L'IA de pointe a bouleversé le format ouvert des CTF, rendant les compétitions traditionnelles de Capture The Flag inefficaces pour évaluer les compétences en cybersécurité dans le monde réel

L'IA de pointe a bouleversé le format ouvert des CTF, rendant les compétitions traditionnelles de Capture The Flag inefficaces pour évaluer les compétences en cybersécurité dans le monde réel

Selon un nouveau rapport, l'intelligence artificielle (IA) de pointe a bouleversé le format CTF ouvert, rendant les compétitions traditionnelles de Capture The Flag inefficaces pour évaluer les compétences en sécurité dans le monde réel. En 2026, la participation aux CTF publics avait chuté de 70 % par rapport à 2023, les équipes rouges d'IA résolvant en quelques secondes des défis qui prenaient autrefois des heures aux humains.

Les CTF, ou Capture The Flag, dans le contexte de la sécurité informatique, sont un type particulier de compétitions en sécurité de l'information qui servent d'exercice pédagogique ludique visant à permettre aux participants d'acquérir de l'expérience dans la sécurisation d'un système, ainsi que dans la conduite et la réaction face à des types d'attaques rencontrées dans le monde réel ou à certains concepts de programmation (censés être) amusants.

Les drapeaux (Flag) sont souvent des chaînes de caractères secrètes cachées dans des programmes, des sites web ou des défis rendus volontairement vulnérables. Les participants doivent voler/pirater le drapeau aux organisateurs de l'événement CTF (comme dans le format Jeopardy) ou à d'autres participants (format attaque/défense). Les drapeaux servent de monnaie ou de preuve de travail pour la résolution d'un défi donné, que l'on peut échanger contre des points. Un drapeau typique peut ressembler à ceci : flag{s0m3_puN_0r_c0mm3n7_r3l473d_70_7h3_ch4ll3n63}.


Les compétitions peuvent être aussi folles que le piratage lui-même. Les CTF se déclinent en différents formats. Chaque format a son propre calendrier, ses compétences requises, sa catégorie et son niveau de difficulté.

- Jeopardy : Ces compétitions peuvent être considérées comme similaires aux concours de programmation, car les équipes en compétition ne s'attaquent pas les unes les autres, mais résolvent plutôt des défis. Chaque défi a son propre poids en termes de points. Une fois qu'une équipe a résolu un défi, elle se voit attribuer le nombre de points correspondant à ce défi. Les points attribués à un défi sont soit prédéfinis par les organisateurs en fonction de la difficulté, soit peuvent diminuer de manière dynamique au fur et à mesure que le défi est résolu.

- CTF attaque-défense : Dans les compétitions de type attaque-défense, chaque équipe se voit attribuer une machine (ou un petit réseau) à défendre, généralement sur un réseau de compétition isolé. Les équipes sont notées à la fois sur leur capacité à défendre la ou les machines qui leur sont attribuées et sur leur capacité à attaquer les machines de l’équipe adverse. Une variante du vol de drapeau classique consiste à « planter » ses propres drapeaux sur les machines de l’adversaire. Ce type de CTF est le plus courant. On trouve généralement au moins deux CTF de type « Jeopardy » chaque week-end.

- King Of The Hill : King of the Hill (KoTH), comme son nom l’indique, est un jeu de piratage compétitif où les équipes s’affrontent pour compromettre une machine, puis corriger ses vulnérabilités afin d’empêcher d’autres joueurs d’y accéder également. Plus une équipe conserve l’accès longtemps, plus elle gagne de points. Ces événements sont généralement très courts (généralement une heure) et mettent fortement l’accent sur les tests d’intrusion. L’aspect le plus intéressant de ces CTF est qu’ils peuvent être diffusés en direct et suivis par des spectateurs. Ce type d'événements est moins fréquent et ne dure généralement que quelques heures.

Selon un nouveau rapport, l'intelligence artificielle (IA) de pointe a bouleversé le format CTF ouvert, rendant les compétitions traditionnelles de Capture The Flag inefficaces pour évaluer les compétences en sécurité dans le monde réel. En 2026, la participation aux CTF publics avait chuté de 70 % par rapport à 2023, les équipes rouges d'IA résolvant en quelques secondes des défis qui prenaient autrefois des heures aux humains.


Dans le domaine de l'IA, l'expression « modèle frontière » ou « modèle de pointe » désigne un modèle de fondation à la pointe des capacités techniques actuelles de l'IA. En tant que modèles de fondation, les modèles frontière sont entraînés en amont sur de très grandes quantités de données et adaptables à de nombreuses tâches en aval. Les modèles frontière, situés à la pointe des capacités du moment, présentent de nouveaux usages et risques intrinsèques. Certains tests ont mis en avant des comportements de désalignement ou de mensonge. De nombreux acteurs et experts du domaine évoquent aussi un risque existentiel posé par l'IA.

Les chatbots intégrant des modèles frontière incluent Claude (Anthropic), ChatGPT (OpenAI), DeepSeek, Gemini (Google DeepMind), et Grok (SpaceXAI). Des entreprises comme OpenAI ou Google ont affirmé leur intention de développer l'IA générale, un type d'IA qui égale ou surpasse l'humain dans tous les domaines. Meta ambitionne même de concevoir une superintelligence artificielle.

Le format CTF reposait sur la résolution de problèmes par des humains dans des délais limités, testant des compétences telles que la rétro-ingénierie, le développement d'exploits et la cryptographie. Mais des modèles de pointe comme GPT-5 et Claude 3.5 analysent désormais les exploits binaires, génèrent des charges utiles fonctionnelles et enchaînent les vulnérabilités de manière autonome. Lors de la DEF CON 34, un agent IA a résolu 95 % des défis d'exploitation binaire en moins de cinq minutes, surpassant toutes les équipes humaines.

Cette évolution sape l'utilité des CTF en tant qu'outils de formation. Les équipes ne peuvent plus les utiliser pour simuler la pensée antagoniste, puisque l'IA contourne entièrement la courbe d'apprentissage. Les organisateurs d'événements majeurs tels que Hack The Box et picoCTF signalent une baisse des inscriptions, beaucoup invoquant la futilité face à des joueurs assistés par l'IA.

Cet effondrement exige de nouveaux cadres d'évaluation. Certains proposent des exercices de « red teaming » IA contre IA avec des outils limités, tandis que d'autres suggèrent des environnements en boucle fermée où les IA défendent et attaquent sans intervention humaine. Sans de tels changements, les CTF risquent de devenir obsolètes — un format dépassé qui ne reflète plus la manière dont les attaques sont conçues ou stoppées.


Cette situation rappelle un rapport de Sophos qui a révélé que presque toutes les entreprises n'ont pas pleinement confiance en leurs fournisseurs de solutions de cybersécurité. L'étude révèle que 95 % des personnes interrogées déclarent ne pas avoir pleinement confiance en leurs fournisseurs de cybersécurité. De plus, 79 % ont du mal à évaluer la fiabilité de nouveaux partenaires de cybersécurité, et 62 % trouvent même cela difficile pour leurs fournisseurs existants. Selon le rapport, à mesure que l’IA s’intègre aux outils, services et flux de travail de cybersécurité, les organisations évaluent non seulement l’efficacité des solutions de sécurité, mais aussi si l’IA est déployée de manière responsable, transparente et avec une gouvernance appropriée. La confiance n’est plus facultative. Elle est fondamentale.

Source : Rapport

Et vous ?

Pensez-vous que ce rapport est crédible ou pertinent ?
Quel est votre avis sur le sujet ?

Voir aussi :

L'IA va accroître le nombre et l'impact des cyberattaques. Les ransomwares étant susceptibles d'en être les plus grands bénéficiaires au cours des deux prochaines années

GPT-5.5 d'OpenAI rivalise avec Claude Mythos d'Anthropic en matière de capacités de cyberattaque : la cybermenace représentée par Mythos ne serait pas une avancée propre à un seul modèle

Google a confirmé les craintes liées à Mythos en révélant avoir réussi à bloquer une cyberattaque de grande envergure au cours de laquelle des cybercriminels ont utilisé l'IA pour découvrir une faille inconnue