# EC2 2022 - Mieux vaut tard que jamais ![](https://i.imgur.com/F6LiZwx.png) > ***Disclaimer** : cet article n'engage en rien mon employeur et ne représente que ma perception personnelle de l'évènement. J'ai voulu, en toute transparence, partager un point de vue qui m'est propre. A la fin de cet article qui exprime un avis plutôt négatif de l'EC2, vous trouverez une conclusion plus positive dans laquelle j'essaye de mettre en avant les actions qui pourraient être mises en place (selon moi) pour monter le niveau de l'EC2. Cet article se veut une critique la plus constructive possible et n'a pas pour objectif de casser l'iniative (très bonne à mon sens) de la compétition !* Dans cet article, je ferai donc un retour le plus factuel et objectif possible sur l’European Cyber Cup (EC2) organisé à l’occasion du Forum International de la Cybersécurité (FIC) à Lille les 7, 8 et 9 Juin 2022. L’EC2 a démarré le mercredi 8 et s’est terminée le jeudi 9. Dans un souci de contextualisation et de transparence, sachez que j’avais également participé à l’EC2 2021. Mon retour sur ces deux éditions était: mitigé pour 2021, très mauvais pour 2022. À titre indicatif, nous avions fini 2nd en 2021, et 8ème en 2022. L'article est trop long? [TL;DR](#TL;DR) L'article est trop négatif? Voici [l'EC2 de mes rêves](#L’EC2-idéale) :dove_of_peace: Je place bon espoir dans l'EC2 et espère qu'il saura évoluer dans le bon sens pour 2023. Mieux vaut tard que jamais. # Évènement ![](https://i.imgur.com/ZjCfaUi.jpg) ## Épreuves Lors de cette seconde édition de l'EC2, 8 épreuves nous ont été proposées: Forensic, Escape Game, OSINT, gaming, IA, bug bounty, CTF, OT. Pour la plupart, ces épreuves étaient montées par des organismes extérieurs à l'organisation de l'EC2/FIC. Ces épreuves ont démarré consécutivement le mercredi 8 matin et se sont ensuite déroulées en parallèle. Les épreuves de gaming, OT et Escape Game étaient ponctuelles: - **Escape Game**: un challenge de 25 min. Un créneau par équipe. Les équipes passaient les unes après les autres, de mercredi à jeudi. - **OT (Operational Technology)**: un challenge de 15/20 min mercredi, un jeudi. Les équipes s'affrontaient toutes en même temps sur chacun de ces challenges. Chaque challenge était annoncé ~5 min avant et se déroulait en parallèle des autres épreuves qui ne s'arrêtaient pas. - **Gaming**: 7 jeux de 10/15 min. Les équipes s'affrontaient toutes en même temps sur chacun de ces jeux. Chaque jeu était annoncé ~5 min avant et se déroulait en parallèle des autres épreuves qui ne s'arrêtaient pas. Il est important de garder à l'esprit que toutes les équipes n'étaient pas logées à la même enseigne concernant ces épreuves. A titre d'exemple, certaines de ces épreuves se sont chevauchées pour certaines équipes et pas d'autres. Enfin, il est primordial de garder à l'esprit que la pondération de chaque épreuve était d'1/8. Chaque épreuve avait donc le même poids dans le classement général. La totalité des participants avec lesquels j’ai échangé sur ce point ont trouvé la pondération frustrante et aucunement représentative de la difficulté relative de chaque épreuve. La conséquence de cette pondération: l'EC2 ne peut se positionner sur le paysage des compétitions de cybersécurité au même titre que d'autres évènements reconnus et respectés sur la scène Européenne. Il n'est pas sérieux d'accorder tant de points à une partie de Tétris dans une compétition de cybersécu. ## Règlement Les équipes étaient limitées à 10 personnes. Il a néanmoins été constaté que certaines ne respectaient pas cette limite. D'après quelques échanges que j'ai eu avec les organisateurs de l'EC2, ils étaient conscients du problème, mais aucune mesure n'a été communiquée officiellement sur ce point. Ce problème n'en est habituellement pas un lors de compétitions aux enjeux légers mais est innacceptable pour une compétition du rang visé par l'EC2. Si des actions sont menées contre la fraude, elles doivent être partagées. Et des actions auraient du être menées (donc communiquées). Par ailleurs, le règlement fourni aux équipes au début de la compétition aurait du être communiqué en amont à mon sens (lors de leur inscription plusieurs mois auparavant par exemple). ## Repas Les déjeuners et diners devaient être pris en charge par l’EC2. En dehors des quantités et de l’organisation à revoir, le choix proposé n’a pas permis de couvrir correctement les régimes les plus courants (e.g. végétariens). > ***[EDIT 28/06]** Il m'a été précisé que les choix et quantités proposées ont permis de couvrir les régimes végétariens.* ## Retransmission Live L'EC2 était retransmise en live sur Twitch. Je félicite cette iniative qui peut apporter plus de dynamisme à ces compétitions de cybersécurité. Néanmoins, elle est à revoir profondément. - En dehors des quelques moments d'animation, le live était en pause (90% du temps, il ne se passait rien). - Aucun suivi de l’organisation. Les viewers étaient perdus et ne comprenaient pas ce qui se passait. - Aucune visibilité sur les scores. Ce point n’était pas propre au live, les équipes n’avaient que très peu de visibilité sur les classements, qui étaient souvent faux. - Les équipes étaient très peu filmées (une présentation au début de l'évènement, ne couvrant pas toutes les équipes). - Lors des moments d'animation, seule la scène et l'animateur étaient filmés. - Les viewers ont apprécié les deux challenges [OT](#OT) (i.e. industriel) Ce live twitch a fortement nuit à la réputation de l'EC2. Il aurait été plus judicieux de ne rien faire plutôt que de mal réaliser cette belle initative. Les organisateurs de l'EC2 sont pourtant bien placés pour savoir qu'un live twitch d'une compétition n'est pas un exercice facile. La voie de la facilité semble néanmoins avoir été empruntée à l'occasion de cet évènement. ## Son & lumière De l'extérieur, l'EC2 était animé, coloré, profond, beau, etc. Bravo à l'organisation. Vu de la fenêtre des participants à la compétition, une phrase est à retenir: > BAISSEZ LE SON!! (ou gérez-le mieux :shrug:) ![](https://i.imgur.com/MA7wHUx.png) ## Communication Certaines des informations affichées sur le site différaient de celles transmises en amont de l'EC2 aux équipes, et différaient du règlement fourni lors de l'event. Les classements complets sur chaques épreuves n'ont pas été commmuniqués, bien que demandés à de nombreuses reprises par plusieurs équipes. A date (27 juin), ces derniers n'ont toujours pas été communiqués. Je ne suis pas un expert en compétitions, mais il me semble que communiquer les scores et classements est un minimum. Idéalement, ils devraient même être partagées pendant l'évènement et AVANT le positionnement final. > ***[EDIT 07/11]** les classements de chaque épreuve ont été partagés le 7 Juillet, soit un mois après la compétition.* Lors de l'évènement, de nombreux problèmes étaient remontés aux organisateurs. Ces requêtes étaient souvent laissées sans réponse, à l'exception de celles qui étaient faîtes en face-à-face. La structure était telle qu'il était souvent difficile de savoir qui solliciter (entre les organisateurs EC2, les organisateurs FIC, les organisateurs des épreuves, les créateurs des challenges individuels, etc.). ## Plateforme CyberRange Une plateforme CyberRange, modifiée à l'occasion de l'EC2, était utilisée pour 3 des 8 épreuves (OT, CTF et Escape Game). Cette plateforme a rencontré de très nombreux dysfonctionnements. - La soumission des flags était quasi-systématiquement buggée et/ou extrêmement lente. - Un fallback était souvent désigné sur Discord où les participants étaient informés qu'ils pouvaient envoyer leur flag à quelqu'un. Ce fallback était cependant très flou, identifié toujours tardivement, et a laissé placé à l'erreur pour une des épreuves d'OT dans laquelle les organisateurs ont validé des flags erronés. - La plateforme était peu intuitive mais originale visuellement. - La plateforme affichait des classements qui étaient souvent erronés. En conclusion, la plateforme proposée n'était pas un produit fini, et aucune solution de repli fiable n'a été identifiée alors que de nombreuses solutions éprouvées existent. # Epreuves Ci-dessous, mon retour sur chaque épreuve - [Forensic](#Forensic) - [Escape game](#Escape-Game) - [OSINT](#OSINT) - [Bug bounty](#Bug-bounty) - [OT](#OT) (Operational Technology, i.e. industriel) - [IA](#IA) (Intelligence Artificielle) - [Gaming](#Gagming) - [CTF](#CTF) Pour chaque épreuve, je donne une note de 0 à 5 sur différents points. Il y a également des explications plus détaillées. ## Forensic | Note globale | ★★★★☆ | | -------------------- | ----- | | Qualité des épreuves | ★★★★☆ | | Originalité | ★★☆☆☆ | | Organisation | ★★★★☆ | | Up-time | ★★★★★ | | Pertinence cyber | ★★★★★ | Cette épreuve était composée de 19 scénarios, eux-mêmes composés de 5 challenges chacun, et se déroulait sur la journée du mercredi 8 de 9h30 à 18h30. La plateforme proposant les challenges était dédiée, disponible, fonctionnelle et claire. Les challenges étaient de qualité, globalement réalistes et fonctionnels. Seule remarque : certains énoncés étaient sujets à interprétation et certains challenges étaient irréalistes. Cela représentait une minorité. On pourrait également noter le peu d'originalité pour ces challenges. Maintenant, il s'agit quand même d'une épreuve Forensic, c'est plutôt normal que pour ~50 challenges, les approches soient parfois similaires. Au final, ce point de l'originalité n'aura pas été un problème notable à mon sens puisqu'inhérent au choix du domaine et pallié par une quantité plutôt importante d'épreuves. ## Escape Game | Note globale | ★☆☆☆☆ | | -------------------- | ----- | | Qualité de l'épreuve | ★☆☆☆☆ | | Originalité | ★★★★☆ | | Organisation | ☆☆☆☆☆ | | Pertinence cyber | ★☆☆☆☆ | | Barème/notation | ★☆☆☆☆ | Cette épreuve durait 25 minutes. Chaque équipe avait un créneau qui lui était communiqué (mercredi ou jeudi) et 3 membres de l'équipe pouvait se confronter à l'épreuve, sans materiel (pas de téléphone, matériel de crochetage, ordinateur ou autre). Les créneaux pouvaient tomber pendant d'autres épreuves. Certaines équipes ont donc été plus ou moins avantagées/pénalisées par ce dernier. La description de l'épreuve était la suivante. ``` Sur le mode d’un escape game, chaque équipe devra se mettre dans la peau d’une équipe d’enquêteurs du ComCyberGend, engagés suite à un Ransomware lancé contre une PME. Ils devront gérer la crise, découvrir qui a attaqué la société et recueillir les preuves numériques nécessaires à l’enquête. ``` L'épreuve était construite comme suit: - **une première salle** "état des lieux" contenait des documents ainsi qu'un ordinateur. Notre objectif était de récupérer un maximum d'informations pour lancer l'enquête (type de ransomware, matériel, adresse bitcoin, réseau de l'entreprise, noms/prénoms, méthodes d'accès et de connexion, ...). Cette première étape était essentiellement documentaire, non-technique et orientée gouvernance/process. Il nous aura fallu 10 minutes pour sortir de cette salle. - **une seconde salle** "enquête" portée serious game. Cette étape était hors-sujet cyber/gendarmerie mais se rapprochait d'un escape game classique, non-technique, visuel. Il nous aura fallu 10 minutes pour sortir de cette salle. - **une troisième salle** dans laquelle il fallait retrouver une raspberry pi à brancher à un clavier, écran, souris et le démarrer. Le mot de passe de l'utilisateur était inscrit sous un code barre sur une étiquette cousue à un coussin. Conditionnés par les deux premières salles non-techniques et par manque de temps (5 minutes restantes), il ne nous a pas été possible de creuser plus loin. Nous étions parvenus à nous authentifier et à naviguer dans l'historique de commandes. Nous avions identifié que l'utilisateur avait téléchargé et modifié un PoC d'une CVE. Puis time out! A la fin de cet escape game, les gendarmes animant l'épreuve nous ont communiqué qu'aucune équipe n'avait résolu l'enquête, et que la constitution des salles et les conseils fournis ont changé au fur et à mesure des passages. En conclusion, la notation/barème était opaque, changeante et subjective, en plus d'être autant pondérée que les 7 autres épreuves de l'EC2. Précision: la pondération n’aurait pas été problématique (selon nous) si l’épreuve avait été de qualité. Tous les participants avec lesquels j'ai échangé sur cette épreuve partagaient la même frustration et étaient attristés de voir cette épreuve proposées de cette manière à l'EC2. J'ai une pensée pour les membres du ComCyberGend qui ont été très très mal représentés par cette épreuve. C'était peut-être l'occasion de faire naître des vocations, ou de susciter l'intérêt... ## OSINT | Note globale | ★★★★★ | | -------------------- | ----- | | Qualité des épreuves | ★★★★★ | | Originalité | ★★★★☆ | | Organisation | ★★★★★ | | Up-time | ★★★★★ | | Pertinence cyber | ★★★★★ | Cette épreuve proposait ~40 à 50 challenges (4 scénarios complets, ~10 challenges par scenario) et était hébergée sur une plateforme dédiée, stable, fonctionnelle. L'épreuve s'est déroulée du mercredi 8 11h30 au lendemain 15h (sans interruption pendant la nuit). Les créateurs de l’épreuve étaient présents, disponibles, investis, à l’écoute, bref rien à dire. Les scénarios étaient originaux, logiques, et complets, etc. Autant dans le fond que dans la forme, l'épreuve d'OSINT devrait servir d'exemple. ## Bug bounty | Note globale | ★★★★☆ | | ------------------- | ----- | | Diversité du scope | ★★★☆☆ | | Taille du scope | ★★☆☆☆ | | Organisation | ★★★★☆ | | Triage | ★★★★☆ | | Montant des rewards | ★★★★☆ | L'épreuve de bug bounty était organisée par Yes We Hack et l'EC2 s'y est greffée. Elle a eu lieu du mercredi 8 10h au lendemain 16h (sans interruption la nuit, hormis pour la soumission de rapports). La plateforme de Yes We Hack était utilisée ici. Seul point noir: les points comptabilisés pour l'EC2 ne prenaient en compte que les rapports triés et validés avant 16h. Cependant, une marge de manoeuvre était à prévoir pour le triage, chose qui n'était pas claire et que nombre de participants ont appris à la fin. Bien que les organisateurs aient pris en compte quelques points obtenu après la deadline suite aux nombreuses remontées des participants, la problématique était la même en 2021 et l'organisation de l'EC2 n'a pas semblé pas avoir appris de cette erreur. ## IA | Note globale | ★★★☆☆ | | -------------------- | ----- | | Qualité de l'épreuve | ★★★☆☆ | | Originalité | ★★★★☆ | | Organisation | ★☆☆☆☆ | | Pertinence cyber | ★☆☆☆☆ | Dans cette épreuve, les challengers devaient classifier automatiquement des images deepfakes ou réelles. Bien que cette épreuve s'étalait sur les deux jours de la compétition, un travail préalable important était requis pour préparer une base de travail, ajuster les paramètres et modèles choisis, etc. Le descriptif sur le site de l'EC2 différait de celui fourni dans le document PDF remis par mail avant la compétition, qui différait lui-même des informations contenues dans le règlement signé au démarrage de la compétition. L'accès aux plateformes d'entrainement et d'envoi des résultats était tardif (mercredi 8 après-midi). Le jeu de données fourni avant l'EC2 différait du format utilisé lors de la compétition. Le bon jeu de données a été fourni très tardivement (mercredi 8 après-midi) par rapport aux ajustements et tests à faire. L'exemple de résultat fourni pour l'épreuve n'était pas bon et ne validait pas. Autant ne pas le fournir. Bien qu'il soit tentant de penser que l'intelligence artificielle soit un sujet cyber, c'est en réalité bien éloigné des métiers de la cybersécurité. Les personnes qui travaillent dans l'IA sont bien souvent très spécialisées sur ce domaine. Présenter ce challenge sous ce format à une compétition cyber telle que l'EC2 alimente les amalgames souvent rencontrés. > ***[EDIT 28/06]** Pour précision, il existe des applications de l'IA à la cyber, j'aurais trouvé plus judicieux de proposer quelque chose qui soit plus adapté que de la classification d'images deepfake/réelles qui est à mon sens quelque chose qu'un hackeur éthique ne fera probablement jamais.* L'épreuve IA a été très globalement contestée, aussi bien en 2021 qu'en 2022, rendez-vous en 2023 pour la fin de la trilogie? ## OT | Note globale | ★★★☆☆ | | -------------------- | ----- | | Qualité des épreuves | ★★☆☆☆ | | Originalité | ★★★★☆ | | Organisation | ★★☆☆☆ | | Up-time | ★★★★★ | | Pertinence cyber | ★★★★★ | | Pertinence OT | ★☆☆☆☆ | Cette épreuve, séparée en deux challenges d'une 15aine de minutes, a eu lieu entre mercredi et jeudi à raison d'un challenge par jour. La thématique industrielle choisie était : crise centrale nucléaire. La plateforme utilisée pour les flags/classements était le [CyberRange modifié](#Plateforme-CyberRange). Les notations, barèmes et classements étaient opaques. - **challenge 1** (~15min): SQLi -> dump wireshark -> extract de fichiers -> concat de fichiers .m4s -> courrir trouver des écrans dans le FIC (chaque écran affichait une partie du flag final). Cette épreuve n'avait rien d'industriel mais proposait l'originalité de faire une course improvisée dans le Grand Palais de Lille. - **challenge 2** (~20min): récupération d'un script .pyc sur un site web -> se documenter sur les jeux d'instructions d'un PLC -> modifier le script pour envoyer une commande de reboot au PLC -> aller se connecter au réseau du challenge (en physique, ~3 prises dispos pour 19 équipes...). A nouveau, cette épreuve n'avait d'industriel qu'une instruction à trouver dans une documentation. Il a été choisi ici de proposer un challenge de cybersécurité industrielle contre la montre, un cumul de difficultés qui n'aura finalement pas été relevé correctement. Les challenges industriels n'en étaient pas. Bonne forme, mauvais fond. ## Gaming | Note globale | ☆☆☆☆☆ | | ---------------- | ----- | | Choix des jeux | ★☆☆☆☆ | | Notation/barème | ☆☆☆☆☆ | | Organisation | ☆☆☆☆☆ | | Pertinence cyber | ☆☆☆☆☆ | L'épreuve gaming/esport s'est déroulée entre le mercredi 8 et le jeudi 9, à raison de 7 jeux d'une 15aine de minutes max. proposés spontanément. La plateforme utilisée pour les flags/classement était le [CyberRange modifié](#Plateforme-CyberRange), néanmoins, Discord a été utilisé comme fallback en raison de nombreux dysfonctionnements rencontrés. Ce fallback n'était cependant pas clair et des nombreux participants se sont sentis lésés par une communication brouillonne. Les 7 jeux étaient les suivants: - **Tetris** (~5min) : une compétition de Tétris. - **Snake** (5min) : une partie de [Snake](https://www.google.com/fbx?fbx=snake_arcade) - **Zutom** (~10min) : une partie de [Zutom](https://zutom.z-lan.fr/) - **Geoguessr** (~5min) : une partie de [GeoGuessr](https://www.geoguessr.com/) - **Pédantix** (~15min) : une partie de [Pédantix](https://cemantix.herokuapp.com/pedantix) - **Stéganographie vidéo** (10min) : le message en braille apparaissaient moins d'une seconde sur une vidéo de 3 minutes. - **Stéganographie audio** (10min) : un message était caché en spectrogramme dans un son parmi plusieurs à inspecter. Cette épreuve n’avait rien à faire là, avait lieu aux mauvais moments, comptait dans le classement général (merci pour l'amalgame (encore)), et n'était même pas du gaming. Du game-hacking, à la limite, dans un format plus long, aurait été pertinent, mais c'est une autre histoire. Et non, modifier un code source HTML pour faire croire à un score plus élevé n'est pas du game hacking. Modifier une URL pour trouver un raccourci dans ZUTOM n'est pas du game hacking. En 2021, la partie gaming avait été largement contestée. Je ne pensais pas qu'il était possible de faire pire. J'en appelle à l'organisation de l'EC2: ne cultivez pas les nombreux clichés accordés à la communautés cyber, le gaming en fait partie. Peu de nos experts sont des pro-gamers Snake. Pour autant, ces mêmes experts sont, pour la plupart, des professionels de leur domaine, très investis dans la culture de leur expertise et dans l'expertise de leur culture. Un interlude gaming optionnel est intéressant mais ne doit en aucun cas être traité comme une épreuve, mis en avant à ce point et certainement pas pondéré de cette manière. Cette épreuve est une nouvelle fois symptomatique de la méconnaissance de la culture hacking par l'organisation de l'EC2, ou d'un choix délibéré et irrespectueux d'animer pour animer. ## CTF | Note globale | ★★★☆☆ | | -------------------- | ----- | | Qualité des épreuves | ★★★★☆ | | Originalité | ★★★★☆ | | Organisation | ★★★★☆ | | Up-time | ★★★☆☆ | | Pertinence cyber | ★★★☆☆ | Cette épreuve a eu lieu sur les deux jours de l'EC2, au travers de la plateforme [CyberRange modifiée](#Plateforme-CyberRange). 6 challenges étaient proposés - **4 reverse de "Godot"**, peu adapté aux métiers de la cyber/hacking, mais très original et en phase avec la culture CTF. - **1 VM réaliste** : RCE par zip slip sur une application web puis escalades de privilèges par GTFObins. Bien que ce challenge ait rencontré quelques indisponibilités, les organisateurs étaient disponibles et présents et ont rapidement corrigés les problèmes. - **1 reverse/pwn VM** avec jeux d'instructions custom. Rien à dire sur cette partie. Merci aux créateurs/admins de cette épreuve CTF. D'autant qu'ils se sont excusés du faible down-time en offrant des boissons aux participants (c'est beau :beer:). Comme quoi, les épreuves peuvent êtres imparfaites, ça n'est pas un problème quand c'est fait dans le respect de la communauté et de la culture hacking/CTF, avec bienveillance et disponibilité. # TL;DR > Ceci est une conclusion à la fois factuelle, qui s’appuie sur les remontées de cet article, mais également subjective et propre à mon ressenti personnel. L’EC2 2022 a ignoré et manqué de respect à la communauté cyber et aux participants. De nombreux problèmes étaient remontés, et bien que je conçoive que le pilotage d'un tel évènement n'est pas de tout repos, une présence plus importante, auprès des participant, aurait été préférable à mon sens. L’EC2 2022 a répété (voir amplifié) de nombreuses erreurs de l’édition 2021. Les remarques n'ont donc pas été prises en compte, et associée à une méconnaissance caractérisée de la cyber, du hacking, de sa communauté et de ses métiers. Dans ces conditions, l'édition 2022 ne pouvait qu'être bien décevante. La simple présence d'une épreuve gaming de la sorte est triste. Sa pondération au classement général est une insulte. L'évènement manquait cruellement d'homogénéité, entre une épreuve Escape Game risible, et une épreuve OSINT mémorable. Ceci est dû à une autonomie totale accordée aux créateurs/organisateurs de challenges, sans aucune revue ou harmonisation. J'ai participé à quelques CTFs*, et jamais je ne suis ressorti avec autant de frustration et de choses à dire et mettre en lumière. Preuve en est, c'est mon premier article de la sorte. Pour autant, c’est un des évènements dans lequel je place le plus d'espoir. L’équipe organisatrice de l’EC2 bosse dur et s’investit. Les mauvaises décisions cumulées n'en sont donc qu'amplifiées. L'EC2 pourrait devenir une référence si tant est que l'organisation fasse appel à des acteurs reconnus de la communauté cyber et leur fasse confiance. Si sa troisième édition venait à suivre le sentier battu par les deux premières, je crains que l'EC2 ne devienne qu'une occasion comme une autre de revoir des amis, et que la prestance que cette compétition vise ne soit atteinte qu'en apparences. Je doute que les challengers ne participent plus à l'EC2 dans ce cas (moi y compris), je pense simplement qu'il y aurait moins d'engouement autour de l'évènement, qui perdrait alors petit à petit toute légitimité dans la communauté à termes. *\*(présentiel) FIC 2018, FIC 2020, NorzhCTF 2020, ECW 2018, NDH 2018, LeHack 2019, Barbhack 2020, Barbhack 2021, SigSegv1, SigSegv2, GreHack 2019, Insomnihack 2020, Insomnihack 2022, BreihCTF 2020, HackYnov 2022. (online) Plus d'une 50aine.* > ***[EDIT 25/11]** D'après le règlement, dans la partie "Prix et récompenses": "L'équipe étudiante arrivant en première position sera invitée à participer à la Canadian Cyber Cup, lors du FIC Amérique du Nord les 1er et 2 novembre 2022.". Une annulation à J-30 par l'EC2 a entrainé une perte de plusieurs milliers d'euros de l'équipe concernée qui avait avancé des réservations. Cette annulation a été justifiée par une retractation de sponsor. L'EC2 a donc "vendu de la roadmap", sans transparence. Une nouvelle insulte pour la communauté...* > ***[EDIT 25/11]** Les frais d'inscriptions pour l'édition 2023 semblent avoir augmenté à nouveau d'après quelques bruits de couloir. Quelles que soient les raisons qui justifient cette augmentation (qui tournerait aux alentours des 60%), je prie pour que la qualité perçue pour la prochaine édition suive une telle croissance.* # L'EC2 idéale > En bon auditeur, je pose le problème mais doit identifier des remédiations. Je vais donc décrire ici **mon** EC2 idéale. Ça ne sera peut-être pas celle du lecteur. Néanmoins, si ce que je dis ici te parle et t'anime, n'hésite pas à partager cet article et à, toi aussi, exprimer ta pensée. Je ne perds pas complètement espoir en l’EC2, la troisième édition peut être la bonne, si tant est que leurs organisateurs reçoivent nos prières (et en tiennent compte) :pray: ## En théorie 1. Adieu l'épreuve gaming. Pourquoi pas conserver ce moment en interlude détente optionnel pour l'animation. Mais cessons d'alimenter les préjugés accordés aux hackeurs. 2. Gardons les épreuves spontanées et courtes comme l'OT le proposait. Ça anime, ça met une pression positive! Il faut par contre être irreprochable sur le cadre de leur réalisation (règles, plateforme, etc.). 3. Revoyons la pondération. Quelques épreuves de 15 minutes ne valent pas 20 heures consécutives. Veillons également à ce qu'à durée égale, une partie de Tétris ne valent pas un challenge technique. 4. Gardons les épreuves originales (escape game, industriel, pourquoi pas du Car Hacking, de l'ingénierie sociale, ou du Radio Hacking), mais ne mélangeons pas tout. L'épreuve de l'OT n'était de l'indus qu'à 10%, l'escape game était une blague et n'avait quasi rien de cyber. Il n'y a qu'à prendre exemple sur le P_TE Escape Game organisé à l'occasion du FIC 2018 quelle réussite! Il mélait NFC, lockpicking, arduino, etc. 5. Chacune des épreuves est à piloter et une harmonisation est nécessaire. Et ce, avec l'aide de 2/3 habitués des CTFs et personnages reconnus dans la communauté cyber. De nombreux ratés auraient pu être très facilement évités. Mais cela exige aussi de s'y prendre bien en avance, ce qui ne semblait pas être le cas pour l'EC2 2022. 6. Prenons nous-y dès maintenant. Créons des challenges de qualité, en nombre, variés et originaux, ça prend du temps. Ça demande de trouver les bons acteurs, qui ont en général un emploi du temps assez chargé. 7. Faisons preuve d'une transparence sans faille et n'ayons pas peur de l'engagement. Prenons dès maintenant des engagements clairs sur la constitution de l'event. 8. Rapprochons-nous de la communauté, et écoutons-les. Derrière les articles négatifs et les commentaires critiques, il peut parfois y avoir une part de vérité, et des conseils à prendre en compte. Il n’y a pas meilleure façon pour faire un évènement qui plait à la communauté, que d’écouter ses recommandations, et de l’appliquer sans détour. 9. Le cadre technique (plateforme, rediffusion live) et humain (animation, communication, règlementaire) doivent être revus en profondeur. 10. Respectons la communauté, les métiers de la cyber, les participants, les viewers, etc. ## En pratique - **plateforme** : idéalement un CTFd modifié. Pourquoi pas une plateforme custom, mais à tester, éprouver, fiabiliser, encore, encore et encore. 200 personnes vont sur-solliciter et fuzz la plateforme pendant 2 jours. Centraliser les plateformes n'est pas une obligation. - **animation** : ZATAZ est un bon animateur, mais il faut prévoir un second ou autre acteur qui sache et comprenne ce qui est fait sur chacune des épreuves et qui soit capable de le retranscrire pour différents niveaux, de débutant à expérimenté. - **repas** : prévoir les repas en amont et demander les choix parmi des menus sélectionnés et variés (inclure végé/végan par exemple). Pas d'erreur de quantité ou de régime proposé. - **expertise & pilotage** : être accompagné d'un ou plusieurs experts/habitués du CTF. Prévoir un pilotage & une harmonisation des épreuves et s'y prendre plus de 6 mois à l'avance pour solliciter les créateurs de challenges. - **son et lumières** : prévoir 3 typologies de "son & lumières" - celle pour les viewers sur le live, animation constante - celle pour les viewers en présentiel, animation régulière, puissante, visuelle etc. Ils ne resteront pas 10h de suite devant les enceintes. - celle pour les participants, ils resteront 10h de suite devant les enceintes et projecteurs. - **épreuves** - **Forensic**: conserver l'épreuve telle qu'elle est. ***[EDIT 28/06]** : remplacer par l'épreuve **PENTEST** et intégrer de la forensic dans le **CTF "speed run"*** - **Web hacking**: stop le raccordement au bug bounty. Création d'une épreuve web composée de challenges variés et originaux. Web2 & APIs, Web3 & smart contracts. ***[EDIT 28/06]** : intégrer dans l'épreuve **PENTEST*** - **OSINT & SE**: conserver l'épreuve telle qu'elle est. Prévoir une épreuve d'ingénierie sociale pour conclure l'OSINT. - **In & Out**: quelques épreuves de 15 min. d'intrusion physique (lockpicking/bumping/copie de clé/bypass/etc.), radio hacking, IoT, ainsi qu'un escape game complet d'une heure (désactivation alarme, loop caméra, lockpick, dump de fichier sur PC non chiffré, etc.). - **CTF**: une épreuve CTF regroupant des challenges rapides de catégories diverses. Des épreuves et techniques connues dans un format contre la montre/speedrun. - **IA**: pourquoi pas une épreuve IA pour le côté innovant, mais appliquée à la cyber (offensive ou défensive), et à réaliser en amont de la compétition. Seul l’examen final du modèle/réseau de neurone/etc. est fait sur place lors de l’évènement. - ***[EDIT 28/06]** Une épreuve orientiée **PENTEST** serait intéressante (Active Directory, Cloud, Systèmes UNIX, Azure, Industriel, Evasion, Persistence, une touche red-team etc.). Nous parlons de l'EC2, "la première compétition esport dédiée au hacking éthique", alors autant proposer l'épreuve qui s'en rapprocherait le plus à mon sens. elle pourrait remplacer le forensic qui se trouverait intégré à petite dose dans le "CTF speed run". Le web pourrait alors être intégré à cette épreuve pentest qui proposerait principalement des boot2root, labs, etc. avec des objectifs de compromission/latéralisation/escalade/etc.* ![](https://i.imgur.com/ysUNtOp.png) - **pondération** - Pentest = 2 - OSINT & SE = 1 - IN & OUT + Escape = 1 - CTF "speed run" = 1 - IA = 0,5 - **reglement & notation** : limite de 10 pour les tailles d'équipe. Mettre en place des vérifications ou limitations et pénaliser en cas de besoin. S'assurer que les barèmes & notation pour chaque épreuve soient objectifs, mesurables, pertinent, etc. (similaire au principe des objectifs SMART). - et d'autres que j'oublie probablement. J'ai beau avoir rédigé cet article en près de 6 heures, je ne peux pas tout couvrir tout seul. En espérant que la lecture de cet article t'aura plu, que tu sois un participant à l'EC2, un habitué des CTFs, un intéressé pour l'EC2 2023, un orga EC2, un étudiant en cybersécu, ou un hélicoptère d'attaque Apache AH-64 équipé de têtes AGM-114 Hellfire, je te souhaite une bonne vie et te dis peut-être à bientôt pour de nouvelles aventures. Shutdown. > ***[EDIT 28/06]** Merci щинжи pour l'aide à la correction des multiples fautes d'orthographe dans cet article !!* > ***[EDIT 25/11]** Des premières mesures semblent avoir été prises pour 2023. "L'EC2 sera dans un nouvel espace cette année, toujours au sein du FIC et de Lille Grand Palais. Un endroit où vous ne subirez ni clim trop froide, ni son trop fort."* > ***[EDIT 26/11]** Après relecture des messages échangés sur le serveur Discord de l'évènement, l'EC2 s'était également engagé, le 28 Juin, à déployer les mesures suivantes: > - Logistique : revoir la sonorisation pour avoir un même niveau pour l'ensemble des équipes 🤟 > - Plateforme de compétition : améliorer la plateforme, fini le ralentissement et les messages d'erreur > - Classement : optimiser la présentation du classement des différentes épreuves et le classement général > - Epreuves > - revoir la pondération des épreuves : l'EC2 se veut multigaming/épreuves/compétences... avec les difficultés que ça a pu entraîner en 2022. On va revoir ça ! > - harmoniser les épreuves avec tous les concepteurs*
Last changed by  
Shutdown
plop
1544

Read more

Spying Challenge 2019

Dans le cadre de LeHack un challenge a été proposé pour la 3ème fois : le Spying Challenge. Il met à l'epreuve les participants sur de l'OSINT (Open Source INTelligence), du social-engineering, du tracking, du hacking, de l'intrusion physique, du contract-killing etc. Ce write-up a pour objectifs de raconter notre expérience, d'expliquer les techniques utilisées, et en somme, d'apporter de la matière aux curieux et aux expérimentés. (Logo du Spying Challenge) Le challenge se découpait en plusieurs phases: Phase 1 : une semaine de prise d'information OSINT et phishing/vishing avant l'évènement. Phase 2 : quelques heures de social-engineering, tracking et spying sur place.

9/26/2020
Write-Up du challenge Richelieu de la DGSE

7/20/2019
Read more from Shutdown
Published on HackMD