Il consiste en un « Capture The Flag (1)» de type « Jeopardy » : les participants ont plus de 24 heures pour résoudre un maximum d'épreuves de difficultés variables, telles qu’on peut en trouver sur « Root Me », la plateforme de tests en hacking. Julien R., administrateur Active Directory de l’intranet défense au Centre National de Mise en Œuvre des Intranets de Maisons-Laffitte, l’heureux vainqueur de ce challenge, raconte comment il est arrivé jusque-là.

Interview menée par le POSA de Rennes

CC : Quel est votre cursus ?

JR : Titulaire d’un bac littéraire, je n’ai aucun diplôme en informatique. Passionné par le hacking et les nouvelles techno depuis toujours, je suis un vrai autodidacte qui a amassé des compétences variées dans ces domaines.

Mon classement au concours de Technicien Supérieur d’Etudes et de Fabrications 2019 m’a permis de postuler sur le poste d’administrateur national Active directory au sein de la Division Intradef du Centre National de Mise en Œuvre des Intranets de Maisons-Laffitte. J’ai ainsi pu progresser au contact d’experts et mettre à profit mes compétences de Scripting(2) au service de ma fonction.

CC : Pourquoi avoir participé au challenge LADON cette année ?

JR : Un collègue et ami d’enfance m’a suggéré de participer au Challenge LADON, connaissant mon attrait passionné pour la sécurité informatique. C’était ma première participation à un évènement de ce type, n’aimant pas particulièrement me comparer aux autres.

Bien que connaissant le site « Root-Me » je n’avais jamais pris la peine de m’inscrire à ce challenge. En revanche, par le passé j’ai eu l’occasion de côtoyer le monde très fermé du HPAVC(3), où j’ai pu profiter d’une expérience directe, offensive et défensive, acquérant ainsi un spectre de compétences tant singulières que variées. Cela m’a été utile pour gagner le challenge.

CC : Comment s’est déroulée cette journée et demi ?

JR : Je m’étais fixé un délai de 24 heures, l’occasion rêvée de faire une nuit blanche. Ne sachant pas trop dans quoi je m’embarquais, je n’avais rien préparé de particulier. Pour seul outil je disposais d’un ordinateur sous Windows. Je n’ai pas trouvé le challenge particulièrement difficile, au regard de mes connaissances multi-domaines.

L’épreuve de stéganographie [NDLR : procédé de dissimulation d’un message confidentiel au sein de données] fut réellement la seule grosse difficulté que j’ai eue à franchir. J’ai dû passer tous les outils que je connaissais sur le fichier, tester énormément de paramètres différents, étudier le spectre dans tous les sens. Je n’ai malheureusement pas pu la finir, même si je m’orientais sur la possibilité que le code caché était du morse. »

CC : Comment voyez-vous la suite de votre carrière ?

JR : Je me suis toujours intéressé au Renseignement et à l’IT Security. Si un jour l’opportunité se présente, j’aimerais pouvoir travailler dans un poste réunissant ces deux domaines ou encore dans la Cybersécurité offensive.

J’aimerais également pouvoir réaliser une validation des acquis de l’expérience (VAE) et enfin obtenir un diplôme qui pourrait valider l’ensemble de mes compétences. Ce serait une fierté pour moi après toutes ces années. »

CC : Un dernier mot ?

JR : « n3v3r trust I/O » Un bon hacker est aussi un programmeur consciencieux, c’est l’adage que je me suis toujours imposé, et que je conseille à tous ceux qui s’intéressent de près ou de loin à la programmation ainsi qu’à la sécurité informatique. »

(1) Capture the Flag : Jeu consistant à exploiter des vulnérabilités affectant des logiciels de manière à s’introduire sur des ordinateurs pour récupérer les drapeaux (valeur binaire de type vrai ou faux indiquant le statut d’un objet), preuves de l’intrusion.

(2) Script : suite de commandes simples souvent peu structurées permettant d’automatiser certaines tâches successives dans un ordre donné. Tuile dans l’ouverture d’une page web par exemple pour afficher des informations successives

(3) HPAVC : Hacking/Phreaking/Anarchy/Viruses/Cracking