Foire aux questions

  1. Comment choisir ma catégorie lors de l'inscription ?
  2. Comment vérifier si je suis éligible à la sélection de l'Équipe France et si oui, comment choisir ma catégorie ?
  3. Est-ce que je peux participer au Challenge cette année si j'ai déjà fait partie de l'Équipe France lors d'une édition précédente ?
  4. Est-ce qu'une équipe existante peut s'inscrire à la sélection nationale ?
  5. Quelles sont les qualités recherchées pour intégrer l'Equipe France ?
  6. Comment sont choisies les personnes pré-sélectionnées ?
  7. Comment se déroule le FCSC ?
  8. Quel est le système utilisé pour comptabiliser les points ?
  9. Est-ce que des write-ups seront demandés ?
  10. Est-ce que je peux utiliser des outils pour faire du bruteforce automatisé ?
  11. Je ne peux plus contacter le CTFd et les challenges, quel est le problème ?
  12. Que se passe-t-il si je trouve une erreur ou une faille sur la plateforme ?
  13. Vous avez une question technique sur une épreuve ?
  14. Pourquoi certaines épreuves ont une limite maximum du nombre d'essais ?
  15. Est-ce que des solutions seront publiées à l'issue de la compétition ?
  16. Quelles sont les dates à réserver si je prends part au FCSC ?
  17. Qu'est-ce que le European Cybersecurity Challenge (ECSC) ?

Comment choisir ma catégorie lors de l'inscription ?

Lors de votre inscription vous avez le choix entre trois catégories : junior, senior et hors catégorie.

Je suis junior si :

Je suis senior si :

Je m'incris en « hors catégorie » si :

Le FCSC est avant tout un challenge organisé pour les 14-25 ans afin de permettre à l'ANSSI de sélectionner les joueuses et les joueurs qui intègreront l'Équipe France lors de la prochaine édition de l'ECSC, également dédiée aux 14-25 ans.


Comment vérifier si je suis éligible à la sélection de l'Équipe France et si oui, comment choisir ma catégorie ?

La participation au Challenge national FCSC requiert de remplir les conditions suivantes :


Est-ce que je peux participer au Challenge cette année si j'ai déjà fait partie de l'Équipe France lors d'une édition précédente ?

Vous pouvez bien sûr participer à l'édition 2022 et gagner votre place au sein de l'Équipe France, y compris si vous avez participé aux épreuves lors des précédentes éditions.

À noter cependant que l'inscription est individuelle et unique : une même personne ne peut s'inscrire qu'une seule fois et ne peut participer qu'une seule fois aux épreuves de sélection nationale de l'édition 2022.

En cas d'inscriptions multiples, seule la première participation valablement enregistrée sera prise en compte sans que cela ne puisse donner lieu à aucune contestation d'aucune sorte.


Est-ce qu'une équipe existante peut s'inscrire à la sélection nationale ?

La sélection des membres de l'Équipe France se fait sur la base d'un classement individuel et ce à toutes les étapes de la sélection nationale. Pour le FCSC, on demande ainsi une joueuse/un joueur par identifiant.

Il est également interdit de jouer à plusieurs et de partager les résultats.

L'objectif est bien de créer une équipe nationale, et non de sélectionner une équipe préexistante. La qualification portera sur les connaissances et les compétences personnelles des candidat(e)s.


Quelles sont les qualités recherchées pour intégrer l'Equipe France ?

Les candidat(e)s seront départagé(e)s sur la base de plusieurs critères : le classement de la phase achevée mais également la rapidité de résolution, la qualité des explications, la démonstration de la résolution, le comportement observé lors des phases de sélection, etc.

L'objectif final est de créer une Équipe France aux compétences multiples et complémentaires. Ses membres seront recrutés par les coachs de l'ANSSI pour leurs expertises, leur talent, leurs qualités humaines et leur sens du collectif.


Comment sont choisies les personnes pré-sélectionnées ?

À l'issue du FCSC, une première étape de pré-sélection pour la composition de la Team France est établie sur la base des résultats des participants.

Les personnes pré-sélectionnées sont celles inscrites en catégorie junior ou senior qui sont

Les personnes pré-sélectionnées seront reçues en entretiens individuels (en visioconférence) par les coachs et experts de l'ANSSI.

La composition de la Team France dépendra de la qualité des entretiens.


Comment se déroule le FCSC ?

Les épreuves seront toutes mises en ligne le vendredi 29 avril 2022 à 14h et seront disponibles jusqu'au dimanche 8 mai 2022 à 18h. Aucune autre épreuve ne sera publiée.

Élaborée par des experts de l'ANSSI et par XeR, une soixantaine d'épreuves sont prévues avec une répartition par catégorie : crypto, reverse, pwn, web, forensics, hardware, etc.


Quel est le système utilisé pour comptabiliser les points ?

La méthode pour comptabiliser les points pour chaque épreuve (à l'exception de la catégore "intro") est dynamique et dégressive en fonction du nombre croissant de résolution (dynamic scoring). Toutes les épreuves démarrent avec un score de 500 points qui diminue de manière quadratique en fonction du nombre de résolutions pour atteindre une valeur minimal de 100 points au bout de 300 résolutions.

Nombre de validations     Nombre de points du challenge
1 500
5 490
10 477
25 439
50 381
100 280
150 202
200 146
250 112
300+ 100

Par ailleurs, des niveaux de difficulté approximatifs des épreuves sont donnés sous la forme d'étoiles : 1 étoile pour un niveau facile, 2 étoiles pour un niveau moyen, et 3 étoiles pour un niveau difficile.

Il est strictement interdit de garder plusieurs solutions dans le but de toutes les soumettre à quelques minutes de la fin de la compétition (flag hoarding).


Est-ce que des write-ups seront demandés ?

Oui. Chaque candidat(e) pour la Team France doit envoyer obligatoirement deux writeups parmi les épreuves les plus difficiles qu'il ou elle aura réussi à l'adresse contact [at] france-cybersecurity-challenge.fr, avant la fin du FCSC 2022, accompagné du nom d'utilisateur sur le site et d'une courte présentation personnelle (nom, prénom, âge, parcours, formation, expérience en CTF). Le choix des épreuves est laissé à la discrétion des participants. Le format des write-ups est libre, avec une préférence pour du PDF ou du Markdown.

Si vous faites partie de la catégorie senior, vos write-ups devront être rédigés en anglais. Si vous faites partie de la catégorie junior, vous pouvez choisir entre français et anglais.

Les coachs attacheront un intérêt particulier à l'aspect méthodologique des solutions, mais également aux décisions prises lors de la résolution de l'épreuve.

Les candidat(e)s sont invité(e)s à regrouper le plus possible les envois (dans l'idéal, un seul e-mail avec une archive) pour faciliter le traitement des solutions. Les write-ups ne seront acceptés que jusqu'à la fermeture du challenge, le dimanche 8 mai 2022 à 18h00.

En effet, après la fin du FCSC, toutes les joueuses et tous les joueurs seront libres de publier sur Internet des write-ups sur les épreuves.


Est-ce que je peux utiliser des outils pour faire du bruteforce automatisé ?

Sauf mention contraire, les outils automatisés de bruteforce de la plateforme (dirbuster/dirb/wfuzz/sqlmap/nikto et équivalents) sont interdits et de toute façon inutiles : si vous les utilisez, c'est que vous n'êtes pas sur la bonne piste. Nous enverrons des messages sur Discord et des mails d'avertissement aux personnes qui les utilisent. En cas de récidive, nous pourrons aller jusqu'à bannir l'utilisateur de la compétition.


Je ne peux plus contacter le CTFd et les challenges, quel est le problème ?

Afin de protéger l'infrastructure et de garantir la fluidité pour tous les joueurs, deux types de limite sont mises en place :

Si vous utilisez des outils d'automatisation, veillez donc à le faire finement : vous pouvez par exemple veiller à ne pas recevoir de codes 429 ou à ne pas ouvrir de multiples connexions sur les services tcp.

Si vous êtes plusieurs participants à jouer depuis une connexion mutualisée (réseau d'école, résidence CROUS, réseau public, etc.) les actions d'un autre joueur peuvent bloquer l'ip que vous utilisez.


Que se passe-t-il si je trouve une erreur ou une faille sur la plateforme ?

Vous avez repéré un dysfonctionnement ou une faille sur une épreuve ou sur la plateforme ? Transmettez l'information à l'équipe d'organisation de l'ANSSI via l'adresse contact [at] france-cybersecurity-challenge.fr et remportez quelques points supplémentaires !

Attention : pendant la durée du Challenge, les joueuses et les joueurs doivent solliciter les organisateurs avec discernement.


Vous avez une question technique sur une épreuve ?

Chaque épreuve peut contenir des indices. Si un indice est débloqué, il sera ajouté sur la plateforme et disponible sous la description de l'épreuve. Une notification sera également faite sur la plateforme en complément d'un message sur Discord.

Le FCSC est une compétition. Si une épreuve a déjà été validée plusieurs fois, nous ne pourrons pas répondre aux questions liées à la technicité des épreuves pendant la durée de la compétition. Toute réponse ou indice à une question technique peut pénaliser les joueuses et les joueurs qui ont réussi à valider l'épreuve sans indice. C'est pourquoi nous ne pourrons pas répondre aux demandes individuelles d'indice.

Des points pourront par ailleurs être retirés pour toutes questions abusives ou répétées auprès des membres de l'organisation, apparaissant comme une recherche d'indices sur une ou des épreuves.


Pourquoi certaines épreuves ont une limite maximum du nombre d'essais ?

Certaines épreuves peuvent être particulièrement sujettes à la soumission de chaînes de charactères prises au hasard jusqu'à trouver la bonne solution.

Ainsi, pour éviter les tentatives de validations abusives, une limite maximum du nombre d'essais de soumissions de flags peut être mise en place.

De plus, ce CTF dure 10 jours et non 24 ou 48h. Les joueuses et les joueurs ont donc le temps d'analyser les éléments en leur possession pour aller au bout des épreuves avant d'essayer de soumettre les flags.


Est-ce que des solutions seront publiées à l'issue de la compétition ?

L'ANSSI ne publiera pas de write-ups à l'issue du FCSC. Néanmoins, après la compétition, toutes les joueuses et tous les joueurs seront libres de publier leurs propres write-ups sur les épreuves, après 18h le dimanche 8 mai 2022.


Quelles sont les dates à réserver si je prends part au FCSC ?

Chaque candidat(e) s'engage à se rendre disponible lors des rendez-vous organisés par l'ANSSI liés aux challenges et aux éventuelles sessions d'entrainement.

Le calendrier :


Qu'est-ce que le European Cybersecurity Challenge (ECSC) ?

Rassemblant chaque année une vingtaine de pays européens, l'European Cybersecurity challenge (ECSC) permet aux équipes nationales de se mesurer les unes aux autres, avec des séries d'épreuves variées (cryptographie, reverse engineering, recherche de vulnérabilité, etc.).

Pendant plusieurs jours, les compétences et qualités de ces nouveaux talents européens de la sécurité numérique seront mises à rude épreuve.

L'Équipe France regroupe 10 joueuses et joueurs de 14 à 25 ans, sélectionné(e)s lors du France Cybersecurity Challenge pour représenter la France lors de l'ECSC.

Organisée à Vienne, en Autriche, l'édition 2022 proposera des épreuves variées : un CTF de type jeopardy et un CTF de type attaque/défense sur deux jours, incluant des épreuves hardware et une escape room. Les modalités complètes de la compétition seront transmises au fur et à mesure par les organisateurs de l'ECSC.

Pour tout savoir sur le FCSC et l'ECSC, rendez-vous sur le site de l'ANSSI : https://www.ssi.gouv.fr/actualite/le-france-cybersecurity-challenge-fcsc-revient-lequipe-france-est-a-la-recherche-de-ses-ambassadeurs/