La NSA défie les étudiants avec un concours de Codebreaking, puis les recrute

@journalduhack

La NSA organise chaque année, depuis 2013, le Codebreaker Challenge afin d’établir des liens plus étroits avec les étudiants et les professeurs, qui se concentrent sur la technologie et les questions cybernétiques. Le concours annuel encourage tous les étudiants et les diplômés à participer à un exercice pratique qui les aidera à peaufiner leurs techniques d’ingénierie inversée et d’analyse de code de bas niveau tout en travaillant à résoudre un ensemble de problèmes réalistes, mais fictifs. L’initiative de l’Agence américaine de la Sécurité nationale est devenue une compétition très attendue et le nombre de compétiteurs augmente chaque année, selon l’agence.

Mais au-delà d’un exercice pratique pour aider les étudiants et les professeurs à améliorer leur aptitude technique d’ingénierie inversée et d’analyse de code de bas niveau, Codebreaker Challenge est pour la NSA un moyen de détection de nouvelles compétences en vue de les recruter. Selon un article publié sur Federal News Network le 13 juin dernier, le concours attire plus de 330 écoles et 2 600 élèves qui se préparent chaque année depuis six ans pour relever de cyberchallenge que leur lancent les meilleurs experts en cybersécurité de l’Agence National de la Sécurité.

Selon Kathy Hutson, stratège senior pour l’industrie et l’engagement universitaire à la NSA, ce concours de décodage est devenu l’un des meilleurs moyens pour la NSA d’attirer la prochaine génération de talents au sein du gouvernement fédéral. Voici ce qu’elle a déclaré à ce propos sur Ask the CIO :

« Nous adoptons une approche à forte interaction et personnalisée pour éduquer et attirer les étudiants. Par le biais des Codebreaker Challenges, nous utilisons une approche non traditionnelle, qui enseigne également de bonnes compétences fondamentales pour la NSA ainsi que pour la nation ». « Dans notre cours d’orientation des nouveaux employés, nous avons commencé à sonder tous nos nouveaux employés sur la façon dont ils se sont intéressés à la NSA. Parmi les nouveaux employés d’un récent cours d’orientation, une femme a indiqué qu’elle était venue à la NSA par l’intermédiaire des camps GenCyber, que la NSA accueille, et que ce qui a concrétisé son intérêt était sa participation au Codebreaker Challenge », a ajouté Mme Hutson.

Chaque jour, l’Agence de sécurité nationale des Etats-Unis est confrontée à des tâches difficiles. Pour résoudre ces tâches, elle fait recours à une main-d’œuvre consacrée à la mission de protection et de défense du pays qu’elle recrute par divers moyens, dont sa compétition de Codebreaking qui consiste pour les candidats à cracker un code proposé par l’Agence.

Le concours de 2017 mettait l’accent sur un scénario fictif où la NSA vient en aide au Department of Homeland Security (DHS) sur une enquête d’intrusion dans un système d’infrastructure critique. « Pour réussir, les participants doivent effectuer une analyse de réseau afin d’affiner l’intrusion, effectuer une analyse de vulnérabilité pour identifier la manière dont les attaquants entrent dans le système et effectuer une ingénierie inverse du code malveillant qui a été trouvé dans le réseau», pouvait-on lire dans l’annonce de 2017.

Le défi de 2018, qui est encore en ligne sur le site du challenge, s’est concentré sur les ransomwares et la blockchain, et exigeait que les participants résolvent huit défis distincts, mais connexes. Les étudiants, professeurs et toute autre personne intéressée devaient travailler « sur un ensemble réaliste de problèmes centrés sur la mission de la NSA ». A ce propos, Eric Bryant, directeur technique de l’organisation d’analyse cryptographique à la NSA a expliqué :

« Nous structurons le concours de manière à ce que les tâches initiales soient plus faciles et plus accessibles pour les élèves. La plupart des étudiants n’ont pas d’expérience préalable dans des domaines tels que l’ingénierie inverse, l’analyse des vulnérabilités et l’analyse cryptographique ». « Nous structurons le problème de manière à ce qu’il y ait une progression des tâches et qu’ils travaillent vers un but ultime. Dans le cas de la plus récente compétition, ils ont essayé de débloquer le ransomware sans avoir à payer la rançon et d’aller plus loin pour récupérer tous les fonds que les victimes avaient versés et les rembourser en exploitant la logique du contrat de l’agresseur », a ajouté M. Bryant.

Selon M. Bryant, les exercices sont développés chaque année par un groupe de cyberexperts de la NSA. Les tâches à résoudre sont relatives aux domaines d’intervention de la NSA qui sont soit des cybermenaces et des vecteurs d’attaque prometteurs ou actuels. Il y a de l’engouement autour de la compétition car les professeurs l’ont intégrée à leurs cours.

Selon M. Bryant, « Il y a beaucoup d’enthousiasme et d’excitation quand je vais sur le campus. Au début de l’automne, j’ai donné une conférence technique au cours de laquelle j’ai passé en revue le défi de l’année précédente et celui de l’année prochaine. La foule semble grandir chaque année ». « Nous avons aussi vu l’émergence d’autres groupes, comme les clubs d’étudiants, qui se concentrent sur ces types de défis afin de les relever », a-t-il ajouté.

L’intérêt croissant des universités et des étudiants pour le Codebreaker Challenge

Selon l’article, plus de 330 écoles et 2 600 élèves s’intéressent à la compétition. La NSA maintient chaque année un classement par ordre de mérite des écoles qui participent. L’an dernier, plus de 100 étudiants de l’Université de l’État de l’Oregon y ont participé, et 20 étudiants ont réussi les huit épreuves, dont un étudiant de la première année de collège (une première dans le concours, selon M. Bryant). Il y a même un participant qui n’a jamais manqué de session depuis 2013.

D’après M. Bryant, il y a un étudiant en PhD qui a été impliqué dans tous les Codebreaker Challenges et est habituellement l’un des premiers à finir résoudre les tâches. En 2018 encore, il a de nouveau été le premier à finir, peu après le début de la compétition. « Nous avons eu des gens qui ont travaillé jusqu’à la fin, y compris des soumissions de la veille du jour de l’An. Même après la fin de la compétition, nous avons quitté le site et il y a des gens qui travaillent et soumettent des solutions », a-t-il ajouté.

Adam Merrill, un autre étudiant en informatique au New Mexico Institute of Mining and Technology, qui a participé au Codebreaker Challenge 2018, a dit que l’expérience qu’il avait acquise en relevant ce défi lui avait donné la confiance nécessaire pour faire de la cybersécurité l’un des principaux domaines d’étude de sa spécialité. Selon l’article, il a dit :

« J’ai déjà fait des choses semblables, comme le Codebreaker Challenge, mais pas à cette échelle. Je me suis dit que j’allais essayer et voir de quoi il s’agissait ». « C’était une courbe d’apprentissage très raide. Je suis étudiante en informatique et je sais comment faire des recherches sur des thèmes afin de les essayer », a-t-il ajouté.

Merrill a passé environ 80 heures sur trois ou quatre mois pour résoudre le challenge, et il a estimé qu’un tiers à la moitié de ce temps a été consacré à des recherches en ligne pour comprendre comment fonctionnent des choses comme la blockchain ou le grand livre numérique distribué. Merrill a dit que son objectif initial n’était pas de terminer la compétition, mais d’arriver à la tâche trois ou quatre. Mais après avoir terminé les tâches trois et quatre, il a pris une pause et a ensuite envisagé la suite qu’il a terminée après avoir rencontré et résolu plusieurs difficultés.

Selon l’article, la NSA suit les candidats qui réussissent dans le concours et leur propose des opportunités de stages ou d’embauche. « Nous tendons la main à ces étudiants pour savoir en quelle année ils sont, comment ils peuvent venir ici pour faire des stages ou les embaucher à temps plein, donc nous sommes définitivement sur ce sujet du point de vue de l’embauche et du recrutement », a dit Mme Hutson.

C’est le cas de Merrill, qui après le succès au Codebreaker Challenge, a demandé et obtenu l’acceptation dans le programme Cybersecurity Scholarship for Service de l’Agence, qui offre jusqu’à trois ans de bourses d’études en échange de travail pour le gouvernement une fois les études terminées.

Selon Bryant, le Codebreaker Challenge 2019, se concentrera probablement sur les menaces de sécurité mobile, probablement en utilisant un système d’exploitation Android, dans la mesure où le système d’exploitation pourrait faire l’objet d’une probable attaque, dans un contexte d’interdiction de son utilisation par le géant chinois Huawei.

Source : Federal News Network

Share This Article
Leave a Comment