Le CTF de NorthSec : immersion au royaume des geeks
La compétition Capture The Flag (CTF) est hors de tout doute la pièce de résistance de NorthSec. Plus de 700 personnes ont participé à cette onzième édition d’un des plus grands festivals de sécurité appliquée au monde. L’objectif du concours ? Récolter le plus de drapeaux possibles à travers les nombreuses épreuves, numériques et physiques, créées par une trentaine de designers de défis aux expertises différentes.
L’essaim de participants se montre fébrile bien avant le coup d’envoi. Dans la cacophonie ambiante résonnent rires et anecdotes de compétitions passées. L’atmosphère de camaraderie se tend toutefois à l’arrivée dans les salles de jeu : cette année, la compétition s’annonce féroce.
Attablés derrière leurs écrans, les participants s’organisent. Connexion au réseau privé, installation des machines Linux… Les équipes ne sont pas toutes du même niveau, mais visiblement, novices comme experts ont hâte de mettre la main à la pâte pour résoudre les énigmes qui leur seront révélées sous peu.
« On a déjà quelques indices », m’explique un habitué de l’événement. Une cravate connectée, un kit de moulage de clé, une petite horloge blanche : les participants s’affairent à déchiffrer les éléments posés sur leurs tables, où s’éparpillent câbles de tout genre, objets technologiques non identifiés, collations récoltées à la va-vite au dépanneur du coin, ainsi qu’une bonne quantité de bouteilles de Club-Mate, la boisson énergisante fétiche de l’événement.
J’effectue un détour rapide chez l’une des rares tablées exclusivement féminines, qui rassemble des jeunes universitaires et cégépiennes du mouvement montréalais Les Filles & le code. Pour la plupart d’entre elles, il s’agit de leur premier CTF. « On est surtout ici pour l’expérience, pour le plaisir », m’expliquent-elles avec légèreté, le sourire aux lèvres.
Au bar situé au centre de la salle principale, les bénévoles s’activent : le café et la bière seront distribués gratuitement tout au long de l’événement, qui s’échelonnera sur trois jours, jusqu’à 3h du matin. L’alcool est prêt à couler à flots, mais la plupart des participants semblent l’ignorer, tant ils sont concentrés à se préparer.
Une fois la compétition lancée, les visages des participants se froncent, mais ceux des organisateurs s’illuminent. Il faut savoir que NorthSec est le fruit du travail acharné de 150 bénévoles assurant chaque année la réalisation complète de l’événement, de la location des salles au choix des conférenciers, en passant par la conception du thème et des défis de la compétition. Un travail colossal qui se reflète dans les sourires francs, mais fatigués, de ceux et celles qui seront sollicités de toutes parts pendant l’événement.
Cette année, le CTF se joue sur le thème de la dystopie corporative. Imaginez : rangées infinies de cubicules gris, salles de conférence sans fenêtres, couloirs stériles éclairés au néon… Dans le groupe Discord de la compétition, où les joueurs échangent des memes sur leur expérience, les modérateurs jouent le jeu à fond :
« Les employés sont libres de suivre leurs priorités, mais on leur rappelle gentiment que toutes les actions sont contrôlées à des fins d'évaluation des performances. »
« L'entreprise punit rapidement les tentatives de force brute. La force brute sera sanctionnée par un licenciement immédiat. »
C’est Éric Boivin, consultant en cybersécurité, qui tient à nouveau cette année le rôle de designer narratif. « Chaque équipe travaille sur des défis techniques et doit, par exemple, pirater des systèmes. Mais ceux-ci ont un rôle précis dans l’écosystème thématique. Mon but, c’est de créer une histoire autour de ces défis, de donner une couleur à l’événement ».
Il trace d’ailleurs un parallèle entre le travail de cybersécurité et le fil narratif liant les multiples défis du CTF : « En cybersécurité, on travaille toujours dans un contexte. Quand on a un mandat et qu’on doit trouver les failles dans une entreprise, on doit composer avec ses employés, ses systèmes, ses procédures… tout a un thème, au travail comme dans le jeu! »
On m’avait prévenu que plusieurs joueurs seraient assurément trop concentrés au cours de la compétition pour me partager leur expérience. Initialement, cela m’inquiète peu, mais mes va-et-vient entre les rangées de participants dans la première heure du CTF me font rapidement réaliser que leurs actions me sont totalement indéchiffrables.
« Moi aussi, quand je jette un coup d'œil aux setups des autres, je comprends fuckall », me confie un participant venu de Saint-Lin expressément pour l’occasion, et qui n’est pourtant pas à sa première compétition de hacking. « J’ai parfois l’impression d’être dans un labyrinthe et de me retrouver entre quatre murs, sans savoir où aller », relate son coéquipier. Je remarque que l’humilité est une constante chez les compétiteurs, conscients qu’il y a toujours une chance que quelqu’un, quelque part dans la salle, en connaisse plus qu’eux dans leurs domaines de prédilection.
Heureusement, Laurent Desaulniers, designer de défis depuis les débuts de NorthSec, prend le temps de m’éclairer sur la stratégie optimale à adopter :
« Dans une équipe de huit, il faut tout d’abord un chef, qui s’assure que tout le monde mange et prend des pauses, et surtout, que les coéquipiers se parlent, pour éviter les pertes de temps. Ensuite, il faut trois spécialistes : un de crypto, un de web, et un spécialiste du langage de programmation machine Assembly. Finalement, les quatre autres membres, on les appelle les “causes désespérées” – mais en vérité, ce sont ceux qui font gagner le plus de points à leur équipe. Ceux-là, ce sont des généralistes, des adeptes du prototypage, de la programmation, qui collaborent avec les spécialistes. »
Une variété de compétences au sein d’une équipe représente un avantage certain, car les défis proposés ne se limitent pas au domaine virtuel. Un peu partout dans la salle principale trônent des objets à élucider : une machine ATM garnie de « billets NorthSec » (déchiffrée la première fois sous un tonnerre de cris et d’applaudissements), une console SNES, une machine à boules de gommes... C’est surtout lors du deuxième soir que j’observe une poignée de participants – tant portés par le désir de chasser de nouveaux drapeaux que par le besoin de se dégourdir les jambes – qui scrutent avec minutie les différents items. Ces défis me rappellent qu’avant d’être une compétition de cracks d’informatique, il s’agit d’abord et avant tout d’une compétition de bidouilleurs, de bricoleurs.
Vous connaissez ce feeling, quand vous vous entêtez à travailler des heures et des heures sur une tâche, même si toutes les fibres de votre corps vous implorent de mettre un terme à ce supplice ? Mais que votre esprit, rempli d’une euphorie indescriptible, force vos doigts à pianoter furieusement sur le clavier ? C’est à peu près ce qui se passe pour tout le monde ici, alors que le soleil s’est couché il y a au moins quatre bonnes heures et que se passent les tranches de pizza, réconfortant les estomacs affamés.
L’horloge sonne désormais minuit, et quelqu’un se met abruptement à chanter à tue-tête au micro, nous réveillant de notre état de transe collectif. Je me demande s’il s’agit d’une célébration culturelle geek dont la signification m’échappe, ou si c’est la fatigue généralisée qui fait perdre la tête aux participants… peut-être un peu des deux.
Les tableaux de bord disposés un peu partout affichent les noms des équipes en tête. Au moment de mon départ, c’est l’équipe nommée Hubert Hackin’ qui détient le plus de points : 137 au total. Un chiffre hallucinant, étant donné que les drapeaux sont conçus de manière à ce que chaque point représente grosso modo une heure de travail. « Mais il arrive que certaines équipes gardent des drapeaux en poche pour la toute fin », me souligne avec malice un bénévole dans le couloir de sortie.
Peu importe l'équipe qui remportera le trophée, l'édition 2023 du CTF de NorthSec est indubitablement un succès.