
Barbhack 2025 : bénévoles, participants et speakers, retour sur une édition conviviale et enrichissante
Le 30 août 2025, Toulon a accueilli une nouvelle édition de la Barbhack, conférence incontournable dédiée à la cybersécurité. Chaque année, l’événement réunit étudiants, professionnels et passionnés au Palais des Congrès Neptune autour de conférences pointues, d’ateliers pratiques et de challenges de hacking. Le tout dans une ambiance à la fois technique et conviviale.
Cette année, quatre étudiants de La Plateforme ont pris part à l’aventure, chacun avec un rôle bien différent : bénévole, speaker ou participants. Nicolas Duhamel, Raphaël Attias, Benjamin Mamoud et Ilona Baude nous partagent leurs retours d’expérience.
La vision en tant que bénévole – par Nicolas Duhamel
Être bénévole à la Barbhack, c’est plonger au cœur de l’organisation et découvrir l’événement de l’intérieur.
“Je suis arrivé à 8h, avant les participants, afin de recevoir les consignes pour les bénévoles. C’était ma deuxième participation à la Barbhack, mais la première en tant que bénévole.
Ma mission principale consistait à accueillir les participants, distribuer les badges et leur donner quelques instructions de base sur le déroulement de la journée. Même si je n’ai pas pu assister à beaucoup de conférences, étant souvent pris à l’accueil, les retours des participants étaient globalement très positifs. Les pauses m’ont permis de discuter avec des professionnels et des passionnés, une excellente occasion de développer un petit réseau dans le domaine de la cybersécurité.

Le moment le plus sportif est arrivé en fin de journée : la mise en place des tables et des chaises pour le repas du soir, prévu pour 400 personnes. Petite frayeur au passage : le vent était si fort qu’il a renversé certaines installations. Heureusement, le traiteur était bien préparé et a pu assurer une installation impeccable malgré les conditions météo. Le repas du soir reste un moment fort de la Barbhack : convivialité, échanges avec les confrères, et une ambiance toujours au rendez-vous.
Début de soirée vers 22h, mon moment préféré dans ce genre de conférence : le CTF. Cette année, les organisateurs avaient préparé une interface originale sous forme de jeu Unity. En tant que membre du staff, plusieurs participants sont venus me signaler des problèmes techniques, mais n’étant pas impliqué dans la conception, je les ai redirigés vers les responsables du CTF. On a eu droit aux classiques coupures de courant, l’installation électrique du bâtiment n’étant pas prévue pour autant d’ordinateurs branchés simultanément.


Je n’ai pas eu beaucoup de temps pour participer aux épreuves, étant chargé du ravitaillement en boissons pendant la soirée. Les challenges étaient comme toujours exigeants et stimulants. Seule petite remarque concernant les épreuves web : l’absence de sources. C’est compréhensible au vu de la nature de certains challenges, mais les standards actuels en termes de CTF tendent à privilégier les challenges avec les sources (ne serait-ce que pour limiter les risques de bruteforce).
En résumé, un bilan très positif : de nouvelles rencontres enrichissantes, un CTF compétitif et passionnant, et une fin de soirée… à 6h du matin, complètement épuisé ! “
L’expérience en tant que participants La participation étudiante – par Ilona Baude et Benjamin Mamoud
Pour Ilona et Benjamin, Barbhack fut l’occasion de découvrir le Palais des Congrès Neptune et de prendre place aux conférences et challenges.
Ilona nous partage son ressenti :
“C’était notre première participation à la Barbhack, et nous avons eu l’occasion de découvrir le Palais des Congrès Neptune. Nous sommes arrivés aux alentours de 9h, où nous avons été accueillis par les bénévoles ainsi qu’un petit déjeuner sur place.
Après avoir retrouvé certaines personnes rencontrées lors d’autres conférences et échangé avec de nouvelles connaissances, nous avons assisté aux panels qui abordaient des sujets variés : de l’exploitation d’anciens protocoles sous un angle nouveau à l’utilisation de techniques récentes, notamment l’intégration de l’IA dans les outils de cybersécurité.


Parmi les conférences marquantes :
- Quentin Roland (Synacktiv) a ouvert le programme avec une présentation sur l’empoisonnement de la résolution de noms via Responder, en utilisant des techniques de relais.
- Une intervention sur ASRepCatcher et l’utilisation d’algorithmes permettant d’obtenir un ticket TGT plus facile à déchiffrer.
- Une présentation sur les logiciels PUA et leur potentiel comme vecteurs de malware.
- Une conférence sur le scan de ports furtif exploitant ARP et TCP pour rester plus discret.
Suite aux conférences, nous avons participé au repas du soir qui était excellent, avec une ambiance très conviviale qui nous a permis d’échanger avec les collègues. Nous remercions les traiteurs et les bénévoles pour leur travail.”
Benjamin (Dav3n) s’est plongé dans plusieurs challenges web / CTF et nous détaille son expérience :
“Après ce beau résumé d’Ilona je vais expliquer le principe de quelques challenges web auxquels j’ai participé :
WEB #1 : Dumb and dumber
L’objectif était simple en apparence : réussir à exploiter une injection SQL. Mais le challenge avait une subtilité : le point d’injection n’était pas là où on s’y attendait.
Le détail qui rendait le challenge difficile :
À cause d’une erreur volontaire de debug sur un endpoint, la vulnérabilité n’était pas dans le paramètre prévu, mais en réalité sur les cookies de l’Endpoint de login. Il fallait donc analyser le flux et identifier correctement où le payload devait être injecté pour réussir l’exploitation.
Ce qu’on apprend :
- La vulnérabilité peut être cachée là où on ne l’attend pas.
- Il est important de tester tous les points d’entrée possibles, même ceux qui semblent anodins.
- Les erreurs de debug peuvent créer des portes inattendues pour les attaques.
- Même un challenge simple peut devenir compliqué si le point d’injection est trompeur. L’analyse et la curiosité sont clés pour réussir en sécurité web !
WEB #2 : Fred’s pizza
Le principe du challenge :
L’objectif était de contourner l’authentification basée sur JWT pour obtenir un accès admin.
La subtilité du challenge :
Le challenge reposait sur la manipulation du champ iss (issuer) dans le JWT. En modifiant cette valeur, le serveur allait chercher nos propres clés publiques pour valider le token. Cela permettait ensuite de resigner le JWT en tant qu’admin et d’obtenir des privilèges élevés.
WEB #3 : Docker Viewer
Le détail qui rendait le challenge difficile :
Ce challenge était vraiment vicieux ! Tout commence sur une page 404, où un template engine en Rust, Tera, laissait passer une SSTI. À partir de là, il était possible de leaker une variable d’environnement : le mot de passe de l’admin. Avec ce mot de passe, l’accès au panel admin devenait possible, mais le vrai challenge ne faisait que commencer.
Dans le panel, une fonction cachée pouvait être détectée grâce au template. En l’invoquant via Tera, combiné à curl, il était possible de lire des fichiers sensibles sur le serveur avec file:///. Le template permettait aussi d’intercepter des URLs d’images, mais celles-ci étaient stockées dans des variables invisibles.
Heureusement, un commentaire pointait vers un JSON contenant tous les liens cachés, révélant un chemin vers un Docker Registry.
Une fois dans le Docker Registry, il y avait une image contenant un flag nommé RM. Il fallait identifier le bon layer de l’image et le dumper pour récupérer le flag final.
La subtilité du challenge :
Ce challenge montrait parfaitement que la sécurité ne se limite pas à l’application web : une SSTI peut conduire à l’exfiltration de secrets, à l’exploration de l’infrastructure, et même à l’extraction de flags dans des images Docker. Une vraie démonstration de la chaîne d’attaques et de la curiosité nécessaire pour résoudre ce genre de challenge. »


Chaque challenge illustre l’importance de la curiosité, de l’analyse et de la compréhension de l’infrastructure complète.
Le retour d’expérience d’un speaker – par Raphaël Attias (RAPATT)
Raphaël quant à lui a eu l’occasion de partager ses connaissances lors de la conférence et d’un workshop pratique.
“J’ai eu la chance de participer à Barbhack en tant que speaker. Cette édition restera mémorable à plusieurs titres : une conférence marquante sur la sécurité des tickets de métro, un workshop pratique autour du WiFi, une ambiance unique qui favorise les rencontres, et quelques petites attentions qui ont fait la différence.

Une conférence au cœur du sujet : le hack d’un ticket de métro
J’ai présenté une conférence sponsorisée par Stormsecurity sur le hack d’un ticket de métro. Ce talk avait pour but d’éveiller les consciences sur la sécurité trop souvent négligée des technologies NFC, largement utilisées dans les titres de transport. Montrer que les vulnérabilités existent dans notre quotidien est essentiel pour mieux s’en prémunir.
Un workshop dynamique sur la sécurité WiFi
En collaboration avec Ob3ud, j’ai animé un workshop intitulé « WiFi, sécurité ou illusion » où nous avons présenté le projet Pwnagotchi. Nous avons également proposé une démonstration d’une attaque sur un handshake WiFi avec notre cyber-tool open source, même si cette tentative n’a pas abouti. Cet atelier pratique a été pour moi un moment clé d’échange et d’apprentissage.
Une ambiance particulière : le hacking au soleil du Sud
Barbhack n’est pas seulement une conférence technique, c’est aussi une expérience conviviale et décontractée. L’accueil a été excellent, et l’atmosphère rappelle un peu un gros barbecue entre passionnés de hacking, sous le soleil de Provence. Cette ambiance détendue favorise les échanges spontanés et les rencontres enrichissantes.
Durant l’événement, j’ai pu renouer avec plusieurs contacts professionnels, mais également faire de nouvelles rencontres passionnantes, notamment sur des sujets comme la radiofréquence, un domaine qui me passionne dans mes projets personnels.
Des petits plus plaisants
Les goodies destinés aux speakers ont ajouté une touche sympathique à cette expérience, notamment un tablier de cuisine original qui m’a bien plu. Petit plus également sur le stand de SQUAD Conseil et Expertises, qui a mis en place un atelier de crochetage de serrure, très apprécié des participants.”
Conclusion
Barbhack 2025 a une nouvelle fois tenu ses promesses : conférences techniques variées, ateliers pratiques stimulants, CTF exigeant, et surtout une atmosphère chaleureuse qui encourage les échanges. Qu’il s’agisse de bénévolat, de prise de parole ou de participation aux épreuves, chaque expérience à la Barbhack est l’occasion de repartir enrichi de nouvelles connaissances et de rencontres inspirantes.
Un rendez-vous qui confirme son statut d’événement incontournable dans le paysage de la cybersécurité en France, et qui donne envie d’être au rendez-vous pour l’édition 2026.
Un grand merci à nos étudiants pour leur implication et leurs récits, et à Cédric Messeguer, qui permet chaque année à nos apprenants de participer à cet événement. Nous remercions également l’ensemble des entreprises présentes lors de cet événement dont : NAVAL-GROUP, SQUADGROUP, MARINE NATIONALE, SYNACKTIV, EPSILON SEC, QUARKSLAB , ORANGE CYBER DEFENSE, CEFCYS , OSINTFR, WOCSA, HZV, CONNECT.ED-DIAMOND MISC, ZATAZ , LAB401 , URGENCE CYBER REGION SUD, ARES.CAMPUS CYBER REGION SUD.
Crédits photos : Alexandre “Keywi” S.