Règlement du CTF SHUTLOCK

Introduction

Pour assurer une expérience optimale à tous les participants et maintenir l’intégrité de notre plateforme de compétition, il est essentiel que chaque participant prenne connaissance de la totalité des règles énoncées dans le présent règlement et s’engage à les respecter de manière très stricte.

Durée

Cette compétition de capture de drapeau ou CTF (Capture The Flag en Anglais) se déroule du 26/06/2026 à 20h au 06/07/2026 à 20h.

Principe de participation

La participation est gratuite et ouverte à tous jusqu’à la fermeture du CTF.
Chaque participant doit s’inscrire individuellement et l’utilisation de plusieurs comptes par une seule personne est interdite. Les administrateurs se réservent le droit de récolter et d’analyser les données techniques de la plateforme dans le cadre d’une suspicion de triche.
Les participants devront résoudre des épreuves variées dans le domaine de la cybersécurité. Un flag ou drapeau sera obtenu à chaque résolution d’épreuve et devra être soumis sous la forme d’une chaîne de caractère sur notre plateforme selon un format prédéfini (sous la forme SHLK{[a-zA-Z0-9_\-']+}, sauf indication contraire) pour accumuler des points.

Règles générales

Domaine d’attaque

Pour les challenges nécessitant une interaction avec nos infrastructures, un service prévu à cet effet est explicitement décrit dans l'énoncé de chaque challenge. Ceux-ci constituent des cibles légitimes et se matérialisent par un couple composé d'une adresse IP et d'un port en écoute. Toutes les autres ressources ou services de la plateforme https://shutlock.fr sont hors du périmètre des attaques.

Interdictions spécifiques

  • Pour tous les challenges, les outils de brute-force sur le réseau ou sur les formulaires de validation sont strictement interdits. Il se peut qu’il y ait des besoins spécifiques pour certains challenges mais soyez extrêmement vigilant à la portée d’attaque et la charge de votre brute force.
  • Les outils automatiques pour valider les challenges sont interdits.
  • Toute attaque contre la plateforme du CTF pouvant nuire à sa disponibilité ou son intégrité est strictement interdite.

Comportements interdits

  • La conservation des flags ("flag hoarding") dans le but de tous les soumettre en même temps est proscrite.
  • Le partage de flags ou de solutions, toute aide avec d’autres participants ou partage public sont formellement interdits.

Intelligence Artificielle

Pratiques admises

  • L'utilisation des IA génératives (ChatGPT, Claude, etc.) est tolérée uniquement en tant qu'outil d'assistance à la recherche ou comme moteur de recherche avancé.
  • Vous êtes autorisés à les solliciter pour comprendre un concept théorique, clarifier le fonctionnement d'un protocole, ou obtenir des explications sur une documentation technique complexe. L'IA doit rester un support à votre apprentissage.

Pratiques non-admises

  • La résolution automatique ou assistée des challenges.
  • La génération de scripts d'exploitation, de payloads ou de code "clés en main" dans le but de court-circuiter votre propre réflexion.
  • La soumission directe du code source, des binaires ou de l'énoncé complet d'un challenge à une IA pour qu'elle identifie la vulnérabilité à votre place. L'objectif de la plateforme est de tester vos compétences.
  • Tout autre utilisation ne figurant pas dans la section Pratiques admises

Contrôle et vérification

L'équipe d'organisation veille au respect de l'esprit du jeu et de l'équité entre les joueurs. À ce titre :

  • Nous nous réservons le droit d'invalider la résolution d'un challenge (ou de révoquer les points associés) s'il est avéré ou fortement suspecté que celle-ci découle d'un usage abusif d'une Intelligence Artificielle.
  • En cas de doute sur la légitimité d'une résolution, nous nous réservons le droit de convoquer le participant concerné pour un entretien. Lors de cet échange, le participant devra être en mesure d'expliquer clairement sa démarche, les concepts techniques sous-jacents et le fonctionnement détaillé de son exploit. L'incapacité à justifier sa méthode entraînera l'annulation des points, voire l'exclusion de la plateforme.

Trame principale

La trame principale de la catégorie « Histoire » qui regroupe les challenges les plus accessibles et qui sont reliés entre eux par un scénario fil rouge.
Il faut résoudre les challenges dans un ordre imposé par l’histoire qui se présente sous une forme similaire à une enquête de police. Pour déverrouiller l’accès et passer aux challenges de l’étape supérieure, il faut impérativement résoudre un challenge parmi les deux qui sont proposés à chaque étape, les deux challenges correspondant toujours à deux catégories différentes (par exemple : Forensic et Osint). Pour gagner davantage de points et améliorer votre classement, n’hésitez pas à résoudre les deux challenges de chaque étape !

Vous pouvez acceder a la partie "Histoire" sur shutlock.fr/story

Système de points

Les challenges se diviseront en 5 niveaux :

  • Introduction
  • Facile
  • Moyen
  • Difficile
  • Diabolique (bon courage pour ceux-là !)

Si les niveaux des challenges ont été attribués par leurs concepteurs (étiquette des dossiers de couleur verte, bleue, rouge, noire pour les niveaux respectivement de facile à diabolique), il est conseillé de se référer aux points rapportés par chaque challenge et au nombre de validations associées à celui-ci pour mieux évaluer sa réelle difficulté sachant que les challenges d’introduction sont techniquement accessibles à tous.

La récompense pour ces challenges s’aligne sur la logique des niveaux. Elle commencera avec une valeur à 500 points puis diminuera au fur et à mesure que le nombre de validations par challenge augmente. La barre minimum de point pour un challenge est fixée à 100 points hormis pour les challenges de la catégorie « Histoire » pour qui le nombre de points ne varie pas et correspond au niveau de difficulté du challenge.

Support

Serveur Discord

Si vous rencontrez des difficultés liées à la compétition ou à votre compte, nous vous invitons à utiliser notre serveur Discord pour un support rapide et efficace. Ce canal permet une communication quasi instantanée. Vous pourrez y trouver des mises à jour en temps réel sur la compétition, ainsi qu’une base de données de questions fréquemment posées (FAQ) à consulter impérativement avant d’envoyer toute question. Lien du serveur discord : https://discord.gg/MuudETuGpF

Procédure de contact

Un système de ticketing a été mit en place sur le serveur Discord. Chaque question posée doit entrer dans une des trois catégories suivantes :

  • J'ai fini le chall je veux parler au créateur
  • Je pense qu'il y a un problème technique qui m'empêche de finir le chall
  • Flag non fonctionnel
  • Aide pour un challenge de la partie "Histoire"

Ensuite, sélectionnez la catégorie (Story, OSINT, Forensic, ...) puis le chall.

Restrictions

  • Il est strictement interdit de contacter directement un administrateur par message privé sans son consentement préalable.
  • Les demandes d’assistance pour résoudre les épreuves ne seront pas traitées individuellement pour les challenges de niveau facile à diabolique sauf pour rectifier des anomalies affectant le bon déroulement d’une épreuve. Les challenges d’introduction et de la catégorie "Histoire", cependant, peuvent bénéficier d’une assistance plus poussée à condition que les participants aient préalablement tenté de résoudre le problème par eux-mêmes.

Sanctions

Les modérateurs se réservent le droit d’appliquer des sanctions adaptées allant du simple retrait de point d’un challenge jusqu’à l’élimination du participant en cas de non-respect des règles du présent règlement sans aucune obligation de justification.

Récompenses

Les meilleurs participants seront invités lors d’une remise de prix. Des récompenses seront notamment remises aux premiers du classement général à cette occasion.

Conservation et utilisation des données

Collecte des données

En participant au Shutlock CTF, vous acceptez que nous collections les données nécessaires à votre inscription et à votre participation telles que votre nom d’utilisateur (pseudo), votre adresse e-mail et vos soumissions de flag.

Objectif de la collecte

Les données recueillies seront utilisées exclusivement pour les besoins de la gestion du CTF, y compris l’administration des comptes, la communication des résultats et des annonces importantes, et l’analyse de la performance des participants.

Sécurité

Nous nous engageons à protéger vos données contre les accès non autorisés, les modifications inappropriées, la divulgation ou la destruction. Des mesures de sécurité techniques et organisationnelles ont été mises en place pour assurer la sécurité de vos données.

Conservation des données

Toutes les données techniques collectées seront totalement effacées dans un délai de 15 jours après la fin de la compétition. Seules les données nom utilisateur (pseudo), adresse e-mail, nombre de points cumulés et classement final seront conservées afin de, et uniquement à ces fins, pouvoir contacter les participants qui seront invités à la cérémonie de remise des prix et afficher les résultats 2025 lors des prochaines éditions de ce CTF.