CyberLycée
BlogSe connecter
Retour au blog
Guides8 min

Ton premier CTF : guide pour les débutants

CyberLycée25 mars 2026

Ton premier CTF : guide pour les débutants

Tu as entendu parler des CTF. Tu vois des gens poster des flags sur Twitter. Tu veux t'y mettre mais tu ne sais pas par où commencer. Ce guide est pour toi.

C'est quoi un CTF ?

CTF signifie Capture The Flag. C'est une compétition de cybersécurité. Le principe est simple : résoudre des défis techniques pour trouver un "flag", une chaine de texte cachée qui prouve que tu as réussi. Le flag ressemble souvent à ça : flag{bravo_tu_as_trouve}.

Les CTF existent depuis les années 1990. Aujourd'hui, ils sont le meilleur moyen d'apprendre la cybersécurité de manière pratique. Pas de théorie creuse. Tu fais, tu apprends.

Les deux types de CTF

Jeopardy

C'est le format le plus courant pour les débutants. Tu as une liste de défis classés par catégorie et par difficulté. Chaque défi vaut un certain nombre de points. Tu choisis ce que tu veux résoudre. Pas de pression de temps réel.

C'est le format parfait pour débuter. Tu peux passer une heure sur un seul défi sans pénalité.

Attack/Defense

Chaque équipe a un serveur avec des services vulnérables. Tu dois défendre tes services tout en attaquant ceux des autres équipes. C'est intense, rapide et stressant. Garde ce format pour plus tard, quand tu auras de l'expérience.

Les catégories de défis

Web

Tu dois exploiter des vulnérabilités dans des applications web. Injection SQL, XSS, CSRF, contournement d'authentification. Si tu connais un peu le HTML et le JavaScript, commence par là.

Exemple concret : Le site d'AkoBank a un formulaire de connexion. Le champ mot de passe ne filtre pas les entrées. Tu tapes ' OR 1=1 -- et tu accèdes au dashboard admin. Le flag est dans la page d'administration.

Cryptographie

Tu dois casser ou analyser des systèmes de chiffrement. Ça va du chiffrement de César (facile) à la cryptanalyse RSA (difficile). Un bon niveau en maths aide, mais les défis débutants n'en demandent pas beaucoup.

Forensics

Tu analyses des fichiers, des images, des dumps mémoire ou des captures réseau pour trouver des informations cachées. Quelqu'un a caché un message dans une photo ? C'est de la stéganographie. Un fichier a été supprimé d'un disque ? Tu le récupères.

OSINT

OSINT signifie Open Source Intelligence. Tu utilises des informations publiques pour répondre à des questions. Un nom d'utilisateur, une photo, des métadonnées. Tu remontes la piste avec Google, les réseaux sociaux et des outils spécialisés.

Reverse Engineering

Tu reçois un programme compilé. Tu dois comprendre ce qu'il fait sans avoir le code source. C'est la catégorie la plus technique. Mets-la de côté pour le début, sauf si tu es très curieux.

Pwn (Exploitation binaire)

Tu exploites des vulnérabilités dans des programmes compilés. Buffer overflow, format string, heap exploitation. C'est le niveau avancé. Ne commence pas par là.

Les outils à installer

Tu n'as pas besoin de tout installer le premier jour. Voici les quatre outils qui couvrent 80 % des défis débutants.

CyberChef

Un outil en ligne pour encoder, décoder et transformer des données. Base64, hexadécimal, ROT13, XOR. Tu colles ton texte, tu choisis l'opération, tu obtiens le résultat. Pas besoin d'installer quoi que ce soit. Va sur gchq.github.io/CyberChef.

Burp Suite (Community Edition)

Un proxy web qui intercepte les requêtes entre ton navigateur et un serveur. Tu peux modifier les requêtes, rejouer des paramètres, tester des injections. C'est l'outil #1 pour les défis web.

Ghidra

Un désassembleur développé par la NSA (oui, la NSA). Gratuit et open source. Il transforme un fichier binaire en code lisible. Tu en auras besoin pour le reverse engineering.

John the Ripper

Un outil de cassage de mots de passe. Tu lui donnes un hash, il essaie des millions de combinaisons pour trouver le mot de passe original. Tu vas l'utiliser dans les défis forensics et crypto.

Bonus : Wireshark

Pour analyser des captures réseau. Un fichier .pcap contient tout le trafic réseau enregistré. Wireshark te permet de le lire et de chercher des informations.

Conseils pour ton premier CTF

Commence par les défis faciles. Chaque CTF a des défis à 50 ou 100 points. Ce sont les plus simples. Résous-les d'abord. La confiance que tu gagnes vaut plus que les points.

Lis les writeups. Après chaque CTF, les participants publient leurs solutions. C'est une mine d'or. Tu apprends des techniques que tu n'aurais jamais trouvées seul. Cherche "writeup + nom du CTF" sur Google.

Ne reste pas bloqué trop longtemps. Si tu passes plus d'une heure sans avancer, change de défi. Tu reviendras plus tard avec un regard neuf.

Prends des notes. Note chaque commande, chaque outil, chaque technique. Crée un fichier texte par défi. Dans six mois, ces notes seront ton meilleur atout.

Travaille en équipe. Les CTF en solo, c'est bien pour apprendre. Mais en équipe, tu progresses deux fois plus vite. Quelqu'un est fort en web ? Toi en crypto ? Vous vous complétez.

Utilise Linux. La plupart des outils de CTF tournent sur Linux. Si tu n'as pas Linux, installe une machine virtuelle avec Kali Linux ou Parrot OS. Les deux sont conçues pour la cybersécurité.

Où pratiquer

CyberLycée CTF Labs

Nos labs sont conçus pour les débutants francophones. Les défis sont en français. La difficulté est progressive. Tu peux demander des indices à l'assistant IA si tu es bloqué. C'est le point de départ idéal.

picoCTF

Créé par Carnegie Mellon University. Les défis sont excellents pour les débutants. Le site propose un parcours guidé avec des explications. Tout est gratuit. En anglais par contre.

OverTheWire

Une série de "wargames" pour apprendre les bases de Linux et de la sécurité. Commence par Bandit. Tu te connectes en SSH et tu résous des défis directement dans le terminal. C'est la meilleure façon d'apprendre la ligne de commande.

Root Me

Une plateforme française avec des centaines de défis classés par difficulté. La communauté est active et les forums sont utiles quand tu bloques.

Hack The Box

Plus avancé. Des machines virtuelles complètes à pirater. Garde ça pour quand tu auras quelques mois de pratique.

Ton plan d'action

  1. Installe une VM Kali Linux
  2. Crée un compte sur CyberLycée et picoCTF
  3. Résous 5 défis faciles dans la catégorie web
  4. Résous 5 défis faciles dans la catégorie crypto
  5. Lis 10 writeups de CTF récents
  6. Rejoins le Discord CyberLycée pour trouver une équipe
  7. Inscris-toi à ton premier CTF en ligne

Tu n'as pas besoin de tout savoir pour commencer. Tu as besoin de commencer pour tout apprendre. Lance ta VM, ouvre un défi et tape ta première commande. Le reste viendra.

Commentaires (0)

Connecte-toi pour laisser un commentaire

Se connecter
Chargement...

Prêt à apprendre ?

35 parcours, 430+ chapitres, tuteur IA. Le premier parcours est gratuit.

Explorer les parcours