Foire aux questions
Questions générales
- Comment choisir ma catégorie d'âge lors de l'inscription ?
- Comment vérifier si je suis éligible à la sélection de la Team France et si oui, comment choisir ma catégorie ?
- Est-ce que je peux participer au Challenge cette année si j'ai déjà fait partie de la Team France lors d'une édition précédente ?
- Est-ce qu'une équipe existante peut s'inscrire à la sélection nationale ?
- Quelles sont les qualités recherchées pour intégrer la Team France ?
- Comment sont choisies les personnes pré-sélectionnées ?
- Comment se déroule le FCSC ?
- Quel est le système utilisé pour comptabiliser les points ?
- Est-ce que des write-ups seront demandés ?
- Est-ce que je peux utiliser des outils pour faire du bruteforce automatisé ?
- Je ne peux plus contacter le CTFd et les challenges, quel est le problème ?
- Que se passe-t-il si je trouve une erreur ou une faille sur la plateforme ?
- Vous avez une question technique sur une épreuve ?
- Pourquoi certaines épreuves ont une limite maximum du nombre d'essais ?
- Est-ce que des solutions seront publiées à l'issue de la compétition ?
- Quelles sont les dates à réserver si je prends part au FCSC ?
- Qu'est-ce que le European Cybersecurity Challenge (ECSC) ?
Comment choisir ma catégorie d'âge lors de l'inscription ?
Lors de votre inscription vous avez le choix entre trois catégories : junior, senior et hors catégorie.
Je suis junior si :
- je suis de nationalité française ;
- je souhaite participer à l'ensemble de la compétition FCSC et candidater pour intégrer la Team France pour l'European Cybersecurity Challenge (ECSC) ;
- je suis né(e) en 2010, 2009, 2008, 2007, 2006, 2005 ou 2004.
Je suis senior si :
- je suis de nationalité française ;
- je souhaite participer à l'ensemble de la compétition FCSC et candidater pour intégrer la Team France pour l'European Cybersecurity Challenge (ECSC) ;
- je suis né(e) en 2003, 2002, 2001, 2000 ou 1999.
Je m'incris en « hors catégorie » si :
- je ne suis pas de nationalité française ;
- j'ai entre 14 et 25 ans mais je ne souhaite pas m'inscrire en catégorie « junior » ou « senior » (cf. conditions ci-dessus) ;
- je suis né(e) après 2010 ou avant 1999.
Le FCSC est avant tout un challenge organisé pour les 14-25 ans afin de permettre à l'ANSSI de sélectionner les joueuses et les joueurs qui intègreront la Team France lors de la prochaine édition de l'ECSC, également dédiée aux 14-25 ans.
Comment vérifier si je suis éligible à la sélection de la Team France et si oui, comment choisir ma catégorie ?
La participation au Challenge national FCSC requiert de remplir les conditions suivantes :
- être une personne physique ;
- être de nationalité française ;
- candidater pour intégrer la Team France et participer à l'ECSC ;
- être âgé(e) de quatorze à vingt-cing ans révolus au 31 décembre 2024 :
- Junior : être né(e)s en 2010, 2009, 2008, 2007, 2006, 2005 ou 2004 ;
- Senior : être né(e)s en 2003, 2002, 2001, 2000 ou 1999.
Est-ce que je peux participer au Challenge cette année si j'ai déjà fait partie de la Team France lors d'une édition précédente ?
Vous pouvez bien sûr participer à l'édition 2024 et gagner votre place au sein de la Team France, y compris si vous avez participé aux épreuves lors des précédentes éditions.
À noter cependant que l'inscription est individuelle et unique : une même personne ne peut s'inscrire qu'une seule fois et ne peut participer qu'une seule fois aux épreuves de sélection nationale de l'édition 2024. En cas d'inscriptions multiples, seule la première participation valablement enregistrée sera prise en compte sans que cela ne puisse donner lieu à aucune contestation d'aucune sorte.
Est-ce qu'une équipe existante peut s'inscrire à la sélection nationale ?
La sélection des membres de la Team France se fait sur la base d'un classement individuel et ce à toutes les étapes de la sélection nationale. Pour le FCSC, on demande ainsi une joueuse/un joueur par identifiant.
Il est également interdit de jouer à plusieurs et de partager les résultats.
L'objectif est bien de créer une équipe nationale, et non de sélectionner une équipe préexistante. La qualification portera sur les connaissances et les compétences personnelles des candidat(e)s.
Quelles sont les qualités recherchées pour intégrer la Team France ?
Les candidat(e)s seront départagé(e)s sur la base de plusieurs critères : le classement de la phase achevée mais également la rapidité de résolution, la qualité des explications, la démonstration de la résolution, le comportement observé lors des phases de sélection, etc.
L'objectif final est de créer une Team France aux compétences multiples et complémentaires. Ses membres seront recrutés par les coachs de l'ANSSI pour leurs expertises, leur talent, leurs qualités humaines et leur sens du collectif.
Comment sont choisies les personnes pré-sélectionnées ?
À l'issue du FCSC, une première étape de pré-sélection pour la composition de la Team France est établie sur la base des résultats des participants.
Les personnes pré-sélectionnées sont celles inscrites en catégorie junior ou senior qui sont
- soit dans le top 5 de leur classement général (junior ou senior),
- soit dans le top 3 des 5 catégories d'épreuves qualifiantes : crypto, reverse, pwn, web et hardware (junior ou senior).
Les personnes pré-sélectionnées seront reçues en entretiens individuels (en visioconférence) par les coachs et experts de l'ANSSI.
La composition de la Team France dépendra de la qualité des entretiens.
Comment se déroule le FCSC ?
Les épreuves seront toutes mises en ligne le vendredi 5 avril 2024 à 14h et seront disponibles jusqu'au dimanche 14 avril 2024 à 22h. Aucune autre épreuve ne sera publiée.
Élaborée par des experts de l'ANSSI et quelques personnes extérieures, plus de 90 épreuves sont prévues avec une répartition par catégorie : crypto, reverse, pwn, web, forensics, hardware, etc. À la fin du FCSC, ces épreuves seront ajoutées sur Hackropole.
Quel est le système utilisé pour comptabiliser les points ?
La méthode pour comptabiliser les points pour chaque épreuve (à l'exception de la catégore "intro") est dynamique et dégressive en fonction du nombre croissant de résolution (dynamic scoring). Toutes les épreuves démarrent avec un score de 500 points qui diminue de manière quadratique en fonction du nombre de résolutions pour atteindre une valeur minimal de 100 points au bout de 300 résolutions.
| Nombre de validations | Nombre de points du challenge | |
|---|---|---|
| 1 | 500 | |
| 5 | 490 | |
| 10 | 477 | |
| 25 | 439 | |
| 50 | 381 | |
| 100 | 280 | |
| 150 | 202 | |
| 200 | 146 | |
| 250 | 112 | |
| 300+ | 100 |
Par ailleurs, des niveaux de difficulté approximatifs des épreuves sont donnés sous la forme d'étoiles : 1 étoile ⭐ pour un niveau facile, 2 étoiles ⭐⭐ pour un niveau moyen, et 3 étoiles ⭐⭐⭐ pour un niveau difficile.
Il est strictement interdit de garder plusieurs solutions dans le but de toutes les soumettre à quelques minutes de la fin de la compétition (flag hoarding).
Est-ce que des write-ups seront demandés ?
Oui. Chaque candidat(e) pour la Team France doit envoyer obligatoirement deux writeups parmi les épreuves les plus difficiles qu'il ou elle aura réussi à l'adresse contact [at] france-cybersecurity-challenge.fr, avant la fin du FCSC 2024, accompagné du nom d'utilisateur sur le site et d'une courte présentation personnelle (nom, prénom, âge, parcours, formation, expérience en CTF). Le choix des épreuves est laissé à la discrétion des participants.
Si vous faites partie de la catégorie senior, vos write-ups devront être rédigés en anglais. Si vous faites partie de la catégorie junior, vous pouvez choisir entre français et anglais.
Les coachs attacheront un intérêt particulier à l'aspect méthodologique des solutions, mais également aux décisions prises lors de la résolution de l'épreuve.
Les candidat(e)s sont invité(e)s à regrouper le plus possible les envois (dans l'idéal, un seul e-mail avec une archive) pour faciliter le traitement des solutions. Les write-ups ne seront acceptés que jusqu'à la fermeture du challenge, le dimanche 14 avril 2024 à 22h00.
Nous recommandons de rédiger les write-ups en Markdown, mais cela n'est pas obligatoire.
Après la fin du FCSC, toutes les joueuses et tous les joueurs seront libres de publier sur Internet des write-ups sur les épreuves. Vous pouvez également soumettre vos writeups sur Hackropole dans le but de servir de ressources pédagogiques.
Est-ce que je peux utiliser des outils pour faire du bruteforce automatisé ?
Sauf mention contraire, les outils automatisés de bruteforce de la plateforme (dirbuster/dirb/wfuzz/sqlmap/nikto/hydra et équivalents) sont interdits et de toute façon inutiles : si vous les utilisez, c'est que vous n'êtes pas sur la bonne piste. Nous enverrons des messages sur Discord et des mails d'avertissement aux personnes qui les utilisent. En cas de récidive, nous pourrons aller jusqu'à bannir l'utilisateur de la compétition.
Je ne peux plus contacter le CTFd et les challenges, quel est le problème ?
Afin de protéger l'infrastructure et de garantir la fluidité pour tous les joueurs, deux types de limite sont mises en place :
- Un rate-limiting sur les services HTTP : une fois que vous dépassez un plafond de requêtes sur un temps donné, vous recevrez des codes HTTP 429. Si vous continuez de dépasser cette limite, votre adresse IP sera provisoirement bannie de l'infrastructure, pour un temps limité.
- Une limite sur le nombre de connexions TCP sur un même service depuis une même IP.
Si vous utilisez des outils d'automatisation, veillez donc à le faire finement : vous pouvez par exemple veiller à ne pas recevoir de codes 429 ou à ne pas ouvrir de multiples connexions sur les services TCP.
Si vous êtes plusieurs participants à jouer depuis une connexion mutualisée (réseau d'école, résidence étudiante, réseau public, etc.) les actions d'un autre joueur peuvent bloquer l'IP que vous utilisez.
Que se passe-t-il si je trouve une erreur ou une faille sur la plateforme ?
Vous avez repéré un dysfonctionnement ou une faille sur une épreuve ou sur la plateforme ? Transmettez l'information à l'équipe d'organisation de l'ANSSI via l'adresse contact [at] france-cybersecurity-challenge.fr et remportez quelques points supplémentaires !
Attention : pendant la durée du Challenge, les joueuses et les joueurs doivent solliciter les organisateurs avec discernement.
Vous avez une question technique sur une épreuve ?
Chaque épreuve peut contenir des indices. Si un indice est débloqué, il sera ajouté sur la plateforme et disponible sous la description de l'épreuve. Une notification sera également faite sur la plateforme en complément d'un message sur Discord.
Le FCSC est une compétition. Si une épreuve a déjà été validée plusieurs fois, nous ne pourrons pas répondre aux questions liées à la technicité des épreuves pendant la durée de la compétition. Toute réponse ou indice à une question technique peut pénaliser les joueuses et les joueurs qui ont réussi à valider l'épreuve sans indice. C'est pourquoi nous ne pourrons pas répondre aux demandes individuelles d'indice.
Des points pourront par ailleurs être retirés pour toutes questions abusives ou répétées auprès des membres de l'organisation, apparaissant comme une recherche d'indices sur une ou des épreuves.
Pourquoi certaines épreuves ont une limite maximum du nombre d'essais ?
Certaines épreuves peuvent être particulièrement sujettes à la soumission de chaînes de caractères prises au hasard jusqu'à trouver la bonne solution.
Ainsi, pour éviter les tentatives de validations abusives, une limite maximum du nombre d'essais de soumissions de flags peut être mise en place.
De plus, ce CTF dure 10 jours et non 24 ou 48h. Les joueuses et les joueurs ont donc le temps d'analyser les éléments en leur possession pour aller au bout des épreuves avant d'essayer de soumettre les flags.
Est-ce que des solutions seront publiées à l'issue de la compétition ?
L'ANSSI ne publiera pas de write-ups à l'issue du FCSC. Néanmoins, après la compétition, toutes les joueuses et tous les joueurs seront libres de publier leurs propres write-ups sur les épreuves, après 22h le dimanche 14 avril 2024. Vous pouvez également soumettre vos writeups sur Hackropole dans le but de servir de ressources pédagogiques.
Quelles sont les dates à réserver si je prends part au FCSC ?
Chaque candidat(e) s'engage à se rendre disponible lors des rendez-vous organisés par l'ANSSI liés aux challenges et aux éventuelles sessions d'entrainement.
Le calendrier :
- FCSC : du 5 au 14 avril 2024 ;
- ECSC à Turin (Italie) : du 7 au 11 octobre 2024.
Qu'est-ce que le European Cybersecurity Challenge (ECSC) ?
Rassemblant chaque année une vingtaine de pays européens, l'European Cybersecurity challenge (ECSC) permet aux équipes nationales de se mesurer les unes aux autres, avec des séries d'épreuves variées (cryptographie, reverse engineering, recherche de vulnérabilité, etc.).
Pendant plusieurs jours, les compétences et qualités de ces nouveaux talents européens de la sécurité numérique seront mises à rude épreuve.
la Team France regroupe 10 joueuses et joueurs de 14 à 25 ans, sélectionné(e)s lors du France Cybersecurity Challenge pour représenter la France lors de l'ECSC.
Organisée à Turin, en Italie, l'édition 2024 proposera des épreuves variées : un CTF de type jeopardy et un CTF de type attaque/défense sur deux jours. Les modalités complètes de la compétition seront transmises au fur et à mesure par les organisateurs de l'ECSC.
Pour tout savoir sur l’ECSC, rendez-vous sur le site officiel : https://ecsc.eu/.
Services en ligne : Internet et noyau Linux.
Tous les services en ligne tournent dans des conteneurs, eux-même dans des machines virtuelles. Sauf mention contraire, ils ne peuvent pas initier de connexion à Internet.
Pour éventuellement vous aider à exploiter les services vulnérables proposés dans certaines épreuves, nous fournissons un noyau Linux durci très proche de celui que nous utilisons dans les machines virtuelles. Vous pouvez le télécharger en cliquant ici.
Pour le démarrer, il est par exemple possible d'utiliser QEMU en téléchargeant au préalable un rootfs de Debian à cette adresse : https://cloud.debian.org/images/cloud/bookworm/latest/debian-12-nocloud-amd64.tar.xz (213M) :
wget https://cloud.debian.org/images/cloud/bookworm/latest/debian-12-nocloud-amd64.tar.xz
tar xvf debian-12-nocloud-amd64.tar.xz
puis de lancer QEMU avec cette commande :
qemu-system-x86_64 -M microvm,acpi=off \
-enable-kvm -m 512M -cpu host -smp 2 \
-kernel vmlinux-fcsc.bin \
-append "earlyprintk=ttyS0 console=ttyS0 root=/dev/vda1" \
-nodefaults -no-user-config -nographic -serial stdio \
-drive id=fcsc,file=disk.raw,format=raw,if=none \
-device virtio-blk-device,drive=fcsc
Il est alors possible de se connecter en tant que root :
Debian GNU/Linux 12 localhost ttyS0
localhost login: root
Linux localhost 6.7.9-fcsc-hardened #1 SMP Wed Mar 20 11:29:38 UTC 2024 x86_64
(...)
root@localhost:~#
Les outils automatisés sont-ils autorisés ?
Non, ils ne sont pas autorisés et n'aideront pas à résoudre les challenges plus rapidement. En particulier, aucune épreuve web ne se résout avec des outils automatiques.
En les utilisant, vous prenez le risque de vous faire bannir de l'infrastructure automatiquement, de façon temporaire ou définitive : https://france-cybersecurity-challenge.fr/faq#10
Exemples d'outils automatisés : nmap, dirbuster, sqlmap, hydra, ffuf, etc.
Est-ce que je peux confirmer une piste avec un admin ?
Non, nous ne donnons pas d'indices sur les challenges.
Est-ce que je peux vérifier l'intégrité des gros fichiers ?
Oui, nous donnons les empreintes SHA256 de la majorité des "gros" fichiers (plus de 1MB) dans le tableau ci-dessous.
| Challenge | Fichier | SHA256 | ||
|---|---|---|---|---|
| Call Me Blah | libc-2.36.so |
318224fc988f40df2e4f0a02ab7b1679f7e61a58203c707d4ac858d5a6ffefcd |
||
| Aarby Write | libc-2.37.so |
c3a14ee6eb14cdb81f6bbd0ab94ca138597db93d5c8e7bafb5609d2f94ee0068 |
||
| cheapolata | libc-2.27.so |
cd7c1a035d24122798d97a47a10f6e2b71d58710aecfd392375f1aa9bdde164d |
||
| Book Writer | libc-2.36.so |
318224fc988f40df2e4f0a02ab7b1679f7e61a58203c707d4ac858d5a6ffefcd |
||
| Super Factorizer | libc-2.36.so |
318224fc988f40df2e4f0a02ab7b1679f7e61a58203c707d4ac858d5a6ffefcd |
||
| File Checker | libc-2.39.so |
db115af86538d4bcc49bb954176fb950f6d80957c4947270f0fa6891eefa334d |
||
| Holy Cow | d8 |
71af9c8a45a773c46a06704710ff7d77fb861895cdc14082e4a64abd498e56c3 |
||
| Parmentier | export.pdt |
5aa370557bcb81ef98557ef175ae4abd4603fb5589bdbe77f57039a561209485 |
||
| Megalosaure | megalosaure |
90c23a1f913279673073ecfb084225c095e58709fa808d61cf41646719ed4e8a |
||
| Kraken | kraken |
f4607da25fd955b7668f2077d1cb140bdb2d2737048327c05eee91b550c93717 |
||
| TV Hacks | capture.ts |
eddf252abeb9ac809fde520fa63c392eade4832e9e8e30e2db8736df0a663dda |
||
| PTSD | libcrypto.so.3 |
1672bdbbadb62bd944523ed748bcf8bb830699b55fbb9f58badb7ed093d0a16f |
||
| PTSD | libssl.so.3 |
4a4b97aaba454234148b351d0805e22297e6ccfd2187e9371e8242a1594952af |
||
| archiver | archiver |
2801053cbfe1852b2e5f1fcfe48efdbc6843d7673913b899c98cb1fac1a5751c |
||
| Abyssal Odds | abyssal-odds.tar.xz |
b8b452d131c175be3915a55d198d604e98da7b107cece0246a6e687cf9bab29c |
||
| Pong | pong.tar.xz |
944fd7fc9331be581c6f8601297711cc1ea50c3b9dc7045bf7cfc19192d29cde |
||
| Castafiore | silent.wav |
3fd5227c166cb5dc9ff748518c17b240d0e4987e255ddc4bfc09263b60388824 |
||
| Midas Touch | midas-touch.tar.gz |
9a142b417b50a4e7de1ac78c83322dd70009181e76c0540500536a9a0c8d1c46 |
||
| Secure FM | secure-fm.iq.tar.xz |
416d46c4d7c2e8c87e4d2db3a1ee7bc64c9d0f94a0bac52bc5189616650512cc |
||
| Horreur, malheur | horreur-malheur.tar.xz |
192210cee1dc560cbc940a7143a11e5c666b8bfd9f60f6521c57596f7fa32be6 |
||
| SOC Simulator | soc_events.zip |
b276816ec987a8c2874cb2f3ca18a70bf0857dcbe4d766d07dbf7bd256890084 |
||
| Dans Ta Meilleure Forme | dans-ta-meilleur-forme.wav |
ba484e51e4c5d59fb5530502fdd2921cd346936d153969479bd0998fd217bc62 |
||
| Dazzled | capture.pcap |
0b0666e68a1eafd32d787984a8a14632d94c60e0504f251bc4356450533c8d65 |
||
| Unknown Public Key | unknown-public-key.tar.xz |
4df8cc7aa84f0448e616a0c75174e0c7f8dcbd8c0e7d8ff264a772c976815363 |
||
| - | vmlinux-fcsc.bin.tar.xz |
8575aa1e37c3ce343db83fbe61ee9c3ff8c32aac41b6907328ed5b07acc5cc8e |