Portes Ouvertes avec Micode - Le 8 février !
Je m'inscris !
En cliquant sur "Accepter", vous acceptez que des cookies soient stockés sur votre appareil afin d'améliorer la navigation sur le site, d'analyser l'utilisation du site et de nous aider dans nos efforts de marketing. Consultez notre politique de confidentialité pour plus d'informations.
PreferencesRefuserAccepter
Blog
Débuter en CTF (Capture The Flag)

Débuter en CTF (Capture The Flag)

Découvre les CTF, les compétitions accessibles à tous pour progresser en cybersécurité tout en s’amusant

14/10/2024
NoémieFavicon Oteria Cyber School
Noémie
Débuter en CTF (Capture The Flag)
Sommaire
💡  Ce qu’il faut retenir de l’article

Les CTF (Capture The Flag) sont des compétitions en cybersécurité où chaque défi résolu permet de progresser et d’apprendre en s’amusant. Que vous soyez débutant ou expert, il existe des niveaux adaptés à chacun. Les types de CTF varient, comme Jeopardy, idéal pour débuter, ou attaque-défense pour les plus expérimentés. Travailler en équipe, s'entraîner régulièrement, et lire des write-ups après chaque compétition sont autant de moyens de perfectionner ses compétences. N'oubliez pas, l'important est de rester curieux et persévérant pour progresser rapidement dans ce domaine.

Le CTF, ou Capture The Flag, est une compétition où les participants doivent résoudre des défis liés à la cybersécurité. Ces compétitions peuvent être individuelles ou en équipe, et chaque défi résolu donne un flag (un code spécifique) qui rapporte des points. Contrairement à l'idée que ces concours sont réservés aux experts, ils sont un excellent terrain d’apprentissage pour les débutants, avec des niveaux variés de difficultés. L'objectif est simple : apprendre en faisant, tout en cultivant sa curiosité pour l’informatique et la sécurité.

Les différents types de CTF

  1. Jeopardy : Ce type de CTF est composé de challenges indépendants dans différentes catégories (OSINT, PWN, Web, Reverse, Forensic, etc.). Chaque challenge résolu rapporte un flag qui octroie des points. Le système de score peut présenter plusieurs spécificités: statique, dynamique, first-blood,..
  2. Attaque-défense : Dans cette version plus dynamique (et plus rare), chaque équipe doit protéger et patcher les services sur son propre serveur tout en tentant d’exploiter les failles sur le serveur des autres équipes pour capturer des flags. L’infrastructure pour ce type de CTF est plus compliqué à mettre en place et il se fait en général en physique

Pourquoi participer à un CTF ?

Les CTF sont une excellente manière de développer ses compétences en cybersécurité tout en s'amusant. En effet, ils permettent de :

  • Progresser sur des pans de la cybersécurité de manière ludique 
  • Découvrir et maîtriser de nouveaux outils techniques.
  • Travailler en équipe et faire 
  • Faire un peu de compétition
  • S’amuser (point principal !)

Commencer les CTF : Conseils pratiques

  1. Se lancer : La meilleure façon d’apprendre, c’est de se lancer. Pas besoin d’avoir toutes les compétences dès le début. Le PICOCTF est un bon CTF pour démarrer et s’amuser en équipe
  2. Rejoindre des serveurs Discord de CTF afin de pouvoir récupérer des Write-ups ou poser des questions à la communauté Cyber (qui adore aider)
  3. Rester curieux et persévérant : La clé d’un CTF est la curiosité. Certains défis peuvent sembler complexes au départ, mais la persévérance est essentielle. Il faut parfois tester plusieurs approches avant de trouver la solution. La curiosité intellectuelle est un moteur puissant pour progresser dans ces compétitions.
  4. Choisir un type de CTF adapté : Si vous débutez, il est recommandé de commencer avec des CTF de type Jeopardy. Ces défis sont plus simples à aborder et permettent de se concentrer sur un seul aspect à la fois. Les défis Web sont souvent considérés comme plus accessibles pour les débutants.
  5. S’entraîner régulièrement : Il est essentiel de pratiquer fréquemment pour améliorer ses compétences. Voici quelques sites ou plateformes sur lesquels vous exercez some text
    1. https://cyberini.com/ctf/
    2. RootMe 
    3. HackTheBox 

Pour les lycéens qui souhaiteraient démarrer les CTF, Oteria organise un CTF réservé aux premières et aux terminales : Le Cyber Ninja CTF (inscriptions sur cyber-ninja-ctf.fr)

L'importance du travail d'équipe

Bien que vous puissiez commencer en solo, rejoindre une équipe est un excellent moyen d’accélérer votre progression. Les équipes permettent de partager des idées, d’apporter des solutions à des problèmes variés et de brainstormer ensemble. Les CTF sont aussi un bon moyen de rencontrer d’autres passionnés de cybersécurité. De plus, en équipe, vous pouvez vous répartir les tâches en fonction des spécialités de chacun.

Voir ici un exemple de manière dont les étudiants travaillent en équipe lors de l’OCC, le CTF d’Oteria https://www.youtube.com/watch?v=oKg8GN9lWkU&t=23s

Utiliser les write-ups pour progresser

Après chaque CTF, les write-ups (rapports expliquant comment les défis ont été résolus) sont souvent publiés par les participants. Lire ces write-ups est une excellente manière de comprendre les différentes approches et d’élargir ses compétences techniques. N’hésitez pas à en écrire vous-même, cela vous aidera à formaliser vos apprentissages.

Préparer sa machine pour les CTF

En CTF, il est important de se préparer en amont pour gagner du temps le Jour J 

  • Utiliser Linux est bien sûr recommandé pour les CTFs
  • Préparer un environnement de programmation adéquat
  • Avoir des scripts pour des tâches courantes peut te faire gagner du temps (ex: scripts de brute-force)
  • Se créer des comptes (avec un nom fake si vous le souhaitez) sur les réseaux sociaux les plus connus pour les épreuves d’OSINT : Twitter, Instagram, Facebook, Linkedin

Il est également important de télécharger vos outils en amont (selon la bande-passante cela peut prendre énormément de temps de le faire le jour du CTF). Voici une liste d’outils de base et non-exhaustive (loin de là)

  • Outils de scanning et d’énumération : Nmap, Masscan, Netcat, Nikto
  • Outils de forensic : Binwalk, Volatility, ExifTool
  • Débogueurs et décompilateurs : Ghidra, OllyDbg, Radare2
  • Exploitation et pentesting : Metasploit, Burp Suite, Hashcat
  • Cryptographie et stéganographie : CyberChef, Steghide, StegoSuite

Pour aller plus loin

Une fois que vous êtes aguerris et que vous vous sentez à l’aise, vous pouvez vous lancer sur la plateforme Hackropole (https://hackropole.fr/fr/). Cette plateforme vous propose de rejouer les épreuves du France Cybersecurity Challenge tout au long de l'année.

Un des étudiants d’Oteria a d’ailleurs remporté l’épreuve de Reverse Engineering en 2024

Score Reverse Théo Emeriau

Débuter en CTF peut sembler intimidant, mais c’est un monde où la progression est rapide, avec des ressources abondantes pour guider les débutants. Ne soyez pas découragés par la complexité initiale ; chaque défi est une opportunité d'apprendre quelque chose de nouveau. Pour les Lycéens qui souhaitent se lancer, rendez-vous sur cyber-ninja-ctf.fr !

Autres actualités

Blog
Partenariat pédagogique avec Intrinsec : module pour la majeure Sécurité Offensive
Inside Cyber

Partenariat pédagogique avec Intrinsec : module pour la majeure Sécurité Offensive

Intrinsec et Oteria : préparer les experts en sécurité offensive

Pictogramme calendrier Oteria
20/11/2024
Tout savoir sur le métier d'administrateur système
Fiche métier

Tout savoir sur le métier d'administrateur système

Plongez dans l’univers d’un métier technique et passionnant, clé dans la transformation numérique des entreprises !

Pictogramme calendrier Oteria
18/11/2024
Consultant GRC : tout savoir sur le métier de gouvernance, risques et conformité
Fiche métier

Consultant GRC : tout savoir sur le métier de gouvernance, risques et conformité

Découvrez toutes les clés du métier de consultant GRC !

Pictogramme calendrier Oteria
15/11/2024