Règlement

Pour le bon fonctionnement de cette plateforme, celui de la compétition et pour le confort de tous, nous vous demandons de bien vouloir lire ces règles et de les respecter scrupuleusement.

Fonctionnement

Cette compétition est un CTF (Capturez le drapeau, Capture The Flag en anglais). Elle aura lieu du 16 mai 2026 au 7 juin 2026. L'objectif est de résoudre des épreuves de cybersécurité dans diverses catégories. La validation d'un challenge se fait en récupérant une chaîne de caractères appelée flag (drapeau en anglais) à renseigner sur la plateforme pour obtenir les points associés.

Règles générales

Cette plateforme recueille des challenges de cybersécurité conçus pour être attaqués. Cependant, « attaquer » n'est pas synonyme de « faire n'importe quoi» ou « bruteforcer ». Le « fuzzing » des sites web, consistant à bruteforcer les différents sous-domaines et trouver les pages cachées, est également STRICTEMENT INTERDIT. Aussi nous vous demanderons d'observer les règles suivantes lorsque vous tenterez de valider des épreuves :

Participation

La participation est gratuite et ouverte à tout le monde, et ce y compris après le lancement du CTF jusqu'à sa clôture. À noter que les énoncés des challenges sont en français.
La participation est strictement personnelle, et à hauteur d'un seul compte par personne physique. Il est strictement interdit de s'entraider ou de partager les flags.

Difficulté

Les challenges sont divisés en cinq catégories.
Les challenges d'introduction ont été spécialement créés pour s'adresser à des personnes découvrant le domaine de la cybersécurité. Ils sont conçus pour être abordables sans connaissance spécifique, avec quelques heures de travail, et en cherchant sur Internet.
Les quatre autres catégories sont les suivantes : facile, moyen, difficile et extrême. Ces difficultés ont été attribuées par les créateurs des challenges et donnent une estimation. Cette approximation peut varier en fonction de la catégorie et de l'auteur. Une fois le challenge lancé, vous pourrez également vous référer aux points - décroissant en fonction du nombre de validation.

Points

Le système de points est dynamique. Tous les challenges faciles, moyens, difficiles et extrêmes valent 500 points au départ. Leur valeur décroîtra en fonction du nombre de validations, et ce pour tous les participants ayant validé ce challenge. La valeur minimale est de 100 points. Les challenges d'introduction ont une valeur fixe de 100 points.
Ce système de points permet à la fois de donner une idée de la difficulté réelle des challenges (plus un challenge a été validé, plus il est supposé être facile) et de récompenser ceux qui s'attardent sur des challenges plus difficiles, car ils seront moins résolus et donc vaudront plus de points.

Règles spécifiques à la catégorie Réaliste

La catégorie Réaliste propose des challenges Active Directory hébergés sur une infrastructure dédiée. Ils nécessitent une connexion par VPN et l'obtention d'un compte AD personnel par challenge. Les règles ci-dessous s'ajoutent aux règles générales et s'appliquent à tous les participants de cette catégorie.

Plateformes de support de la catégorie

Deux services dédiés vous accompagneront pendant la compétition :

Périmètre d'attaque

Filtrage réseau côté participants

Le VPN utilise les protocoles OpenVPN UDP 1194 côté player. Certaines box internet domestiques, réseaux d'entreprise ou écoles peuvent filtrer les ports UDP sortants (notamment 1194) ou bloquer le tunneling VPN. Si vous rencontrez des erreurs de connexion :

Procédure pour récupérer son token CTFd

Le token API CTFd est requis par les portails VPN et LDAP pour vous authentifier. Il est personnel et lié à votre compte CTFd. Pour le générer :

  1. Connectez-vous sur https://ctf.404ctf.fr/ avec votre compte.
  2. Cliquez sur votre pseudo en haut à droite puis sur Settings.
  3. Faites défiler jusqu'à la section Access Tokens.
  4. Cliquez sur Generate, copiez immédiatement le token affiché (il commence par ctfd_ et ne sera plus jamais affiché ensuite).
  5. Collez ce token dans les formulaires des portails VPN et LDAP, en complément de votre pseudo CTFd exact (sensible à la casse).

Ne partagez jamais ce token. Tout token compromis peut être révoqué dans la même page Settings à tout moment.

Sanctions spécifiques

Toute attaque sortant du périmètre autorisé, tentative d'escalade vers les comptes staff/admin, partage de configuration VPN ou d'identifiants AD, ou interaction hostile avec un autre joueur, entraînera une révocation immédiate de l'accès à la catégorie Réaliste, en plus des sanctions générales prévues plus bas. En cas de doute sur le perimètre, merci de contacter un admin dans le channel realiste.

Politique autour de l'utilisation des LLM

L'utilisation de LLM est strictement interdite sauf comme simple moteur de recherche.

Liste non exhaustive de choses interdites :

Liste non exhaustive de choses autorisées :

Support

En cas de problème avec la compétition ou avec votre compte, vous avez deux manières de contacter le support. La première est de rejoindre notre serveur discord et de vous adresser aux modérateurs. Il s'agit de la méthode privilégiée car elle vous permettra d'être informé en temps réel des divers problèmes ou mises à jour qui peuvent survenir, et de vérifier que votre question n'a pas déjà été posée et répondue. Si vous ne souhaitez pas utiliser Discord, vous pouvez nous envoyer un mail à support@404ctf.fr et nous vous répondrons dans les meilleurs délais.

Il est inutile de demander de l'aide pour la résolution des épreuves aux organisateurs. AUCUNE aide ne sera fournie de manière individuelle aux participants sur les challenges faciles, moyens, difficiles et extrêmes, excepté pour résoudre d'éventuelles anomalies dans les épreuves perturbant leur résolution. Les challenges d'introduction ont une visée pédagogique : nous nous laissons le droit d'aller plus loin dans l'aide donnée, à notre entière discrétion, si et seulement si le participant a déjà fait ses propres recherches et essayé de résoudre le challenge par lui-même.

Sanctions

En cas de manquement à l'une de ces règles, les modérateurs se réservent le droit de mettre en place toute sanction qu'ils estiment nécessaire, et ce, sans avoir à se justifier.

Politique de confidentialité des données

Vous pouvez retrouver la politique de confidentialité des données du 404CTF ici