Lecture recommandée : Petit plaidoyer en faveur des challenges de sécurité | MISC n°073 | mai 2014 | Pierre Bienaimé
Un Capture The Flag (abrégé en CTF) désigne une compétition de hacking éthique. Il en existe plusieurs catégories, l'une des plus connues et plus populaires étant les CTF Jeopardy. Du même nom que le célèbre jeu télévisé, un CTF Jeopardy consiste en une série d'épreuves, classées par thèmes et ancrées dans le vaste domaine de la sécurité informatique. Cryptographie, sécurité Web, forensics, sécurité réseau, stéganographie, logique, programmation, reverse-engineering... il y en a pour tous les goûts et pour tous les niveaux ! Le but du jeu est de résoudre le plus de challenges possible — les solutions sont appelées flags — individuellement ou par équipes, et en un temps limité. Plus une épreuve est compliquée, plus sa résolution rapporte de points.
Vous trouverez sur le dépôt CTF-Jeopardy mes publications de solutions (write-ups) de CTF Jeopardy auxquels j'ai participé.
Outre les CTF attaque-défense ou encore les wargames, détaillés dans l'article ci-dessus, il existe une autre catégorie de CTF que l'on pourrait nommer pentest labs ou encore boot2root. En effet, il peut s'agir d'une machine ou d'un ensemble de machines virtuelles (abrégées en VM), volontairement vulnérables, mises à la disposition du challenger. L'objectif de ce Capture The Flag est de trouver et d'exploiter des vulnérabilités sur ces VM, afin d'obtenir les privilèges d'administration (root) et de récupérer un flag, preuve de l'intrusion et synonyme de validation du challenge.
Vous trouverez sur le dépôt CTF-VulnLabs mes publications de solutions (VM walkthroughs) de pentest labs auxquels je me suis frotté.