Alliancy

Capture The Flag : Un jeu participatif pour renforcer ou accroître ses compétences en cybersécurité ?

[EXCLUSIF] Développer ses compétences cyber dans un cadre ludique et participatif. C’est ce que propose les CTF ou Capture The Flag, un « jeu » consistant à hacker un système informatique. Démonstration de ses talents pour les uns et analyse contrôlée de son système pour les autres, les intérêts se rencontrent dans un CTF. Comment se joue-t-il ? Quelles sont les épreuves ? Explications du phénomène.

Clément Domingo, Expert technique au sein des équipes Cyberdéfense de Sopra Steria.

Comment se définit un Capture The Flag — CTF ?

Une équipe, composée de hackers ou non, a la plupart du temps pour objectif de s’introduire dans un système informatique afin de récupérer un document faisant office de drapeau. Le drapeau pourrait être assimilé à la preuve témoignant de l’intrusion dans le système par l’équipe. Ce drapeau n’a donc aucune valeur monétaire, mais chaque étape réalisée rapporte des points, permettant ainsi de récompenser l’équipe victorieuse au terme de la compétition.

Un CTF peut se dérouler selon deux modes :

Les organisateurs de CTF ont la possibilité de proposer des niveaux de difficultés différents. Les participants ont dès lors le choix d’y participer ou non selon leur niveau d’expertise technique.

Par ailleurs, les CTF permettent aux participants de s’introduire dans des systèmes simulés très proches de la réalité afin d’en détecter les failles. Ces attaques maitrisées mettent en évidence les vulnérabilités des systèmes, et par leur remédiation, permettent d’éviter qu’une attaque du même type se produise par un hacker mal intentionné sur un vrai système.

L’intérêt de l’immersion et des « serious games » en sécurité informatique a été largement reconnu. Aujourd’hui, les CTF sont présents dans les grands rendez-vous et les conférences en cybersécurité comme Google, la DEFCON, la NuitDuHack ou encore le BreizhCTF…

Comment aborder un CTF ?

Ce type de jeu peut s’appliquer à plusieurs domaines et à différentes catégories. Les catégories comportent des épreuves classées selon leur niveau de difficulté, combinant ainsi le jeu à l’expertise.

Dans l’univers des CTFs, il existe quelques grands domaines inéluctables de la cybersécurité :

Dans la majorité des cas, les organisateurs ont installé un système présentant des défaillances courantes (comme un mot de passe trop simple ou un dossier inhabituellement accessible). Les niveaux de drapeau sont aussi différents, il peut s’agir d’un élément très visible, comme d’une information bien cachée.

Quels sont les bénéfices ?

Pour l’entreprise :

Pour les participants :

Quelle boîte à outils pour participer à un CTF ?

Le matériel requis pour participer à un tel événement varie en fonction de la nature du CTF. Dans la majeure partie des cas, un ordinateur suffira. Dans certaines compétitions, les participants devront ramener du matériel spécifique comme des kits de « lockpicking » ou encore des « kits radio » ou « nfc ». Pour certaines compétitions qui se déroulent « on-site » (comprendre sur site) où les participants se déplacent physiquement, il est nécessaire de se munir d’un câble Ethernet pour se connecter à l’infrastructure du CTF. De façon plus globale, les outils nécessaires au déroulement d’un CTF sont semblables à celui d’un pentest (ou test d’intrusion) : une machine Linux (idéalement Kali Linux) et des outils ou scripts spécifiques/spécialisés.

Le CTF, une « pratique » de plus en plus courante

Google organise depuis 2016 son propre CTF. Son objectif est triple : améliorer sa sécurité, faire connaître le mouvement et voir grandir la communauté de white hackers.

Ces quatre dernières années ont vu s’étendre ces évènements de manière exponentielle. La quantité de participants n’ayant jamais été aussi importante, les rendez-vous se font de plus en plus nombreux. Un milieu passionnant, une approche ludique, une compétition farouche… autant de réponses au succès du mouvement.

Quitter la version mobile