ne doit pas être un luxe
| Mini-Tagwall des articles publiés sur SecuObs : | |
| |
sécurité, exploit, windows, attaque, outil, microsoft, réseau, audit, metasploit, vulnérabilité, système, virus, internet, usbsploit, données, source, linux, protocol, présentation, scanne, réseaux, scanner, bluetooth, conférence, reverse, shell, meterpreter, vista, rootkit, détection, mobile, security, malicieux, engineering, téléphone, paquet, trames, https, noyau, utilisant, intel, wishmaster, google, sysun, libre |
| Mini-Tagwall de l'annuaire video : | |
| |
curit, security, biomet, metasploit, biometric, cking, password, windows, botnet, defcon, tutorial, crypt, xploit, exploit, lockpicking, linux, attack, wireshark, vmware, rootkit, conference, network, shmoocon, backtrack, virus, conficker, elcom, etter, elcomsoft, server, meterpreter, openvpn, ettercap, openbs, iphone, shell, openbsd, iptables, securitytube, deepsec, source, office, systm, openssh, radio |
| Mini-Tagwall des articles de la revue de presse : | |
| |
security, microsoft, windows, hacker, attack, network, vulnerability, google, exploit, malware, internet, remote, iphone, server, inject, patch, apple, twitter, mobile, virus, ebook, facebook, vulnérabilité, crypt, source, linux, password, intel, research, virtual, phish, access, tutorial, trojan, social, privacy, firefox, adobe, overflow, office, cisco, conficker, botnet, pirate, sécurité |
| Mini-Tagwall des Tweets de la revue Twitter : | |
| |
security, linux, botnet, attack, metasploit, cisco, defcon, phish, exploit, google, inject, server, firewall, network, twitter, vmware, windows, microsoft, compliance, vulnerability, python, engineering, source, kernel, crypt, social, overflow, nessus, crack, hacker, virus, iphone, patch, virtual, javascript, malware, conficker, pentest, research, email, password, adobe, apache, proxy, backtrack |
