CNSSIS 2022 : Dans les coulisses du CTF

Le Congrès de l’APSSIS reste toujours un moment très attendu par les acteurs de la SSI santé ! Cette grande réunion de famille n’est, après le temps travail (les conférences), jamais vécue de la même façon par ses congressistes. Il y a les raisonnables qui vont se coucher tôt, les passionnés qui aiment discuter un moment avec les copains devant leur hôtel, les fêtards qui aiment prolonger la soirée, et pour cette dixième édition, il y avait aussi les studieux, pressés de retrouver leur chambre d’hôtel et leur ordinateur pour résoudre les énigmes et marquer des points !

Devant le succès du « challenge crypto » lancé par le Docteur Michel Dubois l’an dernier, en échangeant avec Vincent Trely, nous avons pensé dès la fin du CNSSIS 2021 qu’il pourrait être intéressant de développer le concept et proposer un CTF aux congressistes pour ce dixième congrès !
Sur la route du retour, les idées ont commencé à fuser dans mon esprit, si bien qu’il aura fallu que je m’arrête quelques fois sur des aires de repos pour les noter…
L’exercice était un peu nouveau pour moi et pas si simple car il fallait essayer de trouver des challenges sur des thèmes variés, qui pouvaient être résolus pendant la durée du congrès, sans être trop faciles pour éviter qu’ils soient tous résolus dès le premier jour.
Après avoir conçu une douzaine de challenges, il me fallait trouver une plateforme pour gérer ça ! S’il avait fallu recevoir les soumissions des joueurs par courriels comme l’an passé, cela aurait été tout simplement impossible. Plusieurs plateformes existent, mais laquelle serait la plus adaptée pour le congrès ? C’est dans le numéro 118 de MISC1 que je tombe sur un retour d’expérience d’EDF sur la plateforme CTFd, l’outil a l’air de parfaitement répondre à nos besoins, il n’y a plus qu’à installer et tester ça ! Après quelques tests, il n’y a aucun doute, c’est ce qu’il nous faut ! Il ne me reste plus qu’à reprendre ma liste à la Prévert faite sur la route, complétée par quelques idées empruntées dans l’excellent livre de Pascal Lafourcade, « 25 énigmes ludiques pour s’initier à la cryptographie »2 pour arriver à la vingtaine de challenges, l’objectif que je m’étais fixé. L’organisation de ce premier CTF m’aura occupé quelques soirées prolongées et week-ends…

Le jeu a démarré comme prévu mardi 5 avril à 19H30, et avant le dîner, 8 joueurs avaient déjà beaucoup progressé ! Pour une première, j’ai été très surpris face à autant d’enthousiasme, 34 inscrits au total, dont 19 joueurs qui ont marqué des points !

Nicolas Jolivet, Responsable du Pôle CyberSécurité du SIB a laissé sa place à un jeune alternant de son équipe, adepte de CTF et membre de la Team DLS3, François Demay, hors classement car ne bénéficiant pas des mêmes conditions de jeu (en particulier au niveau du temps) que les congressistes, mais qui m’a particulièrement impressionné ! Même s’il nous a avoué lors de la remise des prix à laquelle il a participé en visio n’avoir dormi que 4 heures, il marquait ses premiers points à 20H17 le 5 avril pour terminer son vingtième et dernier challenge à 9H11 le lendemain matin, une sacrée prouesse !

Le CTF lui aura permis de découvrir un protocole réseau propre au secteur de la santé, le protocole d’imagerie médicale DICOM pour se connecter au serveur PACS du CTF et y récupérer le nom de la patiente dont une radio des poumons y était hébergée. Il a d’ailleurs rédigé d’excellents write-ups4 sur les challenges qu’il a le plus appréciés et nous a fait l’honneur de présenter celui sur le serveur d’imagerie lors de la remise des prix. À noter que le SIB est partenaire de la Team DLS, une équipe d’étudiants qui participe à de nombreuses compétitions, une belle initiative !

Sans réelle surprise connaissant son excellent niveau technique, et même si certains challenges lui ont donné un peu de fil à retordre, Gérard GASTON, RSSI du groupe LNA Santé est le seul congressiste à avoir fait carton plein (600 points) en résolvant les 20 challenges ! Chapeau bas ! Pour lui aussi, les nuits ont été courtes…

En seconde position avec 16 challenges validés et 455 points, on retrouve le jeune analyste du Micro-SOC d’Orange Cyberdefense, Pierre Lelievre, mon deuxième coup de cœur « découverte » de ce congrès avec François ! Malgré son jeune âge, il nous a tous bluffés par son aisance sur scène lors de la conférence de présentation du Micro-SOC mercredi soir, ses connaissances techniques et sa facilité à adapter son discours au public en face de lui ! J’ai adoré son anecdote sur le denier incident présenté lors de sa conférence, où une distribution Kali a été détectée sur le réseau d’un établissement de santé, qui après investigations, n’était autre que la machine d’un congressiste qui se préparait pour le CTF !

La bataille pour la troisième place a été rude ! Ils étaient 4 à se battre, les scores étaient très serrés et les joueurs n’ont pas arrêté de se dépasser à tour de rôle pendant toute la durée du congrès ! C’est finalement Michael Dufour, RSSI du CH de Soissons, qui monte sur la dernière marche du podium et affiche lui aussi un très bon niveau technique avec 13 challenges validés et un score de 395 points ! Une très jolie performance vu le temps imparti !

On retrouve au pied du podium, Pierre Taveau, RSSI du CHU de Poitiers, victime d’un souci technique lui coûtant la troisième place (il avait bien compris comment aller chercher le nom de la patiente dans le PACS et les 40 points qu’il pouvait rapporter), mais qui totalise tout de même 370 points ! Bravo !
À seulement 5 points derrière lui, on retrouve ex-aequo avec 365 points donc, deux valeureux guerriers, Matthieu Kernanet, RSSI du CH de Châteauroux et Antoine Grellier, RSSI du Groupement Hospitalier de Territoire Nord-Ouest Vexin Val d'Oise (GHT NOVO).

La compétition était d’autant plus difficile pour les joueurs car j’avais fait le choix qu’ils ne puissent pas voir les scores des autres participants et leur classement.

Ils avançaient donc à l’aveugle, avec pour seules informations, les notifications que je leur envoyais pendant le jeu !

Étonnamment pour moi, le challenge que je pensais être le plus facile (une simple recherche sur un moteur de recherche), a donné du fil à retordre, en particulier aux joueurs les plus techniques !

Ce qui a donné lieu à quelques séances de « bruteforce » sur la plateforme, puisque nous avons reçu 647 soumissions erronées contre 155 correctes !

Comme vous avez été plusieurs à me demander s’il était possible de « continuer la partie » en dehors du temps de jeu, la plateforme est à nouveau accessible, et ce jusqu’au 30 juin minuit, avec l’accès aux scores cette fois-ci pour pouvoir comparer le vôtre avec celui de nos champions !
La plateforme est également ouverte jusqu’à la date indiquée précédemment aux personnes qui n’ont pas participé au congrès : https://ctf.apssis.org
Amusez-vous bien !

Un grand merci à notre président Vincent Trely, Hélène Daspe et Marie-Valentine Bellanger de m’avoir suivi dans l’organisation de ce premier CTF santé pour le CNSSIS ! Merci à tous les joueurs pour leur participation, les échanges et les bons moments passés ensemble et merci à Auriane Lemesle pour son soutien, son aide et pour les photos !

1 https://connect.ed-diamond.com/misc/misc-118

2 https://www.dunod.com/sciences-techniques/25-enigmes-ludiques-pour-initier-cryptographie

3 https://www.linkedin.com/in/team-dls/

4 https://book.onosh.ovh/ctf/cnssis2022

Crédits photos : @DavidPiole

Partager ce document sur les réseaux

?>