Challenge SSTIC 2010

Organisation

Le défi de l'édition 2010 du SSTIC est organisé par l'agence nationale de la sécurité des systèmes d'information.

L'ANSSI a été créée par le décret n° 2009-834 du 7 juillet 2009 sous la forme d'un service à compétence nationale. Elle est rattachée au secrétaire général de la défense et de la sécurité nationale. L'agence assure la mission d'autorité nationale en matière de sécurité des systèmes d'information. À ce titre elle est chargée de proposer les règles à appliquer pour la protection des systèmes d'information de l'État et de vérifier l'application des mesures adoptées. Dans le domaine de la défense informatique, elle assure un service de veille, de détection, d'alerte et de réaction aux attaques informatiques, notamment sur les réseaux de l'État.

Présentation

Le défi consiste à analyser la copie intégrale de la mémoire physique d'un mobile utilisant le système d'exploitation Android.

L'objectif est d'y retrouver une adresse e-mail (...@sstic.org).

Pour participer au concours, il faut, une fois cette adresse trouvée :

  1. envoyer aussitôt un courrier électronique à cette adresse (pour le classement rapidité) ;
  2. PUIS envoyer dans les dix jours (à partir de la date de réception du message précédent par le serveur mail du SSTIC) une réponse qui décrit la démarche suivie (pour le classement qualité).

Le contenu de la mémoire physique est disponible ici : http://www.sstic.org/media/SSTIC2010/concours_sstic_2010

Empreinte SHA-256 : 78c9ab57cdb8ba1eb7fde9a1d165fe86a6789320b63fb079f6ad8cd8dbebe037  concours_sstic_2010

Lots

Cette année, deux classements seront établis, selon :

  1. la rapidité de résolution ;
  2. la qualité de la réponse.

Ainsi, même sans être dans les plus rapides, il est possible de gagner un lot en rédigeant une réponse claire, complète et détaillée.

Trois lots seront attribués pour chacun des deux classements :

De plus, la personne la mieux placée dans le classement qualité assistant au SSTIC aura l'opportunité de présenter sa solution lors de la conférence.

Classements

Rapidité

Position

Date de validation

Date de la solution

Nom

Solution

X.

2010/04/25 23h13

2010/05/03 17h10

Gabriel Campana et Jean-Baptiste Bédrune

campana_bedrune.pdf

1.

2010/04/30 09h41

2010/05/09 02h58

Philippe Biondi

biondi.pdf

2.

2010/05/01 14h23

2010/05/11 02h42

Florent Marceau

marceau.pdf

3.

2010/05/04 13h18

2010/05/13 13h50

Jean Sigwald

sigwald.pdf

4.

2010/05/05 14h40

2010/05/15 11h55

Nicolas Ruff

ruff.pdf

5.

2010/05/07 15h23

2010/05/17 14h05

Arnaud Ebalard

ebalard.pdf, English version

X.

2010/05/14 12h06

2010/05/20 17h57

Stéphane Duverger (hors concours)

duverger.pdf

X.

2010/05/27 21h11

2010/06/03 15h11

Frédéric Guihéry (hors délais)

cr_challenge_sstic2010_guihery.pdf

Le challenge est maintenant terminé !

Quelques autres solutions partielles sur Internet :

  1. Utilisation des inodes

  2. http://pentester.fr/blog/index.php?post/2010/06/03/Challenge-SSTIC-2010-in-a-nutshell

Qualité

Position

Nom

1.

Arnaud Ebalard

2.

Jean Sigwald

3.

Nicolas Ruff

Règlement

  1. Le concours est ouvert à tous, à l'exception des employés et stagiaires de l'ANSSI (du 1er janvier au 11 juin 2010) et des membres des comités d'organisation et de programme de SSTIC 2010.
  2. Pour gagner, les participants doivent trouver une adresse (...@sstic.org) et envoyer un courrier électronique à cette adresse, puis envoyer une solution dans les dix jours.

  3. Cette réponse devra être rédigée en français et aussi détaillée que possible. Elle précisera les problématiques techniques du défi ainsi que la démarche et les outils utilisés pour les résoudre.
  4. Les réponses seront évaluées par un jury constitué de membres de l'ANSSI et du comité d'organisation du SSTIC.
  5. La date de clôture du concours, c'est-à-dire la date limite de réception du premier courrier de validation, est le mercredi 26 mai 2010 à 23h59:59 (UTC+2).
  6. Un même participant peut gagner plusieurs lots, un par classement.
  7. Les participations sont individuelles, le concours n'est pas ouvert aux équipes.
  8. En prenant part au concours, les participants donnent tacitement leur accord pour la publication de leur réponse sur le site du SSTIC, associée à leur nom ou pseudonyme.
  9. Pour la remise des lots, les gagnants devront fournir leur identité à l'association STIC.
  10. Le classement n'incluera que les gagnants.
  11. Si le nombre de réponses valides est inférieur à trois, le concours pourra potentiellement être prolongé.

Rappels

Il est rappelé que l'article L122-6-1 du code de la propriété intellectuelle donne à l'utilisateur de logiciel le droit d'observation ou d'analyse : « la personne ayant le droit d'utiliser le logiciel peut, sans l'autorisation de l'auteur, observer, étudier ou tester le fonctionnement de ce logiciel afin de déterminer les idées et les principes qui sont à la base de n'importe quel élément du logiciel lorsqu'elle effectue toute opération de chargement, d'affichage, d'exécution, de transmission ou de stockage du logiciel qu'elle est en droit d'effectuer ».

Toutefois, cette disposition législative reste une exception au principe selon lequel le droit d'exploitation reste acquis à l'auteur, ce dernier restant libre d'en consentir tout ou partie à des tiers.

L'ANSSI autorise expressément les participants à analyser (reverser) le code développé pour le concours.

Contact

Pour toute question, merci de contacter challenge2010@sstic.org.

ChallengeSSTIC2010 (last edited 2010-11-24 10:42:20 by anonymous)