Challenge Hacking Radware’s

Posted On 10 Juin 2017

Comme vous le savez maintenant, ZATAZ est partenaire du challenge de hacking ethique oganisé par Radware et Cisco. L’occasion de revenir sur cette idée. Une entreprise qui ose mettre son matériel à l’épreuve des hackers, voilà un défit qui mérite que l’on s’y penche. Explication de Jean Charles Labbat, Directeur Général Radware France.

Pourquoi un challenge pour Radware ?

Le mot ‘hacker‘ interpelle. Beaucoup de monde en parle. Des séries télés les mettent en scènes. Les clients s’en protègent mais personne ne les connait réellement. Le challenge est avant tout un moment convivial pour faire se rencontrer des contraires, à savoir des attaquants et des défenseurs. Les clients sont friands de cette démarche qui consiste à se mettre en situation réelle, et de voir comment se passent les choses en vrai.

Le challenge est multiple :
. les hackers qui sont en compétition les uns contre les autres pour gagner des prix,
. les fournisseurs de technologies qui doivent démontrer l’efficacité de leurs produits, et la qualité de leurs moyens de défense,
. les spectateurs qui doivent rester au contact, et comprendre ce qui se passe sous leurs yeux en allant rencontrer les hackers et les défenseurs.

Tout le monde devient acteur, et à la fin de la journée il y aura des gagnants et des perdants.

Faire appel aux passionnés d’informatique, étudiants, bidouilleurs, hackers, professionnels, un moyen de s’ouvrir l’esprit ?

L’objectif du challenge est aussi d’être convivial et de représenter l’écosystème réel du hacking. L’engouement pour la cyber-sécurité est extrêmement élevé en ce moment. Il ne se passe pas une semaine sans qu’une nouvelle attaque soit révélée au grand jour, qui pour détourner une élection, qui pour demander des rançons, ou tout simplement pour s’amuser. On est réellement dans un vrai champ d’innovation, notamment conduit pas les plus jeunes et les férus d’informatique. Trop souvent, le monde « Corporate », qu’il s’agisse des clients comme des fournisseurs, reste cantonné aux professionnels de l’informatique issus le plus souvent d’écoles. L’écosystème du hacking dépasse très largement ces frontières, et tenter lors d’une telle manifestation d’ouvrir à plus de monde est effectivement rafraîchissant, mais surtout nécessaire.

Vous n’avez pas peur qu’ils trouvent quelque chose ?

L’infaillibilité n’existe pas ! Sinon, nous n’aurions pas toutes ces attaques dénoncées dans la presse régulièrement. Certains événements tel que le hacker challenge, mais plus long dans la durée, font appel à des « Bug Bounty » – les nouveaux chercheurs de trésors malicieux afin d’améliorer toujours la qualité des défenses, sachant que les attaques sont toujours renouvelées. Mais l’objectif du challenge est plutôt de faire prendre conscience que les meilleures technologies, si elles ne sont pas accompagnées par un savoir d’équipes de cyber sécurité, et de protocoles automatiques de défense peuvent effectivement conduire à des tracas. La dernière attaque ‘WannaCry’ a réussi à atteindre ses cibles (et elles furent nombreuses) uniquement parce que l’antidote, qui était disponible depuis quelques semaines, n’avait pas été administrée sur les systèmes sous attaque.

Vous avez déjà organisé des challenges en Amérique du sud, des ‘hackers’ éthiques avaient réussi des infiltrations ?

Le protocole du Hackers Challenge repose sur le succès d’hackers à infiltrer les systèmes. Ils marqueront des points chaque fois qu’une infiltration sera faite et constatée par un arbitre. En fonction de la sévérité de l’infiltration, et de la complexité de l’attaque, le nombre de points marqués sera diffèrent. A la fin de l’après-midi, le hacker qui aura marqué le plus de points sera déclaré vainqueur. Le serveur sous attaque est intentionnellement rempli de failles. Les technologies qui se trouvent entre le serveur et les hackers (WAF, DDOS, FIREWALL-NG, IPS) ont pour objectif de le protéger.

Les attaques lors du Hackers Challenge seront conduites pendant trois phases, et à chacune d’elle les hackers les moins prolifiques seront éliminés
. Sécurité Maximale, où nous attendons à ce qu’aucune attaque ne passe,
. Sécurité dégradée, où des attaques minimes passeront,
. Sécurité minimaliste, où des attaques plus sévères pourront subvenir

Toute attaque réussie sera l’objet d’une explication par deux maîtres de cérémonies, hackers ‘éthiques’. Éventuellement des conseils seront prodigués pour démontrer comment l’attaque aurait pu être arrêtée avec une configuration différente. C’est un peu « Koh-Lanta », mais qui se déroule sous les yeux des spectateurs à Paris.

Trop d’entreprises sont encore sous-sécurisées soit faute de méconnaissance, soir faute d’investissement en technologie et en hommes. Cela laisse la part trop belle à tous les hackers du monde. Si l’après-midi permet d’éduquer sur des bonnes pratiques à mettre en place, le challenge sera en partie rempli.

Inscription pour venir regarder le hackers Challenge, le 20 juin à Paris : https://www.hackers-challenge.com/fr ZATAZ vous fera suivre en live ce rendez-vous sur Twitter @zataz et @damien_bancal.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.