EPITA - Archive FIC 2026

Arrêt du cœur 16 pts

Arrêt de la kubagerie

En plein après-midi, le SAV de Heartbeat se fait submerger par les appels des patients inquiets, incapables de prendre ou de modifier leurs rendez-vous. Les équipes soignantes, elles aussi, sont dans l'incertitude, sans accès aux dossiers médicaux ni aux outils de communication internes. Mais que se passe-t-il ?

Arrêt du cœur 18 pts

Arrêt sauvage, admin pur

Vous avez découvert la source de l'attaque toutefois les raisons qui y sont liées restent floues. Éclaircissez les circonstances de l'attaque en suivant les indices.

Arrêt du cœur 47 pts

Arrêt de l'USBDump

Vous avez plus d'informations sur ce que faisait l'administrateur, il faut désormais comprendre ce qui a bien pu se passer.

Arrêt du cœur 95 pts

Sauvagerie de binaire

Vous savez à présent ce qui a pu se passer. Il faut désormais comprendre le mode de fonctionnement.

Attaque sur la supply chain logicielle 11 pts

La confiance empoisonnée

Analyse d’une compromission d’extension à partir de logs serveur. La cellule de sécurité a constaté une anomalie sur le serveur hébergeant la galerie d’extensions des développeurs de l’entreprise. Armé d’un fichier de log du serveur, votre tâche est de comprendre comment l’attaquant a pu compromettre l’une des extensions.

Attaque sur la supply chain logicielle 23 pts

Malware.vsix

Analyse d’une extension compromise et de son impact sur le processus de build. Suite à la récupération de l’extension infectée, vous êtes désormais chargé d’analyser cette version compromise. Votre objectif est de déterminer si cette extension contient une charge malveillante et de reconstituer les étapes ayant permis à celle-ci de s’intégrer au processus de build. Vos conclusions permettront d’identifier les risques potentiels pour la chaîne de production et de renforcer la sécurité de l’environnement.

Attaque sur la supply chain logicielle 47 pts

Les empreintes système

À partir d’un dump système, identifier des altérations d'un binaire et les mécanismes d’attaque associés. La recherche précédente n’ayant pas permis de confirmer la présence d’une charge malveillante, l’entreprise a pu fournir un dump des événements système capturés lors de l’un des builds suspects. Votre objectif est d’analyser ces événements afin d’identifier toute trace de modification du binaire final et de comprendre les mécanismes potentiellement mis en œuvre par l’attaquant.

Attaque sur la supply chain logicielle 95 pts

KeePass.exe

Analyse d’un binaire compromis et de ses mécanismes d’exfiltration. Vous avez désormais identifié le rôle joué par l’extension VS Code non validée dans la compromission du produit final déployé chez les clients, et ACME Solutions vous en félicite. Il vous reste toutefois à expliquer précisément le fonctionnement de l’application compromise. Pour cette dernière étape, vous ne disposez plus que du binaire suspect tel qu’il a été déployé chez les clients d’ACME Solutions. Mobilisez une dernière fois vos compétences d’auditeur afin de comprendre comment l’application permet l’exfiltration des identifiants utilisateurs tout en échappant aux mécanismes de détection du système.

Fuite d'Ingrédient Critique 13 pts

Au cœur de la base de données

L'analyse commence par le coffre-fort des recettes secrètes de l'entreprise. On s'intéresse aux données stockées et aux journaux associés.

Fuite d'Ingrédient Critique 21 pts

Une activité bien trop suspecte

Des activités réseau suspectes ont été identifiées, concernant une personne qui s'est déjà fait remarquer. Que se passe-t-il ? Deux personnes viennent donc d'être identifiées : il s'agit d'un responsable de la production et d'un prestataire externe.

Fuite d'Ingrédient Critique 47 pts

Un vol et une attaque des plus communs

Une analyse des artefacts Windows du prestataire s'impose pour déterminer comment l'attaquant s'est introduit sur le réseau de FIZZ-IC ainsi que ses actions.

Fuite d'Ingrédient Critique 95 pts

Un binaire rendant malade...

Une analyse du binaire trouvé sur la machine d'administration de la production s'impose. Dans les logs précédents, il a été remarqué que l'attaquant a déposé plusieurs fichiers dont un binaire sur l'ordinateur responsable de l'administration du réseau de production SCADA. L'entreprise nous précise qu'ils utilisent le protocole MODBUS TCP/IP pour les échanges avec leurs automates.

Gravité Zéro, Sécurité Zéro 13 pts

Partenaires Particuliers

Une activité suspecte détectée sur le portail partenaires de Novatech pourrait être la première étape d'une intrusion sophistiquée.

Gravité Zéro, Sécurité Zéro 21 pts

Bienvenue au Club

## Escalade de privilèges dans l’Active Directory

Gravité Zéro, Sécurité Zéro 47 pts

Déchiffre-moi si tu peux

Un ransomware sophistiqué a frappé Novatech Industries, chiffrant les données critiques du projet Pulsar. L'analyse forensique du malware devient urgente pour récupérer les informations stratégiques.

Gravité Zéro, Sécurité Zéro 95 pts

Livraison Express

Alors que les équipes de NovaTech pensaient avoir sécurisé leur infrastructure après l'attaque de ransomware, un nouvel incident vient troubler la tranquillité de l'entreprise.

Hydrotech - Vengeance d'un employé 11 pts

Identification de l'attaquant

## L'ombre dans les journaux

Hydrotech - Vengeance d'un employé 23 pts

Analyse du PC Admin

**L'employé malveillant a laissé des traces compromettantes dans la mémoire de sa machine.**

Hydrotech - Vengeance d'un employé 47 pts

Elévation de privilèges

Nous savons maintenant que l'attaquant a eu accès au PC d'un administrateur. Nous pensons qu'il a pu compromettre un de nos serveurs. Votre mission est de repérer dans des logs pare-feu et dans le dump simplifié d'un de nos serveurs ce que l'attaquant a pu faire. ## Objectif de la mission: - Identifier le moyen utilisé par l'attaquant pour effectuer des téléchargements depuis un serveur interne - Repérer les URL/ressources téléchargées - Déterminer la nature de la tentative d'exploitation et ses conséquences: CVE visée, binaire compromis, fonction exploitée et moment où l'attaquant a obtenu des privilèges élevés

Hydrotech - Vengeance d'un employé 95 pts

Pompes défectueuses

Une infrastructure SCADA pilote des pompes via Modbus/TCP. Depuis peu, certaines pompes redémarrent régulièrement et la supervision perd partiellement le contrôle. Les indices indiquent l'injection malveillante d'un bloc de configuration chiffré envoyé aux automates (PLC).

IRBF attack 11 pts

Conversation fatale

Le laboratoire IRBF a subi une fuite de données de recherche sur le darkweb, ils suspectent une intrusion via phishing sur leur système Rocket.Chat!

IRBF attack 23 pts

Mais d'ou?!

Après avoir découvert que le PC de Thomas était infecté, une question persiste : comment l'attaquant a-t-il eu accès aux données du labo?

IRBF attack 47 pts

3e étape : Exfiltration

On vous demande de comprendre comment les données ont pu être exfiltrées sans être repérées.

IRBF attack 95 pts

Un furet dans le labo?

Binaire suspect détecté !

Incendie du Datacentre FICloud 11 pts

1ère étape - groupe 4

Le mot de passe de l'administrateur du site web du datacentre FICloud a fuité...

Incendie du Datacentre FICloud 23 pts

Irrégularités dans le système de contrôle

Après la compromission d’un compte administrateur, de nouvelles anomalies apparaissent dans le système de supervision du datacentre. À vous de les retrouver à partir des logs des CPU/GPU des machines.

Incendie du Datacentre FICloud 52 pts

4e étape : Intrusion Physique

La piste d'une intrusion physique est suspectée. On vous demande d'investiguer toute trace d'effraction sur les lecteurs de carte.

Incendie du Datacentre FICloud 90 pts

3e étape - Reverse qui pourra

Vous avez pu identifier les températures suspectes des GPU: l'heure est venue d'investiguer les causes de ces défaillances.

La brêche 11 pts

Intrusion silencieuse chez MindCure

**Convaincu qu’une intrusion a pu se produire durant le sommet,** période où les contrôles de sécurité étaient relâchés, le RSSI vous confie une mission sensible. Votre objectif est d’analyser les mouvements et comportements du personnel ainsi que des invités afin de déceler toute activité suspecte.

La brêche 1 pts

Que s'est-il réellement passé ?

Identifiez la source de l’incident et reconstituez l’attaque grâce aux indices fournis. Saurez-vous relever le défi de l'équipe de défense ? ## Objectif de la mission :

La brêche 47 pts

Compromission du serveur de stockage central

Après l’insertion de la clé USB et l'exécution des premières actions malveillantes, une activité réseau inhabituelle a été détectée depuis le poste compromis.

La brêche 95 pts

Exfiltration des données sensibles

Malgré des restrictions réseau strictes, l’entreprise a été victime d’une fuite de données sensibles. Un tunnel de communication non détecté aurait permis à l’attaquant d’exfiltrer les informations sans déclencher d’alerte. ## Objectif de la mission :

Le Blaireau de Wall Street 11 pts

Je cherche le centre d'investissement

En pleine période de recrutement, l'ordinateur de la responsable RH semble être un bon point de départ. Il faut comprendre comment l'attaquant a pu infiltrer le système.

Le Blaireau de Wall Street 23 pts

Est-ce-que tout cela est légal ? PAS DU TOUT !

Maintenant que nous savons comment il est entré dans le système, il faut découvrir comment il a pu s'infiltrer plus profondément. Il semblerait qu'un binaire malveillant ait été exécuté. Votre analyse du poste RH a porté ses fruits : une macro malveillante dissimulée dans un document Word a réussi à télécharger et exécuter un fichier suspect sur le système compromis.

Le Blaireau de Wall Street 47 pts

Je suis un fantôme...

Nous savons que l'attaquant est parvenu à infecter le poste d'une RH de l'entreprise. Quelles sont les traces qu'il y a laissées ?

Le Blaireau de Wall Street 95 pts

Vends-moi ces données !

L’analyse du PC de la RH a révélé comment l’attaquant s’est propagé dans le réseau et a identifié sa nouvelle cible : le PC du PDG. Ce dernier contient de nombreuses informations confidentielles et devra maintenant être examiné en détail.

Le Mystère Henry Déchiffre 11 pts

La Disparition

Vous avez accès aux derniers messages que Monsieur Déchiffre a échangés avec sa femme avant de disparaitre. Peut-être que vous y trouverez un indice important...

Le Mystère Henry Déchiffre 23 pts

La compromission

Une fois la position de M. Déchiffre retrouvé, vous avez pris un avion pour tenter de le rejoindre. Sur place, sa chambre d'hôtel est vide.

Le Timonier Fantôme d'EXE 11 pts

Arrête-moi si tu peux

Nous savons que des actions inhabituelles ont été réalisées sur le compte de l’employé, et nous cherchons à déterminer leur origine.

Le Timonier Fantôme d'EXE 23 pts

Import-ant Binaire suspect

Un binaire inconnu a été exécuté, probablement transféré depuis le périphérique précédent, et son rôle exact reste à déterminer.

Le Timonier Fantôme d'EXE 47 pts

Souvenirs Suspects

Afin de poursuivre l’investigation sur le poste compromis, un dump mémoire complet de la machine a été collecté pour analyse.

Le Timonier Fantôme d'EXE 95 pts

Orchestration Diabolique

Un cluster kubernetes de l'entreprise a signalé une forte augmentation de la consommation de ses ressources, l'événement intervient bizarrement peu de temps après les précédents.

Plausible Mission - Shadow Protocol 11 pts

Le papier ne ment jamais

L'original du script ayant fuité a été récupéré auprès de la presse.

Plausible Mission - Shadow Protocol 23 pts

L'intrusion

L'attaquant est parvenu à accéder à l'ordinateur de Robert Roe. Comment l'attaquant a-t-il pu s'introduire dans le système ? Et comment a-t-il réussi à exfiltrer le script de **Plausible Mission : Shadow Protocol** ?

Plausible Mission - Shadow Protocol 47 pts

Une visite sur le serveur de fichiers

Analysez la trace réseau pour déterminer comment l'attaquant a pu obtenir l'accès au serveur de fichiers.

Plausible Mission - Shadow Protocol 95 pts

Le retournement

Ce challenge demande de récupérer des données chiffrées par un ransomware.

Port d'attache 13 pts

Sillage

Le Port de Cobalt a été la cible d’une attaque sur son serveur SCADA. La direction fait appel à vous pour comprendre comment les assaillants ont réussi à prendre le contrôle des équipements portuaires et à compromettre la sécurité du port.

Port d'attache 22 pts

Le Hollandais Volant

Le Port de Cobalt fait face à une alerte de collision maritime entre deux navires. À vous de remonter la piste du navire intercepteur pour découvrir le mode opératoire des attaquants.

Port d'attache 46 pts

SeaGate

L'équipe de réponse à incident a pu capturer un dump mémoire complet d'un processus .NET suspect exécuté sur le serveur SCADA compromis. Explorez le fichier fourni pour extraire des informations sur l'identité des attaquants, leur mode opératoire et leurs intentions. À la suite d'une intrusion, les autorités portuaires ont constaté un comportement anormal des portes maritimes. L'analyse du serveur SCADA a révélé l'injection d'un programme C# malveillant chargé de lire les messages AIS.

Port d'attache 95 pts

BoatNet

Un récepteur AIS côtier, élément clé pour la transmission des signaux de navigation, a été identifié comme ayant un comportement anormal. Les autorités craignent qu’il s’agisse d’un maillon central dans la stratégie d’attaque, permettant aux pirates de détourner le fonctionnement des systèmes critiques du port tout en échappant aux dispositifs de détection.

Stellar Wars 14 pts

L'appel du Site

**Un StormDéveloppeur de la Nécropole Stellaire a été corrompu et a donné un accès à distance à l'un des ordinateurs de cette dernière.** À vous, équipe ForenSith d'éplucher le blog du StormDéveloppeur corrompu et retrouver comment l'attaquant a pu accéder à l'ordinateur compromis.

Stellar Wars 26 pts

Le Réveil du VPN

**Maintenant que nous sommes sûrs de l'identité du traître, il faut comprendre comment l'attaquant s'est latéralisé !** À vous, équipe ForenSith d'analyser la mémoire de l'ordinateur compromis et de retrouver comment l'attaquant a pu se latéraliser depuis une machine isolée.

Stellar Wars 41 pts

Le Réseau Contre-Attaque

**Nous savons désormais comment l'attaquant s'est latéralisé sur le réseau. Mais son moyen d'élévation jusqu'aux privilèges Administrateurs reste un mystère !** À vous, équipe ForenSith d'analyser le trafic réseau avant le tir pour comprendre comment l'attaquant a obtenu les accès privilégiés.

Stellar Wars 95 pts

Le Dernier Défi

Pour préserver l'intégrité des données après l'attaque, les journaux critiques du serveur de lancement ont été chiffrés par le protocole d'urgence.

Une mystérieuse disparition 11 pts

Où est Julien ?

En tant qu'enquêteur, vous vous rendez dans l'appartement de Julien afin comprendre les causes de sa disparition. Votre instinct d'enquêteur vous amène naturellement à commencer par une visite des lieux. L'appartement de Julien, situé au dernier étage d'un immeuble discret en périphérie de la ville.

Une mystérieuse disparition 23 pts

Une mémoire d’un crime numérique

Une partition contenant le fichier hiberfil.sys a été retrouvée malgré l'effacement du disque Windows.

Uno DDoS Tres 15 pts

1-Le déni

Le premier avril, le site marchand de Sparklez ne semble plus être accessible, et ne renvoie que des erreurs 503... On dirait une mauvaise blague. Sparklez comprend assez vite qu'ils sont victimes d'une attaque par déni de service. Vis-à-vis du contexte tendu avec IncRizz, tout porte à suspecter une vengeance venant d'un de ces ex-employés...

Uno DDoS Tres 19 pts

2-Des branches et des feuilles

Après s'être remis de l'attaque DDoS, les équipes de Sparklez ont remarqué une activité anormale, cette fois du côté du serveur interne, et ont vite compris qu'une personne malveillante parvenait à rentrer dans le système.

Uno DDoS Tres 47 pts

3- Le dragon à l'envers

L'accès initial ayant été trouvé, Sparklez vous demande de vous pencher sur une autre attaque subie en interne. L’entreprise vous annonce ainsi avoir détecté une attaque de type rançongiciel sur leur serveur applicatif. L’entièreté des données sensibles sur le serveur ont été chiffrées, les sauvegardes supprimées, et les attaquants réclament une rançon de 123 CryptoCoins. Votre mission est de parvenir à comprendre le fonctionnement du virus et voir s’il est possible de déchiffrer les données, sans avoir payé la rançon.

Uno DDoS Tres 95 pts

4- La racine

Après avoir analysé et avoir compris les mécanismes du maliciel, vous comprenez que tout n'est pas perdu. En effet, votre analyse vous a permis de comprendre que la clé AES utilisée pour le chiffrement des logs est chargé en mémoire lors de l'exécution du virus.

Vin Dows 11 pts

vin dos

Plusieurs services de Vin Concept s'arrêtent de manière inopinée, perdus, l'équipe en charge de la surveillance de l'infrastructure demande a des experts en forensic de leur venir en aide. Ils ont quand même remarqué que ces derniers étaient arrêtés le 03 novembre vers 18h.

Vin Dows 1 pts

don network

L'entreprise Vin Concept étant sur le point de sortir leur toute dernière voiture, ils veulent s'assurer que leur SI n'est pas infecté davantage. Il leur est primordial de rétablir leurs services afin de finaliser Aurora. L'équipe de forensic va donc analyser différents PC pour des traces d'infections diverses.

pfSuspense... 11 pts

Mais que s’est il passé ?

L'entreprise victime de la cyberattaque, **l'IAA**, vous fournit des journaux **DNS**, remarquant une taille anormale de ces derniers. Peut-être que ceux-ci contiennent des indices sur l'attaque subie.

pfSuspense... 28 pts

2e étape

En découvrant de quelle machine provenait la fuite, **l'IAA** vous fournit un dump de celle-ci, afin d'identifier comment elle a été compromise.

pfSuspense... 42 pts

Entrez, la porte est ouverte !

L'IAA vous fournit des journaux de proxy afin de déterminer si l'attaquant s'est latéralisé sur le parc. Grâce à vous, **l'IAA** sait désormais que la compromission de son **pfSense** s'est faite par une attaque par supplychain, via la mise à jour d'un paquet tiers nommé **ntopng**.

pfSuspense... 95 pts

Ouvre ce mail… si tu l’oses !

Une autre entreprise vous contacte, afin de comprendre comment les mêmes attaquants ont pu compromettre leur infrastructure. Un grand bravo à vous !

Défis &Scénarios

Arrêt du cœur

Attaque sur la supply chain logicielle

Fuite d'Ingrédient Critique

Gravité Zéro, Sécurité Zéro

Hydrotech - Vengeance d'un employé

IRBF attack

Incendie du Datacentre FICloud

La brêche

Le Blaireau de Wall Street

Le Mystère Henry Déchiffre

Le Timonier Fantôme d'EXE

Plausible Mission - Shadow Protocol

Port d'attache

Stellar Wars

Une mystérieuse disparition

Uno DDoS Tres

Vin Dows

pfSuspense...

Défis &
Scénarios