Règles

Pour le bon fonctionnement de cette plateforme, celui de la compétition et pour le confort de tous, nous vous demandons de bien vouloir lire ces règles et de les respecter scrupuleusement.

Fonctionnement

Cette compétition est un CTF (Capturez le drapeau, Capture The Flag en anglais). Elle aura lieu du 10 mai 2025 au 1er juin 2025. L'objectif est de résoudre des épreuves de cybersécurité dans diverses catégories. La validation d'un challenge se fait en récupérant une chaîne de caractères appelée flag (drapeau en anglais) à renseigner sur la plateforme pour obtenir les points associés.

Règles générales

Cette plateforme recueille des challenges de cybersécurité conçus pour être attaqués. Cependant, « attaquer » n'est pas synonyme de « faire n'importe quoi» ou « bruteforcer ». Le « fuzzing » des sites web, consistant à bruteforcer les différents sous-domaines et trouver les pages cachées, est également STRICTEMENT INTERDIT. Aussi nous vous demanderons d'observer les règles suivantes lorsque vous tenterez de valider des épreuves :

Bruteforcer le formulaire de validation est strictement interdit.
Utiliser tout type d'outil automatique pour essayer de valider les challenges est strictement interdit et inutile.
Tout type d'attaque sur cette plateforme (ctf.404ctf.fr et 404ctf.fr) est strictement interdit.
De manière générale, le périmètre attaquable est délimité par les liens et services donnés en énoncé des challenges, ainsi que leurs sous-domaines. Ils sont du format challenges.404ctf.fr. Tout autre sous-domaine est hors-limites et ne peut faire l'objet d'une attaque.
La pratique du flag hoarding, qui consiste à conserver des flags trouvés sans les soumettre sur la plateforme, est strictement interdite.
Partager des indices, des flags, ou tout autre type d'aide avec un autre participant ou en public est strictement interdit.

Participation

La participation est gratuite et ouverte à tout le monde, et ce y compris après le lancement du CTF jusqu'à sa clôture. À noter que les énoncés des challenges sont en français.
La participation est strictement personnelle, et à hauteur d'un seul compte par personne physique. Il est strictement interdit de s'entraider ou de partager les flags.

Difficulté

Les challenges sont divisés en cinq catégories.
Les challenges d'introduction ont été spécialement créés pour s'adresser à des personnes découvrant le domaine de la cybersécurité. Ils sont conçus pour être abordables sans connaissance spécifique, avec quelques heures de travail, et en cherchant sur Internet.
Les quatre autres catégories sont les suivantes : facile, moyen, difficile et extrême. Ces difficultés ont été attribuées par les créateurs des challenges et donnent une estimation. Cette approximation peut varier en fonction de la catégorie et de l'auteur. Une fois le challenge lancé, vous pourrez également vous référer aux points - décroissant en fonction du nombre de validation.

Points

Le système de points est dynamique. Tous les challenges faciles, moyens, difficiles et extrêmes valent 1000 points au départ. Leur valeur décroîtra en fonction du nombre de validations, et ce pour tous les participants ayant validé ce challenge. La valeur minimale est de 200 points. Les challenges d'introduction ont une valeur fixe de 100 points.
Ce système de points permet à la fois de donner une idée de la difficulté réelle des challenges (plus un challenge a été validé, plus il est supposé être facile) et de récompenser ceux qui s'attardent sur des challenges plus difficiles, car ils seront moins résolus et donc vaudront plus de points.

Support

En cas de problème avec la compétition ou avec votre compte, vous avez deux manières de contacter le support. La première est de rejoindre notre serveur discord et de vous adresser aux modérateurs. Il s'agit de la méthode privilégiée car elle vous permettra d'être informé en temps réel des divers problèmes ou mises à jour qui peuvent survenir, et de vérifier que votre question n'a pas déjà été posée et répondue. Si vous ne souhaitez pas utiliser Discord, vous pouvez nous envoyer un mail à support@404ctf.fr et nous vous répondrons dans les meilleurs délais.

Démarche pour contacter un admin sur Discord :

repérer dans l'énoncé du challenge les tags Discord du/des créateur(s) du challenge ;
tagger le créateur concerné et en donnant le nom du challenge et le type de la demande (ex : ambiguité d'énoncé, problème de flag, question sur le périmètre d'attaque...) dans le salon dédié à la catégorie ;
attendre que le créateur en question donne son accord puis lui envoyer un message privé ;
en cas d'attente raisonnablement trop longue, tagger @Staff dans le salon dédié à la catégorie.

Il est formellement INTERDIT de contacter directement un administrateur en MP sans avoir eu son accord explicite.

Il est inutile de demander de l'aide pour la résolution des épreuves aux organisateurs. AUCUNE aide ne sera fournie de manière individuelle aux participants sur les challenges faciles, moyens, difficiles et extrêmes, excepté pour résoudre d'éventuelles anomalies dans les épreuves perturbant leur résolution. Les challenges d'introduction ont une visée pédagogique : nous nous laissons le droit d'aller plus loin dans l'aide donnée, à notre entière discrétion, si et seulement si le participant a déjà fait ses propres recherches et essayé de résoudre le challenge par lui-même.

Sanctions

En cas de manquement à l'une de ces règles, les modérateurs se réservent le droit de mettre en place toute sanction qu'ils estiment nécessaire, et ce, sans avoir à se justifier.