Règlement
Pour le bon fonctionnement de cette plateforme, celui de la compétition et pour le confort de tous, nous vous demandons de bien vouloir lire ces règles et de les respecter scrupuleusement.
Fonctionnement
Cette compétition est un CTF (Capturez le drapeau, Capture The Flag en anglais). Elle aura lieu du 16 mai 2026 au 7 juin 2026. L'objectif est de résoudre des épreuves de cybersécurité dans diverses catégories. La validation d'un challenge se fait en récupérant une chaîne de caractères appelée flag (drapeau en anglais) à renseigner sur la plateforme pour obtenir les points associés.
Règles générales
Cette plateforme recueille des challenges de cybersécurité conçus pour être attaqués. Cependant, « attaquer » n'est pas synonyme de « faire n'importe quoi» ou « bruteforcer ». Le « fuzzing » des sites web, consistant à bruteforcer les différents sous-domaines et trouver les pages cachées, est également STRICTEMENT INTERDIT. Aussi nous vous demanderons d'observer les règles suivantes lorsque vous tenterez de valider des épreuves :
- Bruteforcer le formulaire de validation est strictement interdit.
- Utiliser tout type d'outil automatique pour essayer de valider les challenges est strictement interdit et inutile.
- Tout type d'attaque sur cette plateforme (ctf.404ctf.fr et 404ctf.fr) est strictement interdit.
- De manière générale, le périmètre attaquable est délimité par les liens et services donnés en énoncé des challenges, ainsi que leurs sous-domaines. Ils sont du format challenges.404ctf.fr. Tout autre sous-domaine est hors-limites et ne peut faire l'objet d'une attaque.
- La pratique du flag hoarding, qui consiste à conserver des flags trouvés sans les soumettre sur la plateforme, est strictement interdite.
- Partager des indices, des flags, ou tout autre type d'aide avec un autre participant ou en public est strictement interdit.
Participation
La participation est gratuite et ouverte à tout le monde, et ce y compris après le lancement du CTF jusqu'à sa clôture. À noter que les énoncés des challenges sont en français.
La participation est strictement personnelle, et à hauteur d'un seul compte par personne physique. Il est strictement interdit de s'entraider ou de partager les flags.
Difficulté
Les challenges sont divisés en cinq catégories.
Les challenges d'introduction ont été spécialement créés pour s'adresser à des personnes découvrant le domaine de la cybersécurité. Ils sont conçus pour être abordables sans connaissance spécifique, avec quelques heures de travail, et en cherchant sur Internet.
Les quatre autres catégories sont les suivantes : facile, moyen, difficile et extrême. Ces difficultés ont été attribuées par les créateurs des challenges et donnent une estimation. Cette approximation peut varier en fonction de la catégorie et de l'auteur. Une fois le challenge lancé, vous pourrez également vous référer aux points - décroissant en fonction du nombre de validation.
Points
Le système de points est dynamique. Tous les challenges faciles, moyens, difficiles et extrêmes valent 500 points au départ. Leur valeur décroîtra en fonction du nombre de validations, et ce pour tous les participants ayant validé ce challenge. La valeur minimale est de 100 points. Les challenges d'introduction ont une valeur fixe de 100 points.
Ce système de points permet à la fois de donner une idée de la difficulté réelle des challenges (plus un challenge a été validé, plus il est supposé être facile) et de récompenser ceux qui s'attardent sur des challenges plus difficiles, car ils seront moins résolus et donc vaudront plus de points.
Règles spécifiques à la catégorie Réaliste
La catégorie Réaliste propose des challenges Active Directory hébergés sur une infrastructure dédiée. Ils nécessitent une connexion par VPN et l'obtention d'un compte AD personnel par challenge. Les règles ci-dessous s'ajoutent aux règles générales et s'appliquent à tous les participants de cette catégorie.
Plateformes de support de la catégorie
Deux services dédiés vous accompagneront pendant la compétition :
-
Portail VPN :
https://vpn.404ctf.fr/ —
téléchargez votre fichier
.ovpnpersonnel après authentification par token CTFd. Une seule configuration active à la fois : toute nouvelle génération révoque la précédente. - Portail LDAP / création de comptes AD : https://ldap.404ctf.fr/ — pour chaque challenge, vous y demandez la création d'un compte Active Directory personnel (un compte par joueur, par challenge). Les identifiants vous sont retournés immédiatement à l'écran. Si vous redemandez un compte pour un même challenge, les mêmes identifiants vous seront restitués (pas de régénération aveugle).
Périmètre d'attaque
- Le périmètre attaquable est strictement limité aux machines du réseau interne accessibles via le VPN player fourni (subnet
10.0.10.0/24uniquement, route poussée automatiquement). - Toute autre IP, sous-réseau, service de l'infrastructure (notamment les portails VPN et LDAP eux-mêmes, le DC de management, le réseau d'administration
10.0.99.0/24) est hors-périmètre. - Les comptes administrateur du domaine, les comptes de service Tier-0 (notamment
svc_dom_ops_*,ctfstaff,Administrateur), et tout compte explicitement marqué « staff » dans l'AD sont strictement interdits d'attaque. Toute tentative d'escalade vers ces comptes, même partielle, sera considérée comme une violation des règles. - L'attaque entre joueurs (lecture, modification ou suppression du compte AD d'un autre participant) est strictement interdite.
Filtrage réseau côté participants
Le VPN utilise les protocoles OpenVPN UDP 1194 côté player. Certaines box internet domestiques, réseaux d'entreprise ou écoles peuvent filtrer les ports UDP sortants (notamment 1194) ou bloquer le tunneling VPN. Si vous rencontrez des erreurs de connexion :
- Vérifiez d'abord que vous n'êtes pas derrière un pare-feu restrictif ou un proxy d'entreprise.
- Essayez depuis un autre réseau (partage de connexion mobile 4G/5G par exemple).
- Prenez vos dispositions avant le début de la compétition — le staff ne pourra pas débloquer un filtrage côté FAI ou réseau personnel.
Procédure pour récupérer son token CTFd
Le token API CTFd est requis par les portails VPN et LDAP pour vous authentifier. Il est personnel et lié à votre compte CTFd. Pour le générer :
- Connectez-vous sur https://ctf.404ctf.fr/ avec votre compte.
- Cliquez sur votre pseudo en haut à droite puis sur Settings.
- Faites défiler jusqu'à la section Access Tokens.
- Cliquez sur Generate, copiez immédiatement le token affiché (il commence par
ctfd_et ne sera plus jamais affiché ensuite). - Collez ce token dans les formulaires des portails VPN et LDAP, en complément de votre pseudo CTFd exact (sensible à la casse).
Ne partagez jamais ce token. Tout token compromis peut être révoqué dans la même page Settings à tout moment.
Sanctions spécifiques
Toute attaque sortant du périmètre autorisé, tentative d'escalade vers les comptes staff/admin, partage de configuration VPN ou d'identifiants AD, ou interaction hostile avec un autre joueur, entraînera une révocation immédiate de l'accès à la catégorie Réaliste, en plus des sanctions générales prévues plus bas. En cas de doute sur le perimètre, merci de contacter un admin dans le channel realiste.
Politique autour de l'utilisation des LLM
L'utilisation de LLM est strictement interdite sauf comme simple moteur de recherche.
Liste non exhaustive de choses interdites :
- Demander à un LLM ou agent d'expliquer une épreuve, pour la comprendre ou la résoudre même partiellement.
- Demander à un LLM ou agent de résoudre automatiquement une épreuve, même partiellement.
- Rechercher des vulnérabilités dans du code source.
- Utiliser des serveurs MCP pour aider à la résolution (Ghidra, IDA, etc.)
- Générer du code à l'aide d'un prompt LLM.
- Faire une recherche bibliographique.
- Rechercher des constantes que vous avez trouvées dans un binaire.
- Demander pourquoi une erreur survient (hors du contexte du challenge).
Support
En cas de problème avec la compétition ou avec votre compte, vous avez deux manières de contacter le support. La première est de rejoindre notre serveur discord et de vous adresser aux modérateurs. Il s'agit de la méthode privilégiée car elle vous permettra d'être informé en temps réel des divers problèmes ou mises à jour qui peuvent survenir, et de vérifier que votre question n'a pas déjà été posée et répondue. Si vous ne souhaitez pas utiliser Discord, vous pouvez nous envoyer un mail à support@404ctf.fr et nous vous répondrons dans les meilleurs délais.
- repérer dans l'énoncé du challenge les tags Discord du/des créateur(s) du challenge ;
- tagger le créateur concerné et en donnant le nom du challenge et le type de la demande (ex : ambiguité d'énoncé, problème de flag, question sur le périmètre d'attaque...) dans le salon dédié à la catégorie ;
- attendre que le créateur en question donne son accord puis lui envoyer un message privé ;
- en cas d'attente raisonnablement trop longue, tagger @Staff dans le salon dédié à la catégorie.
Sanctions
En cas de manquement à l'une de ces règles, les modérateurs se réservent le droit de mettre en place toute sanction qu'ils estiment nécessaire, et ce, sans avoir à se justifier.
Politique de confidentialité des données
Vous pouvez retrouver la politique de confidentialité des données du 404CTF ici