Qu'est ce qu'un CTF ?

Petit rappel si vous vous êtes retrouvé ici par hasard. CTF est l’abbreviation de _Capture The Flag_ (Capture de Drapeau). Il s’agit d’un mode de jeu dans lequel plusieurs attaquants doivent voler un drapeau et le ramener chez eux. Le but du défenseur (qui n’est autre que l’organisateur du CTF, en général) est de protéger ses drapeaux. Les CTF existent aussi en informatique, dans le domaine de la sécurité : les organisateurs mettent en place plusieurs épreuves et les participants doivent s’introduire dans un système afin de récupérer le drapeau (flag). Ceci s’apparente à une intrusion dans un système réel, avec vol de données … sauf qu’ici le drapeau n’a pas de valeur monétaire, et personne ne vous en voudra. Les CTF les plus célèbres sont ceux organisés par les grands groupes (par exemple : le CTF Google) ou lors de conférences dédiées à la sécurité (Defcon, le wargame de la NuitDuHack …). Chaque épreuve validée rapporte des points selon sa difficulté estimée par les organisateurs. À la fin du CTF, un classement est établi et des récompenses peuvent être données aux meilleurs participants.

Source: ici

Next

À quoi s’attendre lors d’un CTF ?

Un CTF est en général composé de plusieurs épreuves réparties dans différentes catégories et pour différents niveaux, du plus facile au plus difficile. Savoir dans quelle catégorie se trouve un challenge peut aider à l’appréhender.
Les catégories que l’on retrouve en général; avec un exemple de challenge

  • Binary Analysis/Reverse Engineering : on vous fournit un executable et vous devez extraire le drapeau. Il peut s’agir d’un mot de passe à trouver en inversant le fonctionnement du programme.
  • Web : un site web est accessible et vous devez trouver un truc intéressant qui pourrait s’apparenter à un drapeau. Un mot de passe ? Le contenu du fichier nommé flag ?
  • Forensic : une machine a été compromise, on vous fournit RAM/Disque/Logs/… et vous devez trouver une information précise dedans (nom de la personne qui a compromis la machine ?).
  • Réseau : votre réseau a subi une attaque DoS et vous devez trouver qui l’a attaqué et comment.
  • Cryptographie : Steve a implémenté un algorithme de chiffrement, il s’est sans doute trompé à un moment (réutilisation d’un nonce ?) et vous devez exploiter cette faille.
  • Mobile Security : un employé s’est rendu compte que son téléphone était peut-être infecté par un mouchard. Vous devez trouver quelle application est responsable, le FLAG est dans l’application.
  • Stéganographie : une information est cachée dans une image, à vous de la retrouver.
  • Physique (plus rare) : vous devez vous introduire dans un local fermé; vous avez une clé USB et devez extraire une information cachée dessus.

Source: ici

Next

Les plateformes indispensables

Une plateforme rapide, accessible et réaliste pour tester vos compétences en hacking.
La root est longue mais la voie est Libre

Next

Outils et Réseaux sociaux

GitLab

Tous les outils et les archives d'HackademINT des CTF passés

CTFTime

Suivez notre progression et nos classements sur les CTF

Email

Vous êtes un étudiant ou un sponsor interessé par notre club ? Contactez nous

Facebook

...
...

Twitter

...
...