Règlement du CTF SHUTLOCK

Introduction

Pour assurer une expérience optimale à tous les participants et maintenir l’intégrité de notre plateforme de compétition, il est essentiel que chaque participant prenne connaissance de la totalité des règles énoncées dans le présent règlement et s’engage à les respecter de manière très stricte.

Durée

Cette compétition de capture de drapeau ou CTF (Capture The Flag en Anglais) se déroule du 28/06/2024 à 20h au 08/07/2024 à 20h.

Principe de participation

La participation est gratuite et ouverte à tous jusqu’à la fermeture du CTF.
Chaque participant doit s’inscrire individuellement et l’utilisation de plusieurs comptes par une seule personne est interdite. Les administrateurs se réservent le droit de récolter et d’analyser les données techniques de la plateforme dans le cadre d’une suspicion de triche.
Les participants devront résoudre des épreuves variées dans le domaine de la cybersécurité. Un flag ou drapeau sera obtenu à chaque résolution d’épreuve et devra être soumis sous la forme d’une chaîne de caractère sur notre plateforme selon un format prédéfini (sous la forme SHLK{…..}) pour accumuler des points.

Règles générales

Domaine d’attaque

Pour les challenges nécessitant une interaction avec nos infrastructures, un service prévu à cet effet est explicitement décrit dans l'énoncé de chaque challenge. Ceux-ci constituent des cibles légitimes et se matérialisent par un couple composé d'une adresse IP et d'un port en écoute ou d'une url spécifiée. Toutes les autres ressources ou services de la plateforme https://shutlock.fr sont hors du périmètre des attaques.

Interdictions spécifiques

  • Pour tous les challenges, les outils de brute-force sur le réseau ou sur les formulaires de validation sont strictement interdits. Il se peut qu’il y ait des besoins spécifiques pour certains challenges mais soyez extrêmement vigilant à la portée d’attaque et la charge de votre brute force.
  • Les outils automatiques pour valider les challenges sont interdits.
  • Toute attaque contre la plateforme du CTF pouvant nuire à sa disponibilité ou son intégrité est strictement interdite.

Comportements interdits

  • La conservation des flags ("flag hoarding") dans le but de tous les soumettre en même temps est proscrite.
  • Le partage de flags ou de solutions, toute aide avec d’autres participants ou partage public sont formellement interdits.

Trame principale & Trame annexe

Le CTF est constitué de deux trames :

Trame principale

La trame principale de la catégorie « Histoire » qui regroupe les challenges les plus accessibles et qui sont reliés entre eux par un scénario fil rouge.
Il faut résoudre les challenges dans un ordre imposé par l’histoire qui se présente sous une forme similaire à une enquête de police. Pour déverrouiller l’accès et passer aux challenges de l’étape supérieure, il faut impérativement résoudre un challenge parmi les deux qui sont proposés à chaque étape, les deux challenges correspondant toujours à deux catégories différentes (par exemple : Forensic et Osint). Pour gagner davantage de points et améliorer votre classement, n’hésitez pas à résoudre les deux challenges de chaque étape !

Trame annexe

Dans la trame annexe, les challenges peuvent être abordés selon l’ordre souhaité. Ils sont indépendants les uns des autres. On retrouve dans cette trame les challenges les plus complexes.

Système de points

Les challenges se diviseront en 5 niveaux :

  • introduction
  • facile
  • moyen
  • difficile
  • diabolique (bon courage pour ceux-là !)

Si les niveaux des challenges ont été attribués par leurs concepteurs (étiquette des dossiers de couleur verte, bleue, rouge, noire pour les niveaux respectivement de facile à diabolique), il est conseillé de se référer aux points rapportés par chaque challenge et au nombre de validations associées à celui-ci pour mieux évaluer sa réelle difficulté sachant que les challenges d’introduction sont techniquement accessibles à tous.

La récompense pour ces challenges s’aligne sur la logique des niveaux. Elle commencera avec une valeur à 500 points puis diminuera au fur et à mesure que le nombre de validations par challenge augmente. La barre minimum de point pour un challenge est fixée à 100 points hormis pour les challenges de la catégorie « Histoire » qui valent quant à eux 125 points tout le long de la compétition.

Support

Serveur Discord

Si vous rencontrez des difficultés liées à la compétition ou à votre compte, nous vous invitons à utiliser notre serveur Discord pour un support rapide et efficace. Ce canal permet une communication quasi instantanée. Vous pourrez y trouver des mises à jour en temps réel sur la compétition, ainsi qu’une base de données de questions fréquemment posées (FAQ) à consulter impérativement avant d’envoyer toute question. Nous vous invitons à lire la procédure de contact renseignée ci-dessous (cf. Procédure de contact).

Procédure de contact

Première demande d'aide

A chaque fois que vous souhaitez demander de l'aide pour un challenge, la première chose à faire est d'envoyer un message sur Discord dans le channel dédié à la catégorie du challenge en précisant bien de quel challenge vous parlez.

Invitation en message privé

Attendez qu'un support vous réponde et vous donne son accord pour une conversation privée (pas de spam s’il ne répond pas tout de suite !).

Cas où aucun support ne voit le message

Si vous ne recevez pas de réponse dans un délai raisonnable, utilisez le tag @Support Actif dans le salon dédié afin d’attirer leur attention et éventuellement discuter avec quelqu’un d’autre.

Restrictions

  • Il est strictement interdit de contacter directement un administrateur par message privé sans son consentement préalable.
  • Les demandes d’assistance pour résoudre les épreuves ne seront pas traitées individuellement pour les challenges de niveau facile à diabolique sauf pour rectifier des anomalies affectant le bon déroulement d’une épreuve. Les challenges d’introduction, cependant, peuvent bénéficier d’une assistance plus poussée à condition que les participants aient préalablement tenté de résoudre le problème par eux-mêmes.

Sanctions

Les modérateurs se réservent le droit d’appliquer des sanctions adaptées allant du simple retrait de point d’un challenge jusqu’à l’élimination du participant en cas de non-respect des règles du présent règlement sans aucune obligation de justification.

Récompenses

Les meilleurs participants seront invités lors d’une remise de prix. Des récompenses seront notamment remises aux tout premiers du classement général à cette occasion.

Conservation et utilisation des données

Collecte des données

En participant au Shutlock CTF, vous acceptez que nous collections les données nécessaires à votre inscription et à votre participation telles que votre nom d’utilisateur (pseudo), votre adresse e-mail et vos soumissions de flag.

Objectif de la collecte

Les données recueillies seront utilisées exclusivement pour les besoins de la gestion du CTF, y compris l’administration des comptes, la communication des résultats et des annonces importantes, et l’analyse de la performance des participants.

Sécurité

Nous nous engageons à protéger vos données contre les accès non autorisés, les modifications inappropriées, la divulgation ou la destruction. Des mesures de sécurité techniques et organisationnelles ont été mises en place pour assurer la sécurité de vos données.

Conservation des données

Toutes les données techniques collectées seront totalement effacées dans un délai de 15 jours après la fin de la compétition. Seules les données nom utilisateur (pseudo), adresse e-mail, nombre de points cumulés et classement final seront conservées afin de, et uniquement à ces fins, pouvoir contacter les participants qui seront invités à la cérémonie de remise des prix et afficher les résultats 2024 lors des prochaines éditions de ce CTF.