DG'hAck 2022

WriteUp

Voici quelques WriteUp relatifs à la session 2022 du DG hAck (merci aux auteurs), bonne lecture à tous et à l'année prochaine !


Contexte

Le challenge DG’hAcK est un challenge cybersécurité organisé par la Direction Générale de l’Armement du Ministère des Armées. Cette édition 2022 est ouverte aux étudiants et aux professionnels du 09 novembre à 7h au 24 novembre 2022 à 18h sur le site https://www.dghack.fr.

Les comptes utilisateurs des précédentes éditions sont toujours fonctionnels. Veuillez utiliser le formulaire de réinitialisation de mot de passe en cas de perte de celui-ci https://www.dghack.fr/resetting/request.

S’ils le souhaitent et s’ils remplissent certaines conditions*, les joueurs les mieux classés se verront offrir un entretien de sélection pour un stage de fin d’étude ou un emploi en CDI à DGA Maîtrise de l’information Bruz, sans passer par une pré-sélection sur épreuve technique.

Retrouvez les stages et postes ouverts en cybersécurité à DGA MI sur notre site : https://www.defense.gouv.fr/dga/recrutement2/recrutement-cyberdefense

* Les candidats retenus pour les postes et les stages nécessitant d'accéder à des informations relevant du secret de la défense nationale, feront l'objet d'une procédure d’habilitation, au niveau Secret Défense, conformément aux dispositions des articles R.2311-1 et suivants du Code de la défense et de l’IGI 1300/SGDSN/PSE du 30 novembre 2011.

Discord

Si vous rencontrez un problème, vous pouvez nous contacter sur le discord dédié à l'évènement : https://discord.gg/HRYhEaCnXD...

Contexte

Le challenge DG’hAcK est un challenge cybersécurité organisé par la Direction Générale de l’Armement du Ministère des Armées. Cette édition 2022 est ouverte aux étudiants et aux professionnels du 09 novembre à 7h au 24 novembre 2022 à 18h sur le site https://www.dghack.fr.

Les comptes utilisateurs des précédentes éditions sont toujours fonctionnels. Veuillez utiliser le formulaire de réinitialisation de mot de passe en cas de perte de celui-ci https://www.dghack.fr/resetting/request.

S’ils le souhaitent et s’ils remplissent certaines conditions*, les joueurs les mieux classés se verront offrir un entretien de sélection pour un stage de fin d’étude ou un emploi en CDI à DGA Maîtrise de l’information Bruz, sans passer par une pré-sélection sur épreuve technique.

Retrouvez les stages et postes ouverts en cybersécurité à DGA MI sur notre site : https://www.defense.gouv.fr/dga/recrutement2/recrutement-cyberdefense

* Les candidats retenus pour les postes et les stages nécessitant d'accéder à des informations relevant du secret de la défense nationale, feront l'objet d'une procédure d’habilitation, au niveau Secret Défense, conformément aux dispositions des articles R.2311-1 et suivants du Code de la défense et de l’IGI 1300/SGDSN/PSE du 30 novembre 2011.

Discord

Si vous rencontrez un problème, vous pouvez nous contacter sur le discord dédié à l'évènement : https://discord.gg/HRYhEaCnXD


Principes

Au bas de cette page, vous avez accès à une liste d'épreuves individuelles. Les épreuves sont classées en catégories et leur résolution est récompensée par un nombre de points pré-déterminé.

Pour chaque épreuve, l'objectif précis peut être précisé dans la description ou bien laissé à découvrir au participant. Les épreuves sont accessibles soit sous forme de service, soit sous forme de pièce-jointe et de fichiers à analyser.

Lorsque la solution à l'épreuve est découverte, un flag est présenté au participant sous forme d'une chaîne reconnaissable. Le flag doit être validé dans la fiche de l'épreuve pour être échangé contre des points. Les participants sont classés dans l'ordre décroissant de points acquis. En cas d'égalité, les participants sont classés dans l'ordre croissant de dernière validation.


Règlement

Lors du jeu, il est obligatoire de :

  • valider les flags que vous découvrez pour obtenir les points ;
  • respecter les autres participants, quel que soit leur niveau ;
  • signaler tout problème technique ou toute vulnérabilité que vous découvrez en dehors de la compétition elle-même à l'adresse dev@sysdream.com.

Il est par ailleurs interdit de :

  • attaquer la plateforme de jeu ou tout système qui n'est pas explicitement identifié comme cible ;
  • utiliser les systèmes éventuellement compromis pour toute autre propos que la compétition ;
  • partager les flags découverts avec d'autres participants ;

Législation

Il est rappelé aux participants que cet évènement de CTF auquel ils participent, repose sur des sites, applications, réseaux, systèmes d’information (sans que cette liste soit exhaustive) qui sont simulés sur la plateforme MALICE dans un objectif de cyber entraînement (compétition ou formation en cybersécurité).

Il est formellement interdit de faire usage des techniques mises en œuvre ou apprises lors de cet évènement pour accéder ou se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données à l’extérieur de la plateforme MALICE. Cela constitue une infraction pénale punie notamment de cinq (5) ans d’emprisonnement et d’amendes pouvant atteindre 150 000€. Les peines sont augmentées à sept (7) ans d'emprisonnement et à 300 000 € d'amende, dès lors que celui-ci porte atteinte à un système de traitement automatisé de données à caractère personnel mis en œuvre par l'État (articles 323-1 et 323-2 du Code Pénal).

Il est également rappelé que le fait sans motif légitime, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 du Code Pénal est puni des peines prévues respectivement pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée (article 323-3-1 du Code Pénal)

Lorsque les infractions prévues aux articles 323-1 à 323-3-1 du Code Pénal ont été commises en bande organisée et à l'encontre d'un système de traitement automatisé de données à caractère personnel mis en œuvre par l'État, la peine est portée à dix ans d'emprisonnement et à 300 000 € d'amende (article 323-4-1 du Code Pénal)

L’article 323-5 du Code Pénal prévoit également des peines complémentaires.

Les tentatives de délit sont également poursuivies des mêmes peines (article 323-7 du Code Pénal).

Enfin, commet le délit de vol, l’individu qui sans le consentement de son propriétaire soustrait des données informatiques en les fixant sur un support. [Jurisprudence constant de la Cour de Cassation].

Épreuves