Sthack

Appearance

CTF 2026

Depuis quelques années les modèles d'IA se développent à grande échelle. Tout d'abord, nous avons accueilli ces outils avec un regard curieux, puis amusés. En tant que Hackers, nous apprécions les outils qui sont orientés "gain de temps" et "efficacité" voire "contournement". Nous avons appris à les utiliser rapidement, et à en découvrir les limites.

Ce qui était un amusement jusqu'en 2025 est devenu une source d'inquiétude l'année suivante, partagée par de nombreux organisateurs de CTF.

Notre inquiétude est la suivante :

  • Aujourd'hui, les modèles IA "Grand public" (LLM comme ChatGPT, Claude .. ), ou autres MCP plus aboutis, sont en capacité de résoudre des challenges de CTF de manière automatique sans que cela requière un prompt très précis, et sans la moindre interaction humaine.
  • Nous craignons que, de fait, le cadre compétitif du CTF pousse les participants à se précipiter sur ces outils pour simplement valider les challenges le plus vite possible sans tenter de comprendre l'environnement, les techniques mises en œuvre, la vulnérabilité présentée.

En tant qu'organisateur de CTF, nous proposons une épreuve permettant aux participants d'apprendre une nouvelle technique, ou de découvrir une vulnérabilité, c'est avant tout un contexte de tryhard pédagogique que nous voulons proposer, destiné à des humains et prévu pour eux.

Nous pensons que l'esprit initial d'un CTF s'articule autour de valeurs claires, bien que tacites depuis le début, et partagées par tout le monde : apprendre, découvrir des techniques pointues ou de niche, et bien sûr, partager. Créer un moment social pour nous, les nerds.

Forts de nos expériences personnelles, nous considérons que les mécanismes de "résolution automatique" proposés par les LLM actuels ne sont pas compatibles avec l'apprentissage "par la pratique".

Notre intention est de préserver l'esprit du CTF tel que nous l'avons connu, que nous estimons mis en danger par l'impact de l'IA au sens large. Autant en tant que challengers que Chall Makers, nous croyons voir devant nos yeux la disparition des valeurs du CTF. En tant qu'organisateurs, nous ne souhaitons pas organiser une course d'IA.

Les réflexions autour de ce sujet furent nombreuses et aucune solution parfaite n'a été trouvée. Nous ne pensons d'ailleurs pas qu'un nouveau modèle unique sera efficace rapidement pour conserver l'esprit CTF. Néanmoins, ayant l'opportunité d'essayer de trouver un format nouveau, nous avons décidé de saisir cette chance.

La performance et la compétition sont des moteurs incroyables, mais si leurs côtés négatifs deviennent trop prononcés, nous pensons que changer le modèle directement, en diminuant la recherche de performance, aura plus d'impact et de bénéfices que d'essayer par exemple d'interdire l'utilisation de telle ou telle forme d'IA. Notre idée est donc de proposer un nouveau format, qui a pour but explicite de conserver les valeurs du CTF, en essayant de désamorcer les motivations à l'utilisation d'IA à outrance.

Format 2026

TLDR :

Le format du CTF Sthack 2026 sera donc un "CTF No Competition"

  • Pas de scoreboard, pas de notion de point à la résolution d'un challenge.
  • Pas de récompense au score ou rapidité pendant le CTF, mais distribuées sur d'autres critères
  • On garde les teams, les challenges, l'interface web de validation et le reste du format Jeopardy

Scoreboard

Cette décision est la plus symbolique. Nous ne mettrons pas en place de scoreboard ni de classement. Ceci casse un côté de la dynamique "compétitive". En impactant cet aspect, nous privilégions le temps. En revanche, cela nous permettra de privilégier le temps apporté à la pédagogie, de proposer un accompagnement plus juste et basé sur la confiance. Le temps imparti pour résoudre les challenges reste le même, mais le défaut de pression lié aux points doit permettre aux joueurs de prendre le temps de comprendre ce qu'ils font plutôt que de céder à la tentation d'une résolution automatique par IA.

Récompenses

Pour ce qui est des récompenses, nous pensons en attribuer de trois façons différentes : staff pick, finisher, et writeup.

  • Récompenses staff pick

Le CTF n'étant plus compétitif, nous ne pouvons plus récompenser les challengers au mérite ou à la rapidité de résolution. Nous définirons donc plusieurs critères, plutôt subjectifs à chaque Chall Maker, qui se baseront essentiellement sur le respect des valeurs de l'évènement, et la contribution à la vie de ce dernier... Nous ne pouvons en dire beaucoup plus, à vous de donner le meilleur !

  • Récompenses finishers

Sur le modèle d'une course à pied ou le but est d'arriver au bout, peu importe le temps nécessaire, nous souhaitons récompenser les finishers : ceux qui seront allés au bout de l'évènement en respectant les valeurs de l'évènement. Cette récompense pourra être symbolique et évoluer chaque année.

  • Récompenses writeups Après l'évènement, les participants disposeront d'une semaine pour envoyer leur writeups via le mécanisme communiqué par les organisateurs (email, plateforme à définir .. ). Ceux-ci seront alors relus par plusieurs Chall Makers qui attribueront une notation à ce writeup.

Notations :

Les principaux critères de notation seront :

  • Précision des explications
  • Format et structure du rapport
  • Détails sur la démarche de résolution et le cheminement intellectuel pour résoudre l'épreuve (par opposition à un writeup qui irait droit vers la solution, comme si le challenge se résolvait en 5 minutes)
  • Créativité (notamment : à quel point le solve est éloigné du solve intended)
  • Approche pédagogique (à quel point le document est didactique et vise à être compris par le plus grand nombre)

Un writeup pourra obtenir une très bonne notation même s'il ne remplit pas chaque critère (très pédagogique, mais pas le plus créatif, peut quand même se retrouver premier !).

Aucune notation ne sera communiquée aux participants.

Les auteurs des meilleurs writeups seront contactés pour être récompensés et invités à le présenter, accompagné du Chall Maker lors d'un Live (Twitch ou plateforme à définir).

Les writeups ayant dépassé une certaine notation seront publiés directement sur un site dédié appartenant à la Sthack (avec autorisation de l'auteur). L'idée est ici que la notoriété de l'évènement profite à la mise en avant des participants ayant réussi à résoudre une épreuve et à l'expliquer correctement.