mardi 7 février 2012

Un recruteur qui vous challenge?

Il y a quelques jours, je lisais le magazine MISC et une offre d'emploi a attiré mon attention. En effet, au milieu de cette annonce, une suite de caractères qui challenge le candidat "7Pp7W2Yr".

Ce challenge mène à quatre questions à résoudre et une nouvelle adresse mail où candidater. Sans doute que ceux qui utiliseront cette adresse mail plutôt que la générique de l'annonce auront plus de chances :-)

De plus en plus de sociétés proposent des challenges pour découvrir et recruter des candidats. Il faut bien avouer que c'est quand même plus sympathique que de devoir passer la barrière du DRH+secrétaire qui ont souvent le malheur de ne pas très bien connaître les skills de ingénieurs en sécurité. Au moins, un bon challenge permet vite de trier les candidats sur une base claire.

Je propose quelques sites de société ayant mis en place des challenges de recrutement (et que j'ai résolu pour certains \o/ ). Je vais essayer d'en parler sans trop spoiler.
  • tetrane.com contient un challenge, plutôt un petit easter egg dont la solution est très simple si vous avez des connaissances en debug.
  • Si vous avez lu MISC et l'annonce de winamax, vous devriez facilement trouver la page pastebin contenant le challenge (mais je spoile déjà un peu). Sur les quatres épreuves, seule la première est complètement tordue (et me semble introuvable sans un second hint à moins d'avoir une intuition qui dépasse l'imagination, mais c'est un avis personnel). 
  • En anglais, il y a eu canyoucrackit qui est terminé, et dont toutes les solutions sont disponibles sur internet. L'idée est plutôt bonne, avec un enchaînement d'étapes bien tournées.
  • Raytheon a également un bon challenge en trois fois deux étapes, pas très compliqué mais amusant (les portes yes/no notamment). Les solutions se trouvent sur internet, mais ça se résoud sans.
  • Dans un autre domaine que la sécurité, facebook a un challenge de programmation. Vous avez un problème à résoudre, et vous avez le choix du langage. Vous tapez le code dans une page web, puis ça le compile (ou ça l'interprète) et ça envoie le problème. Si votre programme le résout, alors vous passez à l'étape suivante. 
  • Le site 1.61803398874.com/ est un challenge dont le nom de domaine lui-même est à comprendre. Un second challenge est un programme à écrire, dont la man page est fournie, sous forme humoristique. Il faut écrire la man page du programme 'dog' qui est le meilleur ami de l'user.
Il y a eu sûrement d'autres sites webs de challenge, si vous en connaissez, vous pouvez les faire suivre, en attendant le fameux challenge du SSTIC (qui sert selon toute vraisemblance d'examen de recrutement pour l'ANSSI :-) ).

EDIT: L'ANSSI a son challenge apparemment.

Et se pose alors une question, qu'est ce qu'un bon challenge? Un bon challenge, c'est celui qui n'a qu'une réponse, et une fois cette réponse trouvée qu'elle ne donne pas prise à la contestation. Dans un bon challenge, les fausses pistes doivent également être écartables de façon non ambiguë.
Il est donc plus difficile de faire un bon challenge que de le résoudre.

Ainsi, le troisième challenge de winamax démarre par l'analyse d'une trace pcap. La première chose que l'on fait, c'est regarder les IP. Et malheureusement, l'IP utilisée n'a rien à voir dans la résolution du challenge, et c'est une IP publique (mettre une IP privée aurait permis d'écarter l'hypothèse d'une attaque online). Il est vain d'essayer de la nmapper, c'est un pauvre gars sur internet qui n'a rien à voir avec le challenge. 
De manière opposée, le challenge SSTIC de l'an passé avait une base de données. Les mots de passe des utilisateurs, une fois décodés, indiquaient "nothing interesting here.". C'est clair, et ça permet d'éviter de chercher de la faille SQL inutilement. Le challenge Raytheon est également d'une clarté sans faille (gag). L'image du challenge comporte un texte indiquant "Sometime it helps considering the source". Source HTML? La solution est donc là sans ambigüité.

Un article sur les challenges mérite bien d'en proposer un, en voici un que j'avais proposé à mes étudiants lorsque j'étais enseignant. L'énoncé était le suivant:

    00 90 fb 10 04 bf 00 23 ae 8b 19 7b 08 00 45 00
    00 30 f0 65 40 00 80 06 92 ab c0 a8 67 10 5e 8e
    f1 6f 06 72 00 17 66 40 50 0c 00 00 00 00 70 02
    ff ff 4e 93 00 00 02 04 05 b4 01 01 04 02
Question: Quel est le titre du film?

La solution ne permet pas de douter de celle-ci. Enjoy.
[Et merci à N.R. pour raytheon et facebook]

10 commentaires:

  1. Bonjour,

    pour la petite histoire, l'epreuve #3 est librement inspire du packet #100 des pre-quals de la defcon 18.

    Bonne journee :)

    RépondreSupprimer
  2. Petite précision pour Tetrane : l'easter egg sert juste à donner le ton pour les entretiens :
    - on attaque directement par une discussion technique (archi, sécu, dével, ...)
    - puis second entretien dans nos locaux avec test sur whiteboard et sur machine, et temps informel avec l'équipe pour voir le feeling humain (ping-pong et/ou apéro et/ou resto, ...)

    Pour les candidats sécu, qui ont réussi le premier entretien, on leur envoie aussi un crackme avant de faire le second entretien.

    -> pas de barrière DRH + secrétaire chez nous, mais il faut être bon (ou avoir un bon potentiel) et fun !

    That's the way we do it :)

    RépondreSupprimer
  3. @Anonyme: je vais voir, merci

    @Tetrane-Fred: yep. Pour le tweet, j'en profite pour bien confirmer que je ne suis pas affilié à Tetrane :-) Merci pour le mail.

    RépondreSupprimer
  4. EDIT dans le post. Ceci dit, le sourire de la Joconde cachait bien des mystères...
    :-)

    RépondreSupprimer
  5. Et c'est (déjà) résolu pour l'ANSSI.
    http://anssi.santo.fr/

    RépondreSupprimer
  6. Pas vraiment, il reste encore beaucoup de choses a casser pour l'anssi, je pense

    RépondreSupprimer
  7. @anonyme: J'ai déjà une adresse mail ou envoyer le ch4ll3n9e ;)

    Le début d'une partie d'un des challenges me fait penser à un parchemin dont on a effacé le contenu et sur lequel on a écrit un nouveau texte.

    RépondreSupprimer
  8. Y a aussi ça :

    http://ensiwiki.ensimag.fr/index.php/Portail:SecurIMAG_Ensimag_IT_security_club/Challenges#challenge_6_-_Let_the_reverse_begin

    RépondreSupprimer
  9. @Anonyme: effectivement c'est un challenge, mais où est le recruteur?

    RépondreSupprimer
  10. Un autre pour la route:
    http://pastebin.com/QMjRKcgy

    RépondreSupprimer