
Peux-tu te présenter en quelques mots ?
Je suis Malek Sfaxi, étudiante en 3è année du cycle ingénieur à EURECOM, spécialisée en cybersécurité.
J’ai eu l’honneur d’être majeure de ma promotion pour le semestre d’automne l’an dernier, et actuellement, je poursuis ma 3è année en échange académique à DTU (Danmarks Tekniske Universitet), au Danemark.
Depuis mon enfance, j’ai une double passion : l’informatique et le dessin. J’ai toujours essayé d’en faire une myriade et j’ai fait beaucoup de design graphique en m’investissant dans plusieurs projets et en travaillant avec plusieurs clubs et associations.
À 16 ans, j’ai été demi-finaliste internationale de Technovation 2018, une compétition dédiée aux filles pour développer des projets répondant à des problèmes concrets de la vie quotidienne. Cette expérience m’a énormément appris : j’ai eu la chance d’être encadrée par des mentors qui nous ont guidées et encouragées, et qui ont beaucoup cru en nous. En les admirant, je me suis promis qu’un jour, je serai à leur place, partageant à mon tour mes connaissances et aidant d’autres jeunes à se surpasser.
Aussi, j’adore relever des défis et dépasser les stéréotypes. Outre la cybersécurité et le dessin, j’ai une autre passion : la batterie. C’est parmi les rares instruments que je voulais apprendre et on m’a dit que ce n’était pas un « instrument pour les filles ». Cette simple idée a suffi pour me motiver à prouver le contraire.
Qu’est-ce qui t’a donné envie de plonger dans le monde fascinant (et parfois un peu chaotique) de la cybersécurité ?
Tout a commencé pendant ma dernière année de collège, où je me suis intéressée au monde du hacking. Je trouvais cela fascinant, presque magique, et j’admirais ces personnages de films qui jouaient les hackers qui déchiffrent tout d’un simple clic. À l’époque, j’étais une adolescente de 13 ou 14 ans qui parlait de hacking, mais, personne autour de moi ne me prenait vraiment au sérieux, à part mon professeur d’informatique qui a cru en moi. Un jour, après les cours, il m’a appelée pour m’offrir un cours OpenClassrooms sur la cybersécurité. Même après dix ans, je continue à raconter cette anecdote qui m’a tellement marquée car il était le premier à m’encourager dans cette voie. Cependant, à cet âge-là, sans encadrement ni véritable compréhension des opportunités du domaine, je ne savais pas par où commencer et avec la pression du brevet, j’ai dû mettre cette passion de côté.
En avançant dans mes études, au lycée puis en classes préparatoires, j’ai toujours cherché à explorer de nouveaux horizons et vivre des expériences diverses pour mieux connaître mes préférences. Je ne savais toujours pas la réponse à la question de quel métier je voulais exercer, et je pensais que mes intérêts pour l’informatique et les mathématiques finiraient par me guider vers une carrière plus conventionnelle. À ce moment-là, je ne savais même pas que la cybersécurité ou le hacking pouvaient être de véritables métiers.
C’est en intégrant EURECOM que les choses ont commencé à se préciser. J’entendais parler de cybersécurité, mais sans vraiment comprendre ce que cela impliquait. Je me dirigeais naturellement vers la data science, pensant que c’était un choix logique en raison de mes affinités avec les mathématiques.
Puis, à la fin du deuxième semestre de ma première année en école d’ingénieur, tout a changé grâce au cours d’IntroSec (Introduction to Security). Ce fut une révélation, un coup de foudre intellectuel! Ce cours a ravivé ma passion pour la cybersécurité et pour la première fois, j’ai eu une vision claire de mon avenir et j’ai su que je voulais me consacrer pleinement à la cybersécurité et poursuivre mon parcours dans cet univers.
As-tu une anecdote marquante ou une expérience qui t’a particulièrement inspiré dans ton parcours en cybersécurité ?
Une anecdote qui m’a beaucoup marquée remonte à mes débuts dans la cybersécurité, plus précisément durant le cours d’IntroSec.
Une partie de l’évaluation consistait à résoudre des challenges CTF déployés sur une instance dédiée de CTFd. L’un des challenges demandait d’utiliser un module Metasploit pour obtenir un reverse shell. À cette époque, je n’avais ni box Internet ni VPS, juste le Wi-Fi de ma résidence ou un hotspot. Configurer le port forwarding a été un véritable challenge, et je ne maîtrisais pas encore ngrok pour contourner ce problème.
Mais j’étais tellement déterminée que j’ai poussé mes efforts à l’extrême : je me suis connectée à distance au réseau Wi-Fi de ma maison en Tunisie, avec l’aide de mon petit frère en appel vidéo, qui modifiait les paramètres de la box Internet pour moi. J’ai fait de multiples essais, enchaînant les configurations mais en vain. Jusqu’à ce que, vers 4h du matin, alors que je me disais que c’était ma dernière tentative avant d’abandonner pour la nuit, j’ai enfin réussi à obtenir le reverse shell et à capturer le flag.
La sensation à ce moment-là, cette montée de sérotonine et de satisfaction, reste gravée dans ma mémoire. J’ai su à cet instant précis que je voulais vraiment poursuivre ma carrière dans ce domaine.
Quels sont les défis que tu rencontres en tant qu’étudiant en cybersécurité ?
Plutôt que de parler de défis au sens négatif, je dirais que c’est davantage une richesse du domaine : la nécessité de rester constamment à jour et de s’investir dans un apprentissage continu. La cybersécurité est un monde en perpétuelle évolution, où chaque jour apporte son lot de nouvelles technologies, menaces et opportunités. On ne peut jamais se contenter de ce que l’on sait déjà, car il y a toujours une nouvelle chose à découvrir.
Ce dynamisme en fait un milieu stimulant mais aussi très compétitif. Les talents sont nombreux et les attentes élevées, ce qui pousse à se dépasser. Heureusement, cette compétitivité est équilibrée par une forte culture de partage et de collaboration. Les communautés dans le domaine sont actives, bienveillantes et riches d’échanges, ce qui permet de progresser tout en créant des connexions précieuses.
As-tu participé à des projets ou des stages liés à la cybersécurité ? Si oui, peux-tu nous en parler ?
Oui, tout à fait !
L’année dernière, avec un collègue, nous avons cofondé N0PSctf, un CTF qui a rassemblé plus de 1000 participants lors de sa toute première édition. L’idée est née au début de l’année, lorsque nous avons décidé de relancer N0PS, l’équipe CTF d’EURECOM, et d’organiser davantage d’activités au sein de la communauté. Nous avons commencé par des présentations et des workshops autour de la cybersécurité, puis, juste avant les vacances de Noël, l’idée d’organiser un CTF a émergé autour d’une tasse de thé.
J’ai beaucoup appris au cours de cette expérience, que ce soit en créant des challenges, en testant d’autres, ou en prenant en charge toute la partie technique de CTFd, notamment la gestion des conteneurs Docker et le design de la plateforme. En parallèle, j’ai aussi géré la communication autour de l’événement. Le déroulement du CTF reste aussi un moment unique et inoubliable : nous avons passé tout le weekend sans répit (je n’ai dormi qu’une heure entre samedi et dimanche vu que nous gérions aussi le support en temps réel).
En plus de cette initiative, je suis très intéressée par la cryptographie. Pendant le deuxième semestre de l’année dernière, j’ai réalisé un projet de semestre dans ce domaine, portant sur un algorithme de Privacy-Preserving Federated Learning. Ce projet a été prolongé lors de mon stage d’été en recherche en cryptographie.
C’était une autre expérience marquante qui m’a permis de découvrir le monde de la recherche académique et de combiner deux domaines fascinants : l’intelligence artificielle (via l’apprentissage fédéré) et la cybersécurité, avec un focus particulier sur la cryptographie. Cela m’a permis de mieux comprendre les intersections entre ces univers et d’approfondir mes compétences.
Quelles compétences penses-tu être les plus importantes pour réussir dans le domaine de la cybersécurité ?
Curiosité, Créativité et Persévérance
Curiosité : La cybersécurité est un domaine où on apprend souvent des choses inattendues et où le partage est une valeur clé. Parfois, une conférence qui semblait anodine peut révéler une perle rare d’information, ou encore un comportement apparemment « sans importance », comme une simple alerte dans un navigateur ou un délai de quelques millisecondes dans l’exécution d’un outil, peut devenir le point de départ d’une découverte majeure. C’est en regardant au-delà des apparences et en s’intéressant aux petits détails qu’on fait des découvertes incroyables et inattendues.
Créativité : En cybersécurité, il n’y a jamais une seule manière d’exploiter une vulnérabilité. Chacun aborde les problèmes à sa façon, en utilisant ses outils et méthodes préférés. Parfois, les exploits les plus ingénieux sont ceux qui sortent des sentiers battus. Cette créativité permet de trouver des solutions là où d’autres n’en voient pas.
Persévérance : La cybersécurité est un monde où rien n’est vraiment « sécurisé ». Un système peut être sécurisé dans un contexte défini ou à un moment donné. Néanmoins, la faille est toujours là et elle finira par être exploitée. Il faut donc ne jamais abandonner et continuer à chercher. Personnellement, il m’arrive de passer des nuits entières à exécuter un outil ou un script, que je lance avant de me coucher, et le matin, je me précipite sur mon PC avant toute autre chose pour voir les résultats. Ce genre de moments me rappelle combien j’aime ce domaine.
Comment vois-tu l’évolution de la cybersécurité dans les prochaines années ?
Je pense que certains domaines de la cybersécurité seront de plus en plus automatisés, avec une intégration de l’IA dans presque tous les aspects. Par exemple, le pentest pourrait évoluer, avec des outils basés sur des modèles d’apprentissage capables d’identifier des vulnérabilités plus rapidement. Quant à la cryptographie, notamment avec l’émergence du post-quantum, elle va aussi connaître de grands changements.
Quel type de métier aimerais-tu exercer après tes études et pourquoi ?
Pour la première fois, j’ai enfin une réponse claire à cette question! 😊
J’aimerais poursuivre ma carrière en tant que pentesteuse, en particulier dans le domaine du pentest web, que je trouve passionnant. J’adore trouver des failles, les exploiter et faire des retours sur ceci en rédigeant les rapports de pentest. C’est un domaine qui me passionne vraiment, et je souhaite m’y investir pleinement.
Cependant, même si le pentest est mon principal centre d’intérêt (pour l’instant), j’aime beaucoup toucher à d’autres aspects de la cybersécurité, surtout la cryptographie et l’OSINT.
Qui est ton super-héros de la cybersécurité ?
Je n’ai pas un.e seul.e super-héros ou super-héroïne en cybersécurité, mais plutôt plusieurs figures et collectifs qui m’inspirent beaucoup.
Par exemple, Swissky, à l’origine de PayloadAllTheThings qui est une référence incroyable pour les passionnés de cybersécurité. J’admire également les développeurs de Hacktricks, LinPEAS et WinPEAS, des ressources et outils qui sont presque indispensables de nos jours.
Je suis aussi beaucoup inspirée par des personnes comme Laluka qui partage toujours ses connaissances avec générosité et dynamisme et Mme. Aude Folcher, la référente Région Sud du Cercle des Femmes en Cybersécurité (CEFCYS), qui a fondé les BrHackeuses, un collectif dédié à promouvoir l’inclusion des femmes dans le hacking éthique et qui a été pour moi une véritable bouffée d’air frais.
Grâce à cette communauté, j’ai pu beaucoup apprendre et rencontrer des personnes incroyablement talentueuses et passionnées, qui m’ont motivée à me dépasser dans ce domaine.
Si tu pouvais insérer un message secret dans une ligne de code que tout le monde verrait, qu’est-ce que tu écrirais ?
Je mettrais le ciphertext d’un OTP (One-Time Pad) dans le code, et je publierais la clé ailleurs (par exemple sur mon site personnel). Voici ce que ça donnerait :DQ4eF1NPQSERTzgBEVI7TUM4VBsxClUCH01ONgBPZVxVeCpDVSEHQ3k8AR1T
Y a-t-il des ressources (livres, sites web, conférences) que tu recommandes pour ceux qui s’intéressent à la cybersécurité ?
Tout ce que vous pouvez trouver! Pour commencer, Root-Me x Hacktricks forment un très bon combo. Ensuite, lorsque vous avez un peu plus d’expérience, Hack The Box est une excellente option.
Concernant les conférences, toutes sont intéressantes, mais particulièrement SecSea, GreHack, et si vous avez un chapitre OWASP près de chez vous, n’hésitez pas à y participer!
Le mot de la fin
Si la cybersécurité vous passionne, n’hésitez pas à foncer! C’est un monde encore plus incroyable que ce que l’on voit dans les films. C’est une aventure sans fin, pleine de surprises et de possibilités.