--- title: FIC Que doit-on rendre? description: informations sur les scénarios a rendre en PDF. tags: FIC --- [TOC] # Information sur la réalisation du scénario ## Identité du scénario Avant de commencer votre document, il va vous falloir trouver une identité pour votre scénario : - un nom d'entreprise qui sera votre cible, - une team/entreprise concurrente/... attaquante. Cela peut être des jeux de mots avec le thème principal retenu, une parodie d'entreprises ou de groupes existants, ... soyez créatifs ! Attention cependant à ce que cela ne donne pas non plus d'indices. ## Context du scénario Dans la première partie de votre document, vous commencerez par établir le contexte (1/2 page) dans lequel s'inscrivent vos 5 défis : - pourquoi ces attaques ont lieu ? - que ciblent-elles concrètement : exfiltration de données, nuisances (défacement, DDOS, ...), arnaque bancaire, ...? Concentrez-vous bien sur *l'impact* : c'est cela qui va rendre votre scénario crédible. Inspirez-vous pour cela d'attaques connues (citez et documentez les sources que vous utilisez, plutôt qu'un long paragraphe.) ## Un schéma Complétez ensuite ce contexte par au moins un schéma du/des systèmes impliqués dans l'attaque (celui/ceux que vous allez réalisés). Ainsi qu'un schéma ou diagramme montrant clairement le déroulement de/des attaques. ## Paragraphe: Détails de/des attaques Enfin, pour chaque défi, vous rédigerez un paragraphe détaillant l'attaque/les attaques que vous souhaitez mettre en œuvre. En appuyant *systématiquement* vos propos par des liens : d'article, de vulnérabilité, de code, etc. Certains défis peuvent présenter des attaques ratées, finalement inexploitées, ... inspirez-vous de votre expérience : qui réussit son injection SQL du premier coup ? ## Les moments fort Notez également les moments forts pour chacun de vos défis : les points d'étapes par lesquels les participants devront passer pour avancer vers le défi suivant. Cela vous aidera, lors de la réalisation, à positionner vos flags. Comptez au moins autant d'éléments à découvrir que le niveau de l'exercice (niveau 1 : 1 élément ... niveau 5 : 5 éléments), mais sachez vous adapter à la difficulté attendue : vous pouvez prévoir plus ou moins d'éléments. >Gardez en tête que les challenges les plus simples à résoudre ne sont pas forcément les plus simples à concevoir ! Peut-être allez-vous commencer par réaliser un challenge difficile, s'il nécessite un élément pivot pour le reste de l'attaque. >Par exemple, dans une attaque ciblant un site web, le défacement, que l'on voit au premier coup d'œil sera le tout premier niveau à débloquer pour les participants. Mais il aura nécessité la compromission d'une base de données, qui sera vue dans un challenge suivant. N'hésitez pas à faire les challenges dans l'ordre de l'attaque, plutôt que dans l'ordre de résolution. :::danger Pour rappel : - Pas de défi dépendant directement d'un service sur Internet, sauf autorisation exceptionnelle de notre part. - Pas de défi en live : c'est vous qui allez réaliser les attaques, les enregistrerez ; les participants n'aurons qu'à l'analyser. - Nous sommes ouverts à de nouvelles manières de valider les challenges sur l'interface, ne vous sentez pas limités par celle-ci ! - Ne vous lancez pas dans la conception d'un contenu (application, site web, ...), vous devez principalement vous concentrer sur l'attaque : réutilisez au maximum du contenu déjà existant (dans le respect des licences et droits d'auteurs). - N'hésitez pas à réutiliser tout contenu que vous allez produire cette année, notamment votre projet de virologie, vos infra de VM, etc. - Soyez originaux, créatifs, et amusez-vous ! Les indications que l'on vous donne ici sont là pour vous donner un cadre général, n'hésitez pas à sortir de ce cadre, tant que vous faites un challenge de forensic. Voyez grand ! ::: # Lien vers PDF Lien du premier scénario https://fr.overleaf.com/7949559296qzpshnxnghjc Lien du deuxième scénario: https://fr.overleaf.com/3175586688gwhzgwjpqvkn