Qu’est-ce que le Spying Challenge ?
Le Spying Challenge est une compétition d’OSINT, de social engineering et de sécurité physique fondée en 2016 par trois amis : Mélik Lemariey, Sylvain Hajri et Christophe Baland. Ce concours fait intervenir un certain nombre d’équipes de trois ou quatre personnes dans un contexte créé de toute pièce pour les besoins de la mission.
Il s’articule autour de trois phases : OSINT et ingénierie sociale, filature et intrusion physique. Plusieurs défis sont proposés aux compétiteurs, qui s’affrontent entre eux dans le but d’être sélectionnés pour l’étape suivante. À la fin de chaque phase, les participants envoient un rapport détaillé des informations récupérées et des actions menées. Les organisateurs se basent alors sur ces rapports pour définir un classement des équipes.
Le déroulement
Les trois phases peuvent se résumer comme suit :
OSINT et l’ingénierie sociale
La première phase se concentre sur les aspects OSINT et hacking. Les participants doivent récupérer un certain nombre d’informations sur les cibles depuis les sources ouvertes de l’Internet mondial. Fouiller, découvrir, comprendre : il faut connaître la vie des cibles de fond en comble. Tous les moyens sont bons pour récolter de l’information : vishing, spear phishing, etc.
Filature
La deuxième phase du Spying Challenge, qui se déroule sur place, ne concerne que les équipes sélectionnées. Nous parlons donc ici de l’élite, des meilleurs parmi les meilleurs.
Lors de cette deuxième phase, il faut observer et repérer, prendre des notes, photographier et peut-être même… subtiliser le bien d’autrui. Il faut également mettre en pratique ses compétences en intrusion physique : crochetage, infiltration, etc.
Lors des interactions avec les cibles, il est indispensable d’user de son charisme et de ses talents de communication. Séduction, menaces, les techniques sont multiples.
Intrusion physique
Les équipes les plus compétentes sur la phase de filature ont accès à la dernière épreuve : l’intrusion physique. Elle mobilise de nombreuses compétences : crochetage de serrure, hacking matériel et logiciel, RFID, fouille… C’est l’épreuve finale réservée uniquement à la crème des agents.
Ces épreuves durent toute la journée, et l’équipe gagnante remporte un lot, mais se couvre surtout de gloire pour avoir été la meilleure des inscrites.
Pourquoi le Spying Challenge ?
À travers cette compétition, les organisateurs cherchent humblement, en plus de permettre aux équipes de s’affronter sur des épreuves différentes des classiques CTF de sécurité informatique, à sensibiliser sur les traces laissées sur Internet et les moyens de les retrouver, sur les attaques de social engineering dans un contexte d’intelligence économique et sur les questions de sécurité physique trop souvent négligées par les entreprises. Le Spying Challenge permet également de retranscrire ce que vivent les consultants en audit de type « red team ».