Règlement

Le présent règlement doit obligatoirement être respecté par l’ensemble des joueurs.


I. CONDITIONS DE PARTICIPATION

  • Le challenge est limité à 12 équipes de maximum 5 personnes.
  • Chaque membre de l’équipe doit être ressortissant de la Communauté Européenne ou étudiant d’une école de la
    Communauté Européenne.
  • Un responsable est nommé dans chaque équipe qu’on désignera sous le nom de capitaine.
  • La finale a lieu à Rennes dans le cadre de l’European Cyber Week 2019 le 20 novembre 2019 de 10h00 à 19h00 et la remise des prix aura lieu en soirée, à partir de 20h00.
  • Les participants doivent être présents physiquement sur le lieu du challenge le 20 novembre, jour de la finale, et présenter une pièce d’identité en cours de validité.
  • Le challenge est coorganisé sous l’égide du PEC (Pôle d’Excellence Cyber) par Airbus, Amossys, DIATEAM et Thales avec le soutien du Ministère des Armées. A ce titre, il n’est pas autorisé d’inscriptions émanant de ces structures.
  • Les participants s’engagent à fournir des informations authentiques. Chaque joueur n’a le droit d’appartenir qu’à une seule équipe.
  • Tout participant contrevenant à cette règle est disqualifié.
  • Les organisateurs se réservent le droit de modifier unilatéralement la constitution des équipes dans le but du bon déroulement du challenge.
  • Chaque participant a l’obligation d’accepter sans réserve et de respecter le présent règlement.
  • Tout litige est soumis au comité d’organisation du challenge, dont les décisions ne sont pas contestables.

II. DÉROULEMENT

La compétition se déroule en plusieurs phases :

  • Phase 1: Préinscription. Les participants remplissent le formulaire de préinscription sur le site Internet de la compétition www.challenge-ia-ecw.eu. Deux modes sont possibles : inscription par équipe ou inscription individuelle. Dans ce deuxième cas, des équipes seront formées par les organisateurs pour regrouper les participants.
  • Phase 2: Constitution et sélection par les organisateurs des 12 équipes et leurs membres. Les équipes et membres non sélectionnés seront placés sur liste d’attente en cas de désistements.
  • Phase 3: Validation. Envoi au capitaine de l’équipe des informations détaillant le challenge. Chaque équipe dispose alors de quelques jours pour prendre connaissance de ces informations et valider sa participation au challenge.
  • Phase 4: Entraînement. Jusqu’au jour du challenge, les équipes disposent de plusieurs semaines pour mettre au point leurs agents de tests d’intrusion automatisés en se connectant sur la plateforme d’entraînement à travers d’un Cyber Range en ligne.
  • Phase 5: Journée du challenge. Les équipes seront confrontées à plusieurs épreuves présentant des chemins d’attaque proches de ceux de la plateforme d’entraînement.
    • Le matin chaque équipe aura l’occasion de se tester à blanc afin de pouvoir effectuer les derniers réglages.
    • L’après-midi, à tour de rôle, chaque équipe tentera de montrer l’efficacité de ses algorithmes.
    • Dans la soirée, les trois meilleures équipes recevront des prix et les félicitations du jury.
        • Le challenge final se déroulera à Rennes, le mercredi 20 novembre 2019 de 10h00 à 19h00. Les candidats seront accueillis à partir de 9h par le représentant du pôle d’excellence cyber, coordinateur du challenge, puis pourront se restaurer sur place.

III. PRINCIPE DU CHALLENGE – ARBITRAGE

  • Une infrastructure virtuelle comprenant des machines vulnérables et des réseaux est mise à disposition pendant la phase d’entraînement pour le développement d’agents autonomes par les équipes.
  • Les joueurs se connectent à une plateforme d’entraînement (Online Cyber Range) via un VPN sur Internet. Ceci permet d’interagir avec l’infrastructure virtuelle d’entraînement de son équipe.
  • Des fiches décrivant les attaques unitaires à mettre en œuvre seront fournies afin de focaliser le travail des équipes sur l’automatisation des tests d’intrusion.
  • Un système d’arbitrage sous la forme d’une API REST (Application Programmable Interface) permet à l’agent de soumettre en temps réel les récompenses qu’il collecte en s’infiltrant sur l’infrastructure.
  • L’accent est mis sur la cartographie automatique du réseau, la découverte de vulnérabilités et leur exploitation dans le but de prendre le contrôle total de l’infrastructure informatique cible.
  • Des réponses seront collectées par les agents sous la forme de fichiers « flag » nommés ECW{MD5}.flag où {MD5} sera une clé qui pourra être soumise via l’API d’arbitrage.
  • Un score est attribué en fonction du flag fourni et de la rapidité de l’agent à le découvrir. Plus le flag est soumis tôt à l’API, plus il rapportera de points. Le nombre de points peut varier suivant l’importance stratégique du flag ou la difficulté du chemin pour y parvenir.
  • Le nombre de points peut varier suivant l’importance stratégique du flag ou la difficulté du chemin pour y parvenir.
  • L’API permet aussi à l’agent de connaître l’évolution de son score à tout moment et peut être utilisée par les équipes pour entraîner son agent.
  • Les infrastructures mises à disposition pour les épreuves finales seront différentes de l’infrastructure d’entraînement mais elles seront vulnérables aux mêmes attaques unitaires.
  • Les épreuves mises en place dans le cadre de la finale du challenge sont couvertes par le droit d’auteur.
  • Toute reprise est conditionnée au respect du droit de la propriété intellectuelle au regard des auteurs et ayant-droits.
  • Afin de respecter le travail des auteurs et le travail de recherche des joueurs, la publication de solutions pendant la durée du challenge n’est pas autorisée et est pénalisée.
  • La triche à travers l’utilisation de ces solutions est fortement pénalisée par une disqualification ou l’annulation de l’épreuve concernée.
  • Une fois qu’une épreuve est démarrée et que l’agent est lancé, toute intervention humaine est interdite.
  • Contrevenir à cette règle pourra entraîner des sanctions allant jusqu’à l’exclusion de la compétition.
  • Les scores réalisés par chaque équipe seront accessibles publiquement.

IV. CONFORMITÉ DES AGENTS

  • On désigne sous le nom d’agent le programme qui s’exécutera de façon entièrement automatique en interaction avec les plateformes d’entraînement ou de phase finale.
  • Il est interdit à l’agent d’attaquer une autre cible que le système proposé par la compétition à l’intérieur du VPN.
  • Toute attaque par déni de service de type DoS (Denial of Service) ou DDoS (Distributed Denial of Service) est formellement interdite, y compris à l’intérieur du VPN.
  • Les seules attaques autorisées sont celles en lien direct avec l’épreuve.
  • Chaque équipe dispose de sa propre infrastructure virtuelle.
  • Il est strictement interdit de s’introduire d’une quelconque manière dans l’infrastructure virtuelle d’une autre équipe.
  • Chaque équipe veillera à mettre en œuvre les protections nécessaires pour éviter que le code de l’agent ne s’exécute à l’extérieur de l’infrastructure cible.
  • Chaque équipe reste seule responsable pénalement des éventuels dégâts occasionnés par son agent en dehors de l’infrastructure du challenge.
  • Il est interdit à l’agent de s’attaquer au système d’arbitrage.
  • Toute triche avérée entraînera l’exclusion de la compétition.

V. LÉGISLATION

  • L’épreuve se déroule en France, par conséquent, l’organisation du challenge a pris le soin d’être en conformité avec
    bonnes pratiques et recommandations encadrés par le Règlement Général sur la Protection des données personnelles. A ce titre, une page est dédiée à ce cadre et ces obligations > https://www.challenge-ia-ecw.eu/mentions-legales/
  • Les concurrents sont soumis à la loi Française et notamment : Article 323-1, alinéa 1 du Code pénal : « Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30000 euros d’amende ».
  • La simple tentative est réprimée de la même manière (article 323-7 du Code pénal) Article 321-1, alinéa 2 du Code pénal : « Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d’emprisonnement et de 45000 euros d’amende » Article 323-3 du Code pénal : « Le fait d’introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu’il contient est puni de cinq ans d’emprisonnement et de 75000 euros d’amende » Article 323-2 du Code pénal : « Le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données est puni de cinq ans d’emprisonnement et de 75000 euros d’amende. Lorsque cette infraction a été commise à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’Etat, la peine est portée à sept ans d’emprisonnement et à 100 000 € d’amende. »

VI. MATÉRIEL

  • Il est demandé à chaque équipe de venir avec son propre ordinateur configuré pour exécuter son agent.
  • Les ordinateurs non portables sont acceptés.
  • L’installation d’outils de test d’intrusion tels que ceux présents sur une distribution de type Kali Linux et d’outils d’apprentissage machine tels scikit-learn, PyTorch ou Tensorflow/Keras est encouragée.
  • Le jour de la phase finale, l’ordinateur de l’équipe sera raccordé en IP sur Ethernet via un câble réseau RJ45. Les connexions sans fil de l’ordinateur devront être désactivées.