Le tout premier concours de hacking à dimension régionale a commencé en Afrique de l’Ouest. Après quatre éditions s’arrêtant aux frontières du Bénin, la nouvelle édition du Hackerlab, dont la phase de qualification a commencé le 1er août, s’ouvre aux ressortissants des quinze pays de la Cédéao et de ceux de la Mauritanie. Un moyen pour l’Agence béninoise de cybersécurité (Anssi), organisatrice de cette compétition « Capture the flag » d’« envoyer un message aux autres continents qu’il y a des cyber-talents en Afrique », s’enthousiasme Clément Domingo (ou SaxX), hacker franco-sénégalais du collectif Hexpresso, qui est venu prêter main forte pour organiser l’événement.
Teknolojia : Pourquoi cette édition du Hackerlab est-elle si spéciale ?
SaxX : Il s’agit de la cinquième édition, mais les quatre premières étaient exclusivement adressées aux ressortissants béninois. Cette année, Ouanilo Medegan Fagla, DG de l’Agence nationale de sécurité des systèmes d’information (Anssi) du Bénin, qui organise ce concours, a eu l’idée de l’ouvrir aux pays de la Communauté économique des États de l’Afrique de l’Ouest (Cédéao), ainsi qu’à la Mauritanie.
Il en a discuté avec les autres agences de cybersécurité de la région, la Cédéao elle-même, les membres du projet « Organised Crime: West African response to Cybersecurity and fight against Cybercrime » (OCWAR-C ) et Expertise France [une initiative de l’Agence française pour le développement, ndlr], qui finance en partie l’événement.
Un tel concours de cybersécurité, de type « Capture the Flag » (CTF), avec une dimension régionale, ce sera une vraie première en Afrique. Généralement, ces initiatives sont nationales, comme le CTF qui se déroule à Dakar depuis trois ans, lors des Security Days, ou celui du Cyber Africa Forum, à Abidjan, deux compétitions que j’organise avec d’autres, ou encore ceux qui ont lieu au Kenya ou au Nigeria. Là, nous aurons un vrai CTF régional, à l’image de celui qui est organisé lors de la European Cyber Week. L’idée est aussi d’envoyer un vrai message aux autres continents qu’il y a des cyber-talents en Afrique. Et peut-être même d’inspirer d’autres régions africaines, comme les pays de la Cemac, en Afrique centrale.
Qui peut participer à ce Hackerlab ? Et qu’est-ce qui les attend ?
Tout ressortissant des seize pays concernés [les quinze pays de la Cédéao et la Mauritanie, ndlr], de 18 à 40 ans [et non pas 35 ans comme l’indique le site, ndlr] peut participer. Pour ce faire, il doit constituer une équipe de quatre personnes.
La phase de qualification se déroule en ligne, du 1er au 31 août. Nous avons fait en sorte que tous les participants, qu’ils travaillent, soient en vacances, aient une vie de famille ou non, puissent participer et aient les mêmes chances. Nous avons préparé un peu plus d’une centaine de challenges, dans des domaines classiques de la cybersécurité (reverse engineering, chiffrement web, applications mobiles, analyse de flux…) mais aussi des domaines plus émergents, comme le web3.
Une grande partie d’entre eux a été dévoilée dès le départ afin que les candidats aillent à leur rythme. Néanmoins, il faudra en débloquer certains pour avoir accès à d’autres, de manière à ce que ceux qui se sont donnés plus de mal puissent prendre de l’avance et que personne ne choisissent les épreuves qu’il souhaite et en délaisse d’autres.
Interagissez-vous avec les candidats ?
Oui, et beaucoup ! Nous avons mis en place des chaînes Discord, notamment. Le concours est entièrement en anglais, mais nous pouvons traduire certaines épreuves pour eux qui ne sont pas à l’aise avec cette langue. En fonction de leur avancement, nous pourrons aussi donner des indices, débloquer des épreuves, en rajouter, ré-hausser ou rabaisser le niveau. C’est totalement modulable.
J’ai voulu que le niveau de cette phase de qualification soit moyen pour donner sa chance à tout le monde. Quand j’ai annoncé le lancement du Hackerlab sur Twitter, il y a beaucoup de gens qui m’ont demandé s’ils avaient le niveau pour participer. Bien sûr, ils l’ont ! Et j’encourage notamment les jeunes de pays moins bien représentés, comme le Cap-Vert ou la Sierra Leone, à participer.
Les équipes qualifiées pour la phase finale, qui aura lieu du 10 au 12 octobre à Cotonou, au Bénin, seront décidées au plus tard le 15 septembre. Normalement, nous choisirons la première équipe de chaque pays, et tous les participants seront accueillis tous frais payés. Et on leur prépare une surprise pour la phase finale…
Pouvez-vous nous en dire plus sur cette surprise ?
Les candidats ne le savent même pas, mais pour la finale, nous allons organiser un speed run. Si vous avez vu le film The Social Network, consacré à la création de Facebook, vous vous souvenez peut-être de la scène où les jeunes hackers s’affrontent et où plus ils sont lents, plus ils doivent boire des shots d’alcool.
Pour le speed run du Hackerlab, il n’y aura pas d’alcool mais ce sera similaire. Chaque équipe devra envoyer son meilleur élément, qui affrontera les représentants des autres équipes, dans un ring, avec un écran géant qui retransmettra l’épreuve en grand pour le public et des animations visuelles et sonores. Il s’agira d’épreuves hyper simples mais qui devront être réalisées très rapidement. Quand quelqu’un se trompera, il y aura un gag sonore.
Ce type de format a trois intérêts. D’abord, de rendre l’événement attractif et interactif pour le public, et notamment les entreprises qui seront présentes et qui seront potentiellement intéressées pour recruter ces talents. Nous souhaitons changer l’image peu engageante du travail de hacker. Plus important encore, nous voulons montrer qu’en cybersécurité, il est fondamental, avant toute chose, de connaître les bases. Je me rends compte qu’aujourd’hui, certains hackers maîtrisent des outils spécifiques avec brio, mais sont perdus dès qu’ils sont confrontés à un environnement basique, où ils doivent se débrouiller sans outils. Le troisième objectif est de les mettre dans un état de stress et de tester leur concentration.