Symposium sur la sécurité des technologies de l'information et des communications

Conférence francophone sur le thème de la sécurité de l'information.
Elle a eu lieu à Rennes du 9 au 11 juin 2010.

Challenge 2010

Organisation

Le défi de l'édition 2010 du SSTIC est organisé par l'agence nationale de la sécurité des systèmes d'information.

L'ANSSI a été créée par le décret n° 2009-834 du 7 juillet 2009 sous la forme d'un service à compétence nationale. Elle est rattachée au secrétaire général de la défense et de la sécurité nationale. L'agence assure la mission d'autorité nationale en matière de sécurité des systèmes d'information. À ce titre elle est chargée de proposer les règles à appliquer pour la protection des systèmes d'information de l'État et de vérifier l'application des mesures adoptées. Dans le domaine de la défense informatique, elle assure un service de veille, de détection, d'alerte et de réaction aux attaques informatiques, notamment sur les réseaux de l'État.

Présentation

Le défi consiste à analyser la copie intégrale de la mémoire physique d'un mobile utilisant le système d'exploitation Android.

L'objectif est d'y retrouver une adresse e-mail (...@sstic.org).

Pour participer au concours, il faut, une fois cette adresse trouvée :

  1. envoyer aussitôt un courrier électronique à cette adresse (pour le classement rapidité) ;
  2. PUIS envoyer dans les dix jours (à partir de la date de réception du message précédent par le serveur mail du SSTIC) une réponse qui décrit la démarche suivie (pour le classement qualité).

Le contenu de la mémoire physique est disponible ici : http://www.sstic.org/media/SSTIC2010/concours_sstic_2010

Empreinte SHA-256 : 

78c9ab57cdb8ba1eb7fde9a1d165fe86a6789320b63fb079f6ad8cd8dbebe037  concours_sstic_2010

Lots

Cette année, deux classements seront établis, selon :

  1. la rapidité de résolution ;
  2. la qualité de la réponse.

Ainsi, même sans être dans les plus rapides, il est possible de gagner un lot en rédigeant une réponse claire, complète et détaillée.

Trois lots seront attribués pour chacun des deux classements :

De plus, la personne la mieux placée dans le classement qualité assistant au SSTIC aura l'opportunité de présenter sa solution lors de la conférence.

Classements

Rapidité

Position Date de validation Date de la solution Nom Solution
X. 2010/04/25 23h13 2010/05/03 17h10 Gabriel Campana et Jean-Baptiste Bédrune campana_bedrune.pdf
1. 2010/04/30 09h41 2010/05/09 02h58 Philippe Biondi biondi.pdf
2. 2010/05/01 14h23 2010/05/11 02h42 Florent Marceau marceau.pdf
3. 2010/05/04 13h18 2010/05/13 13h50 Jean Sigwald sigwald.pdf
4. 2010/05/05 14h40 2010/05/15 11h55 Nicolas Ruff ruff.pdf
5. 2010/05/07 15h23 2010/05/17 14h05 Arnaud Ebalard ebalard.pdf, English version
X. 2010/05/14 12h06 2010/05/20 17h57 Stéphane Duverger (hors concours) duverger.pdf
X. 2010/05/27 21h11 2010/06/03 15h11 Frédéric Guihéry (hors délais) cr_challenge_sstic2010_guihery.pdf

Le challenge est maintenant terminé !

Quelques autres solutions partielles sur Internet :

  1. Utilisation des inodes
  2. http://pentester.fr/blog/index.php?po.../Challenge-SSTIC-2010-in-a-nutshell

Qualité

Position Nom
1. Arnaud Ebalard
2. Jean Sigwald
3. Nicolas Ruff

Règlement

  1. Le concours est ouvert à tous, à l'exception des employés et stagiaires de l'ANSSI (du 1er janvier au 11 juin 2010) et des membres des comités d'organisation et de programme de SSTIC 2010.
  2. Pour gagner, les participants doivent trouver une adresse (...@sstic.org) et envoyer un courrier électronique à cette adresse, puis envoyer une solution dans les dix jours.
  3. Cette réponse devra être rédigée en français et aussi détaillée que possible. Elle précisera les problématiques techniques du défi ainsi que la démarche et les outils utilisés pour les résoudre.
  4. Les réponses seront évaluées par un jury constitué de membres de l'ANSSI et du comité d'organisation du SSTIC.
  5. La date de clôture du concours, c'est-à-dire la date limite de réception du premier courrier de validation, est le mercredi 26 mai 2010 à 23h59:59 (UTC+2).
  6. Un même participant peut gagner plusieurs lots, un par classement.
  7. Les participations sont individuelles, le concours n'est pas ouvert aux équipes.
  8. En prenant part au concours, les participants donnent tacitement leur accord pour la publication de leur réponse sur le site du SSTIC, associée à leur nom ou pseudonyme.
  9. Pour la remise des lots, les gagnants devront fournir leur identité à l'association STIC.
  10. Le classement n'incluera que les gagnants.
  11. Si le nombre de réponses valides est inférieur à trois, le concours pourra potentiellement être prolongé.

Rappels

Il est rappelé que l'article L122-6-1 du code de la propriété intellectuelle donne à l'utilisateur de logiciel le droit d'observation ou d'analyse : « la personne ayant le droit d'utiliser le logiciel peut, sans l'autorisation de l'auteur, observer, étudier ou tester le fonctionnement de ce logiciel afin de déterminer les idées et les principes qui sont à la base de n'importe quel élément du logiciel lorsqu'elle effectue toute opération de chargement, d'affichage, d'exécution, de transmission ou de stockage du logiciel qu'elle est en droit d'effectuer ».

Toutefois, cette disposition législative reste une exception au principe selon lequel le droit d'exploitation reste acquis à l'auteur, ce dernier restant libre d'en consentir tout ou partie à des tiers.

L'ANSSI autorise expressément les participants à analyser (reverser) le code développé pour le concours.

Contact

Pour toute question, merci de contacter challenge2010@sstic.org.