Règlement du challenge

I. CONDITIONS DE PARTICIPATION

Le challenge est ouvert à des équipes d’au moins 2 et au plus 5 personnes. Chaque équipe est inscrite au nom d’une entreprise ou d’un laboratoire de recherche. Une seule équipe par entité est acceptée.

Les inscriptions sont ouvertes jusqu’au 17 septembre 2020. Après une étape de pré-qualification, seules 5 équipes seront choisies pour participer à la finale.

Chaque membre de l’équipe (appelé « joueur » dans la suite du règlement) doit être ressortissant Européen.

Chaque joueur a l’obligation d’accepter sans réserve et de respecter le présent règlement.

Un responsable est nommé dans chaque équipe qu’on désignera sous le nom de capitaine.

La finale a lieu à Rennes dans le cadre de l’European Cyber Week 2020 le 17 novembre 2020 de 9h00 à 18h00 et la remise des prix aura lieu en fin d’après-midi.

Les joueurs des cinq équipes qualifiées doivent être présents physiquement sur le lieu de la finale le 17 novembre 2020, et présenter une pièce d’identité en cours de validité.

Le challenge est organisé par la Direction Générale de l’Armement sous l’égide du Pôle d’Excellence Cyber et dans le cadre du Grand Défi Cyber. Il n’est pas autorisé d’inscriptions émanant de ces structures.

Les joueurs s’engagent à fournir des informations authentiques. Chaque joueur n’a le droit d’appartenir qu’à une seule équipe. Tout joueur contrevenant à ces règles est disqualifié.

En raison du contexte sanitaire, un protocole particulier s’applique lorsla tenue de l’ECW, les candidats sont priés de le respecter (pour plus d’information, consulter https://www.european-cyber-week.eu).

Tout litige est soumis au comité d’organisation du challenge, dont les décisions ne sont pas contestables.

II. DÉROULEMENT

La compétition se déroule en plusieurs phases :

Phase 1 : Préinscription. Les joueurs remplissent le formulaire de préinscription sur le site Internet de la compétition www.challenge-ia-ecw.eu avant le 17 septembre 2020.

Phase 2 : Entraînement. A partir du 16 juillet, envoi au capitaine de l’équipe des informations détaillant le challenge, et de l’accès qui lui permet de télécharger les machines virtuelles d’entraînement. Les équipes qui s’inscriveront après cette date recevront ces informations au plus vite, dans la limite de la disponibilité de l’équipe organisatrice.

Phase 3 : Préqualification. Les équipes envoient une vidéo, une présentation technique et éventuellement du code source démontrant la pertinence de leur solution au jury avant le samedi 17 octobre 2020 à minuit. Cinq équipes seront retenues pour la finale. Les équipes non retenues peuvent assister au challenge parmi le public.

Phase 4 : Finale. Les équipes seront confrontées à plusieurs épreuves présentant des machines similaires mais différentes de celles de la phase d’entraînement :

– Les candidats seront accueillis à partir de 9h par le coordinateur du challenge, puis pourront se restaurer sur place.
– Le matin chaque équipe aura l’occasion de se tester à blanc afin de pouvoir effectuer les derniers réglages.
– Les équipes présenteront en 15 min la solution technique mise en oeuvre pour les agents.
– L’après-midi, à tour de rôle et pour chaque épreuve, chaque équipe tentera de montrer l’efficacité de ses algorithmes. La démonstration durera 5 minutes maximum sur chaque machine virtuelle.
– A l’issu de la finale, les trois meilleures équipes recevront des prix et les félicitations du jury.

III. PRINCIPE DU CHALLENGE – ARBITRAGE

Des machines virtuelles sont mises à disposition en téléchargement pendant la phase d’entraînement pour le développement d’agents autonomes par les équipes et la phase de préqualification.

Les joueurs exécutent les machines virtuelles. Ils interagissent avec ces machines en se connectant avec le protocole VNC au niveau hyperviseur.

Les actions des joueurs sont libres sur ces machines mais doivent rester dans l’esprit du travail de bureautique. Les machines virtuelles ne seront pas raccordées à Internet, les actions seront locales à la machine en cohérence avec les services disponibles. Un serveur mail local fonctionnel avec un carnet d’adresse, un navigateur web avec un site de type wiki et différents fichiers seront présentes sur la machine.

L’accent est mis sur la navigation sur des sites, l’envoi d’e-mails, l’utilisation des données présentes sur la machine, la rédaction de document, le parcours du système de fichier. L’utilisation de l’interface graphique est à privilégier plutôt que les raccourcis clavier.

L’agent doit simuler un comportement humain ayant un haut niveau d’activité pour permettre l’évaluation sur une période maximale de 5 min.

Pour la journée du challenge, les organisateurs mettent à dispositions des machines virtuelles pour chaque équipe. Une machine de l’équipe peut alors se connecter via le protocoles VNC sur IP.

Les machines virtuelles mises à disposition pour les épreuves finales seront différentes des données de tests fournies dans la phase d’entraînement. Les joueurs doivent donc autant que possible rendre générique leur agents autonomes pour prendre en compte cette particularité.

Le déport d’écran des machines virtuelles dévoilant les actions réalisées par les agents sera projeté à l’audience c-a-d les organisateurs, l’ensemble des joueurs, le jury et le public présent.

Un jury observera et notera les comportements des agents dans les différentes situations.

Chaque équipe conserve la propriété intellectuelle de sa solution. L’organisation conserve les enregistrements vidéos et les interactions de l’agent.

Avec votre accord, les technologies pourront être utilisées dans des prochains challenges cyberdéfense car elles sont nécessaires pour faire vivre les infrastructures virtuelles.

Afin de respecter le travail des auteurs et le travail de recherche des joueurs, la publication de solutions pendant la durée du challenge n’est pas autorisée et est pénalisée.

La triche à travers l’utilisation de ces solutions est fortement pénalisée par une disqualification ou l’annulation de l’épreuve concernée.

Une fois qu’une épreuve est démarrée et que l’agent est lancé, toute intervention humaine est interdite. Contrevenir à cette règle pourra entraîner des sanctions allant jusqu’à l’exclusion de la compétition.

Les scores réalisés par chaque équipe et les captures videos des agents seront accessibles publiquement.

IV. PRIX et sélection

Le dossier de candidature doit comporter des documents financiers et un devis détaillant et chiffrant les travaux à réaliser entre la sélection du dossier (17 octobre) et la finale (17 novembre).

Les 5 meilleurs dossiers seront sélectionnés suivant le barème suivant :

  • Originalité / Innovation (5 point)
  • Facilité d’enrichissement ou d’adaptation de la solution à d’autres tâches (5 points)
  • Diversité du comportement (4 points)
  • Réalisme (4 points)
  • Facilité d’utilisation (4 points)
  • Potentiel d’amélioration de la solution (4 points)
  • Qualité du devis et clarté de la communication (4 points)

Soit un total de 30 points.

Les entreprises sélectionnées recevront une subvention couvrant leurs frais entre la sélection du dossier (17 octobre) et la finale (17 novembre) conformément au devis et pour un montant maximum de 10.000 €.

Les 3 entreprises gagnantes recevront en outre une subvention d’un montant respectif de 50.000 €, 30.000 € et 20.000 € pour couvrir les frais liés aux développements ultérieurs de leur solution, sur les 6 mois suivants, moyennant fourniture d’un devis le jour de la finale.

Il s’agit de subventions « de minimis » : la somme des aides perçues à ce titre par l’entreprise ne peut excéder 200.000 € sur 3 années consécutives. Leur attribution fera l’objet d’un contrat entre l’entreprise et l’organisme attributeur.

IV. CONFORMITÉ DES AGENTS

On désigne sous le nom d’agent le programme qui s’exécutera de façon entièrement automatique en interaction avec les machines virtuelles.

Lors de la journée du challenge, il est interdit à l’agent d’effectuer des actions qui ne sont pas en lien direct avec le challenge.

Toute attaque par déni de service de type DoS (Denial of Service), DDoS (Distributed Denial of Service) ou élévation de privilège est formellement interdite.

Il est strictement interdit de s’introduire d’une quelconque manière dans l’infrastructure virtuelle d’une autre équipe.

Chaque équipe veillera à mettre en œuvre les protections nécessaires pour éviter que le code de l’agent ne s’exécute à l’extérieur de l’infrastructure cible.

Chaque équipe reste seule responsable pénalement des éventuels dégâts occasionnés par son agent en dehors de l’infrastructure du challenge.

Il est interdit à l’agent de s’attaquer au système d’arbitrage.

Toute triche avérée entraînera l’exclusion de la compétition.

V. LÉGISLATION

Le challenge se déroule en France, par conséquent, l’organisation du challenge a pris le soin d’être en conformité avec les bonnes pratiques et recommandations encadrés par le Règlement Général sur la Protection des données personnelles. A ce titre, une page est dédiée à ce cadre et ces obligations > https://www.challenge-ia-ecw.eu/mentions-legales/

Ce challenge bénéficie d’une visibilité médiatique importante. Les joueurs des équipes qualifiées devront indiquer leur choix concernant leur droit à l’image via un formulaire qui leur sera transmis.

Les concurrents sont soumis à la loi Française et notamment : Article 323-1, alinéa 1 du Code pénal : « Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30000 euros d’amende ».

La simple tentative est réprimée de la même manière (article 323-7 du Code pénal) Article 321-1, alinéa 2 du Code pénal : « Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d’emprisonnement et de 45000 euros d’amende » Article 323-3 du Code pénal : « Le fait d’introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu’il contient est puni de cinq ans d’emprisonnement et de 75000 euros d’amende » Article 323-2 du Code pénal : « Le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données est puni de cinq ans d’emprisonnement et de 75000 euros d’amende. Lorsque cette infraction a été commise à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’Etat, la peine est portée à sept ans d’emprisonnement et à 100 000 € d’amende. »

VI. MATÉRIEL

Il est demandé à chaque équipe de venir avec son propre ordinateur configuré pour exécuter son agent.

Les ordinateurs non portables sont acceptés.

Les organisateurs recommandent l’emploi de la solution de virtualisation sous linux KVM/QEMU.

Les organisateurs recommandent aux équipes de se vêtir avec une identité visuelle cohérente.

Le jour de la phase finale, l’ordinateur de l’équipe sera raccordé en IP sur Ethernet via un câble réseau RJ45. Les connexions sans fil de l’ordinateur devront être désactivées.