Kinshasa : une semaine de ethical hacking avec des jeunes qui en veulent

INTRO

« Ne te demande pas ce que ton pays, ton continent peut faire pour toi. Demande-toi ce que tu peux faire pour ton pays, ton continent. »

KIN-SAXX-4.jpeg

Permettais-moi de vous partager très humblement, mais avec une excitation certaine cette superbe expérience vécue la semaine dernière à Kinshasa. Je vous livre les succès, les échecs, la réalité du terrain et tout l’espoir à venir.



Cette année, j’ai rencontré de nombreuses personnes inspirantes et inspirées qui s’engagent concrètement pour l'#Afrique. Parmi elle, Nathalie KIENGA, qui a créée l'Institut africain de Cybersécurité et Sécurité des Infrastructures. Cet institut basé en #RDC à #kinshasa, se veut au plus près de la jeunesse africaine et entend ainsi leur proposer différentes formations dont certaines en #cybersécurité.

Aussi, j’ai eu la grande joie d’être un de ces intervenants de la promotion Petrus. J’intervenais sur un module de ethical hacking pendant toute une semaine.

Comme à l’accoutumée, j’ai dû construire spécifiquement le contenu de ce module. Pour proposer ce contenu, j’ai pu prendre en compte la réalité du numérique en Afrique, celle de la cybersécurité, mon parcours, certaines personnes rencontrées qui m’ont tant inspiré, les formations reçues à titre personnel, les nombreuses heures passées à lire et apprendre, …

Voici un aperçu de ce que les jeunes auraient dû voir :

20211108091756.png

Le module est très dense. Mon idée initiale était d’aborder plusieurs thématiques et de donner un réel aperçu de tout ce que revêt le ethical hacking lorsque l’on en parle. Plus encore, je souhaitais me dépasser plus pour offrir une semaine de haut vol à tous ces jeunes kinois, ayant pris conscience que c’était maintenant qu’il fallait faire des choses positives et concrètes en Afrique et pour les jeunes !



La RÉALITÉ…

Imaginer une chose, c’est bien, mais parfois ça diffère une fois sur place. Tout le module que j’ai pu construire et proposer aux jeunes, finalement était bien trop ambitieux. Assez rapidement, je me suis rendu compte que le mot d’ordre serait l'ADAPTATION. On a finalement passé une bonne partie du module à apprendre les bases de la cybersécurité, des mises en situation avec la préparation de la journée cybersécurité du samedi 6 nov. 2021, sans oublier la prise en main de Linux.

À la fin du module, j’ai voulu avoir leurs retours sur cette semaine. Un endroit où chacun puisse poser ces questions librement et sans jugement, exprimer ses regrets, ses peurs, les choses qu’il aurait souhaité voir.

Je vous partage une remarque très pertinente d’un des étudiants. Pour résumer, ce dernier disait un peu la déception de ce que l’on avait pu voir en cours lors de ce module. Il expliquait que ma réputation m’ayant précédé au sein de l’institut, il s’attendait à en prendre plein les yeux et voir plus de choses techniques. J’ai écouté avec beaucoup d’intérêt, d’émotions et d’attention son retour. J’ai pu lui répondre qu’heureusement que je n’ai pas fait de choses spectaculaires en lançant plein de commandes compliquées, en sortant des termes barbares et très techniques, en passant en revue en un temps record différentes thématiques sans que toute la promotion ne puisse comprendre le 1/10e.

La remarque de cet étudiant est finalement représentative de ce qui se passe aujourd’hui. On veut aller très vite sans comprendre les bases, la logique et ouvrir son esprit. Parfois, je me brûle aussi les ailes en oubliant de monter les marches une à une quand je ne connais pas le nouvel environnement. J’ai pu ensuite enchaîner réexpliquant à la promotion que j’ai voulu mettre en avant la compréhension de ce qu’ils faisaient. Leur éviter le côté mécanique sans réflexion et maîtrise, mais la compréhension ! Sans compréhension et bases solides, ils seraient vite confrontés à des difficultés une fois en poste ou lorsqu’ils rencontreront des problèmes, des sujets dont ils n’ont jamais entendu parler en cybersécurité.

D’autres étudiants étaient dans le même cas de cet étudiant. Mais certains ont osé prendre la parole et aussi donner leur ressenti. Certains ont reconnu que le premier jour et le second quand ils ont vu les choses trop simples se sont dit, mais c’est nul ! Mais très vite quand on a commencé à faire des choses sur linux et que je leur demandais s’ils avaient vraiment compris… et bien ce n’était pas le cas. Ils ont pu prendre conscience au cours de la semaine de l’évolution et de l’évolution pédagogique que j’avais pensé.

Le vendredi, j’ai par ailleurs montré quelques oneliners (comprendre une suite de commandes ; i.e find . -type f -name '*.java' -exec sh -c 'iconv -f cp1252 -t utf-8 "$1" > converted && mv converted "$1"' -- {} \;) ou encore d’autres procédés permettant de faire de l’analyse lorsqu’il y a des ransomwares. J’ai ensuite posé la question de m’expliquer ce que cela était censé faire. Bien entendu, pas de réponses. J’ai pu rebondir en leur expliquant que les choses qu’ils pensaient simples, nulles ou pas intéressantes étaient tout l’inverse. Sans maîtrise mais surtout une vraie compréhension de ce qu’il y avait à faire, impossible de monter en compétences.

Finalement durant cette semaine, j’ai essayé d’être juste, ouvert et déconstruire l’image galvaudée du hacker, de l’ingénieur en cybersécurité. C’était vraiment le moment de parler de la pédagogie, de leur dévoiler nombreuses de mes routines très personnelles, être en vérité, inspirer, être dans le réel.

J’ai beaucoup appris moi-même plus que je ne l’imaginais. Cela a conforté l’idée de la pédagogie et de vulgariser le propos.

KIN-SAXX-3.jpeg



Cyberday et 1ère édition d’une compétition technique de cybersécurité

20211108102113.png

Cette semaine de formation ethical hacking se clôturait par une journée de la cybersécurité. Cette journée était organisée en partenariat avec Internet Society Chapitre de la République Démocratique du Congo. L’après-midi était réservée à un #CTF. Un CTF n’est rien d’autre qu’un Capture The Flag, une compétition de cybersécurité avec différentes épreuves couvrant les nombreux domaines de la cybersécurité aujourd’hui :

  • Reverse engineering
  • Web
  • Mobile
  • Programming
  • Network
  • OSINT

Ce type de manifestation vise à créer un écosystème et avec lui une émulation. Cela permet de se confronter à d’autres personnes, de nouvelles choses et donner le meilleur de soi.

J’ai été très heureux de cette 1ère édition qui a rassemblé une 60aine de personnes dont la présence de deux principales écoles.

KIN-PETRUS.jpeg

L’après-midi a débuté par une session de rump. Une session de rump est un enchaînement de présentations courtes. Les présentations durent environ 5 à 6mn. Les sujets abordés sont relativement libres, mais doivent avoir un lien avec la #cybersécurité et ses métiers. Le ton de ces présentations peut être décalé, distrayant ou sérieux. Aussi, les étudiants ont joué le jeu quand je leur ai proposé ce format pour rythmer l’après-midi, faire des présentations devant le public et se challenger entre eux, de l’émulation positive.

J’ai bien entendu ouvert le bal en parlant de quelques vulnérabilités critiques trouvées avec un peu d’OSINT dont une qui m’interroge de plus en plus sur la sécurité des applications liées à l’immigration d’un pays et au covid.

KIN-SAXX-1.jpeg

Finalement, une expérience encore folle avec un travail remarquable d’Aimé étudiant à l’ICSSI qui a retransmis en direct toute la journée sur les rézos (facebook, youtube). Je n’oublie pas non plus le travail de fond et incommensurable de sa directrice, Nathalie Kienga, de m’avoir fait venir à Kinshasa, de croire en ces jeunes, de vouloir un meilleur pour la RDC mais au-delà pour l’Afrique concernant le numérique et la cybersécurité en particulier.



L’accueil à Kinshasa

Je souhaitais revenir aussi sur l’accueil des plus chaleureux qui m’a été réserve à Kinshasa. Je suis à chaque fois très touché et plein de gratitude. De voir, l’engouement, l’excitation et l’envie d’avoir envie de ces jeunes, des personnes que je rencontre me donne plus d’énergie et de raisons de continuer.



CONCLUSION

Je pense que je réalise qu’une partie de tout ce qui a pu se faire la semaine dernière à Kinshasa. Les retombées, pour les jeunes comme pour moi, seront là dans 1e semaine, 1 mois, 1 an peut-être. Mais ce qui est sûr, les lignes elles commencent à bouger. L’Afrique centrale a certes de nombreux problèmes à régler avant les questions du numérique et cybersécurité en particulier, mais je reste convaincu qu’avoir une espace numérique serein et des cybergestes aideront à une meilleure structuration et des investissements dans l’économie.

C’est peut-être le moment pour moi de continuer cet investissement et de faire le lien avec des investisseurs, des mécènes ou des institutions internationales qui pourraient soutenir ce genre d’initiative concrète sans trop de fioritures. La formation de la jeunesse africaine, le futur de l’Afrique, la fuite des cerveaux, l’investissement positif et bien d’autres sujets comme l’éducation des jeunes filles et la prise de conscience de notre empreinte numérique se jouent maintenant !

Je m’arrête là pour ne pas être trop volubile.

Mais je souhaitais vraiment vous partager cette expérience et vous exhorter si vous êtes de la Diaspora, un ingénieur africain résidant en Afrique, ou même une personne européenne, américaine et j’en passe, que l’Afrique et ces questions font sens pour vous, échangeons ! Partageons ! Challengeons-nous ! Construisons ensemble ! Déconstruisons ensemble !

NOTA : J’ai découvert une faille monumentale dans un des gros hôtels de la place. Je suis actuellement en train d’écrire un article dessus. Si vous souhaitez le publier n’hésitez pas à me contacter par mail📧 contact[at]saxx[dot]fr pour en discuter. Spoiler alert: En accédant au wifi, on se retrouve à accéder à l’ensemble du listing des clients et plus…

Cybèrement vôtre,

SaxX