🇫🇷 Règlement

"HACK'OSINT CTF" sera désigné dans le présent règlement sous les termes "CTF", "compétition", "événement" ou "enquête".

English version here : Go to rules

1. Accessibilité :

   L'ensemble des assets (réseaux sociaux, documents, etc.) que vous découvrirez au cours de votre investigation seront en français. Les énoncés des challenges seront disponibles en français et en anglais. Le CTF est accessible sans restriction d'âge. Vous pourriez être amené à visiter des sites peu conventionnels ; Hack'Olyte décline toute responsabilité quant à l'utilisation que vous en ferez à moyen ou long terme.
   Cette deuxième édition est entièrement indépendante de la première. Vous pouvez donc y participer, même si vous n’avez pas pris part à la première. L'intégralité de l'histoire et la conclusion liées à APT-509 seront connues à la fin de la phase de qualification.

2. Objectif :

   Cher enquêteur, vous voilà de nouveau sur la piste du groupe cybercriminel 'APT-509'. Votre mission : localiser les derniers membres et les faire arrêter afin de mettre un terme, une bonne fois pour toutes, à leurs agissements ! Nous vous invitons à découvrir ou redécouvrir le récapitulatif de l'histoire de la première édition sur cette page : HACK'OSINT 2024 - REMEMBER.

3. Composition des équipes :

   Les équipes peuvent être composées de 1 à 4 membres. Chaque équipe doit désigner un/une capitaine.
   Vous devez absolument rejoindre le discord officiel du CTF pour valider votre équipe/inscription (une procédure détaillée se trouve sur le discord).

4. Déroulement de l'enquête :

   Vous disposez de 48 heures, pour mettre fin aux activités de ce groupe de cybercriminels. Veuillez noter que l'équipe administrative du CTF se réserve le droit de prolonger ou de raccourcir la durée de la mission.
   Vous aurez accès à des indices représentant 50 % des points du défi. Réfléchissez bien avant de les utiliser. Si un challenge ne propose aucun indice, vous pouvez demander un hint à l'équipe administrative via le serveur Discord de l'événement, dans votre canal d'équipe dédié. Cependant, cette demande entraînera une réduction de 50 % des points du challenge concerné. De plus, toute demande d’aide sur Discord doit respecter un intervalle d’au moins une heure, quel que soit le challenge ou sa catégorie.
   

5. Données personnelles

   À travers la plateforme CTFD, voici les données personnelles que nous collectons : e-mail, adresse IP et pseudonyme. Nous nous engageons à supprimer l’ensemble de ces données une fois l’événement terminé (fin juin 2025). Nous conserverons uniquement votre adresse e-mail afin de vous envoyer vos récompenses via Badgr. Une fois la récompense envoyée, votre adresse e-mail sera supprimée de notre base de données. Pour les finalistes, des informations supplémentaires pourront être demandées. Tous les détails à ce sujet seront précisés dans le règlement général de la finale.

6. Intégrité de l'enquête :

   Toutes les formes de triche sont strictement interdites.Il est formellement interdit de mener toute attaque visant la plateforme ou les divers supports essentiels à cette enquête (site web, systèmes automatisés, bases de données, etc).
   Il est strictement interdit d'utiliser des outils d'automatisation de messages ou de collecte d'informations/données sur les plateformes liées à cette enquête. Cela inclut, sans s'y limiter, les outils tels que NMAP, CURL automatisé, WAPITI, ou tout autre logiciel similaire. Cette interdiction vise à garantir la stabilité et le bon fonctionnement des différents supports mis à disposition.
   
   De plus, des défis innovants seront proposés tout au long de cette enquête. Toute tentative d’attaque, ou tout contournement de ces défis, ou toute personne se vantant d’avoir détourné l’utilisation principale d’un outil pour un défi seront susceptibles d’entraîner la disqualification de l’équipe entière.
   
   Les équipes doivent se conformer aux règles énoncées par les organisateurs de l'enquête.
   Les administrateurs seront très vigilants concernant les doubles comptes. En cas de détection d'un double compte, l'équipe sera automatiquement disqualifiée.
   Tout comportement antisportif ou toute tentative de perturbation de l'enquête entraînera la disqualification immédiate de l'équipe concernée.
   
   Il est formellement interdit de débuter l'enquête avant la date officielle de lancement, fixée au 23 mai 2025 21h00. Des contrôles seront effectués et, si une équipe est surprise en train de rechercher des éléments ou de commencer l’enquête avant cette date, elle sera bannie de l'évènement sans sommation.



7. Réclamations :

   Vous avez la possibilité de soumettre une réclamation à l'équipe administrative via le serveur discord uniquement.

   Un channel discord est spécifiquement dédié à votre équipe. Pour contacter l'équipe administrative, veuillez écrire un message dans ce canal. Un administrateur répondra alors à votre demande. La création de tickets est réservée exclusivement pour signaler un bug ou faire une réclamation concernant un aspect technique sur la plateforme tel que la modification de nom d'équipe par exemple. Merci également de ne pas envoyer de message privé (DM) à un administrateur / beta-tester sous peine de possible sanction !

8. Outils :

   Vous avez la liberté d'utiliser tous les outils et supports que vous estimez nécessaires. Aucune restriction n'est imposée (hors outils évoqués dans le point 6 de ce réglement).

9. Dashboard & Site Status

   Le classement (dashboard) restera volontairement caché tout au long de votre enquête. Notre objectif est que vous vous concentriez pleinement sur votre progression, plutôt que sur des statistiques. Toutefois, nous mettons à votre disposition un tout nouveau système : la Plateforme Status.

   Sur cette plateforme, vous pourrez consulter en direct le TOP 16 de l'événement, affiché dans un ordre aléatoire. Cela vous permettra de savoir si vous faites partie du TOP 16, sans pour autant révéler votre position exacte.

   De plus, vous y trouverez des statistiques globales sur l'événement, telles que : le nombre de tickets ouverts, le pourcentage de soumissions, la charge de travail de l'équipe support, et bien plus encore.

   Nous remercions chaleureusement l'association Rhacknarok qui nous a aidé à la mise en place et à la sécurisation de cette plateforme !

10. Communication :

    Les membres de chaque équipe sont autorisés à communiquer entre eux pendant l'enquête.
    La communication avec d'autres équipes ou toute tentative de coordination pour résoudre des défis est strictement interdite.

11. Rapport d'enquête :

    Aucun rapport d'enquête ne sera demandé pour cet événement ! La qualification pour la "Hunt Finale" sera exclusivement déterminée par le classement final de l'enquête. Seules les trois meilleures équipes (TOP 3), établies à la fin de l'événement le dimanche 25 mai à 21h00, seront qualifiées pour la finale (voir la section 17 de cette page évoquant les modalités de la finale).

12. Rapports de bugs :

    Les participants doivent signaler tout bug ou vulnérabilité découvert lors de l'enquête aux organisateurs.
    L'exploitation de bugs ou de vulnérabilités non divulgués est strictement interdite.

13. Tips :

    Malheureusement, certaines personnes malveillantes chercheront à perturber votre enquête. Pour information, tous les comptes des réseaux sociaux ont été créés avant le 23 Mai 2025 et l'ensemble des défis sont terminés depuis plusieurs semaines. Si vous repérez des commentaires du type "Contactez-moi en privé" datant d'après le 22 Mai 2025, sachez qu'ils sont malveillants et ne vous seront pas utiles lors de l'enquête. L'équipe d'administration restera vigilante pour vous signaler rapidement tout acte malveillant visant à nuire à l'enquête.
    
    Pour rappel, pour valider votre inscription, vous devez rejoindre le serveur discord officiel (voir la section 3 sur cette page traitant ce sujet). Sur ce serveur discord, des annonces importantes seront faites concernant le déroulement de l'enquête.
    

    Durant votre enquête, vous aurez probablement des interactions à réaliser, pensez-y, ne restez pas bloqué. À titre d'information, si un défi nécessite une interaction pour être résolu, vous trouverez dans son énoncé cet emoji "👁️". Si l'énoncé d'un défi ne contient pas cet emoji, cela signifie que le défi peut être résolu sans interaction.

    N'oubliez pas qu'il est important de prendre des pauses et de vous reposer lorsque vous travaillez sur des challenges d'OSINT ! Si vous êtes bloqué sur un défi, prenez l'air et essayez le à nouveau plus tard (cela pourrait vous aider à aborder le problème avec un esprit frais et à trouver une solution plus rapidement :) )

    Pour information, si vous utilisez une fois un support (site, réseau social...), cela ne veut pas dire qu'il ne vous servira plus pour la suite de la mission. Pensez à bien épuisé à 100% vos trouvailles.
    

    Il sera parfois nécessaire de créer un compte sur une plateforme pour accéder à l'intégralité de ses ressources. Ne supposez pas qu'un compte est inutile, car il pourrait vous offrir bien plus que vous ne l'imaginez !

14. Flag format :

    Pendant toute la mission, vous devrez transmettre aux autorités policières vos découvertes.

    Vous retrouverez ci-dessous un guide pour vous aider à comprendre comment soumettre vos découvertes (valider une mission (challenge)).

    À chaque nouvelle mission, vous trouverez en bas de l'énoncé un "Flag format". Celui-ci vous indique comment vous allez devoir transmettre vos découvertes.

    Pour cette mission, rien de compliqué. L'ensemble des flags respectent cette politique :
    

    • Les flags sont insensibles à la casse (majuscules/accents) mais pas aux espaces !
    • Si un flag contient une combinaison de plusieurs mots, chaque mot doit être séparé par un seul espace (ou un tiret en fonction du flag format) !
    • Pour les challenges de géolocalisation, nous utilisons le plugin développé par Ozcar Zulu , disponible sur GitHub. Ce plugin est très intuitif et ne nécessite aucune compétence technique particulière. Il vous évite notamment de devoir saisir manuellement les coordonnées géographiques (latitude / longitude).
    
    

    Voici des exemples pour mieux comprendre le flag format :

    Exemple 1 Exemple 2

    Challenge

    Exemple 1

    Quel est le nom du livre écrit par Victor Hugo en 1862 décrivant la vie de pauvres gens dans Paris et la France provinciale ?

    Flag format : Les Trois Mousquetaires

    Fermer Submit

    Challenge

    Exemple 2

    Dans quelle ville est né Alexandre Dumas (père), célèbre écrivain français ?

    Flag format : Charleville-Mézières

    Fermer Submit
    
    
    Si pour une mission, nous attendons un format de flag précis cela vous sera indiqué clairement dans l'énoncé.
    
    

15. Classement final :

    Lors de cette compétition, la rapidité n'est pas la clé pour être bien classé. Vous devez être sûr de vos recherches et de vos trouvailles avant de soumettre un flag.

    Voici comment le classement final sera déterminé :

    Pour toute équipe ayant le même nombre de points, le pourcentage total d'échecs ainsi que l'heure à laquelle vous avez terminé l'intégralité de la compétition permettront alors de déterminer votre position finale.

    En fonction du pourcentage d'échecs de votre équipe (total en % des réponses incorrectes soumises lors de la compétition), des points supplémentaires vous seront attribués. Voici les paliers déterminés par l'équipe administrative :

    • Si une équipe à aucun fail (0%), l'équipe se voit rajouter +100 points à son score total.
    • Entre 1 % et 9.99 % d'échecs, l'équipe se voit rajouter +75 points à son score total.
    • Entre 10 % et 19.99 % d'échecs, l'équipe se voit rajouter +50 points à son score total.
    • Entre 20 % et 29.99 % d'échecs, l'équipe se voit rajouter +25 points à son score total.
    • Au-delà de 30 % d'échecs, aucun point supplémentaire n'est rajouté au score total de l'équipe.
    (L'équipe administrative se réserve le droit de modifier à tout moment cette partie).
    
    
    

    (Une fois l'enquete lancée, votre pourcentage total d'échec est visible dans l'onglet "Team" de cette plateforme.)

    
    

    Malgré cela, si deux équipes se retrouvent avec le même score final, la rapidité permettra de les départager. Voici un exemple pour comprendre ce mécanisme :

    • L'équipe A a terminé le CTF en 48 heures, 30 minutes et 1 seconde, sans prendre aucun indice. Son score final est donc de 3000 points, et son pourcentage total d'échecs est de 8,6 %.
    • L'équipe B a terminé le CTF en 48 heures, 35 minutes et 17 secondes, sans avoir pris aucun indice. Son score final est donc de 3000 points et son pourcentage total d'échecs est de 7,8 %.
    
    

    Les deux équipes sont alors dans le premier palier et gagnent chacune +75 points, leur score final est donc de 3075 points. Pour les départager, c'est alors la rapidité qui rentre en compte. L'équipe A ayant terminé 5 minutes et 16 secondes en avance sur l'équipe B, elle sera donc classée devant l'équipe B.

    
    

    Si votre équipe rencontre une augmentation du taux d'échec (% total de fail) en raison d'une mauvaise configuration d'un paramètre (format de flag incorrect) ou d'un bug sur la plateforme, nous vous encourageons à nous en informer directement dans le canal Discord réservé à votre équipe. Notre équipe administrative examinera votre retour, effectuera une investigation et pourra réévaluer votre pourcentage d'échec total à la baisse une fois la compétition terminée.

    Ce système de classement final ne sera appliqué qu'aux X premières équipes, où X correspond à un pourcentage déterminé par l'équipe administrative en fonction du nombre total d'équipes dans la compétition.



16. Autres

    L'organisation peut ajuster les horaires de début et de fin de l'événement si nécessaire.

    En cas de fraude ou d'infraction constatée, l'organisation peut pénaliser une équipe en lui retirant des points ou en la disqualifiant.

    L'utilisation d'une adresse e-mail non valide (ex. : adresse temporaire) peut entraîner la disqualification du participant.

    Il n'y a pas de limite au nombre d'équipes, mais les organisateurs peuvent clôturer les inscriptions à tout moment.

    Si un partage de flag ou un contournement des règles est suspecté, l'organisation pourra exiger des preuves de la part de l'équipe concernée.

    Si une question nuit à l’équité du jeu, l’organisateur peut la modifier, l’annuler ou la neutraliser à tout moment.

17. Finale (hunt)

    Seules les trois meilleures équipes de l'événement (TOP 3) seront qualifiées pour la Hunt Finale, qui se déroulera le 7 juin 2025 sur le campus Science U de Lyon.

    Chaque équipe qualifiée devra être représentée par au moins deux membres en présentiel. Ainsi, jusqu'à 50 % de l'équipe pourra participer à distance, bien que cela puisse impacter leur performance (certains challenges nécessitant une présence physique). Une équipe peut remplacer 2 membre au maximum pour la Hunt Finale (ex : En cas d'absence le 7 juin, un joueur peut être remplacé par une personne de son choix, à condition que celle-ci ait été inscrite et présente lors de la phase de qualification).

    Le transport en train jusqu'à Lyon est pris en charge à 100 % par notre sponsor, l'École Supérieure de Génie Informatique ! (ce financement est exclusivement réservé aux participants résidant en France métropolitaine). Si une équipe figurant dans le TOP 3 de la phase de qualification ne peut pas ou ne souhaite pas participer à la finale, alors l'équipe suivante au classement (TOP 4) sera qualifiée à sa place. Si le TOP 4 est également indisponible, la place reviendra au TOP 5, et ainsi de suite, jusqu'à ce qu'une équipe ait indiqué être disponible pour la finale.

18. Récompenses

    Tous les participants de la compétition en ligne recevront un badge Badgr "Participant", ainsi que d'autres badges en fonction de leur classement et de leurs statistiques finales !

    Les finalistes de la Hunt Finale recevront des récompenses exclusives (d'une valeur de plus de XXX euros 👀) et un badge Badgr exclusif !

En participant à l'enquête (CTF), chaque équipe accepte de se conformer à ces règles. Tout manquement aux règles peut entraîner des sanctions y compris la disqualification de l'équipe concernée.(PS: toute ressemblance avec des faits et des personnages existants ou ayant existé serait purement fortuite et ne pourrait être que le fruit d'une pure coïncidence).

Bonne chance et amusez-vous bien !