Continuer sans accepter

Bonjour et bienvenue sur le site d’AEF info
Vos préférences en matière de cookies

En plus des cookies strictement nécessaires au fonctionnement du site, le groupe AEF info et ses partenaires utilisent des cookies ou des technologies similaires nécessitant votre consentement.

Avant de continuer votre navigation sur ce site, nous vous proposons de choisir les fonctionnalités dont vous souhaitez bénéficier ou non :

  • Mesurer et améliorer la performance du site
  • Adapter la publicité du site à vos centres d'intérêt
  • Partager sur les réseaux sociaux
En savoir plus sur notre politique de protection des données personnelles

Vous pourrez retirer votre consentement à tout moment dans votre espace « Gérer mes cookies ».
Revenir en haut de la page

Au Forum international de la cybersécurité, le hacking éthique prend ses marques

Au FIC (1) qui s’est tenu à Lille du 7 au 9 septembre 2021, les hackeurs sont entrés par la grande porte. L’entreprise d’intelligence économique, d’affaires internationales et de cybersécurité Avisa Partners a organisé l’EC2, l’European Cyber Cup, une compétition de hacking éthique. Une aubaine pour les geeks amoureux de la prouesse technique, mais aussi pour les recruteurs du privé comme du public. Cette activité autrefois crainte, parfois amalgamée à la cybercriminalité, semble trouver pleinement sa place au sein de la filière cybersécurité, au point d’en devenir la vedette. Une "revanche" pour certains hackeurs, qui regrettent néanmoins un regard toujours méfiant à leur égard.

   Merci de découvrir AEF info !

Cette dépêche est en accès libre.

Retrouvez tous nos contenus sur la même thématique.

Tester AEF info pendant 1 mois
Test gratuit et sans engagement
  • Thématiques
  • Coordonnées
  • Création du compte

Thématiques

Vous demandez à tester la ou les thématiques suivantes*

sur5 thématiques maximum

1 choix minimum obligatoire
  • Sécurité globale
  • 👁 voir plus
    ✖ voir moins

Fréquence de réception des emails*

Un choix minimum et plusieurs sélections possibles. Vous pourrez modifier ce paramétrage une fois votre compte créé

Un choix minimum obligatoire

* Champs obligatoires

Coordonnées

Renseignez vos coordonnées*

Veuillez remplir tous les champs
Votre numéro de téléphone n'est pas valide

* Champs obligatoires

Création de compte

Tous les champs sont obligatoires
Votre adresse e-mail n'est pas valide
Seulement les adresses e-mails professionnelles sont acceptées

Cette adresse vous servira de login pour vous connecter à votre compte AEF info

Votre mot de passe doit contenir 8 caractères minimum dont au moins 1 chiffre
Ces mots de passe ne correspondent pas. Veuillez réessayer

Votre mot de passe doit contenir 8 caractères minimum dont 1 chiffre

En validant votre inscription, vous confirmez avoir lu et vous acceptez nos Conditions d’utilisation, la Licence utilisateur et notre Politique de confidentialité

* Champs obligatoires

Valider

Merci !

Nous vous remercions pour cette demande de test.

Votre demande a été enregistrée avec l’adresse mail :

Nous allons rapidement revenir vers vous pour vous prévenir de l’activation de votre nouvel accès.

L’équipe AEF info


Une erreur est survenue !

Une erreur est survenue lors de l'envoie du formulaire. Toutes nos excuses. Si le problème persiste, vous pouvez nous contacter par téléphone ou par email :
 service.clients@aefinfo.fr  01 83 97 46 50 Se connecter

L'European cyber cup était organisée au FIC de Lille les 8 et 9 septembre 2021. Ici, l'équipe de Sogeti, "Aces of spades". AEF - Romain Haillard

Dans le labyrinthe du FIC (Forum international de la cybersécurité), les hackeurs ne se dissimulent pas, ils ont pignon sur rue. "European Cyber Cup. 1ère compétition de e-sport dédiée au hacking éthique", vante une gigantesque bâche, visible de loin parmi les enfilades de stands, semblables les uns aux autres. 1 500 m² du Grand Palais de Lille consacrés à l’EC2 ; une grande scène et un écran géant ; une équipe de caméramen pour retransmettre les temps forts de la compétition sur les écrans du forum… Si des "bug bounty" (2) avaient déjà été organisés lors des éditions précédentes du FIC, aucun n’avait atteint cette ampleur. "Nous voulions faire mieux, faire grand et donner une image plus cool et attractive au hacking !", explique Clémence Burette, consultante évènementiel et développement commercial chez Avisa Partners et organisatrice de la compétition. Promesse tenue.

Pendant deux jours, quinze équipes d’entreprises, d’écoles, associative se sont affrontées. "Chacun y trouve son compte", estime la professionnelle de l’événementiel, avant d’expliquer : "Les équipes d’entreprises travaillent leur cohésion et les étudiants peuvent mesurer leurs compétences à des professionnels déjà en exercice." Pour assurer la promotion de l’événement au-delà du forum, l’organisation avait prévu une soirée où les équipes se défiaient, pas devant des ordinateurs cette fois, mais devant une console de jeux-vidéos. Le tout retransmis en direct sur Twitch – réseau social de référence pour les joueurs en ligne – avec Étoile, une célébrité de cette plateforme de streaming vidéo. "Nous voulions aussi toucher cette communauté, un public potentiellement intéressé, et en profiter pour leur parler formation", commente-t-elle. Car "le secteur souffre d’une pénurie généralisée de profils cyber".

L’expert Forensic, le médecin légiste des cyberattaques

Tout autour de la scène, quinze tables accueillent les compétiteurs, dix coéquipiers par tablée. Dans ce coin-là du forum, les costumes-cravates et les uniformes laissent la place à des styles moins conventionnels. Maillots de sport floqués pour les équipes déjà bien rodées, chemises hawaïennes pour les plus détendues. Déjà concentrés avant le début des épreuves, quatre membres de l’équipe de Sogeti, division des services technologiques et d’ingénierie de Capgemini, scrutent un écran comme des joueurs regarderaient un jeu d’échecs. "Forensic", "OSINT", "intelligence artificielle", "bug bounty", "capture the flag"… Cinq épreuves imaginées par des professionnels du secteur cyber les attendent. "Le forensic, c’est de l’enquête, de l’investigation, sur une scène de cybercrime. Quelles traces numériques ont laissé les assaillants ? Par où sont-ils passés ? Qu’ont-ils fait ? Ont-ils extrait des données ?", détaille minutieusement "Dramelac", de Sogetic. "L’OSINT (Opensource intelligence) correspond à de la recherche et de l’analyse sur des ressources en accès libre. Suivant un scénario, il faut chercher la cause d’une déstabilisation par exemple ou encore vérifier la fiabilité d’un partenaire. C’est de la cartographie d’acteurs."

Même si les équipes accueillent une écrasante majorité d’hommes, quelques femmes se font une place. Parmi elles, Lyne, Adèle et Lolie, de l’équipe Hack in Provence, seule équipe associative. "Nous donnons d’autres perspectives, nous n’avons pas la même manière d’envisager les problèmes", défend Adèle, impatiente d’entamer l’épreuve d’OSINT. Une présence remarquée par Damien Bancal, l’animateur survitaminé et infatigable de l’événement. Le fondateur du site Zataz – site d’information dédié à la délinquance informatique – voit poindre le début d’un cercle vertueux : "Plus il y aura de hackeuses, plus elles pourront en inspirer d’autres."

Sur la grande scène de l’EC2, l’homme présente la compétition avec le débit et l’enthousiasme d’un commentateur sportif, suivi de près par un caméraman. Des lumières stroboscopiques et des musiques à suspense donnent un caractère épique à la compétition. "On n’est pas très loin de Las Vegas", ironise-t-il. "C’est dans ma culture de rendre ces matières accessibles", témoigne Damien Bancal entre deux prises de parole. Ce geek a l’habitude de ce genre de compétition, mais il vit l’EC2 comme une grande première. "Là, il y a une ouverture au public. Des officiels, des militaires, des grandes entreprises viennent jeter un coup d’œil, regarder en action des gens qu’ils n’ont pas l’habitude de côtoyer pour la plupart d’entre eux. Avant, il y avait cette posture : 'Non, nous ne nous mélangeons avec des pirates'", avance-t-il avant de trancher dans un sourire : "Aujourd’hui, ils vont s’arracher ces passionnés."

Zataz voit dans cette promotion du hacking éthique un enjeu de sécurité. "Je rencontre souvent des petits génies qui font des bêtises sur Internet, à consulter des bases de données normalement inaccessibles, 'juste pour voir'. Ce genre de compétition peut les inciter à basculer du bon côté, à voir les formations et les débouchés." Pour ce journaliste amateur de fuite de données massives, la frontière peut parfois être ténue entre un côté et l’autre de la barrière. "Ce sont tous des professionnels. Et il existe aussi un marketing de la malveillance. Ils vendent le même produit, mais pas de la même manière."

"Payez une récompense, pas une rançon"

"C’est une sorte de revanche, et elle va dans le bon sens, pour tout le monde. Il y a cinq ans, je n’aurais pas pensé pouvoir en faire mon métier", témoigne Brice Augras, jeune fondateur de BZHunt, une TPE finistérienne spécialisée dans le hacking éthique. Lui et son associé Victor Poucheret ne concourent pas à l’EC2, mais participent au "bug bounty" organisé par YesWeHack. Fondée en 2013, cette entreprise qui vient de lever 16 millions d’euros met en lien des clients soucieux de tester leur défense avec une communauté de hackeurs professionnels (lire sur AEF info). Sur leur stand, le message est clair : "Payez une récompense, pas une rançon". La plateforme de prise de rendez-vous médicaux Doctolib a décidé ce jour-là de jouer le jeu. Les deux hackeurs de BZHunt ont trouvé une faille après quatre heures de recherche. "Nous y allons tranquillement, les conditions d’un salon ne sont pas optimales", plaisante Victor Poucheret, avant de reprendre son sérieux : "Même si ça doit prendre du temps, nous trouvons toujours une faille."

Un avertissement abondé par Lucas, un hackeur anciennement auto-entrepreneur et désormais salarié de YesWeHack. "Des failles, il y en a partout, tout le temps", rapporte-t-il, amusé, avant d’illustrer : "Cinq à six failles ont été repérées chez Doctolib depuis ce matin". Rien de bien impressionnant selon lui. Mais pas un mot sur les bugs trouvés aujourd’hui : "Ils n’ont pas encore été corrigés." Généralement, le prix des failles oscille entre 50 et 10 000 euros, en fonction de la criticité de celle-ci. "Beaucoup d’organisations se croient invincibles", raconte Lucas.

L’employé de YesWeHack constate une méfiance toujours présente chez ses potentiels clients. "Souvent, ils nous demandent : comment pouvons-nous être sûrs que vos gars ne vont pas divulguer ces informations ailleurs ?" Il rétorque, fatigué : "Pourquoi travailleraient-ils pour nous dans ce cas ? Ils vous auraient attaqué tout seul." Une fatigue partagée par Lolie, cheffe de l’équipe Hack in Provence. Chaque année, l’association organise un congrès dédié au hacking. Et chaque année, trouver une salle pour accueillir l’événement se révèle difficile. "Il y a toujours une méfiance à notre égard, ils ont peur pour leurs infrastructures… Il faut systématiquement montrer patte blanche !", souffle-t-elle.

Le mot hackeur ne désigne pas une menace

Éloigné de l’effervescence de la compétition, Yassir Kazar occupe le stand de Yogosha (lire sur AEF info). Le directeur et fondateur de l’entreprise de hacking éthique se félicite également de la tenue d’un tel évènement au FIC, pour lequel il a mis sur pied une épreuve. "Cela fait toujours plaisir de voir la créativité des participants, et retrouver cette adrénaline. C’est un moment initiatique. Tu apprends beaucoup de choses, il y a un côté jubilatoire de trouver une faille !", s’enthousiasme-t-il. L’entrepreneur voit dans ce genre de compétition un condensé des valeurs du hacking : "Être animé par la curiosité, croire au partage, croire à la possibilité pour la technologie d’améliorer notre quotidien, croire à un côté artistique dans la prouesse technique. Bien sûr, il y a des virtuoses de la technique qui attaquent des entreprises, mais ce sont des cybercriminels, pas des hackeurs." Le dirigeant de Yogosha insiste sur ce point : "Dans toutes les définitions sérieuses de cette discipline, il n’y a aucune notion de malveillance." L’entrepreneur égraine les profils d’attaquants recrutés par les pouvoirs publics, comme l’agence européenne de cybersécurité, l’Enisa : "Les script kiddies, les petits ados qui testent des outils pour le fun ; les insiders, des salariés malveillants ; les cyberterroristes, les cybercriminels… à aucun moment le mot hackeur désigne une menace en soi !"

Au pied de la grande scène, Zataz balaie du regard les compétiteurs et compétitrices de l’EC2, et lance : "Ils sont 150 à compétiter aujourd’hui, mais ils devraient être des milliers !" Une envie partagée par Clémence Burette, l’organisatrice de la compétition. Elle aimerait voir la compétition prendre son envol et devenir indépendante du forum international de la cybersécurité. Et, pourquoi pas, occuper le Zénith de Lille.

(1) AEF info est partenaire média du FIC 2021.

(2) Épreuves où des hackeurs sont récompensés pour la découverte de faille dans des systèmes.

Fermer
Bonjour

Vous souhaitez contacter

Romain Haillard, journaliste