Foire aux questions
Questions générales
- Comment choisir ma catégorie d'âge lors de l'inscription ?
- Comment vérifier si je suis éligible à la sélection de la Team France et si oui, comment choisir ma catégorie ?
- Est-ce que je peux participer au Challenge cette année si j'ai déjà fait partie de la Team France lors d'une édition précédente ?
- Est-ce qu'une équipe existante peut s'inscrire à la sélection nationale ?
- Quelles sont les qualités recherchées pour intégrer la Team France ?
- Comment sont choisies les personnes pré-sélectionnées ?
- Comment se déroule le FCSC ?
- Quel est le système utilisé pour comptabiliser les points ?
- Est-ce que des write-ups seront demandés ?
- Est-ce que je peux utiliser des outils pour faire du bruteforce automatisé ?
- Je ne peux plus contacter le CTFd et les challenges, quel est le problème ?
- Que se passe-t-il si je trouve une erreur ou une faille sur la plateforme ?
- Vous avez une question technique sur une épreuve ?
- Pourquoi certaines épreuves ont une limite maximum du nombre d'essais ?
- Est-ce que des solutions seront publiées à l'issue de la compétition ?
- Quelles sont les dates à réserver si je prends part au FCSC ?
- Qu'est-ce que le European Cybersecurity Challenge (ECSC) ?
Comment choisir ma catégorie d'âge lors de l'inscription ?
Lors de votre inscription vous avez le choix entre trois catégories : junior, senior et hors catégorie.
Je suis junior si :
- je suis de nationalité française ;
- je souhaite participer à l'ensemble de la compétition FCSC et candidater pour intégrer la Team France pour l'European Cybersecurity Challenge (ECSC) ;
- je suis né(e) en 2011, 2010, 2009, 2008, 2007, 2006 ou 2005.
Je suis senior si :
- je suis de nationalité française ;
- je souhaite participer à l'ensemble de la compétition FCSC et candidater pour intégrer la Team France pour l'European Cybersecurity Challenge (ECSC) ;
- je suis né(e) en 2004, 2003, 2002, 2001 ou 2000.
Je m'incris en « hors catégorie » si :
- je ne suis pas de nationalité française ;
- j'ai entre 14 et 25 ans mais je ne souhaite pas m'inscrire en catégorie « junior » ou « senior » (cf. conditions ci-dessus) ;
- je suis né(e) après 2011 ou avant 2000.
Le FCSC est avant tout un challenge organisé pour les 14-25 ans afin de permettre à l'ANSSI de sélectionner les joueuses et les joueurs qui intègreront la Team France lors de la prochaine édition de l'ECSC, également dédiée aux 14-25 ans.
Comment vérifier si je suis éligible à la sélection de la Team France et si oui, comment choisir ma catégorie ?
La participation au Challenge national FCSC requiert de remplir les conditions suivantes :
- être une personne physique ;
- être de nationalité française ;
- candidater pour intégrer la Team France et participer à l'ECSC ;
- être âgé(e) de quatorze à vingt-cing ans révolus au 31 décembre 2025 :
- Junior : être né(e)s en 2011, 2010, 2009, 2008, 2007, 2006 ou 2005;
- Senior : être né(e)s en 2004, 2003, 2002, 2001 ou 2000.
Est-ce que je peux participer au Challenge cette année si j'ai déjà fait partie de la Team France lors d'une édition précédente ?
Vous pouvez bien sûr participer à l'édition 2025 et gagner votre place au sein de la Team France, y compris si vous avez participé aux épreuves lors des précédentes éditions.
À noter cependant que l'inscription est individuelle et unique : une même personne ne peut s'inscrire qu'une seule fois et ne peut participer qu'une seule fois aux épreuves de sélection nationale de l'édition 2025. En cas d'inscriptions multiples, seule la première participation valablement enregistrée sera prise en compte sans que cela ne puisse donner lieu à aucune contestation d'aucune sorte.
Est-ce qu'une équipe existante peut s'inscrire à la sélection nationale ?
La sélection des membres de la Team France se fait sur la base d'un classement individuel et ce à toutes les étapes de la sélection nationale. Pour le FCSC, on demande ainsi une joueuse/un joueur par identifiant.
Il est également interdit de jouer à plusieurs et de partager les résultats.
L'objectif est bien de créer une équipe nationale, et non de sélectionner une équipe préexistante. La qualification portera sur les connaissances et les compétences personnelles des candidat(e)s.
Quelles sont les qualités recherchées pour intégrer la Team France ?
Les candidat(e)s seront départagé(e)s sur la base de plusieurs critères : le classement de la phase achevée mais également la rapidité de résolution, la qualité des explications, la démonstration de la résolution, le comportement observé lors des phases de sélection, etc.
L'objectif final est de créer une Team France aux compétences multiples et complémentaires. Ses membres seront recrutés par les coachs de l'ANSSI pour leurs expertises, leur talent, leurs qualités humaines et leur sens du collectif.
Comment sont choisies les personnes pré-sélectionnées ?
À l'issue du FCSC, une première étape de pré-sélection pour la composition de la Team France est établie sur la base des résultats des participants.
Les personnes pré-sélectionnées sont celles inscrites en catégorie junior ou senior qui sont dans le top 3 des 5 catégories d'épreuves qualifiantes : crypto, reverse, pwn, web et hardware (junior ou senior), ainsi que le top 3 speedrun de la journée du 26 avril 2025.
Les personnes pré-sélectionnées seront reçues en entretiens individuels (en visioconférence) par les coachs et experts de l'ANSSI.
La composition de la Team France dépendra de la qualité des entretiens.
Important : par rapport aux éditions passées, le top 5 du classement général (junior ou senior) n'est plus qualifiant pour les entretiens.
Comment se déroule le FCSC ?
Un premier ensemble d'épreuves sera mis en ligne le vendredi 18 avril 2025 à 14h et seront disponibles jusqu'au dimanche 27 avril 2025 à 22h. Un deuxième ensemble d'épreuves pour la journée speedrun sera mis en ligne le 26 avril 2025 à 9h et resteront en ligne jusqu'au dimanche 27 avril 2025 à 22h. Le classement speedrun ne portera cependant que sur la période du samedi, entre 9h et 18h.
Les épreuves sont élaborée par des experts de l'ANSSI et par quelques personnes bien établies dans le monde des CTF. Pour l'édition 2025, environ 70 épreuves sont prévues avec une répartition par catégories : crypto, reverse, pwn, web, forensics, hardware, etc.
À la fin du FCSC, ces épreuves seront ajoutées sur Hackropole.
Quel est le système utilisé pour comptabiliser les points ?
La méthode pour comptabiliser les points pour chaque épreuve (à l'exception de la catégore "intro") est dynamique et dégressive en fonction du nombre croissant de résolution (dynamic scoring). Toutes les épreuves démarrent avec un score de 500 points qui diminue de manière quadratique en fonction du nombre de résolutions pour atteindre une valeur minimal de 100 points au bout de 300 résolutions.
| Nombre de validations | Nombre de points du challenge | |
|---|---|---|
| 1 | 500 | |
| 5 | 490 | |
| 10 | 477 | |
| 25 | 439 | |
| 50 | 381 | |
| 100 | 280 | |
| 150 | 202 | |
| 200 | 146 | |
| 250 | 112 | |
| 300+ | 100 |
Par ailleurs, des niveaux de difficulté approximatifs des épreuves sont donnés sous la forme d'étoiles : 1 étoile ⭐ pour un niveau facile, 2 étoiles ⭐⭐ pour un niveau moyen, et 3 étoiles ⭐⭐⭐ pour un niveau difficile.
Il est strictement interdit de garder plusieurs solutions dans le but de toutes les soumettre à quelques minutes de la fin de la compétition (flag hoarding).
Est-ce que des write-ups seront demandés ?
Oui. Chaque candidat(e) pour la Team France doit envoyer obligatoirement deux writeups parmi les épreuves les plus difficiles qu'il ou elle aura réussi à l'adresse contact [at] fcsc.fr, avant la fin du FCSC 2025, accompagné du nom d'utilisateur sur le site et d'une courte présentation personnelle (nom, prénom, âge, parcours, formation, expérience en CTF). Le choix des épreuves est laissé à la discrétion des participants.
Si vous faites partie de la catégorie senior, vos write-ups devront être rédigés en anglais. Si vous faites partie de la catégorie junior, vous pouvez choisir entre français et anglais.
Les coachs attacheront un intérêt particulier à l'aspect méthodologique des solutions, mais également aux décisions prises lors de la résolution de l'épreuve.
Les candidat(e)s sont invité(e)s à regrouper le plus possible les envois (dans l'idéal, un seul e-mail avec une archive) pour faciliter le traitement des solutions. Les write-ups ne seront acceptés que jusqu'à la fermeture du challenge, le dimanche 27 avril 2025 à 22h00.
Nous recommandons de rédiger les write-ups en Markdown, mais cela n'est pas obligatoire.
Après la fin du FCSC, toutes les joueuses et tous les joueurs seront libres de publier sur Internet des write-ups sur les épreuves. Vous pouvez également soumettre vos writeups sur Hackropole dans le but de servir de ressources pédagogiques.
Est-ce que je peux utiliser des outils pour faire du bruteforce automatisé ?
Sauf mention contraire, les outils automatisés de bruteforce de la plateforme (dirbuster/dirb/wfuzz/sqlmap/nikto/hydra et équivalents) sont interdits et de toute façon inutiles : si vous les utilisez, c'est que vous n'êtes pas sur la bonne piste. Nous enverrons des messages sur Discord et des mails d'avertissement aux personnes qui les utilisent. En cas de récidive, nous pourrons aller jusqu'à bannir l'utilisateur de la compétition.
Je ne peux plus contacter le CTFd et les challenges, quel est le problème ?
Afin de protéger l'infrastructure et de garantir la fluidité pour tous les joueurs, deux types de limite sont mises en place :
- Un rate-limiting sur les services HTTP : une fois que vous dépassez un plafond de requêtes sur un temps donné, vous recevrez des codes HTTP 429. Si vous continuez de dépasser cette limite, votre adresse IP sera provisoirement bannie de l'infrastructure, pour un temps limité.
- Une limite sur le nombre de connexions TCP sur un même service depuis une même IP.
Si vous utilisez des outils d'automatisation, veillez donc à le faire finement : vous pouvez par exemple veiller à ne pas recevoir de codes 429 ou à ne pas ouvrir de multiples connexions sur les services TCP.
Si vous êtes plusieurs participants à jouer depuis une connexion mutualisée (réseau d'école, résidence étudiante, réseau public, etc.) les actions d'un autre joueur peuvent bloquer l'IP que vous utilisez.
Que se passe-t-il si je trouve une erreur ou une faille sur la plateforme ?
Vous avez repéré un dysfonctionnement ou une faille sur une épreuve ou sur la plateforme ? Transmettez l'information à l'équipe d'organisation de l'ANSSI via l'adresse contact [at] fcsc.fr et remportez quelques points supplémentaires !
Attention : pendant la durée du FCSC, les joueuses et les joueurs doivent solliciter les organisateurs avec discernement.
Vous avez une question technique sur une épreuve ?
Chaque épreuve peut contenir des indices. Si un indice est débloqué, il sera ajouté sur la plateforme et disponible sous la description de l'épreuve. Une notification sera également faite sur la plateforme en complément d'un message sur Discord.
Le FCSC est une compétition. Si une épreuve a déjà été validée plusieurs fois, nous ne pourrons pas répondre aux questions liées à la technicité des épreuves pendant la durée de la compétition. Toute réponse ou indice à une question technique peut pénaliser les joueuses et les joueurs qui ont réussi à valider l'épreuve sans indice. C'est pourquoi nous ne pourrons pas répondre aux demandes individuelles d'indice.
Des points pourront par ailleurs être retirés pour toutes questions abusives ou répétées auprès des membres de l'organisation, apparaissant comme une recherche d'indices sur une ou des épreuves.
Pourquoi certaines épreuves ont une limite maximum du nombre d'essais ?
Certaines épreuves peuvent être particulièrement sujettes à la soumission de chaînes de caractères prises au hasard jusqu'à trouver la bonne solution.
Ainsi, pour éviter les tentatives de validations abusives, une limite maximum du nombre d'essais de soumissions de flags peut être mise en place.
De plus, ce CTF dure 10 jours et non 24 ou 48h. Les joueuses et les joueurs ont donc le temps d'analyser les éléments en leur possession pour aller au bout des épreuves avant d'essayer de soumettre les flags.
Est-ce que des solutions seront publiées à l'issue de la compétition ?
L'ANSSI ne publiera pas de write-ups à l'issue du FCSC. Néanmoins, après la compétition, toutes les joueuses et tous les joueurs seront libres de publier leurs propres write-ups sur les épreuves, après 22h le dimanche 27 avril 2025. Vous pouvez également soumettre vos writeups sur Hackropole dans le but de servir de ressources pédagogiques.
Quelles sont les dates à réserver si je prends part au FCSC ?
Chaque candidat(e) s'engage à se rendre disponible lors des rendez-vous organisés par l'ANSSI liés aux challenges et aux éventuelles sessions d'entrainement.
Le calendrier :
- FCSC : du 18 au 27 avril 2025 ;
- ECSC à Varsovie (Pologne) : du 6 au 10 octobre 2025.
Qu'est-ce que le European Cybersecurity Challenge (ECSC) ?
Rassemblant chaque année une trentaine de pays européens, l'European Cybersecurity challenge (ECSC) permet aux équipes nationales de se mesurer les unes aux autres, avec des séries d'épreuves variées (cryptographie, reverse engineering, recherche de vulnérabilité, etc.).
Pendant plusieurs jours, les compétences et qualités de ces nouveaux talents européens de la sécurité numérique seront mises à rude épreuve.
la Team France regroupe 10 joueuses et joueurs de 14 à 25 ans, sélectionné(e)s lors du France Cybersecurity Challenge pour représenter la France lors de l'ECSC.
Organisée à Varsovie, en Pologne, l'édition 2025 proposera des épreuves variées : un CTF de type jeopardy et un CTF de type attaque/défense sur deux jours. Les modalités complètes de la compétition seront transmises au fur et à mesure par les organisateurs de l'ECSC.
Pour tout savoir sur l’ECSC, rendez-vous sur le site officiel : https://ecsc.eu/.