Foire aux questions

Questions générales
  1. Comment choisir ma catégorie d'âge lors de l'inscription ?
  2. Comment vérifier si je suis éligible à la sélection de la Team France et si oui, comment choisir ma catégorie ?
  3. Est-ce que je peux participer au Challenge cette année si j'ai déjà fait partie de la Team France lors d'une édition précédente ?
  4. Est-ce qu'une équipe existante peut s'inscrire à la sélection nationale ?
  5. Quelles sont les qualités recherchées pour intégrer la Team France ?
  6. Comment sont choisies les personnes pré-sélectionnées ?
  7. Comment se déroule le FCSC ?
  8. Quel est le système utilisé pour comptabiliser les points ?
  9. Est-ce que des write-ups seront demandés ?
  10. Est-ce que je peux utiliser des outils pour faire du bruteforce automatisé ?
  11. Je ne peux plus contacter le CTFd et les challenges, quel est le problème ?
  12. Que se passe-t-il si je trouve une erreur ou une faille sur la plateforme ?
  13. Vous avez une question technique sur une épreuve ?
  14. Pourquoi certaines épreuves ont une limite maximum du nombre d'essais ?
  15. Est-ce que des solutions seront publiées à l'issue de la compétition ?
  16. Quelles sont les dates à réserver si je prends part au FCSC ?
  17. Qu'est-ce que le European Cybersecurity Challenge (ECSC) ?
Questions relatives aux épreuves
  1. Services en ligne : Internet et noyau Linux.
  2. Les outils automatisés sont-ils autorisés ?
  3. Est-ce que je peux confirmer une piste avec un admin ?
  4. Est-ce que je peux vérifier l'intégrité des gros fichiers ?
  5. Épreuve misc/Array d'urgence

Comment choisir ma catégorie d'âge lors de l'inscription ?

Lors de votre inscription vous avez le choix entre trois catégories : junior, senior et hors catégorie.

Je suis junior si :

Je suis senior si :

Je m'incris en « hors catégorie » si :

Le FCSC est avant tout un challenge organisé pour les 14-25 ans afin de permettre à l'ANSSI de sélectionner les joueuses et les joueurs qui intègreront la Team France lors de la prochaine édition de l'ECSC, également dédiée aux 14-25 ans.

Comment vérifier si je suis éligible à la sélection de la Team France et si oui, comment choisir ma catégorie ?

La participation au Challenge national FCSC requiert de remplir les conditions suivantes :

Est-ce que je peux participer au Challenge cette année si j'ai déjà fait partie de la Team France lors d'une édition précédente ?

Vous pouvez bien sûr participer à l'édition 2025 et gagner votre place au sein de la Team France, y compris si vous avez participé aux épreuves lors des précédentes éditions.

À noter cependant que l'inscription est individuelle et unique : une même personne ne peut s'inscrire qu'une seule fois et ne peut participer qu'une seule fois aux épreuves de sélection nationale de l'édition 2025. En cas d'inscriptions multiples, seule la première participation valablement enregistrée sera prise en compte sans que cela ne puisse donner lieu à aucune contestation d'aucune sorte.

Est-ce qu'une équipe existante peut s'inscrire à la sélection nationale ?

La sélection des membres de la Team France se fait sur la base d'un classement individuel et ce à toutes les étapes de la sélection nationale. Pour le FCSC, on demande ainsi une joueuse/un joueur par identifiant.

Il est également interdit de jouer à plusieurs et de partager les résultats.

L'objectif est bien de créer une équipe nationale, et non de sélectionner une équipe préexistante. La qualification portera sur les connaissances et les compétences personnelles des candidat(e)s.

Quelles sont les qualités recherchées pour intégrer la Team France ?

Les candidat(e)s seront départagé(e)s sur la base de plusieurs critères : le classement de la phase achevée mais également la rapidité de résolution, la qualité des explications, la démonstration de la résolution, le comportement observé lors des phases de sélection, etc.

L'objectif final est de créer une Team France aux compétences multiples et complémentaires. Ses membres seront recrutés par les coachs de l'ANSSI pour leurs expertises, leur talent, leurs qualités humaines et leur sens du collectif.

Comment sont choisies les personnes pré-sélectionnées ?

À l'issue du FCSC, une première étape de pré-sélection pour la composition de la Team France est établie sur la base des résultats des participants.

Les personnes pré-sélectionnées sont celles inscrites en catégorie junior ou senior qui sont dans le top 3 des 5 catégories d'épreuves qualifiantes : crypto, reverse, pwn, web et hardware (junior ou senior), ainsi que le top 3 speedrun de la journée du 26 avril 2025.

Les personnes pré-sélectionnées seront reçues en entretiens individuels (en visioconférence) par les coachs et experts de l'ANSSI.

La composition de la Team France dépendra de la qualité des entretiens.

Important : par rapport aux éditions passées, le top 5 du classement général (junior ou senior) n'est plus qualifiant pour les entretiens.

Comment se déroule le FCSC ?

Un premier ensemble d'épreuves sera mis en ligne le vendredi 18 avril 2025 à 14h et seront disponibles jusqu'au dimanche 27 avril 2025 à 22h. Un deuxième ensemble d'épreuves pour la journée speedrun sera mis en ligne le 26 avril 2025 à 9h et resteront en ligne jusqu'au dimanche 27 avril 2025 à 22h. Le classement speedrun ne portera cependant que sur la période du samedi, entre 9h et 18h.

Les épreuves sont élaborée par des experts de l'ANSSI et par quelques personnes bien établies dans le monde des CTF. Pour l'édition 2025, environ 70 épreuves sont prévues avec une répartition par catégories : crypto, reverse, pwn, web, forensics, hardware, etc.

À la fin du FCSC, ces épreuves seront ajoutées sur Hackropole.

Quel est le système utilisé pour comptabiliser les points ?

La méthode pour comptabiliser les points pour chaque épreuve (à l'exception de la catégore "intro") est dynamique et dégressive en fonction du nombre croissant de résolution (dynamic scoring). La majorité des épreuves démarrent avec un score de 500 points qui diminue de manière quadratique en fonction du nombre de résolutions pour atteindre une valeur minimal de 100 points au bout de 300 résolutions. Les épreuves de la catégories forensics sont l'exception : elles démarrent à 250 pts pour atteindre une valeur minimal de 100 points au bout de 300 résolutions.

Nombre de validations     Nombre de points du challenge
1 500
5 490
10 477
25 439
50 381
100 280
150 202
200 146
250 112
300+ 100

Par ailleurs, des niveaux de difficulté approximatifs des épreuves sont donnés sous la forme d'étoiles : 1 étoile ⭐ pour un niveau facile, 2 étoiles ⭐⭐ pour un niveau moyen, et 3 étoiles ⭐⭐⭐ pour un niveau difficile.

Il est strictement interdit de garder plusieurs solutions dans le but de toutes les soumettre à quelques minutes de la fin de la compétition (flag hoarding).

Est-ce que des write-ups seront demandés ?

Oui. Chaque candidat(e) pour la Team France doit envoyer obligatoirement deux writeups parmi les épreuves les plus difficiles qu'il ou elle aura réussi à l'adresse contact [at] fcsc.fr, avant la fin du FCSC 2025, accompagné du nom d'utilisateur sur le site et d'une courte présentation personnelle (nom, prénom, âge, parcours, formation, expérience en CTF). Le choix des épreuves est laissé à la discrétion des participants.

Si vous faites partie de la catégorie senior, vos write-ups devront être rédigés en anglais. Si vous faites partie de la catégorie junior, vous pouvez choisir entre français et anglais.

Les coachs attacheront un intérêt particulier à l'aspect méthodologique des solutions, mais également aux décisions prises lors de la résolution de l'épreuve.

Les candidat(e)s sont invité(e)s à regrouper le plus possible les envois (dans l'idéal, un seul e-mail avec une archive) pour faciliter le traitement des solutions. Les write-ups ne seront acceptés que jusqu'à la fermeture du challenge, le dimanche 27 avril 2025 à 22h00.

Nous recommandons de rédiger les write-ups en Markdown, mais cela n'est pas obligatoire.

Après la fin du FCSC, toutes les joueuses et tous les joueurs seront libres de publier sur Internet des write-ups sur les épreuves. Vous pouvez également soumettre vos writeups sur Hackropole dans le but de servir de ressources pédagogiques.

Est-ce que je peux utiliser des outils pour faire du bruteforce automatisé ?

Sauf mention contraire, les outils automatisés de bruteforce de la plateforme (dirbuster/dirb/wfuzz/sqlmap/nikto/hydra et équivalents) sont interdits et de toute façon inutiles : si vous les utilisez, c'est que vous n'êtes pas sur la bonne piste. Nous enverrons des messages sur Discord et des mails d'avertissement aux personnes qui les utilisent. En cas de récidive, nous pourrons aller jusqu'à bannir l'utilisateur de la compétition.

Je ne peux plus contacter le CTFd et les challenges, quel est le problème ?

Afin de protéger l'infrastructure et de garantir la fluidité pour tous les joueurs, deux types de limite sont mises en place :

Si vous utilisez des outils d'automatisation, veillez donc à le faire finement : vous pouvez par exemple veiller à ne pas recevoir de codes 429 ou à ne pas ouvrir de multiples connexions sur les services TCP.

Si vous êtes plusieurs participants à jouer depuis une connexion mutualisée (réseau d'école, résidence étudiante, réseau public, etc.) les actions d'un autre joueur peuvent bloquer l'IP que vous utilisez.

Que se passe-t-il si je trouve une erreur ou une faille sur la plateforme ?

Vous avez repéré un dysfonctionnement ou une faille sur une épreuve ou sur la plateforme ? Transmettez l'information à l'équipe d'organisation de l'ANSSI via l'adresse contact [at] fcsc.fr et remportez quelques points supplémentaires !

Attention : pendant la durée du FCSC, les joueuses et les joueurs doivent solliciter les organisateurs avec discernement.

Vous avez une question technique sur une épreuve ?

Chaque épreuve peut contenir des indices. Si un indice est débloqué, il sera ajouté sur la plateforme et disponible sous la description de l'épreuve. Une notification sera également faite sur la plateforme en complément d'un message sur Discord.

Le FCSC est une compétition. Si une épreuve a déjà été validée plusieurs fois, nous ne pourrons pas répondre aux questions liées à la technicité des épreuves pendant la durée de la compétition. Toute réponse ou indice à une question technique peut pénaliser les joueuses et les joueurs qui ont réussi à valider l'épreuve sans indice. C'est pourquoi nous ne pourrons pas répondre aux demandes individuelles d'indice.

Des points pourront par ailleurs être retirés pour toutes questions abusives ou répétées auprès des membres de l'organisation, apparaissant comme une recherche d'indices sur une ou des épreuves.

Pourquoi certaines épreuves ont une limite maximum du nombre d'essais ?

Certaines épreuves peuvent être particulièrement sujettes à la soumission de chaînes de caractères prises au hasard jusqu'à trouver la bonne solution.

Ainsi, pour éviter les tentatives de validations abusives, une limite maximum du nombre d'essais de soumissions de flags peut être mise en place.

De plus, ce CTF dure 10 jours et non 24 ou 48h. Les joueuses et les joueurs ont donc le temps d'analyser les éléments en leur possession pour aller au bout des épreuves avant d'essayer de soumettre les flags.

Est-ce que des solutions seront publiées à l'issue de la compétition ?

L'ANSSI ne publiera pas de write-ups à l'issue du FCSC. Néanmoins, après la compétition, toutes les joueuses et tous les joueurs seront libres de publier leurs propres write-ups sur les épreuves, après 22h le dimanche 27 avril 2025. Vous pouvez également soumettre vos writeups sur Hackropole dans le but de servir de ressources pédagogiques.

Quelles sont les dates à réserver si je prends part au FCSC ?

Chaque candidat(e) s'engage à se rendre disponible lors des rendez-vous organisés par l'ANSSI liés aux challenges et aux éventuelles sessions d'entrainement.

Le calendrier :

Qu'est-ce que le European Cybersecurity Challenge (ECSC) ?

Rassemblant chaque année une trentaine de pays européens, l'European Cybersecurity challenge (ECSC) permet aux équipes nationales de se mesurer les unes aux autres, avec des séries d'épreuves variées (cryptographie, reverse engineering, recherche de vulnérabilité, etc.).

Pendant plusieurs jours, les compétences et qualités de ces nouveaux talents européens de la sécurité numérique seront mises à rude épreuve.

la Team France regroupe 10 joueuses et joueurs de 14 à 25 ans, sélectionné(e)s lors du France Cybersecurity Challenge pour représenter la France lors de l'ECSC.

Organisée à Varsovie, en Pologne, l'édition 2025 proposera des épreuves variées : un CTF de type jeopardy et un CTF de type attaque/défense sur deux jours. Les modalités complètes de la compétition seront transmises au fur et à mesure par les organisateurs de l'ECSC.

Pour tout savoir sur l’ECSC, rendez-vous sur le site officiel : https://ecsc.eu/.

Services en ligne : Internet et noyau Linux.

Tous les services en ligne tournent dans des conteneurs, eux-même dans des machines virtuelles. Sauf mention contraire, ils ne peuvent pas initier de connexion à Internet.

Pour éventuellement vous aider à exploiter les services vulnérables proposés dans certaines épreuves, nous fournissons les noyaus Linux durcis très proches de ceux que nous utilisons dans les machines virtuelles. Pour la majorité des épreuves, vous pouvez le télécharger en cliquant ici. Pour deux épreuves de pwn (Juste à Temps, et Back to BASIC), vous pouvez le télécharger en cliquant ici.

Pour le démarrer, il est par exemple possible d'utiliser QEMU en téléchargeant au préalable un rootfs de Debian à cette adresse : https://cloud.debian.org/images/cloud/bookworm/latest/debian-12-nocloud-amd64.tar.xz (213M) :

wget https://cloud.debian.org/images/cloud/bookworm/latest/debian-12-nocloud-amd64.tar.xz
tar xvf debian-12-nocloud-amd64.tar.xz

puis de lancer QEMU avec cette commande :

qemu-system-x86_64 -M microvm,acpi=off                      \
  -enable-kvm -m 2G -cpu host -smp 2                        \
  -kernel vmlinux-fcsc.bin                                  \
  -append "earlyprintk=ttyS0 console=ttyS0 root=/dev/vda1"  \
  -nodefaults -no-user-config -nographic -serial stdio      \
  -drive id=fcsc,file=disk.raw,format=raw,if=none           \
  -device virtio-blk-device,drive=fcsc                      \
  -netdev user,id=net0,hostfwd=tcp::2222-:22                \
  -device virtio-net-device,netdev=net0

Il est alors possible de se connecter en tant que root :

Debian GNU/Linux 12 localhost ttyS0

localhost login: root
Linux localhost 6.13.6-metal-hardened #1 SMP Wed Mar 12 14:25:24 UTC 2025 x86_64
(...)
root@localhost:~#

Il est ensuite possible d'installer un serveur SSH (le port 22/tcp est exposé sur 2222/tcp par QEMU dans l'exemple précédent) pour transférer des données avec la VM.

Les outils automatisés sont-ils autorisés ?

Non, ils ne sont pas autorisés et n'aideront pas à résoudre les challenges plus rapidement. En particulier, aucune épreuve web ne se résout avec des outils automatiques, et dans la majorité des cas, le code source de ces épreuves est même fourni.

En les utilisant, vous prenez le risque de vous faire bannir de l'infrastructure automatiquement, de façon temporaire ou définitive : https://fcsc.fr/faq#10

Exemples d'outils automatisés : nmap, dirbuster, sqlmap, hydra, ffuf, etc.

Est-ce que je peux confirmer une piste avec un admin ?

Non, nous ne donnons pas d'indices sur les challenges.

Est-ce que je peux vérifier l'intégrité des gros fichiers ?

Oui, nous donnons les empreintes SHA256 de la majorité des "gros" fichiers (plus de quelques MiB) dans le tableau ci-dessous.

Challenge      Fichier      SHA256
- vmlinux-fcsc.bin.tar.xz 87a05f7e955f9ba35925b953236b65f68d1eec9f2de5a4934181ba79728dc0d2
- vmlinux-fcsc-pwn.bin.tar.xz f272b4360cd7828c81f7eb8ec8d4fdaa7e521aeaff8449ad5f33a9cf401d3092
ja4a4a4do0o0re-ssh ja4a4a4do0o0re-ssh.pcap 5a88c3de56a5ec237d6d787f3b5fb657b7746c70eedd6e87cb8116378ad19381
baby-dpdk babydpdk.tar.xz 8bb63d26a320c4b1c9ac976359b1e322bab5931bbfa78cda4120b93394ab1fcd
baby-xdp babyxdp.tar.xz fc1545b7d86264b795d1746cba0cda7dfd95d7f5b0a4c4de81eace07fa2eaa6d
le-calme-avant-la-tempest le-calme-avant-la-tempest.bin a33cd18c1cc7d609ddcbab50d6deb0c308fb3cac1760e301264be14f4a9d0b21
DisplayPort DisplayPort.bin 58b91fbfe25cc95573e917491a3ed48b82110b6b7c501827a818372e663478a3
Socrate socrate.tar.gz f2ac337b372fba041ecccb20d18cf00401ab428457a68460bdfef4090e2b2313
Analyse Mémoire analyse-memoire.tar.xz 59dbdb3d2e0eb219afc63fa086069b0e21cad79060ca3752b75e910058fce206
Analyse Mémoire analyse-memoire.dmp c5baf9e16fc12a64cf18998d7cf0cc73f520ea80581d6bf37ed0eafa22857b86
Track DB trackdb.tar.xz 58e3f855a51bee400a0c57e1752dbb82fbce040fc9fe21ffe9e389e164cc1506
iForensics backup.tar.xz f7e00e4979573e09f582bebb2a64d5daa0ad6151ca7f6971beabbfaa81b400ce
iForensics sysdiagnose_and_crashes.tar.xz 9a7cc0ee4032bc74d2c162562691594fa772f4f57090b7cc72b6efa0e88582cc
surinausor dewaste.pcap.xz 34d292e4ec133e18356417fb92794f075cfa9a8ecdfc7879e1ce5eab9ed3087c
surinausor winds-of-the-past.pcap.xz 4a3d99d4d6e05fb8a176820412b703a158afb7f2e69864312469d65abaa43fc3

Épreuve misc/Array d'urgence

Si vous pensez avoir la bonne solution, et que vos indices de tableaux vous semblent bons, vérifiez que vous n'avez pas un off-by-one en essayant "j+1" au lieu de "j".