Hackers Challenge

Challenge Hacking Radware’s

Comme vous le savez maintenant, ZATAZ est partenaire du challenge de hacking ethique oganisé par Radware et Cisco. L’occasion de revenir sur cette idée. Une entreprise qui ose mettre son matériel à l’épreuve des hackers, voilà un défit qui mérite que l’on s’y penche. Explication de Jean Charles Labbat, Directeur Général Radware France.

Pourquoi un challenge pour Radware ?

Le mot ‘hacker‘ interpelle. Beaucoup de monde en parle. Des séries télés les mettent en scènes. Les clients s’en protègent mais personne ne les connait réellement. Le challenge est avant tout un moment convivial pour faire se rencontrer des contraires, à savoir des attaquants et des défenseurs. Les clients sont friands de cette démarche qui consiste à se mettre en situation réelle, et de voir comment se passent les choses en vrai.

Le challenge est multiple :
. les hackers qui sont en compétition les uns contre les autres pour gagner des prix,
. les fournisseurs de technologies qui doivent démontrer l’efficacité de leurs produits, et la qualité de leurs moyens de défense,
. les spectateurs qui doivent rester au contact, et comprendre ce qui se passe sous leurs yeux en allant rencontrer les hackers et les défenseurs.

Tout le monde devient acteur, et à la fin de la journée il y aura des gagnants et des perdants.

Faire appel aux passionnés d’informatique, étudiants, bidouilleurs, hackers, professionnels, un moyen de s’ouvrir l’esprit ?

L’objectif du challenge est aussi d’être convivial et de repr��senter l’écosystème réel du hacking. L’engouement pour la cyber-sécurité est extrêmement élevé en ce moment. Il ne se passe pas une semaine sans qu’une nouvelle attaque soit révélée au grand jour, qui pour détourner une élection, qui pour demander des rançons, ou tout simplement pour s’amuser. On est réellement dans un vrai champ d’innovation, notamment conduit pas les plus jeunes et les férus d’informatique. Trop souvent, le monde « Corporate », qu’il s’agisse des clients comme des fournisseurs, reste cantonné aux professionnels de l’informatique issus le plus souvent d’écoles. L’écosystème du hacking dépasse très largement ces frontières, et tenter lors d’une telle manifestation d’ouvrir à plus de monde est effectivement rafraîchissant, mais surtout nécessaire.

Vous n’avez pas peur qu’ils trouvent quelque chose ?

L’infaillibilité n’existe pas ! Sinon, nous n’aurions pas toutes ces attaques dénoncées dans la presse régulièrement. Certains événements tel que le hacker challenge, mais plus long dans la durée, font appel à des « Bug Bounty » – les nouveaux chercheurs de trésors malicieux afin d’améliorer toujours la qualité des défenses, sachant que les attaques sont toujours renouvelées. Mais l’objectif du challenge est plutôt de faire prendre conscience que les meilleures technologies, si elles ne sont pas accompagnées par un savoir d’équipes de cyber sécurité, et de protocoles automatiques de défense peuvent effectivement conduire à des tracas. La dernière attaque ‘WannaCry’ a réussi à atteindre ses cibles (et elles furent nombreuses) uniquement parce que l’antidote, qui était disponible depuis quelques semaines, n’avait pas été administrée sur les systèmes sous attaque.

Vous avez déjà organisé des challenges en Amérique du sud, des ‘hackers’ éthiques avaient réussi des infiltrations ?

Le protocole du Hackers Challenge repose sur le succès d’hackers à infiltrer les systèmes. Ils marqueront des points chaque fois qu’une infiltration sera faite et constatée par un arbitre. En fonction de la sévérité de l’infiltration, et de la complexité de l’attaque, le nombre de points marqués sera diffèrent. A la fin de l’après-midi, le hacker qui aura marqué le plus de points sera déclaré vainqueur. Le serveur sous attaque est intentionnellement rempli de failles. Les technologies qui se trouvent entre le serveur et les hackers (WAF, DDOS, FIREWALL-NG, IPS) ont pour objectif de le protéger.

Les attaques lors du Hackers Challenge seront conduites pendant trois phases, et à chacune d’elle les hackers les moins prolifiques seront éliminés
. Sécurité Maximale, où nous attendons à ce qu’aucune attaque ne passe,
. Sécurité dégradée, où des attaques minimes passeront,
. Sécurité minimaliste, où des attaques plus sévères pourront subvenir

Toute attaque réussie sera l’objet d’une explication par deux maîtres de cérémonies, hackers ‘éthiques’. Éventuellement des conseils seront prodigués pour démontrer comment l’attaque aurait pu être arrêtée avec une configuration différente. C’est un peu « Koh-Lanta », mais qui se déroule sous les yeux des spectateurs à Paris.

Trop d’entreprises sont encore sous-sécurisées soit faute de méconnaissance, soir faute d’investissement en technologie et en hommes. Cela laisse la part trop belle à tous les hackers du monde. Si l’après-midi permet d’éduquer sur des bonnes pratiques à mettre en place, le challenge sera en partie rempli.

Inscription pour venir regarder le hackers Challenge, le 20 juin à Paris  : https://www.hackers-challenge.com/fr ZATAZ vous fera suivre en live ce rendez-vous sur Twitter @zataz et @damien_bancal.

Poster un commentaire