Règles & Tuto – CTF Cyberini

Préambule

Votre utilisation, même temporaire, de la présente plateforme CTF accessible depuis https://cyberini.com/ctf/ est soumise à l’acceptation pleine de ces présentes conditions d’utilisation qui complètent les CGU de Cyberini.

Article 1 – Règles générales

Un CTF (Capture The Flag) est un jeu éducatif sous forme de challenge dans lequel le participant doit trouver un drapeau (« flag ») dans un programme, site ou système donné.

Les challenges sont classés en 6 domaines

🔑 Cracking

Ces challenges consistent à contourner une protection d’un programme donné ou à casser un mot de passe.

👁 Inforensique

Ces challenges consistent à faire parler des données numériques en investiguant et en les étudiant.

🌍 Web

Ces challenges consistent à accéder à une application web et éventuellement au système sous-jacent en trouvant une vulnérabilité.

🕵️ OSINT

Ces challenges consistent à trouver des informations à l’aide de données publiquement accessibles sur Internet.

💥 Pwnage

Ces challenges consistent à entrer dans un système distant en exploitant une vulnérabilité.

🕶 Stéganographie

Ces challenges consistent à retrouver des données cachées dans divers documents.

Organisation d’une partie

Les CTFs Cyberini sont accessibles directement à l’adresse https://cyberini.com/ctf/ et le participant peut librement sélectionner les challenges qu’il souhaite passer parmi la liste disponible sur la gauche de l’écran.

Niveaux de difficultés

Chaque catégorie de CTF contient 3 niveaux de difficulté : Débutant, Intermédiaire et Difficile.

  • Le niveau « Débutant » implique que le participant peut résoudre le challenge soit dans une durée relativement courte par la recherche d’informations, soit par la découverte du drapeau sans connaissances approfondies dans le domaine visé. Ce niveau donne 50 points.
  • Le niveau « Intermédiaire » implique que le participant doit faire plus de recherches et ou qu’il doit posséder certaines connaissances dans le domaine visé. Ce niveau donne 100 points.
  • Le niveau « Difficile » implique que le participant doit prendre beaucoup de temps pour trouver la réponse ou qu’il doit disposer de bonnes connaissances sur le domaine visé. Ce niveau donne 300 points.

En fonction des CTFs, certains permettent de fournir une deuxième réponse, appelée Bonus. Un Bonus donne des points supplémentaires (indiqués dans le champ concerné). Le Bonus permet de récompenser les participants qui seraient allés encore plus loin dans l’exercice et qui sauraient prouver des compétences additionnelles.

Format des drapeaux (flags)

Sur Cyberini les drapeaux n’ont pas de format spécifique. Il peut s’agir de chiffres uniquement, de chiffres et lettres, ou même de mots avec des caractères spéciaux.

Ils sont cependant tous à écrire au format texte, sans espaces ni tabulations, et sont relativement courts (pas de phrases).

Pour aider les participants à les découvrir, notamment lorsque le résultat pourrait être ambigu, ils sont notés comme étant des « flag » de différentes façon, par exemple :

  • flag=DRAPEAU
  • le flag est:DRAPEAU
  • <flag>DRAPEAU</flag>
  • flag.txt
  • etc…

D’autres peuvent reposer sur le nom d’un site, système ou technologie. Dans ce cas il convient de l’écrire par défaut en minuscules.

Le système prévoit un peu de souplesse dans la soumission des résultats, mais par défaut il est recommandé de fournir le résultat tel qu’affiché (en prenant en compte la casse, les caractères spéciaux et les éventuels crochets autour  » { } « .

Si vous rencontrez tout de même des difficultés alors que vous pensez avoir fournir le bon résultat, veuillez nous contacter.

Fonctionnement des rangs

Chaque participant commence au rang (aussi appelé niveau) Newbie.

En fonction des points gagnés, le rang du participant augmente selon l’échelle suivante :

0% des CTFs réussis : cyber newbie ctf Cyber Newbie

2% des CTFs réussis : cyber aventurier ctf Cyber Aventurier

5% des CTFs réussis : cyber détective ctf Cyber Détective

12% des CTFs réussis : cyber analyste ctf Cyber Analyste

25% des CTFs réussis : cyber ingénieur ctf Cyber Ingénieur

40% des CTFs réussis : cyber colonel ctf Cyber Colonel

50% des CTFs réussis : cyber expert ctf Cyber Expert

85% des CTFs réussis : cyber maitre ctf Cyber Maître

Tous les CTFs réussis : cyber légende ctf Cyber Légende

Le pourcentage s’entend en quantité totale de points gagnés sur la quantité totale de points disponibles à l’instant t.

Fonctionnement des succès

Pour le moment les succès ne sont pas encore implémentés.

Interface

L’interface permet de voir à tout moment :

  • Le nombre de participants ayant réussi le CTF donné
  • Le niveau actuel de l’utilisateur et une barre de progression indiquant son progrès actuel avant d’atteindre le niveau suivant
  • Les points gagnés par le participant
  • Les CTF réussis (marqués d’un fond vert)

Note : pour changer votre nom affiché dans l’interface (sur toutes les pages où est placé votre nom), veuillez effectuer la modification dans votre profil Cyberini (champ « Nom affiché »).

CTF Verrouillés

Certains CTF peuvent apparaître comme étant 🚫 Verrouillés. Cela signifie que l’utilisateur se trouve dans l’une des situations suivantes :

  • il n’a pas suffisamment de points pour débloquer certains challenges de plus haut niveau
  • et/ou il ne dispose pas d’un compte Cyberini payant (l’utilisateur n’a pas acheté au moins un cours Cyberini)
  • et/ou il utilise un VPN/Proxy et ne peut donc pas suivre les challenges qui sont proposés sous forme d’environnements virtuels (voir Article 2)

Actions interdites

  1. La méthode dite de « bruteforce » ne permet pas de réussir les challenges et ne doit pas être employée envers cyberini.com ou tout autre domaine dont une autorisation explicite n’est pas donnée. L’impact des sanctions potentielles concerne le compte Cyberini du participant dans son intégralité (bannissement, blocage, etc).
  2. L’accès à l’intégralité des challenges demande de disposer d’un compte Cyberini payant. Il est par ailleurs interdit de partager un compte Cyberini payant, le système détecte les connexions multiples en prend des mesures en conséquence sur le compte Cyberini dans son intégralité (bannissement, blocage, etc).
  3. Partager les résultats publiquement. Cyberini propose des récompenses et des mises en avant diverses sur la plateforme CTF. Publier les réponses réduit la crédibilité des résultats de chacun. Il vaut mieux également demander un indice plutôt que de chercher la réponse. Le système peut détecter des montées en niveau anormalement rapides par rapport aux autres participants.

Mises à jour des CTF

Il est prévu d’ajouter régulièrement de nouveaux CTFs. Et chacun est également libre d’en proposer. Voir le mode d’emploi pour cela.

Afin de préserver l’équilibre des points et des niveaux, le ratio de CTF entre chaque niveau de difficulté doit rester sensiblement le même. C’est-à-dire 1 tiers pour le niveau Débutant, 1 tiers pour le niveau Intermédiaire et 1 tiers pour le niveau Difficile.

De cette façon, un participant qui commencerait à jouer lorsqu’il y a 2 fois plus de CTFs qu’au début aurait d’une part plus de CTFs à réussir pour atteindre un même niveau, mais il aurait aussi à sa disposition plus de choix et donc plus de possibilités de gagner des points.

Article 2 – Les environnements virtuels

Cyberini propose dans le cadre de certains CTFs de véritables environnements virtuels sans avoir à les installer en amont. Les environnements sont dits virtuels car ils sont générés à la volée sans disposer d’un système physique attitré.

L’utilisation de ces environnements « virtuels » est pourtant bien réelle en dépit du nom. Cela signifie qu’en utilisant un (ou plusieurs) environnement(s) virtuel(s), vous vous engagez à :

  1. Ne pas vous livrer à des activités illégales quelles qu’elles soient (incluant de façon non exhaustive des activités visant à cibler des machines, sites ou comptes ne vous appartenant pas avec des outils de hacking).
  2. Ne pas utiliser l’environnement à d’autres fins que celles prévues pour le challenge concerné. L’environnement virtuel n’est pas conçu pour remplacer un système physique. Il ne s’agit pas d’un espace de travail attitré et ne doit donc pas être considéré comme tel. Chaque environnement virtuel expire automatiquement après un délai variant entre 1h et 4h d’utilisation. À l’issue de l’utilisation (fermeture ou expiration de session), toutes les données (telles que les fichiers créés) seront directement et définitivement supprimées, mais les actions menées vis-à-vis d’autres systèmes perdureront dans le temps (création de compte sur un site web tiers par exemple).
  3. Ne pas créer une grande quantité d’environnements virtuels dans un espace de temps rapproché. Les ressources du serveur ne sont pas illimitées, et pour assurer une utilisation optimale par tous les membres, des mesures empêcheront la création d’un trop grand nombre d’environnements et/ou bloqueront la création d’un nouvel environnement virtuel pendant un certain délai si un seuil est franchi.
  4. Dégager Cyberini de toute responsabilité à l’égard de votre utilisation (à la fois pour les éventuels dommages aux tiers qui en résulteraient, mais aussi quant aux dommages visant vos propres données, quels qu’ils soient). L’environnement est proposé à titre éducatif uniquement, et aucune garantie sur sa disponibilité ou sa sécurité n’est donnée. Cyberini prend ici le rôle d’hébergeur au sens de l’article 6-1-2 de la loi LCEN. Cela signifie qu’il ne dispose que d’un rôle passif purement technique (mise à disposition) et n’a pas connaissance du contenu publié/utilisé dans un environnement virtuel. Les responsabilités se portant ainsi uniquement sur l’utilisateur de l’environnement virtuel.
  5. Ne pas utiliser de logiciels d’anonymisation pendant votre utilisation d’un environnement virtuel. Un message s’affichera le cas échéant, vous invitant à déconnecter votre VPN/proxy pour poursuivre. Ceci pour prévenir tout abus vis-à-vis de la plateforme.
  6. Vous acceptez explicitement que soit enregistrée votre activité durant l’utilisation d’un environnement virtuel. Cette activité comportant notamment les dates et durées de connexion à un environnement virtuel. Votre compte Cyberini sera associé à chaque session initiée dans un environnement virtuel.
    Nous serons légalement tenus de communiquer tout élément jugé pertinent à une autorité judiciaire nous les demandant si une plainte devait nous être adressée suite à une utilisation frauduleuse de l’environnement.
    Nous comptons donc sur votre bienveillance et vigilance lors de l’utilisation des environnements virtuels.

Ces règles ont été mises à jour le 24/05/2023 et sont susceptibles d’être modifiées à tout moment.