21
mars
'19

Et pourquoi pas une vidéo ?

Publié le 21 mars 2019

Je me suis lancé un défi à la noix, en janvier: celui de réaliser une vidéo (ou une série de vidéos, qui sait) traitant de hacking au sens large, entièrement réalisée à partir de logiciels libres et de contenu libre de droit. Juste comme ça, pour sortir de ma zone de confort, parce que pourquoi pas, après tout. Je n'ai aucune intention de devenir "vidéaste" sur Youtube, ni de battre PewDiePie. Encore moins de gagner ma vie en faisant cela. Ce billet de blog retrace ainsi la genèse de ce projet, et comment j'ai réussi à faire une petite vidéo (et à quel prix).

C'est de la faute à Peertube

Début 2019, je décidais de retourner voir ce que devenait le projet Peertube initié par Framasoft dans sa volonté de dégoogliser Internet. Et j'ai été agréablement surpris: les vidéos étaient fluides, les contenus variés, et l'interface plutôt ergonomique ! Du coup, je suis tombé sur quelques vidéos qui m'ont intrigué, et de fil en aiguille j'ai reproduit ce qu'il m'arrive de temps en temps sur Youtube: je suis resté environ 2 heures à passer de vidéo en vidéo, découvrant des facettes insoupçonnées de l'Internet, du DIY et de certains vidéastes.

Et c'est à cet instant précis, à deux heures du matin devant mon écran, que je menu suis dit que ça serait intéressant de faire une série de vidéos traitant de DIY, de hacking, de coding, bref de divers sujets que je traite habituellement sur le blog, mais sur un autre format. Cela peut être plus intéressant, amener un peu plus de vie et pourquoi pas montrer plus en détail certaines réalisations là où les photos sont limitées.

Plus j'y pensais, plus l'idée me séduisait. J'avais déjà touché à des logiciels de montage vidéo comme KDEnlive, je connaissais les bases disons dans ce domaine, mais de là à faire une vraie vidéo ... Sans parler du fait que je n'aime pas me filmer et encore moins entendre ma voix (ce qui explique que j'ai horreur de regarder les vidéos de mes prestations en conférence).

Ah, et tant qu'à publier une vidéo sur une instance Peertube, autant qu'elle soit réalisée entièrement à l'aide de logiciels libres et de contenu libre de droits. Car bon, il s'agirait d'anticiper tout de même les problèmes futurs que posera l'article 13 de la directive Copyright, sait-on jamais.

Le choix des logiciels

Ayant déjà réalisé du montage vidéo sous Linux avec KDEnlive, je savais au moins une chose: ce logiciel ne fait que planter et il est laborieux de mener un projet à bien sans expérimenter un ou deux plantages bien sentis, avec perte du travail en cours à la clef. C'est bien simple, quasimment tous les tutoriaux sur KDEnlive indiquent d'abuser du CTL-S pour être sûr de ne rien perdre.

J'avais déjà cherché en 2018 un autre logiciel de montage (merci Twitter):

Et l'on m'avait aiguillé sur Blender. Quoi ? Blender ? Mais c'est pour faire des images ou animations en 3D, me disais-je naïvement. En effet, mais il intègre aussi un Video Sequence Editor, autrement dit un outil de montage assez puissant car il permet de mixer des séquences 3D générées à des prises de vues réelles par exemple comme le montre ce petit tutorial expliquant la base du masquage avec Blender:

Après quelques tests, il me fut évident que Blender pouvait faire l'affaire en ce qui concerne l'édition vidéo. Il restait ensuite à trouver un logiciel pour réaliser des animations 2D, notamment pour le pseudo-générique et les titres. Là encore l'open-source est venu à la rescousse, avec Synfig. Cet outil permet de réaliser des dessins animés, mais aussi des animations en 2D à partir d'objets vectoriels (et donc compatible SVG). Avec du recul, cette idée était complètement débile, Blender étant tout à fait capable de faire cela (et même largement plus !). J'ai appris par la suite à manipuler un peu mieux Blender pour faire ce genre d'effet, et c'est juste surpuissant.

Et enfin, j'ai opté pour Audacity pour les enregistrements de voix et LMMS pour la composition musicale. Oui, rappelez-vous, je vous ai dit que je voulais avoir du contenu libre de droits. Et quoi de plus simple que de faire soi-même sa musique ? Zone de confort, me dites-vous ? En vérité, je suis une bille en musique. Je ne prétends pas avoir l'oreille musicale, et encore moins l'oreille absolue, mais j'avoue que pour le coup c'était certainement le plus grand challenge.

(Bon par contre j'ai utilisé une image d'enfants qui elle n'est pas libre de droits, c'est mal, je l'avoue, mais je ne pouvais décemment pas mettre une photo d'un de mes minis-moi alors j'ai préféré mettre ceux des autres)

Quid du matériel ?

Je ne suis pas vidéaste, et sais pertinemment que l'on ne s'improvise pas vidéaste comme cela (quoiqu'en dise Youtube). Aussi, j'ai pu m'appuyer sur du matériel abordable pour la réalisation de cette vidéo, comme par exemple mon micro USB Bird UM1 que j'avais initialement acheté pour éviter les galères de son dans les podcasts auxquels j'ai participé (coucou NoLimitSecu), ou encore mon smartphone Huawei Mate 20 lite (avec des portes dérobées dedans) pour la prise de vue. J'ai tout de même investi dans un GorillaPod, histoire de pouvoir filmer les mains libres.

Enfin, j'ai pu réinvestir les sommes mirobolantes que j'ai gagné en faisant du Bug Bounty dans un clavier MIDI d'entrée de gamme, ce qui est quand même plus sympa pour jouer que le clavier de mon ordinateur. Prends ça, Freddy Mercury.

Clavier MIDI USB AKAI LPK25

Dirty Little Hacks, l'épisode pilote

Réaliser les vidéos m'aura pris plusieurs soirées et après-midi (sans parler des Gibi-octets de stockage que ça requiert), tandis que l'enregistrement des voice over aura été la chose la plus laborieuse que j'ai faite. Je trouve toujours le rendu pas top de ce côté là, mais c'est certainement parce que je lis un peu trop au lieu d'essayer d'expliquer naturellement. Croyez-le ou pas, j'ai eu le trac avant d'enregistrer ces séquences audio. Comme un con devant mon micro d'apprenti Youtubeur, à bégayer et bafouiller. Non, ce n'a pas été simple.

Cette première vidéo, un épisode pilote d'une série que j'ai intitulé Dirty Little Hacks, est un pseudo-tutoriel sur la réalisation d'un porte-clé imprimé en 3D à partir d'un dessin. "Pseudo-tutoriel" car je dévoile les différentes étapes sans m'attarder sur les subtilités des outils (leurs menus, ou les fonctions employées), les logiciels à employer et la progression dans la réalisation. L'idée vient d'un atelier que j'ai improvisé avec mes minis-moi lorsqu'ils ont découvert mon imprimante 3D et posé tout un tas de questions sur comment elle fonctionne et son utilité. Je leur ai alors proposé de dessiner leur porte-clé idéal et que je les transformerai en véritable porte-clé imprimés en 3D.

Ceci dit, je n'ai pas fait tout cela en 3 mois pour rien, et vous trouverez ci-dessous la vidéo finale, grâcieusement hébergée sur l'instance Peertube de Tedomum. J'ai aussi monté un repository Github sur lequel je mets sous licence Creative Commons les différents contenus que j'ai produit, dont notamment les pseudo-musiques de fond, et bien sûr les différents fichiers mentionnés dans la vidéo. Sur ce, je vous laisse juger du résultat, et n'hésitez pas à critiquer (en bien ou en mal), partager ou m'envoyer des insultes via Twitter ou mon mail.

Et la suite ?

J'avais pensé Little Dirty Hacks comme une série de courtes vidéos (pas plus de dix minutes) dans lesquelles je montre des hacks originaux, des réalisations qui n'ont rien à voir avec le monde de la sécurité mais plus liées à du hacking au sens originel, en donnant toutes les clés pour que cela puisse être reproduit.

Si l'accueil est plutôt positif, j'envisage de commettre une nouvelle vidéo et ainsi de continuer cette série, dans le cas contraire je n'insisterai pas et tirerai les leçons de cette tentative. L'échec est toujours une option. Je ne compte toutefois pas, si cette initiative plaît, me forcer à publier régulièrement des vidéos: pas de pub, pas de monétisation, mon rythme, mes règles. A la limite, peut-être mettrai-je en place un Patreon pour permettre à ceux qui apprécient ces petits projets de donner une pièce ou deux afin de financer des projets plus imposants, mais ce n'est pas l'objectif principal.

14
janv.
'19

Livre: Habemus Piratam, de Pierre Raufast

Publié le 14 janvier 2019

Chose n'est pas coutume, je vais parler d'un livre sur ce blog. Non pas que j'aie peur de ne publier que peu de billets sur cette année 2019 ou pris une résolution qui ne tiendront que quelques mois, mais parce que je suis tombé dessus quelque peu par hasard et que je l'ai apprécié. Ce livre, c'est Habemus Piratam de Pierre Raufast. C'est aussi le livre coup de coeur du CLUSIF.


Couverture de Habemus Piratam, crédit motspourmots.fr

C'est l'histoire d'un pirate

Comme le titre laisse supposer, il s'agit d'un roman traitant de religion chrétienne et de piratage, parodiant le célèbre Habemus Papam annonçant l'élection d'un Pape par un conclave. L'histoire de l'abbé Francis, néophyte en informatique, qui reçoit la confession d'un mystérieux pirate dans son église de la vallée de Chantebrie, entre diverses grenouilles de bénitier et autres pénitents. Ce mystérieux pirate raconte ses différents méfaits, avec moults détails, relatant l'usage de drones ou encore des plus viles techniques de piratage telles que de l'ingénierie sociale ou l'installation de logiciels malveillants. Pendant que d'autres crimes et délits se déroulent en parallèle dans le village, démontrant parfois l'utilité des objets connectés dans le contexte de certaines investigations, pour ne citer que cet exemple.

L'auteur fait dans ce roman un étalage de différentes attaques informatiques, du point de vue de ce mystérieux pirate, détaillant la réflexion derrières celles-ci et leur mise en oeuvre; tout en restant abordable et compréhensible pour quiconque n'étant pas expert dans le domaine. C'est un livre divertissant (je l'ai lu d'une traite !), techniquement correct (aucune attaque réellement impossible ou purement inspirée du cinéma) et qui peut amener une réflexion quant à notre usage des technologies, en particulier ces satanés mouchards d'objets connectés.

Un livre accessible aux frileux des technologies

Pierre Raufast dépeint dans ce roman le quotidien d'un abbé découvrant le piratage au travers des confessions d'un mystérieux pirate, sans pour autant connaître les bases de la sécurité informatique ou la cyberdélinquance. L'auteur en profite pour introduire toutes les notions nécessaires à la bonne compréhension des attaques, méthodes, outils mais aussi la manière de penser de ce pirate, tout en restant compréhensible pour tout un chacun. En somme, ce livre éclaire le lecteur sur les attaques actuelles ou qui peuvent se produire, tout en abordant les risques et les enjeux: données, argent virtuel, réputation, tout y passe. Faites-le lire à vos proches, et ils vous assailleront de questions: "est-ce que c'est possible de faire cela ?", "tu crois que je devrais arrêter de poster toutes mes photos sur Facebook ?", "tu connais un objet connecté qui ne t'espionne pas ?".

Habemus Piratam a le mérite de sensibiliser tout en distrayant, voire même d'éveiller la curiosité du lecteur. Les références aux outils ou techniques sont présentes et justes (on y parle de netcat, de keyloggers et autres pare-feus), les scénarios d'attaques possibles voire réalistes -- en particulier ceux impliquant les réseaux sociaux, et cela a même de quoi intimider le lecteur à certains moments du livre. Il ne serait pas étonnant que cet ouvrage amène un certain nombre de ses lecteurs à effectuer, à l'instar de l'abbé Francis, des recherches sur Internet à propos de ces outils, et découvrir des articles ou tutoriels d'utilisation de ceux-ci.

De Hervé à Damien, en passant par Cédric ou encore L'ANSSI

Une des particularités de ce livre, c'est qu'il fait référence à des personnes, personnages et évènements français connus de la sécurité informatique. Ainsi, il est fait mention d'un certain Damien rencontré lors de la nuit du hack, et de son fameux protocole (non, il ne s'agit pas de moi mais plutôt d'un autre Damien ayant un protocole d'alerte), ou encore de Cédric qui "[propose] illico de rédiger un article dans sa revue". D'autres noms ponctuent les différentes histoires, comme par exemple Ryu ou Zelda, ou encore un programme nommé "Babar" avec pour signature "Titi" (toute ressemblance avec un programme existant est purement fortuite).

La culture pop et geek s'est ainsi invitée dans le roman, par petites touches et références savamment dosées et distillées au fil de la progression de l'histoire, arrachant un sourire au lecteur par sa subtilité ou l'absurdité dans laquelle elle survient. Que cela fasse référence à des jeux vidéos, des logiciels malveillants ou encore des pseudonymes de pirates célèbres, les lecteurs avertis y trouveront aussi leur compte.

Habemus Piratam est un roman rafraîchissant, traitant de techniques et d'outils de piratage, le tout servi par une histoire prenante et des personnages attachants. C'est un livre qui se lit avec plaisir, que l'on soit expert en sécurité informatique ou ignorant, et qui peut amener à une réflexion sur notre vie numérique et ses enjeux.



Habemus Piratam, Pierre Raufast, Alma Editeur, 2018.

27
déc.
'18

European Cybersecurity Challenge 2018

Publié le 27 décembre 2018

En octobre dernier se déroulait à Londres le challenge européen de cybersécurité, réunissant 17 pays de l'Union Européenne pour un CTF assez particulier. Chaque pays est représenté par une équipe de 10 participants et un ou plusieurs entraîneurs (sans compter les membres organisateurs de chaque pays), ce qui représentait ainsi plus de 200 personnes réunies pour cette compétition. J'ai ainsi eu le privilège d'être un des entraîneurs de l'équipe représentant la France lors de ce CTF, avec Heurs et Ack. Petit retour sur cette compétition hors-norme, et débriefing à froid.

Ce billet se veut être un compte-rendu de l'évènement tel que je l'ai vécu, et n'est en aucun cas un résumé de ce qu'est l'ECSC. Je vous invite à écouter l'épisode de NoLimitSecu dédié à cet évènement, auquel j'ai participé avec Maki, Anne-Charlotte et Ack, si vous souhaitez avoir plus de détails.

"Hey virtu, ça te dirait d'être coach de l'équipe de France de CTF?"

C'est un peu en ces termes que majinbooœ, président de l'association HZV, m'a apostrophé. En effet, suite au round de qualification qu'avait organisé l'ANSSI durant la Nuit du Hack 2018 (RIP), HZV devait participer à l'organisation de l'entraînement de l'équipe sélectionnée, à raison de la mise à disposition de 2 entraîneurs. Après quelques discussions, il fut décidé que Heurs et moi-même soyons désignés comme entraîneurs, aux côtés de personnes de l'ANSSI. L'aventure était lancée.

Il s'agissait de la première participation de la France à cette compétition, et cela signifiait plusieurs choses. La première, c'est que nous n'avions absolument aucune idée du type et du niveau de compétition de l'ECSC: aucun write-up n'a été publié, assez peu de retours techniques sur le contenu des épreuves ou le type de CTF. Le seul moyen de le savoir était de participer. La seconde, c'est que l'on allait être attendus par les autres équipes, et potentiellement ciblés en tant que bleus (dans tous les sens du terme). La dernière et non des moindres, c'est qu'une pression était présente de par l'envergure de l'évènement, que j'ai d'abord pris relativement à la légère.

De mon côté, j'ai participé mais aussi organisé plusieurs CTFs (dont certains de type attaque/défense, don't blame me) depuis plusieurs années, bien que cela fait désormais un certain temps que ma participation se limite à une modeste contribution dans une équipe qui n'a vocation qu'à s'amuser et non terminer dans le peloton de tête. Et encore, quand je trouve le temps de résoudre des épreuves et que celles-ci ne nécessitent pas trop de temps. Le fait d'avoir des minis-moi n'aide pas, j'en ai bien peur. Toujours est-il que je ne m'estime pas être un pourfendeur de CTF, et j'ai eu un peu de mal intérieurement à penser que je pourrais vraiment aider l'équipe à progresser.

Rendez-vous fut ainsi pris pour septembre afin d'organiser la session d'entraînement de l'équipe de France.

Premier contact avec l'équipe

Début septembre, l'ANSSI avait organisé une session de deux jours pour que l'équipe et les entraîneurs puissent faire connaissance, et débutent comme il se doit une période d'entraînement. Je ne m'étais pas trop renseigné sur les heureux sélectionnés, et je decouvris le jour J les personnes composant cette équipe. Il y avait là 13 jeunes gens, membres de différentes équipes de CTFs françaises (Inshallhack, Aperi'kube, Hexpresso entre autres), des habitués des CTFs et de p0wnage en série, dont un millenial. Je crois que c'est à ce moment que j'ai pris conscience du temps qui a passé, et que je me suis senti vieux.

Ces deux jours ont été très instructifs et m'ont permis de faire connaissance avec l'équipe, de voir les points forts et faibles de chacun, avec toujours ce sentiment de ne pas parler le "djeun's" actuel. Une sensation de parent, pour être totalement honnête. Ce moment où tu te sens en décalage, un peu comme un père relou qui essaie de se la péter auprès de tes potes. Pour ne rien arranger, ma vie professionnelle m'a obligé à m'absenter à plusieurs moments tandis que l'équipe, composée majoritairement de pentesteurs juniors ou apprenti pentesteurs, profitait pleinement des réjouissances CTFesques prévues durant cette période. Néanmoins, un passage au bar a permis de faire plus ample connaissance autour de quelques bières, d'un diabolo menthe et de mojitos. On ne le dira jamais assez, mais rien ne vaut quelques boissons et des anecdotes de CTF ou de pentest pour souder une équipe de CTF !

Le reste de l'entraînement s'est déroulé en ligne et à distance, Ack, Heurs et moi-même distillant nos conseils et challenges maison afin de préparer au mieux l'équipe. Cette période nous a permis aussi de mieux comprendre leur fonctionnement, et de voir dans quelle mesure ces membres d'équipes habituellement concurrentes pouvaient s'entendre pour établir une organisation nouvelle et résoudre efficacement des challenges.

Départ et arrivée à Londres

Le voyage pour Londres s'est déroulé sans trop de problèmes (si ce n'est un bagage abandonné en gare du Nord), et nous arrivâmes à Londres à l'heure prévue. Le temps de prendre le Tube pour nous rendre aux Tobacco Docks, l'endroit où se déroule la compétition, et nous pûmes tester notre installation en conditions réelles. Vous vous souvenez, je mentionnais un peu plus tôt notre méconnaissance de ce challenge ? Eh bien ça n'a pas loupé: nous n'avions pas prévu de switch ni de point d'accès (faute de temps) et nous nous sommes retrouvés avec des services hébergés sur des Raspberry Pi connectés au réseau WiFi. Sans pouvoir nous connecter à ces derniers, le WiFi en place faisant de la ségrégation de clients. Merci CISCO. A côté de nous, les Allemands ont monté un joli point d'accès en mode bridge et ont câblé tous leurs laptops à ce dernier, avec bien sûr quelques Raspberry Pi pour les services de collaboration. Pourquoi n'y avions nous pas pensé...

L'équipe de France de CTF teste l'installation

Une fois les préparatifs effectués, direction l'hôtel pour poser les valises et rejoindre l'ensemble des participants et des organisateurs pour un repas de bienvenue. L'hôtel est superbe, juste en face du Tower Bridge et à deux pas de la Tour de Londres. Dommage que le temps soit si pluvieux. Nous nous retrouvons donc au repas, autour d'une tablée "France", tout au fond de la salle (en bons élèves que nous sommes). Et c'est à ce moment là que survint le premier moment awkward: les vidéos de présentation des équipes. L'organisation côté France a été informée du fait qu'il faille réaliser une vidéo de présentation de l'équipe, introduisant les participants et les entraîneurs, mais elle pensait à l'origine que ce n'était pas important. Devinez quoi ? Cela le fut. Car oui, la vidéo de présentation de chaque équipe fut projetée, et nous nous sommes rendus compte à quel point certaines d'entre elles avaient été imaginatives. Sans parler du budget ou de la réalisation elle-même. Je pense qu'il fut assez clair que notre participation était la première, mais elle a tout de même reçu un bon accueil. C'est juste que l'on a passé les jours suivants à essayer d'expliquer le pourquoi des avatars présents sur notre vidéo.

Les avatars de l'équipe de France (une partie du moins)

Une fois le repas terminé, j'organisais une petite session de rappel sur les attaques et exploitations hardware, car ce fut un des thèmes annoncés par les organisateurs de la compétition. L'organisation n'a eu de cesse de dire que tout ce dont on aurait besoin serait mis à disposition, j'en profitais pour faire un dernier point avec l'équipe sur les outils et logiciels requis. Puis ce fut l'heure d'aller dormir en vue de la compétition du lendemain.

Deux jours de compétition

En tant qu'entraîneurs, Ack et moi-même avions seulement le droit de discuter avec le capitaine de l'équipe, Maki, pour faire le point et les guider en fonction des tâches à réaliser. Pour le reste, nous étions relégués dans une salle annexe, sans vue directe sur le score ni sur l'équipe. Nous n'avions évidemment pas accès à la plateforme du CTF, et donc aucun moyen de surveiller l'évolution du classement et du score des différentes équipes en direct. Cela fut résolu assez rapidement à l'aide d'un peu de scripting Python, le score fourni par le site web de l'évènement étant synchronisé sur les scores actuels des équipes. Nous ne disposions pas des informations concernant la validation des challenges ni l'historique, mais c'était déjà mieux que rien. Nous disposions par ailleurs de Red Bull à volonté (ce qui n'était définitivement pas une bonne chose), d'un accès Internet, de prises de courant et d'une salle (trop) chauffée agrémentée de (quelques) confortables fauteuils et canapés. Le minimum vital pour survivre.

La première journée s'est clôturée avec un score honorable pour notre équipe, et une troisième position plutôt encourageante. Il y a eu beaucoup de mouvement durant la dernière heure, plusieurs équipes ayant validé de nombreuses épreuves avant la clôture de la journée. Car oui, chaque journée avait son lot d'épreuves uniques, le CTF ne se déroulant pas la nuit. Après un repas bien mérité, ce fut l'heure d'aller se reposer afin de se préparer pour la seconde journée de compétition.

Cette seconde journée fut rude pour l'équipe et nous-même entraîneurs, pour plusieurs raisons. La première raison est que le matériel mis à disposition pour un challenge hardware basique était limité à un seul adaptateur FTDI. L'équipe a galéré sur ce qui se présentait comme une épreuve facile, et nous avons perdu du temps précieux à casser un identifiant et un mot de passe par défaut relativement bidons. L'équipe italienne quant à elle disposait d'un programmateur adéquat (dixit leur entraîneur), et a pu extraire le firmware et chercher les chaînes de caractères. 5 minutes montre en main. C'est à ce moment là que je m'en suis voulu d'avoir fait confiance aux organisateurs, sur le fait que "tout le nécessaire serait fourni". En ce qui concerne les épreuves hardware, il valait mieux venir équipé. On saura pour la prochaine fois. La seconde raison est propre à la plateforme de CTF, avec le souci bien connu du format de flag. Il se trouve que certaines (beaucoup ?) d'épreuves ne suivaient aucune règle quant à la structure des flags. Cela pouvait être un simple texte, ou bien une list d'adresses IP séparées par des virgules par exemple. Un autre flag devait être soumis sous forme de date/heure, mais le format donné en exemple (01/01/1970) ne permettait pas de déduire s'il s'agissait d'un format MM/DD/YYYY ou DD/MM/YYYY. Bref, il fallut se débrouiller et s'en remettre au guessing et à un poil de bruteforce pour se tirer de ces situations.

Il restait toutefois une épreuve particulière à passer: le bandstand. Aucune information n'a fuité sur cette épreuve (ou plutôt cette série d'épreuves), et nous stressions un peu à l'idée de devoir l'affronter. Une fois une partie des membres de l'équipe entrés, nous (entraîneurs) n'avions aucune information et l'impossibilité de communiquer avec eux. Cette épreuve était cruciale car elle permettait de remporter un nombre non-négligeable de points, dont nous avions besoin pour remonter dans le classement. Le stress était palpable, en particulier le mien qui a été augmenté par un certain nombre de Red Bulls que j'avais consommé durant les heures précédentes. En guise d'épreuve, il s'agissait d'un escape game cyberpunk plutôt cool d'après l'équipe, qui l'a terminé haut la main en battant le record de temps et du nombre d'épreuves terminées ! Nous nous sommes alors senti soulagés, et l'équipe a pris les devants de la compétition en remontant à la première place. Je dois dire que ce fut un soulagement, avec l'angoisse juste après de savoir si l'équipe allait réussir à maintenir cette position.

Plusieurs fois les allemands et les anglais ont chamboulé le classement de tête, mais notre équipe arrivait fièrement à contrecarrer cela et revenir en tête, le tout se jouant à quelques milliers de points (ce qui était peu vu les scores atteints à ce moment de la compétition). Pour au final se faire coiffer au poteau par l'équipe allemande, qui a validé à quelques minutes de la fin une épreuve lui donnant la victoire. Le match fut au final très serré, et la tension lors de la dernière demi-heure atroce, les deux équipes étant relativement proche au classement mais aussi physiquement: les allemands occupaient la tablée d'à côté. Cloture du score, pas d'annonce des résultats. Angoisse. Heureusement, le site de l'évènement affichait les derniers scores (vous vous souvenez, la synchronisation ;) et nous avons pu avoir le classement final: la France en seconde position. L'équipe était déçue de s'être fait déchoir de la première place à si peu de temps de la fin de la compétition, mais nous en avons profité pour débriefer avec les allemands et faire plus ample connaissance.

L'après-compétition

l'annonce du classement final a été faite durant la soirée, dans un bar roof-top où l'ensemble des participants et des entraîneurs ont pu se remettre de leurs émotions (et les équipes enchaîner sur un concours de cul-sec avec des représentants de chaque pays, on s'amuse comme on peut). L'Allemagne a ainsi fini en première position, suivie de la France et du Royaume-Uni.

Le lendemain se déroulait la cérémonie de remise des prix, organisée sur un bateau vogant sur la Tamise, où notre équipe s'est vue remettre un trophée et un prix par participant. Nous avons aussi pris la photo de l'équipe, et avons pu profiter de cette ballade pour admirer London by night. Pour enchaîner avec le CTF de Hack.lu une fois rentré à l'hôtel. Je me suis acharné sur une épreuve de stéganographie qui s'est révélée être infaisable (comme nous l'avait indiqué un des membres de l'équipe allemande proche de FluxFingers), mais que voulez-vous, j'avais trouvé un chunk bizarre dans un fichier ZIP et était persuadé d'être sur une piste (merci à Ange Albertini pour ses infos préciseuses sur les formats de fichiers divers et variés, c'est toujours d'un grand secours).

Remise des prix (crédits: ANSSI)

Puis taxi, Eurostar, Paris, et le retour au boulot. Cette parenthèse londonienne s'est terminée aussi vite qu'elle a commencée, mais j'en garde un bon souvenir. J'ai rencontré des types futés, qui ont été capables de s'entendre et de collaborer au sein d'une équipe soudée, capables de poncer des challenges et de persévérer, de représenter la France durant cette compétition et de terminer à la seconde place du podium alors que c'était notre première participation. A ceux-là, je leur tire mon chapeau. En tant qu'entraîneur, je n'ai pas senti que ma présence sur place ait été d'une quelconque utilité quant à la résolution technique des épreuves (pour ma part j'ai souvent servi de canard lors de duck debugging), mais j'ai le sentiment d'avoir été utile quand à la préparation de l'équipe. Le rôle d'entraîneur dans le contexte de cette compétition consiste à travailler en amont, et les dés sont quasimment jetés au moment où se déroule la compétition. L'équipe fait le reste, et elle l'a très bien fait.

On remet ça en 2019 ?



Les contenus disponibles sur ce blog sont publiés sous licence Creative Commons BY-NC-SA.
Vous pouvez réutiliser tout ou partie de ces contenus à condition de citer l'auteur et l'origine, vous ne pouvez en faire une utilisation commerciale, et enfin vous devez partager tout travail ou œuvre dérivée sous les mêmes conditions — c'est-à-dire avec la même licence d'utilisation Creative Commons.