Derrière les compétitions de hacking, le soft power des États
![Image Un site du [gouvernement français] visé par des nationalistes turcs](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-pays-countries-attack-2024-885x690.jpg)
![Image Le groupe pro-russe APT29 cible des [élus allemands du CDU]](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-group-people-2024-885x690.jpg)
![Image [ALPHV/BlackCat] prétend avoir été victime d’une saisie judiciaire](https://incyber.org//wp-content/uploads/2024/03/alphv-blackcat-pretend-avoir-ete-victime-saisie-judiciaire-incyber-885x690.jpeg)
Les challenges de hacking éthique présentent de très nombreux avantages, pour les entreprises privées comme pour les États, en termes de recrutement et de prestige. Parfois, cependant, ces événements tournent à la démonstration étatique.
Qu’elles s’appellent Hack in Paris (Paris), GreHack (Grenoble), INS’Hack (Lyon), Botconf (Nantes), LeHack (Paris), Hacking Convention (Toulouse), European Cyber Cup (Lille), SSTIC (Rennes), Insomni’Hack (Suisse), European Cybersecurity Challenge (République Tchèque), atHack (Arabie Saoudite) ou Def Con (Las Vegas, États-Unis), les compétitions de hacking éthique offrent une formidable visibilité à tous leurs participants, qu’ils soient étudiants, jeunes diplômés, salariés d’entreprises privées, administrations ou même États.
Dans un contexte de pénurie chronique des talents spécialisés en cybersécurité, les premiers à bénéficier de cette exposition sont bien entendu les membres des équipes étudiantes. Grâce aux scores qu’ils obtiennent lors des différentes compétitions, les meilleurs éléments sont en mesure de montrer aux recruteurs de leur pays, et parfois même à ceux du monde entier, leur niveau de compétences et leur bagage technique.
Lors de la première édition de l’European Cyber Cup, compétition d’eSport dédiée au hacking éthique et organisée dans le cadre du Forum International de la Cybersécurité (FIC), 15 équipes étaient réunies, dont neuf composées d’étudiants et six de professionnels. « C’est une équipe de l’ESNA Bretagne (École Supérieure du Numérique Appliqué) qui s’est hissée tout en haut du classement, devant des équipes professionnelles », commente Clémence Burette, Cheffe de projet EC2.
Et Matthieu Bouthors, président de l’association HZV, organisatrice de l’événement leHACK, d’ajouter : « Cela fait 20 ans que nous organisons des challenges de hacking éthique. Il y a de plus en plus d’engouement et le nombre d’équipes va croissant. Certes, il y a de petits lots à gagner mais ce n’est pas vraiment cela que les participants viennent chercher. Ce qu’il y a à gagner, c’est une réputation, le fait de mettre son nom en haut de l’affiche à la fin de la nuit ».
Les entreprises et administrations organisatrices d’événements
La pénurie de talents est à ce point critique qu’un certain nombre d’entreprises en viennent à organiser elles-mêmes leur propre événement. « Les organisations qui veulent à tout prix recruter créent leur propre compétition. Elles utilisent le plus souvent le format du challenge CTF – Capture The Flag – pour identifier des profils. Les compétitions, c’est une façon très efficace d’aller chercher des candidats, car aujourd’hui, publier une annonce et attendre que les CV tombent, cela ne suffit pas », ajoute Matthieu Bouthors.
L’État français, à travers la Direction générale de l’armement (DGA), s’est ainsi transformé depuis deux ans en organisateur de compétitions de hacking éthique. Son challenge, baptisé DG’hAck, se déroule sur deux semaines. Les participants les mieux classés se voient offrir un entretien de sélection pour un stage de fin d’étude ou un emploi en CDI au sein du centre d’expertise « Maîtrise de l’information » de la DGA, situé à Bruz, en Bretagne, sans passer par une pré-sélection sur épreuve technique. 400 recrutements dans le domaine de la cybersécurité sont prévus d’ici 2025.
Aux États-Unis, en 2019, l’US Air Force a fait appel à des hackers participant à la Def Con, la plus célèbre des conférences dans le domaine. Son objectif était de les inviter à pirater un de ses avions de chasse F-15. L’année suivante, l’armée de l’Air américaine a lancé un programme de bug bounty, sous la forme d’un CTF, dans l’objectif de permettre à des hackers éthiques de tenter de pirater un satellite en orbite. Dans les deux cas, les experts en cybersécurité sont parvenus à percer les défenses des engins volants. Outre le plaisir de découvrir des vulnérabilités sensibles (et de gagner de l’argent sous forme de récompenses), certains participants se sont vus proposer une embauche ou des contrats avec les administrations organisatrices.
Pour les États, le prestige compte également
Mais pour tous les États à travers le monde, le recrutement de talents et la découverte de failles critiques ne sont pas les seuls enjeux lorsqu’ils participent à des challenges de hacking. La réputation et l’image de marque de tout un pays sont également en jeu. « Ce type d’événement permet de valoriser nos compétences mais aussi, plus globalement, l’excellence de la formation française, celle qui façonne les ingénieurs de demain. La France et l’Europe ont d’ailleurs besoin d’être remises sur le devant de la scène dans ces compétitions », analyse Clémence Burette.
Un avis que complète Matthieu Bouthors : « Au niveau des États, l’enjeu est de montrer que chaque nation possède les meilleures ressources. Les équipes nationales ont besoin de se situer les unes par rapport aux autres, de se jauger, de s’évaluer sur la scène mondiale ».
Parfois, cette volonté de se jauger, de se comparer aux autres nations, tourne à l’excès. C’est le cas notamment de la Tianfu Cup, une compétition organisée par les autorités chinoises à Chengdu, capitale de la province du Sichuan. Alors que l’Empire du Milieu a interdit à tous ses chercheurs de participer aux concours internationaux de bug bounty, les équipes chinoises enchaînent les records lors de cet événement. Une démonstration de force qui, pour certains observateurs, remplace les parades militaires d’autrefois.
Tianfu Cup : la démonstration chinoise
Depuis 2017, tous les logiciels tombent les uns après les autres, en moins de cinq minutes (c’est le temps dont disposent les participants pour démontrer leur expertise). Linux, Vmware, Windows 10, Chrome, Safari, Exchange Server, Ubuntu 20, Adobe PDF reader : les vulnérabilités zero day se succèdent, inexorablement. Lors de l’édition 2021, des découvertes de grande valeur ont été mises au jour, notamment un exploit (chaîne d’attaque par exécution de code à distance sans interaction) contre un iPhone 13 Pro équipé d’iOS 15.0.2.
La compétition de Tianfu démontre l’impressionnante capacité des hackers chinois à mettre en danger les principaux systèmes et réseaux occidentaux. Elle met également en évidence la profondeur des cyber-inventaires offensifs de la Chine. Elle sous-entend enfin que le gouvernement chinois dispose, à chaque édition, d’un accès précoce à des portefeuilles d’exploits de grande valeur.
La Tianfu Cup aide la Chine à acquérir des cyber-capacités de pointe et à repérer des hackers talentueux. Cependant, il est de plus en plus probable que les possibilités d’exploitation identifiées lors de cet événement soient de moindre valeur dans un environnement où les développeurs cherchent de plus en plus à automatiser la découverte de vulnérabilités et la génération d’exploits. Les exploits de type « zero-day » découverts lors de la compétition ne peuvent être utilisés que pendant une période limitée, avant que les fournisseurs ne soient en mesure de corriger la ou les vulnérabilité(s) sous-jacente(s).