| Interview

Dans les coulisses du Challenge CTF Stranger Case

Le premier CTF (Capture The Flag) a vu le jour au début des années 1993 à Las Vegas, lors de la DEFCON. Au fil des années, ces compétitions de challenges d’hacking ont vu le jour en France.

Ces événements organisés par des passionné.e.s se démocratisent, tels que le BreizhCTF, le FCSC ou encore le CTF de LeHack. De nombreuses associations et groupes d’étudiants mettent en place des CTFs dans le but de rassembler des passionné.e.s et de perpétuer la tradition. Les étudiants de l’Ecole Supérieure du Numérique Appliqué (ESNA) de Bretagne n’ont, d’ailleurs, pas dit leur dernier mot à ce sujet.

En effet, dans le cadre de leurs études, les étudiants de l’ESNA Bretagne ont pour objectif d’organiser un CTF d’OSINT. Shin, Arathor, Spownark, Rainbow, Owne et ToRr0aN vous proposent ainsi, en 2023, la création d’une toute nouvelle édition : le Stranger Case.
Dans ce contexte, Synetis a été la première entreprise à appuyer ce projet – devenant alors Sponsor Or de cette nouvelle compétition ! 

Pourriez-vous présenter l’équipe organisatrice du challenge Stranger Case ?

[Stranger Case]

Nous sommes six étudiants en cybersécurité, finalisant notre master 1. Cette année, nous sommes en charge de l’événement Stranger Case – repris tous les ans à l’ESNA. Une seule contrainte nous avait été donnée : que ce CTF soit purement basé sur des recherches Open Source Intelligence – dites OSINT. Tandis que l’année dernière, nous étions en charge du Midnight Flag CTF.

D’où vous est venu l’idée de ce scénario ?

[Stranger Case]

Je ne peux, malheureusement, pas vous en dire plus, car le scénario sera dévoilé le jour J !
Toutefois, nous pouvons aborder ensemble les thématiques qui seront au cœur de ce scénario. Celles-ci ont été construites autour des problématiques que l’on rencontre aujourd’hui, dans notre société : données personnelles et gestion de ces données – véritable trésors pour les hackers et acteurs malveillants existants. La thématique de la radicalisation sera également abordée. 

Pourquoi avoir choisi d’orienter ce CTF sur l’OSINT ?

[Stranger Case]

Ce choix a été fait par Guillaume Chouquet, Responsable de Pôle cyberdéfense et Directeur de l’ESNA. En effet, lors de notre première année à l’ESNA, nous avons une liste de projets à choisir. Si nous choisissons de réaliser le CTF, nous devions réaliser le Jeopardy en première année et l’OSINT en deuxième année : c’est un pack obligatoire pour les étudiants. Certains d’entre nous ont, ainsi, choisi le CTF uniquement pour la partie OSINT, car c’est un sujet d’actualité – notamment depuis la guerre en Ukraine. D’ailleurs, on dit que 99 % des informations, dont un service de renseignement a besoin, se trouvent en source ouverte (source : Dictionnaire du Renseignement, Cairn.info).

Sécurisation des SI

Nos auditeurs
répondent à vos questions

Quel sera le déroulé de votre challenge Capture The Flag OSINT ?

[Stranger Case]

Ce CTF OSINT prendra place dès le samedi 27 mai 2023, et se déroulera en deux étapes : une première partie prendra place en distanciel, suivie par une épreuve en présentiel. Tandis que la remise des prix – qui se fera en présentiel – aura, elle, pour cadre prestigieux… un lieu tenu confidentiel pour le moment. Mais vous ne serez pas déçu du voyage !

Concernant la partie réalisée à distance, les joueurs recevront un dossier complet, le matin, comprenant les consignes à respecter et les objectifs à atteindre. Ils auront, alors, toute la journée pour résoudre l’enquête que nous avons pensé pour eux. A la fin de cette journée, les joueurs devront rendre un dossier que nous corrigerons par la suite. La partie réalisée en présentiel, elle, se fera sous forme d’escape game. Suspense !

Combien de participants attendez-vous ? Quels sont les profils ?

[Stranger Case]

Nous attendons au minimum 200 participants, mais avec l’explosion de l’OSINT, nous visons davantage les 300 participants.
Les profils attendus sont multiples. Le monde de l’Open Source Intelligence touche énormément de personnes, cela passe par le domaine de la cyber à celui du journalisme… Nous ne ciblons pas de profils spécifiques, mais plutôt des personnes qui sont sensibles à l’OSINT, et l’investigation numérique en général.

Débutant.e.s comme professionnel.le.s de la cyber sont invité.e.s à participer à nos côtés. Tout est pensé pour que les débutant.e.s puissent s’amuser et les professionnel.le.s ne pas s’ennuyer. Notre CTF OSINT s’adresse à des personnes d’un niveau débutant, intermédiaire ou confirmé, qui possèdent un grand intérêt pour le monde de la cybersécurité.

Qu'apporte, à un joueur, la participation à un CTF OSINT ?

[Stranger Case]

De manière générale, un CTF OSINT est différenciant de par son fonctionnement Jeopardy.
Nous offrons aux participant.e.s une expérience unique et différenciante. Le joueur sera amené à vivre une réelle aventure et en tirera un bon souvenir.

Notre CTF OSINT permettra aux participant.e.s débutant.e.s de découvrir des aspects – peut-être – encore inconnus, et pour les plus confirmé.e.s de se challenger. Cet événement sera également l’occasion de passer un moment avec ses pairs pour échanger, rencontrer et networker.

Pourquoi avoir choisi de sponsoriser ce CTF OSINT ?

[Synetis]

Possédant des liens très forts avec l’ESNA Bretagne, c’est tout naturellement que nous avons choisi de sponsoriser cet événement. De plus, celui-ci étant ouvert à toutes et à tous, cela nous semblait pertinent dans notre stratégie de Marque Employeur.

Quelle est la place de l’OSINT dans la prestation de l’Audit Synetis ?

[Synetis]

Dans le cadre de nos missions d’Audit SSI, les experts Synetis effectuent une phase de recherche OSINT, en amont de certaines missions. Par exemple, dans le cadre de mission Red Team, la recherche d’informations en sources ouvertes est primordiale pour connaître nos cibles. Un maximum d’informations doit être récupéré dans l’objectif de les compromettre, et de leur voler leurs secrets lors d’un échange physique ou virtuel. Puis, dans le cadre de mission d’audits externes, une phase de recherche d’identifiants est effectuée, dans le but d’accéder à des périmètres restreints.

Auriez-vous des anecdotes et cas concrets à nous partager - pouvant illustrer la place de l’OSINT côté attaquant ?

[Synetis]

Très souvent l’OSINT va être utilisée pour effectuer du phishing (mails frauduleux) ou du vishing (appels frauduleux), dans l’objectif de récupérer des identifiants de connexion. De nombreuses fois, un accès externe à un Système d’Information (SI) a été possible après que quelques appels téléphoniques aient permis de récupérer différents emails et mots de passe. Dans certains cas, cela permet de, directement, pivoter sur le réseau interne d’un client depuis l’extérieur.

Camille Jean-Baptiste
Chargée de Communication