Après 15 ans, la Nuit du Hack à la croisée des chemins

Depuis 2003, se tient tous les ans la Nuit du Hack, l'un des événements de référence du domaine en France. Après une NDH XV regroupant plus de 2 000 personnes, avec une forte reconnaissance publique, l'équipe cherche comment gérer la croissance pour les prochaines itérations.

Les 24 et 25 juin, Disneyland Paris accueillait la quinzième édition de la Nuit du Hack, un week-end de défis et de conférences sur le hacking, qui a attiré plus de 2 200 personnes, contre 1 800 en 2015. Fondé en 2003, l'événement croît d'année en année, avec des soutiens divers du secteur. Ces derniers comprennent des acteurs peu connus pour leur appétence pour le hacking.

L'un des principaux mérites de la Nuit du Hack, et de Hackerzvoice, est de fournir une façade très présentable au hacking, loin de certains clichés. Fondé en 2003, l'événement insiste sur le partage des compétences et la vulgarisation des enjeux de sécurité, même si les archives photo de certaines éditions rappellent les dégâts qu'a causé Matrix sur l'esthétique « hackers ».

Pour Guillaume « Freeman » Vassault-Houlière, le président d'Hackerzvoice, le but est bien de « promouvoir la compétence des gens, un art, une philosophie, des valeurs » autour du hacking éthique. Désormais, de grands groupes soutiennent le rassemblement, dont l'agence de sécurité informatique de l'État (l'ANSSI) et le ministère des Armées, qui apprécient ce point de contact avec une part du monde de la sécurité, notamment pour leur recrutement (voir notre analyse). L'affluence, qui grandit encore après 15 ans, pose la question du format des prochaines éditions.

Une nuit et des épreuves chez Mickey

Avec une affluence qui aurait grimpé d'environ 30 % depuis 2016, l'événement a vu ses défis attirer davantage de personnes jusqu'au matin. « Cette année, à 7h du matin [dimanche matin], il y avait encore beaucoup de gens sur le wargame. C'était impressionnant » s'étonne encore Guillaume Vassault-Houlière. Il compte environ 600 inscrits, avec environ la moitié des 30 épreuves cassées. À la clé : une borne d'arcade, deux drones, des livres...

Le wargame (où les visiteurs s'affrontent sur des épreuves pendant la nuit) est l'un des nombreux challenges du rassemblement, avec le CTF privé (capture de drapeau, où chaque équipe dispose d'un système à sécuriser, en devant pirater ceux des autres), un bug bounty (recherche de bogues rémunérée dans un périmètre précis) et le Black Badge Challenge, dont la compromission et la découverte d'un drapeau ouvrait la voie à une entrée gratuite à vie.

Une nouveauté de cette édition est le Spying Challenge, où des équipes devaient trouver des informations sur des personnages fictifs, incarnées par des membres de l'événement. Le but : trouver assez d'informations sur les cibles en un temps limité (avec de fausses pistes) pour produire un rapport, les suivre et s'introduire dans une partie réservée de la Nuit du Hack. Le tout était accompagné de la NDH Kids, avec des ateliers pour enfants, comme une initiation à la soudure.

Comme chaque année, était aussi organisée une Crash Party en l'honneur de Paulo « CrashFR » Pinto, créateur de l'événement et de la société Sysdream, décédé en 2011. Il s'agissait de l'une des figures du hacking français, qui lui a rendu un large hommage à l'époque.

La reconnaissance publique est là

La première journée, sur le samedi, est pour bonne partie peuplée de conférences, avec des habitués depuis les premières années, comme Renaud Lifchitz ou Damien « Virtualabs » Cauquil. Les sponsors sont aussi nombreux, la liste des « platines » n'en finissant pas sur le site officiel, en plus de l'accueil d'associations.

« Les associations qu'on avait fait venir étaient très contentes parce qu'elles ont pu promouvoir leur travail. Les gens parlent beaucoup de la communauté mais la voient très peu » pense Guillaume Vassault-Houlière. Figuraient ainsi le hackerspace Electrolab, l'ARCSI, le Clusif et l'OSSIR. Pour la quatrième année, l'ANSSI soutenait la Nuit du Hack, quand le ministère des Armées faisait sa grande entrée, sous la bannière du « combattant numérique ». L'amiral Arnaud Coustillière, en charge de la cyberdéfense française, a même proposé une conférence, qu'il a tenu le samedi après-midi.

De quoi déclencher une blague potache. « J'ai passé un coup de téléphone pour qu'on remplace le dashboard derrière lui par la tête de mort. Je me suis dit que ça ferait de belles photos et de bons souvenirs. C'était le clin d’œil du président, il faut bien l'embêter un peu ! » s'amuse encore « Freeman ».

Du côté de l'ANSSI, venir à la NDH reste un symbole du rapprochement entre hackers et acteurs de la cyberdéfense. « Je connais Guillaume [Vassault-Houlière] depuis longtemps, c'est un gars en qui j'ai vraiment confiance, nous confiait Guillaume Poupard, le directeur de l'agence, il y a une semaine. Venir à la Nuit du Hack n'est pas franchir la ligne, bien au contraire. J'aime bien les organisateurs de la Nuit du hack, car il est clair pour eux qu'on ne franchit pas la ligne rouge. »

« On arrive à se parler, on a des sujets en commun, on veut aller vers les mêmes choses. Et on n'a pas d'a priori les uns des autres, donc ça fluidifie l'échange » répond le président d'Hackerzvoice, pour qui cette proximité nait clairement d'un besoin.

Visite surprise et le basculement de 2010

Cette année, le secrétaire d'État au Numérique, Mounir Mahjoubi, est passé pour une visite surprise à l'événement, preuve de son institutionnalisation. De quoi tout de même susciter la curiosité de certains visiteurs, les organisateurs multipliant les photos avec le responsable, entre deux blagues et question sur le chiffrement (sujet ô combien sensible). L'esprit décontracté, revendiqué, est en fait presque imposé à ceux qui s'affichent à la NDH, invitant au port du t-shirts et aux distributions de hand-spinners.

Pour l'équipe, le basculement d'un événement amateur à un rassemblement plus professionnel a été l'arrivée au Centre de convention de Disneyland entre 2010 et 2011. Trois ans plus tôt, les restitutions rappelaient parfois les meilleurs montages d'équipes de Counter Strike :

Désormais reconnu par les autorités, Hackerzvoice dépend-il donc aujourd'hui de ce soutien public ? « On a fait sans avant. Notre devise c'est "HZV will never die" chez Hackerzvoice, donc avec ou sans... Ce qui est cool, c'est qu'on arrive à faire des choses ensemble, des bonnes idées. Chacun reste chez soi. On fera toujours ce qu'on a à faire et on a des garde-fous, si je deviens effectivement fou un jour ! » répond Guillaume Vassault-Houlière.

Des liens entre Hackerzvoice et Yes We Hack

Il est difficile de parler de la Nuit du Hack sans évoquer Yes We Hack, la société notamment fondée par Guillaume Vassault-Houlière, à laquelle contribue une partie de l'équipe d'Hackerzvoice. « D'un côté, tu as une association qui est une bande de potes. D'un autre côté, tu as des associés dans une société commerciale. Yes We Hack est né de la communauté. Pas mal de gens de YWH sont aussi dans Hackerzvoice. Parce que ça fait plus de dix ans qu'on travaille ensemble » détaille son patron.

La société a lancé une plateforme de bug bounty, B0unty Factory (voir notre entretien), et un service de signalement de failles « protégé », ZeroDisclo, qui aurait permis de remonter 70 vulnérabilités, pour une trentaine de centres de réponse à incident (CERT) inscrits. Pour le moment, une dizaine de personnes est impliquée dans l'entreprise, qui en emploie six à plein temps.

« Freeman », lui, est surtout responsable de la sécurité informatique de Qwant, moteur de recherche français en pointe de la lutte contre certains comportements de Google, notamment via le lobby Open Internet Project.

Le Centre de convention de Disneyland à pleine capacité

Après la NDH XV, le temps du Centre de convention de Disneyland Paris semble presque révolu. « On est à pleine capacité à Disneyland. On ne peut pas avoir plus grand » nous affirme le président d'Hackerzvoice, qui explore les autres possibilités pour organiser son événement.

En fait, la 16e édition pourrait apporter certains changements, notamment au niveau du format. « On se dit que c'est beaucoup trop dense pour rester sur un format d'une journée » détaille « Freeman », qui verrait bien la Nuit du Hack durer deux jours, notamment pour que l'équipe elle-même puisse en profiter. Le format réduit, combiné à un nombre de participants toujours plus grand, pourrait rendre l'ensemble moins agréable pour les organisateurs.

« La question est de savoir si on veut que ça explose, jusqu'à un point où tu ne maîtrises plus le projet. On discute pas mal avec les organisateurs de la Defcon [le grand événement américain du hacking] », qui regrettent l'époque où ils étaient à 2 000 ou 3 000 personnes, selon Guillaume Vassault-Houlière. À ce stade, « ça devient compliqué à organiser et tu ne profites plus du tout. Ce n'est plus le même esprit », pense-t-il. Il reste donc à savoir ce que cette « bande de potes », qui s'est réunie il y a 15 ans, souhaite pour l'avenir de son événement.