Les 17 et 18 mai, l’équipe AppSec cybersécurité offensive de Renault Digital a participé au Breizh CTF 2024 au Couvent des Jacobins à Rennes. Ce CTF (Capture The Flag) est une compétition de hacking majeure en France, rassemblant près de 600 participants pour une nuit dédiée au hacking sur un large éventail de thèmes liés à la sécurité offensive.
Cet événement est également une occasion de rencontrer et d'échanger avec des acteurs reconnus de la cybersécurité, autour d’une keynote et d’un forum de discussion.
Après avoir pris le train en direction de Rennes, nous sommes arrivés vers 16h30 au Couvent des Jacobins, un lieu mythique où cet événement se déroule depuis 10 ans, particulièrement bien encadré et organisé.
En cette fin d’après-midi, nous avons pu nous échauffer avec un petit challenge proposé par la DGSE, consistant à résoudre une énigme autour de l'alphabet et des additions. Avis aux amateurs : un emploi au Bureau des Légendes est à la clé !
Quelques gâteaux bretons et gobelets de cidre local plus tard, place à la Keynote et au Rumps, deux moments d’échange et de partage avec les partenaires et les acteurs français de la cybersécurité.
Tariq Krim, fondateur de Cybernetica et vice-président du Conseil numérique, nous a offert un retour d'expérience intéressant. Il a fait un beau parallèle entre la cybersécurité au cinéma et dans la vraie vie, s'appuyant sur ses 30 années d'expérience et d'événements marquants. Un retour d'expérience qui laisse songeur sur l'avenir de notre métier !
Ensuite, une série de Rumps a suivi. Ce sont des mini-présentations synthétiques et percutantes de 5 minutes, clés en main, sur des techniques d’exploitation offensive, basées sur des retours d’expérience ou des travaux de recherche et développement.
Pour des raisons de confidentialité, ces présentations ne peuvent être filmées ou photographiées. Cependant, elles offrent un aperçu intéressant des nouvelles techniques d’attaque mises en oeuvre par nos confrères.
À 19h30, un cocktail de lancement annonce le démarrage et l'installation des équipes à leurs postes de combat. C’est le moment où la tension et l’organisation prennent place.
Ainsi, 119 équipes de 5 personnes (soit 600 participants) se préparent à s'affronter dans une compétition nocturne et silencieuse de 7h30, autour de challenges dans différents domaines et spécialités.
À 20h30, début des festivités et lancement officiel du CTF.
Voici donc une présentation de notre équipe de choc avant le début des épreuves :
Vivien : Baroudeur du web et compétiteur dans l'âme.
Hongji : Discrétion et efficacité sont ses valeurs.
Maxime : Stratégique et polyvalent, il n'abandonne jamais.
Ilham : Patiente et créative, les challenges et les énigmes la stimulent.
Jérôme : Son expérience et sa persévérance alimentent le moteur de l'équipe.
Cette compétition regroupe divers challenges autour de l'OSINT, la programmation, la sécurité réseau et web, la cryptographie, le reverse engineering et la pensée analytique.
Ainsi, chaque membre de l'équipe a l'opportunité de s'exprimer dans son domaine de prédilection.
Durant la nuit, une partie de l’équipe s’est concentrée sur les challenges web, tandis que d’autres ont cherché des points dans les domaines de l'OSINT et de la cryptographie. Ces épreuves mêlent créativité et persévérance, où l'expérience et le savoir ne suffisent pas toujours. Il faut faire preuve d'ingéniosité et de créativité pour résoudre certains challenges, car le but de cette compétition est aussi de distinguer les équipes capables de découvrir des vulnérabilités rares ou avancées.
Néanmoins, vers 22h30, Vivien a réussi l'exploit de marquer un First Blood sur un challenge d'attaque web (Uploadify). Cela signifie qu’il a été le premier à découvrir une vulnérabilité sur ce challenge, ce qui permet à l’équipe de remporter un nombre significatif de points, d'être affichée aux yeux de tous sur le scoring board et de choisir la musique diffusée aux autres participants.
Cette marque de respect nous a permis de nous remotiver et d’engager une progression sur les challenges de cryptographie, où Hongji a su discrètement résoudre 3 des 4 challenges, suscitant l'admiration de tous.
Durant la nuit, les challenges d'OSINT et les niveaux avancés en web ont pu être résolus par l’équipe, malgré un état de fatigue avancé. Vers 8h, fin des hostilités, la compétition se termine et nous parvenons à nous hisser à la 76ème place sur 119 équipes. Cela nous donne une position honorable en milieu de tableau, malgré le niveau élevé des concurrents.
En conclusion, nous sommes rentrés au petit matin avec le sourire aux lèvres et la satisfaction d'avoir pu participer à une expérience aussi enrichissante sur le plan professionnel que personnel. Cette expérience nous a permis de nous mêler aux meilleurs dans un état d'esprit extrêmement humble et convivial, rendant ainsi l'événement exceptionnel et unique.
Nous remercions chaleureusement Renault de nous avoir offert cette opportunité et nous vous donnons rendez-vous l'année prochaine pour une nouvelle session du Breihz CTF en 2025 !
Découvrez aussi notre retour en images sur le Breizh CTF 2024 : https://www.linkedin.com/posts/renault-digital_lebreizhctf-ctf-cybersecurity-activity-7200806012436512768-G_HU?utm_source=share&utm_medium=member_desktop
