Pourquoi les « jeux » sont devenus aussi centraux dans le monde de la cybersécurité

La petite ville de Hamar, en Norvège, accueille mardi 24 octobre le Challenge européen de la cybersécurité (ECSC), sorte de coupe d’Europe de ce domaine d’activité. Et comme chaque année depuis 2018, la France participe à ces quatre jours de compétition avec sa propre équipe, composée de dix compétiteurs et quatre remplaçants sélectionnés par l’Agence nationale de la sécurité des systèmes d’information (Anssi). « L’année dernière on avait été troisième du classement. Cette année on espère faire aussi bien sinon mieux », s’enthousiasme Jérémy Jean, agent de l’Anssi en charge de coacher les candidats.

Organisée depuis 2014, l’ECSC est l’un des derniers avatars d’une discipline qui, elle, existe depuis les années 1990 dans le monde de la cybersécurité : la « capture du drapeau » (Capture the Flag, ou CTF). Popularisé notamment au sein des grands rassemblements de hackers, comme la DefCon de Las Vegas, ce type de tournoi prospère également en ligne en version dématérialisée. « Les participants vont devoir résoudre des challenges créés spécifiquement pour l’occasion, comme par exemple le piratage d’un site Web via une faille de sécurité pour en devenir administrateur, explique Cypelf, étudiant ingénieur et membre de l’équipe française participant cette année à l’ECSC. L’objectif est souvent de récupérer une chaîne de caractères, le “flag”, accessible uniquement en résolvant l’épreuve et qui montre qu’on a réussi. »

« Ce sont des épreuves qui s’inspirent de ce qu’on voit dans la réalité, même s’il y a parfois des scénarios un peu plus artificiels, résume Jérémy Jean au sujet des challenges conçus par l’Anssi dans le cadre du France Cybersecurity Challenge (FCSC), qui permet de sélectionner celles et ceux qui représentent la France à l’ECSC. Le but, c’est toujours que les participants apprennent quelque chose du challenge. » Ce type de compétition peut se dérouler en ligne ou lors d’un rassemblement physique, en équipe ou en individuel, et selon des modalités parfois différentes en fonction des thématiques abordées, comme le montre la variété des événements recensés par le site Web CTF Time. Les participants se retrouvent au gré des salons ou sur des plates-formes comme Root Me, qui offre des épreuves pour s’entraîner et une communauté pour aider les nouveaux venus dans la discipline.

« Codes communs avec l’e-sport »

Certaines entreprises ont même des équipes « officielles » à leurs couleurs, comme Ace Of Spades, constituée d’employés de l’entreprise de cybersécurité Capgemini. Pour autant, s’il s’agit bien de matchs derrière des ordinateurs, on ne peut pas vraiment parler d’e-sport. « Il y a parfois des codes communs avec l’e-sport, mais il n’y a en général rien à montrer et la discipline a assez peu d’intérêt en tant que spectacle », reconnaît ainsi Cypelf. « Et l’aspect compétitif passe souvent au second plan : la majorité des gens sont plutôt des passionnés qui vont avoir envie de partager avec d’autres équipes pour comprendre comment les autres ont résolu les épreuves. »

Il vous reste 42.96% de cet article à lire. La suite est réservée aux abonnés.