Samedi 14 novembre 2020, nous avons eu la lourde responsabilité d’organiser et animer un #CTF #OSINT en ligne dans le cadre de la 5eme édition de la conférence de sécurité numérique la plus à l’Ouest : Unlock Your Brain, Harden Your System !
Notre équipe en charge du #CTF nous a communiqué quelques temps forts et statistiques illustrant la compétition entre les 167 personnes inscrites lesquelles se sont constituées en 66 équipes.
En synthèse :
Les temps forts
Après un top départ à 10 heures le matin, le premier flag est soumis en moins de 2 minutes!
Notre équipe avait aussi pris le soin de créer un serveur de discussion Discord et le premier rush de messages privés a lieu vers 11:00 et concerne principalement l’épreuve intitulée « It’s a kind of magic ». Cette dernière casse la tête à un bon nombre d’équipes qui se voient dans une impasse. Par conséquent, c’est le début de la négociation de déblocage contre des points avec certaines équipes.
Nouveau rush de requêtes sur le Discord après la pause déjeuner : l’épreuve « It’s a kind of magic » est définitivement l’obstacle de la journée.
Dans l’après-midi, un bug de plateforme est rapporté. Ce bug donne des points au lieu d’en enlever lorsqu’on déverrouille des indices (automatiquement). Ce sera fixé finalement.
A partir de 17 heures le CTF est clos et notre équipe prend le temps de vérifier la bonne attribution des bonus et des malus et donc de figer le classement avant l’annonce finale à 18h.
*
Le classement final
1er : OSINT_FR
2ème : OSINT 117
3ème : CLUB CYBER AEGE
Les stats
- 404 bonnes réponses contre 4007 mauvaises soumissions
- 50 points contre un déblocage
- Épreuve la plus difficile : Bienveillance arboricole I
- Épreuve la plus frustrante : It’s a kind of magic I
- Sur 66 équipes au total, 61 ont au moins validé une épreuve
*
Une anecdote
Des petits malins ont tenté de réinitialiser des mots de passe du personnage fictif créé pour le CTF.
/!\Rappel important/!\
Dans un CTF OSINT, comme dans la vraie vie, vous n’avez pas le droit de pirater un système d’information. Vous devez simplement et de manière efficace collecter des informations disponibles publiquement qui vous permettent de répondre à des énigmes.
/!\
En conclusion, ce fut un CTF OSINT de bonne facture au regard des retours que nous avons eus.
Afin d’atténuer les frustrations et pour permettre à d’autres personnes de jouer, nous avons partagé sur Github le code de ce CTF « OSINTy’Zef » en licence CC by SA.
https://github.com/diateam/UYBHYS2020-OSINT-CTF
Pour jouer et rejouer plus facilement ce CTF, il convient d’utiliser la plateforme CTFd.
Amusez-vous bien et n’hésitez pas à nous faire part de vos retours sur LinkedIN ou Twitter !