En avril 2026, Anthropic a annoncé que son nouveau modèle d'intelligence artificielle, Claude Mythos Preview, avait obtenu un score parfait de 100 % sur Cybench, un benchmark composé de 35 épreuves de type Capture The Flag. Un résultat si vertigineux que le test en question est désormais considéré comme obsolète. Mais au fait, c'est quoi exactement un CTF ? Et pourquoi un tel score par une IA est-il aussi significatif ?
Qu'est-ce qu'un CTF (Capture The Flag) ?
Définition : capter un "flag" pour gagner des points
Un CTF, ou Capture The Flag, est une compétition de cybersécurité dans laquelle les participants doivent exploiter des vulnérabilités informatiques pour mettre la main sur des "flags", c'est-à-dire des chaînes de caractères secrètes dissimulées dans des systèmes, des fichiers ou des services vulnérables. Chaque flag capturé rapporte des points à son équipe ou à son joueur. Plus la faille exploitée est complexe, plus le nombre de points attribués est élevé.
Ces compétitions couvrent un spectre technique très large : sécurité réseau, cryptographie, rétro-ingénierie (reverse engineering), exploitation de binaires, sécurité web, forensic numérique... Bref, tout ce qui touche à l'univers de la cybersécurité offensive et défensive peut se retrouver dans un CTF.
L'origine du CTF : de la DEF CON aux salles de classe
Le format CTF n'est pas récent. Il remonte à 1996, lors de la conférence DEF CON à Las Vegas, l'un des plus grands rassemblements mondiaux de hackers et de professionnels de la sécurité informatique. À l'époque, il s'agissait d'un jeu entre participants visant à s'emparer du contrôle de systèmes adverses tout en défendant les siens. Ce format est depuis devenu un standard mondial.
Aujourd'hui, les CTF sont organisés par des entreprises technologiques, des écoles d'ingénieurs, des associations étudiantes, des gouvernements et même des agences de renseignement souhaitant recruter des talents. Des plateformes comme Hack The Box, Root Me ou PicoCTF permettent à n'importe qui de s'y initier, depuis son ordinateur, à n'importe quel moment de l'année.
À quoi ressemble concrètement un flag ?
Un flag suit généralement une convention de nommage bien précise. On le trouve souvent dans un fichier sobrement intitulé flag.txt, ou directement dans la réponse renvoyée par un service après exploitation. Sa forme ressemble à ceci : NOM_EVENEMENT{chaine_secrete_unique}. Par exemple, pour un CTF organisé par une école, on pourrait lire OTERIA{r3vers3_3ngin33ring_is_fun}. Cette chaîne est unique, générée spécifiquement pour l'épreuve, et ne peut pas être devinée par la force brute : il faut obligatoirement comprendre et exploiter la vulnérabilité associée pour la trouver.
Comment se déroule une compétition CTF ?
Les grandes étapes : scanning, exploitation, capture
Le déroulement d'un CTF suit généralement une logique en plusieurs phases. Tout commence par une phase de reconnaissance ou de scanning : le participant explore sa cible, identifie les ports ouverts, les services exposés, les technologies utilisées. Des outils comme Nmap, Gobuster ou Burp Suite sont couramment utilisés à cette étape.
Vient ensuite la phase d'exploitation : une fois la vulnérabilité identifiée, il faut la comprendre et l'utiliser pour en extraire le flag. Cela peut impliquer de déchiffrer un message encodé, d'exploiter un débordement de tampon (buffer overflow), de contourner un mécanisme d'authentification ou encore de désassembler un programme pour en comprendre la logique interne.
Enfin, la capture du flag valide le défi et crédite les points sur le tableau des scores. Dans un contexte compétitif, la rapidité compte autant que la technique.
Les formats de CTF : Jeopardy, Attack/Defense, King of the Hill
Il existe plusieurs formats de CTF adaptés à différents niveaux et contextes. Le format Jeopardy est le plus répandu pour les débutants et les compétitions en ligne : les épreuves sont présentées sous forme de catégories, chacune valant un certain nombre de points. On choisit les défis dans l'ordre que l'on souhaite.
Le format Attack/Defense est plus complexe et s'approche davantage des conditions réelles : chaque équipe possède sa propre infrastructure à défendre tout en tentant d'attaquer celles des autres. C'est le format utilisé dans les grandes compétitions comme DEF CON CTF.
Enfin, le format King of the Hill consiste à prendre le contrôle d'une machine cible et à le conserver le plus longtemps possible face aux autres participants. Ce format met davantage l'accent sur la défense et la persistance.
Les domaines techniques abordés
Les CTF permettent d'explorer de nombreux domaines de la cybersécurité. Parmi les plus fréquents, on trouve : la cryptographie (casser des chiffrements, analyser des protocoles), la sécurité web (injection SQL, cross-site scripting, failles d'authentification), le reverse engineering (analyser un binaire sans accès au code source), l'exploitation système (buffer overflow, format string), le forensic (analyser une image disque, retrouver des données effacées) ou encore la stéganographie (dénicher un message caché dans une image ou un son).
Pourquoi participer à un CTF ?
Un outil d'apprentissage pratique et gamifié
La grande force du CTF, c'est qu'il transforme l'apprentissage de la cybersécurité en jeu. Plutôt que de lire des cours théoriques sur les injections SQL, on se retrouve face à un vrai formulaire vulnérable, dans un environnement simulé mais réaliste, avec un objectif concret : capturer le flag. Cet aspect pratique et compétitif accélère considérablement la montée en compétences.
Les CTF sont accessibles à tous les niveaux. Des plateformes comme PicoCTF proposent des épreuves pour les lycéens et les débutants absolus, tandis que des compétitions comme DEF CON CTF ou PlaidCTF n'ont rien à envier aux défis rencontrés par des professionnels en entreprise.
Un tremplin pour la carrière en cybersécurité
Participer à des CTF est aujourd'hui considéré comme un véritable signal de compétence par les recruteurs du secteur. Un bon profil CTF visible sur des plateformes comme Hack The Box ou CTFtime.org peut valoir autant qu'un diplôme aux yeux de certains employeurs spécialisés. De nombreux professionnels reconnus dans la sécurité informatique ont commencé leur carrière en compétitions CTF, certains ayant même été recrutés directement à l'issue d'une épreuve.
Claude Mythos et les CTF : quand l'IA change la donne
Cybench : le benchmark CTF qui évaluait les modèles d'IA
Cybench est un benchmark de cybersécurité composé de 35 challenges de type Capture The Flag, conçu pour évaluer les capacités offensives des modèles d'intelligence artificielle dans des scénarios réalistes. Jusqu'au printemps 2026, il représentait la référence en matière d'évaluation des modèles frontier sur les tâches de hacking automatisé.
100 % de réussite : ce que le score de Claude Mythos signifie vraiment
Le 7 avril 2026, Anthropic a révélé que Claude Mythos Preview, son tout nouveau modèle frontier, avait obtenu un score parfait de 100 % sur Cybench. Ce résultat est d'autant plus frappant que le modèle n'a reçu aucun entraînement spécifique sur la sécurité informatique : c'est son intelligence générale, ses capacités de raisonnement et d'écriture de code autonome qui lui ont permis d'identifier des milliers de vulnérabilités critiques et de résoudre l'intégralité des 35 épreuves. Anthropic a qualifié cet événement de "watershed moment", soit un tournant historique dans le développement de l'IA.
Un test devenu obsolète : vers de nouveaux standards d'évaluation
Face à ce score parfait, Anthropic a tiré une conclusion logique mais inquiétante : Cybench est désormais obsolète pour évaluer les modèles de cette génération. Quand un outil de mesure est saturé, il perd sa valeur discriminante. La communauté de la cybersécurité va donc devoir imaginer de nouveaux benchmarks, plus complexes, plus dynamiques, capables de continuer à différencier les niveaux de capacité des modèles IA dans des scénarios offensifs.
CTF et cybersécurité offensive : quels risques à l'ère de l'IA ?
De l'outil pédagogique à la menace potentielle
Les CTF ont toujours été conçus comme des espaces sécurisés et légaux pour pratiquer des techniques qui, en dehors de ce cadre, seraient illégales. Mais quand une IA généraliste, sans formation spécialisée, parvient à résoudre 100 % des épreuves de cybersécurité les plus exigeantes, la frontière entre compétition pédagogique et capacité offensive réelle devient troublante. Claude Mythos Preview n'a pas été rendu accessible au grand public précisément pour cette raison : le risque que ses capacités soient détournées à des fins malveillantes est jugé trop élevé.
La réponse de l'industrie : Project Glasswing et les consortiums défensifs
La publication des résultats de Claude Mythos a provoqué une réaction immédiate de l'industrie technologique mondiale. Un consortium défensif baptisé Project Glasswing a été constitué, réunissant des acteurs majeurs comme AWS, Apple, Google, Microsoft et Nvidia. L'objectif : coordonner les efforts de défense face aux nouvelles capacités offensives que des modèles de ce niveau pourraient conférer à des acteurs malveillants, qu'il s'agisse de cybercriminels, de groupes étatiques ou d'autres entités.
Quel avenir pour les CTF face aux modèles frontier ?
Le CTF reste un format vivant et essentiel pour la formation en cybersécurité. Mais son rôle comme outil d'évaluation des IA est clairement remis en question. À court terme, on peut s'attendre à voir émerger des benchmarks de nouvelle génération, intégrant des épreuves dynamiques, des systèmes adversariaux en temps réel ou des environnements capables de s'adapter aux stratégies d'un modèle IA. L'ère des benchmarks statiques semble, elle aussi, toucher à sa fin.
Conclusion : le CTF reste incontournable, mais son rôle évolue
Le Capture The Flag est né dans les années 90 comme un jeu entre hackers passionnés. Il est devenu en trente ans un standard mondial de formation, d'évaluation et de recrutement en cybersécurité. Pour les humains, il reste l'un des meilleurs moyens de progresser concrètement dans ce domaine, quel que soit son niveau de départ.
Mais l'irruption de Claude Mythos dans l'équation change profondément la donne. Un modèle généraliste capable de résoudre la totalité des épreuves d'un benchmark CTF de référence, sans entraînement spécifique, ne signifie pas que les CTF vont disparaître. Cela signifie que leur rôle va se transformer : d'outils de mesure des capacités IA, ils devront devenir des espaces d'entraînement encore plus exigeants pour les humains qui devront, demain, défendre des systèmes face à des adversaires potentiellement augmentés par l'intelligence artificielle.
