- ▸ Janvier 2026 : un premier signe faible
- ▸ Contexte historique : d'une discipline d'initiés à un sport mesurable
- ▸ Analyse technique : où l'IA a-t-elle gagné, où n'a-t-elle pas encore gagné ?
La scène CTF est-elle condamnée ? L’arrivée des modèles dits frontier — ces systèmes d’IA générative en pointe de la frontière technique — a fracturé le format ouvert des compétitions de sécurité informatique. Le tableau des scores ne mesure plus proprement la compétence humaine. Trois angles, trois bascules, trois questions ouvertes.
Points clés 1. Frontier AI a brisé le format ouvert des CTF : selon le billet The CTF scene is dead publié le 1ᵉʳ mai 2026, le tableau des scores ne mesure plus le savoir-faire humain de manière nette. 2. Bascule technique : depuis l’arrivée de GPT-4, une part significative des défis de difficulté moyenne sont devenus one-shottables — résolus en une seule requête au modèle. 3. Avec Claude Opus 4.5, l’écart se creuse encore : il faut désormais des agents qui tournent longtemps, avec beaucoup de contexte, pour rester compétitif. 4. La compétition se déplace de la compétence cognitive vers la capacité à mobiliser de la puissance de calcul : « qui peut s’offrir de faire tourner suffisamment d’agents, avec assez de contexte, assez longtemps ». 5. La communauté est divisée : adapter le format, l’abandonner, ou faire semblant. L’auteur du billet tranche : « le vieux jeu n’est plus là ».
Janvier 2026 : un premier signe faible
En janvier 2026, un joueur expérimenté décrit en quelques lignes sur son blog personnel ce que beaucoup pressentent sans l’écrire : la scène CTF — Capture The Flag, ces compétitions de piratage éthique où les équipes s’affrontent sur des défis de cryptographie, de rétro-ingénierie ou d’exploitation de failles — vient de basculer.
Le billet, intitulé sobrement The CTF scene is dead et publié le 1ᵉʳ mai 2026 sur kabir.au, ne décrit pas une mort métaphorique. Son auteur, joueur depuis 2021, constate que les outils d’IA frontier — Claude Opus 4.5 en tête — ont rendu inopérante la mécanique fondatrice du format ouvert : un défi, un humain, un drapeau à capturer.
L’article qui suit cartographie cette rupture. Il s’appuie sur ce témoignage de première main, le confronte à l’histoire récente du format et examine les trois sorties possibles : adapter, fragmenter ou enterrer.
Thèse
L’arrivée des modèles frontier dans les compétitions ouvertes ne pose pas un problème de triche au sens classique. Elle pose un problème de mesure. Quand un modèle effectue le raisonnement, écrit l’exploit et laisse à l’humain la seule tâche de recopier le drapeau, le score ne raconte plus rien sur les capacités du participant. Le format est encore là ; l’épreuve, elle, a disparu.
Le constat est documenté par un acteur de la scène : « as AI tools ramped up in capability, especially when GPT-4 first came out, a significant percentage of medium difficulty CTF challenges started becoming one-shottable ». Traduction littérale : une part significative des défis de difficulté moyenne devenaient solubles en une seule requête.
Contexte historique : d’une discipline d’initiés à un sport mesurable
Pour comprendre l’ampleur de la rupture, il faut rappeler ce qu’est un CTF. Le format est né dans les années 1990 à la DEF CON et s’est codifié au début des années 2010 autour de plateformes comme CTFtime, qui agrège classements et calendrier. Les défis se répartissent en grandes catégories — web, pwn (exploitation binaire), reverse, crypto, forensics, misc — chacune adressant un pan distinct de la sécurité offensive.
La promesse du format ouvert tient en une phrase : un score y reflète, à peu près, ce qu’un joueur sait faire. C’est ce qui en a fait, depuis vingt ans, le passage quasi obligé pour qui veut entrer dans la sécurité offensive. Recruteurs de l’industrie, équipes red team, agences publiques : tous y prêtaient une attention raisonnable.
L’auteur du billet The CTF scene is dead situe son entrée dans ce monde : « I started playing CTFs in 2021, the same year I started university. » L’année 2021 a son importance. À ce moment-là, les modèles de langage existaient — GPT-3 avait été lancé en juin 2020 — mais leur utilité pratique sur les défis de sécurité restait marginale. On pouvait copier un script Python, demander une explication d’algorithme ; on ne pouvait pas faire résoudre un challenge entier.
Cinq ans plus tard, le diagnostic est sans appel : « The scoreboard does not measure human skill cleanly anymore. » Le tableau des scores ne mesure plus proprement la compétence humaine. La phrase est froide. Elle dit ce qu’elle dit : la métrique fondatrice du format a perdu sa fonction discriminante. Ce qui se mesure désormais sur le scoreboard, c’est en partie la maîtrise des outils — y compris des agents IA — que mobilise le joueur ou son équipe.
Cette transition s’est faite par paliers, pas par rupture nette. Les joueurs ont d’abord ajouté l’IA à leur trousse à outils — comme ils y avaient ajouté avant elle les fuzzers, les décompilateurs, les solveurs SMT. Puis le rapport s’est inversé : l’outil ne complète plus le joueur, il le remplace sur une part croissante du travail cognitif. La frontière entre assistance et substitution s’est déplacée sans qu’aucune ligne rouge ait jamais été tracée par la communauté.
Analyse technique : où l’IA a-t-elle gagné, où n’a-t-elle pas encore gagné ?
Pour mesurer la bascule, il faut entrer dans le détail des catégories. Toutes ne tombent pas au même rythme. Le tableau ci-dessous synthétise l’état décrit par l’auteur du billet du 1ᵉʳ mai 2026.
| Catégorie de défi | Avant GPT-4 (≤ 2023) | Après GPT-4 (2023-2025) | Avec Claude Opus 4.5 (2025-2026) |
|---|---|---|---|
| Crypto (niveau moyen) | Humain dominant | One-shottable sur une part significative | Couverture étendue, raisonnement étape par étape |
| Web (niveau moyen) | Humain dominant | Assistance forte, humain encore décisif | Solveurs agentiques sur plusieurs étapes |
| Reverse (niveau moyen) | Humain dominant | Assistance forte sur lecture de code | Agents long-contexte capables d’enchaîner |
| Pwn (niveau difficile) | Humain dominant | IA en appui ponctuel | IA productive si pilotée avec assez de contexte |
| Misc / forensics | Humain dominant | Hétérogène | Variable selon spécificité du défi |
Source : synthèse du témoignage publié le 1ᵉʳ mai 2026 sur kabir.au, qui décrit ces niveaux qualitatifs sans publier de pourcentages précis. Aucune donnée chiffrée additionnelle n’est disponible à ce jour sur la part exacte de challenges tombés.
La cryptographie a été la première catégorie à céder. La raison est mécanique : un défi crypto se présente souvent comme un énoncé textuel — un schéma de chiffrement, des paramètres, un message — auquel on demande de retrouver la clé ou le clair. Le format est entièrement linguistique. L’auteur résume la bascule en une phrase : « You could paste a cryptography challenge into ChatGPT, come back in 10 minutes, and have the solution. » Coller le défi, revenir dix minutes plus tard, récupérer la solution. Le modèle ne se contente pas d’expliquer la théorie ; il écrit le script qui exploite la faille.
À mesure que les capacités de raisonnement et de fenêtre de contexte se sont allongées, d’autres catégories ont basculé à leur tour. Le rétro-ingénierie a longtemps résisté — la lecture de binaires désassemblés tolère mal l’approximation — mais l’apparition d’agents capables d’enchaîner décompilation, hypothèse, vérification dynamique a changé la donne. L’auteur l’écrit explicitement : « Enter Claude Opus 4.5. » L’arrivée de ce modèle marque, dans son récit, le passage d’une assistance ponctuelle à une autonomie de facto sur des défis entiers.
Reste un point essentiel pour comprendre l’économie de cette rupture. La performance maximale ne s’obtient pas en lançant une simple requête. Elle s’obtient en faisant tourner des agents — c’est-à-dire des boucles dans lesquelles le modèle planifie, exécute, observe, replanifie — pendant des heures, avec un contexte chargé de documentation, de code source, de writeups d’éditions passées. C’est précisément ce que pointe l’auteur : la compétitivité tient à « who can afford to run enough agents, with enough context, for long enough. » Qui peut s’offrir d’exécuter assez d’agents, avec assez de contexte, assez longtemps.
Cette phrase déplace l’analyse. La discussion n’est plus « l’IA peut-elle résoudre ce défi ». Elle devient : « combien de cycles, combien de tokens, combien d’heures de GPU faut-il pour qu’elle le fasse ». La compétition entre joueurs devient indirectement une compétition entre budgets d’inférence — chez les équipes qui choisissent de pousser le curseur.
Impact terrain : ce que les organisateurs et les recruteurs encaissent
La rupture ne se lit pas seulement dans les tableaux de scores. Elle se lit dans la manière dont les acteurs de l’écosystème en parlent — ou refusent d’en parler.
Première conséquence directe : le sens même de l’épreuve change. L’auteur du billet du 1ᵉʳ mai 2026 le formule sans détour. « The issue is when the model does the reasoning, writes the solve, and leaves the human with nothing meaningful to do besides copy the flag. » Le problème survient quand le modèle effectue le raisonnement, écrit la solution, et laisse l’humain sans rien d’autre à faire que copier le drapeau. Dans cette configuration, l’épreuve n’a plus de substrat humain à évaluer.
Deuxième conséquence : la valeur de signalement du CTF s’érode pour les recruteurs en cybersécurité. Pendant des années, un classement honorable sur CTFtime servait de preuve indirecte de compétence opérationnelle. Si le score devient en partie le reflet de la qualité du pipeline agentique d’un joueur, et non plus de sa seule compétence, le signal s’affaiblit. Le format peut continuer d’exister ; il cesse d’être un substitut fiable au test technique.
Troisième conséquence, plus diffuse : un malaise s’installe dans la communauté. Ce malaise tient à un décalage entre ce que le format prétend mesurer et ce qu’il mesure effectivement. L’auteur l’exprime dans une phrase qui résume l’état d’esprit d’une part de la scène : « Watching people pretend the format is still fine is frustrating because the old game is not there anymore. » Voir des gens prétendre que le format se porte bien est frustrant, parce que le jeu d’avant n’existe plus.
Quatrième conséquence pratique : les organisateurs sont placés devant un dilemme. Soit ils interdisent explicitement les modèles frontier — décision difficile à faire respecter, puisqu’aucun mécanisme de détection n’existe à grande échelle. Soit ils les autorisent et acceptent que le classement devienne hybride. Soit ils créent des formats parallèles — AI-assisted division, no-AI division — avec les coûts logistiques que cela implique.
Selon les sources disponibles à ce jour, aucune réponse coordonnée n’a été adoptée par les principaux organisateurs de la scène. Le débat se déplace pour l’essentiel sur les blogs personnels et les fils de discussion, comme celui qui sert de socle à cet article.
Perspectives contradictoires : l’IA n’est pas le seul outil que les joueurs aient utilisé
Le diagnostic « la scène CTF est morte » ne fait pas consensus. Plusieurs contre-arguments mobilisés dans le débat méritent d’être posés avec sérieux. L’auteur du billet en cite deux explicitement, et c’est important : il anticipe lui-même les objections qu’il prend pour faibles, et précise pourquoi.
Premier contre-argument : les joueurs de CTF ont toujours utilisé des outils. L’auteur le reconnaît : « CTF players have always used tools. » De Ghidra à IDA, en passant par Burp Suite, les solveurs SMT, les fuzzers, les bibliothèques cryptographiques toutes faites — la scène n’a jamais été un test de capacités mentales à l’état brut. Personne ne reverse un binaire sans décompilateur ; personne ne casse un schéma RSA en arithmétique mentale.
Si l’on suit cette logique, l’IA frontier serait simplement un outil de plus dans une longue série. Le format aurait absorbé Ghidra dans les années 2010, il absorberait Claude Opus 4.5 dans les années 2020. L’auteur ne nie pas la continuité ; il en marque la limite. Ce qui change avec les modèles frontier n’est pas qu’un nouvel outil entre dans la trousse — c’est que cet outil exécute la part centrale du raisonnement. La nuance est tranchée par sa formule : « The issue was never that AI could help. » Le problème n’a jamais été que l’IA pouvait aider. L’aide est le régime normal de la scène. Le problème est la substitution.
Deuxième contre-argument : l’IA reste un sujet d’étude utile en sécurité. L’auteur le concède sans détour : « AI is useful for security research. » L’IA est utile pour la recherche en sécurité. Cet aveu désamorce une lecture caricaturale du billet, qui en ferait une charge anti-IA. Le propos n’est pas que l’IA soit mauvaise — il est que le format CTF ouvert, conçu pour mesurer du raisonnement humain dans un contexte limité, ne tient plus avec une assistance qui peut elle-même produire le raisonnement complet.
Troisième élément contradictoire à mentionner : la communauté n’est pas monolithique. Des CTF universitaires, des compétitions internes d’entreprises, des tournois à conditions contrôlées continuent d’exister, parfois en air-gapped — environnement coupé d’internet — précisément pour neutraliser l’usage des modèles. Ces formats restreints démentent l’idée d’une mort intégrale ; mais ils confirment, en creux, que le format ouvert sous sa forme classique est, lui, gravement entamé.
Reste une formule pour synthétiser cette zone grise. L’auteur du billet la résume ainsi : « LLMs are chess engines for cyber. » Les grands modèles de langage sont aux compétences offensives ce que les moteurs d’échecs sont au jeu d’échecs. La comparaison est lourde de sens. Les échecs n’ont pas disparu après Deep Blue ni Stockfish ; le jeu humain s’est reconfiguré — tournois over-the-board sans assistance, blitz, problèmes de composition, parties commentées par IA. Le CTF pourrait suivre une trajectoire similaire, à condition d’accepter que le format ouvert d’antan ne reviendra pas.
Prospective : trois sorties, aucun retour en arrière
L’horizon décrit par l’auteur du billet est sans ambiguïté : « The old game is not coming back. » Le vieux jeu ne reviendra pas. La question n’est donc pas si la scène doit changer, mais comment.
Trois sorties se dessinent à partir des éléments disponibles, en s’en tenant strictement aux faits fournis. Première sortie : intégrer ouvertement les modèles frontier, accepter que le classement mesure désormais la qualité combinée du joueur et de son pipeline agentique, et réécrire les règles en conséquence. Deuxième sortie : fragmenter la scène en plusieurs catégories — avec IA, sans IA, en environnement contrôlé. Troisième sortie : déplacer la valeur du format vers ce que l’IA peine encore à faire, c’est-à-dire des défis multi-jours, à forte composante humaine collaborative, ou exigeant une compréhension du monde réel non textualisable. La question qui clôt le billet — « What changed? » — reste, à ce stade, sans réponse coordonnée de la communauté.
FAQ
Qu’est-ce que la scène CTF et pourquoi est-elle considérée comme un repère du secteur ?
Un Capture The Flag est une compétition de sécurité informatique où des équipes résolvent des défis techniques pour récupérer des « drapeaux » — chaînes de caractères prouvant la résolution. La scène, structurée autour de plateformes comme CTFtime, a longtemps servi de terrain d’apprentissage et de signal de compétence pour les recruteurs en cybersécurité offensive.
En quoi l’IA frontier casse-t-elle le format ouvert ?
Selon le billet publié le 1ᵉʳ mai 2026 sur kabir.au, une part significative des défis de difficulté moyenne sont devenus one-shottables — résolubles en une seule requête à un modèle comme GPT-4 ou Claude Opus 4.5. Le tableau des scores ne reflète plus alors la compétence du joueur, mais l’efficacité de son assistance algorithmique et la puissance d’inférence qu’il peut déployer.
Les CTF vont-ils disparaître complètement ?
Selon les sources disponibles à ce jour, le format ouvert dans sa forme classique est gravement entamé, mais des variantes restreintes — environnements coupés d’internet, compétitions universitaires sous surveillance, tournois internes d’entreprises — continuent d’exister. L’auteur du billet tranche : « le vieux jeu ne reviendra pas », sans pour autant prédire la disparition de toute forme de compétition.
Que faut-il regarder en 2026 et au-delà ?
Trois indicateurs : la position des grands organisateurs sur l’usage explicite des modèles frontier, l’apparition de formats hybrides ou parallèles, et l’évolution du poids du CTF dans les pratiques de recrutement. La question « What changed? » posée par l’auteur reste, à la date de publication de l’article cité, sans réponse coordonnée par la communauté.
Encadré sources
- Kabir, The CTF scene is dead — billet personnel publié le 1ᵉʳ mai 2026 sur https://kabir.au/blog/the-ctf-scene-is-dead. Source principale et unique du témoignage de première main mobilisé dans cet article.
- Citations directes mobilisées et reproduites en version originale : « who can afford to run enough agents, with enough context, for long enough » ; « AI is useful for security research » ; « LLMs are chess engines for cyber ».
Pour approfondir, voir nos analyses internes : Anthropic et la course aux 1M de tokens, Claude Opus 4.5 face aux usages de sécurité offensive, Cybersécurité : ce que change l’IA agentique pour les équipes red team.
