Challenges OSINT de l'Oteria Cyber Cup 2026 - Conception
Conception des challenges OSINT de l'Oteria Cyber Cup
Nouvelle année, nouveaux CTF !
Pour cette année 2026, l’administration d’Oteria m’a proposé de réaliser quelques challenges OSINT pour l’un des CTF organisés annuellement par l’école : l’Oteria Cyber Cup.
Sans thème imposé ni restriction particulière, j’ai pu concevoir un scénario en 4 étapes + 1 bonus, afin d’emmener les participants à travers plusieurs facettes de l’OSINT et de l’investigation.
L’objectif que je me suis fixé à travers ces challenges était de proposer quatre épreuves différentes, reposant davantage sur une méthodologie rigoureuse que sur des compétences techniques avancées.
Le public étant majoritairement composé d’étudiants en cybersécurité et en informatique, je trouvais intéressant de leur proposer un challenge méthodologique plutôt que purement technique.
Les étapes du scénario
Étape 1 — Pivot rapide à partir d’un header de mail
Analyse d’un header de mail, suivie d’un pivot sur le pseudo obtenu.
La compétence visée ici était de mobiliser rapidement une logique de pivot :
- lecture du header ;
- identification du champ
Return-Path; - exploitation de l’adresse mail ;
- extraction du nom d’utilisateur associé.
Étape 2 — Fouiller une ressource “de niche” : Polarsteps
Confrontation avec un site peu vu en CTF : Polarsteps.
En creusant le fonctionnement du site, on se rend compte que son API affiche bien plus d’informations que le front-end. Les données collectées permettent d’avancer.
L’objectif ici était d’amener les participants à aller plus loin que la surface, et à explorer en profondeur les ressources découvertes, surtout lorsqu’elles sont moins grand public.
Étape 3 — Méthode avant tout (et exploitation du GAIA ID)
Encore une question de méthode. L’objectif visé ici était d’orienter les participants vers une image à géolocaliser.
Si le travail de GEOINT était relativement simple, l’obtention de la photo pouvait s’avérer plus compliquée.
L’objectif était aussi de confronter les étudiants à l’importance de prendre des notes et de ne rien négliger, même si à l’instant T cela semble inutile.
Étape 4 — Décomposer
Le flag le moins “réaliste”, mais qui force les étudiants à décomposer minutieusement les énoncés, ainsi que les informations obtenues tout au long du scénario.
Le bonus — GEOINT et méthodologie
Une vidéo volontairement rapide et floue a été proposée.
L’idée était de fournir un “faux” challenge de GEOINT : la vidéo ne servait pas à localiser le point de vue, mais plutôt à le valider.