🧰 Boîte à Outils du Hacker
Tout ce dont vous avez besoin pour résoudre les challenges — aucune installation requise !
🌐 Outils généraux (utiles partout)
| CyberChef | Le couteau suisse du CTF. Encodage, décodage, chiffrement, conversion… tout en un. Glissez les opérations dans la recette et enchaînez-les ! |
| dCode.fr | Encyclopédie de chiffrements et codes. Si vous ne savez pas quel chiffrement a été utilisé, utilisez l'outil "Identification de chiffrement". |
| Inspecteur (F12) | Clic droit → "Inspecter" ou touche F12. Permet de voir le code source HTML, CSS, JavaScript, les cookies, les requêtes réseau… Indispensable pour les challenges Web. |
| Sérieusement ! Chercher le nom d'un outil, d'un chiffrement ou copier-coller un texte bizarre dans Google, c'est souvent la première étape. |
🔐 Crypto (Chiffrement & Encodage)
Les challenges crypto vous donnent un texte codé ou chiffré. Votre mission : retrouver le message original.
| Concepts à connaître |
Base64 — texte qui finit souvent par = ou ==ROT13 / César — décalage des lettres de l'alphabet Hash (MD5, SHA…) — chaîne de caractères fixe (32 ou 64 chars), irréversible sauf via dictionnaire XOR — opération bit à bit avec une clé |
| CyberChef — Base64 | Décode du Base64. Si le résultat ressemble encore à du Base64, décodez une 2e fois ! |
| CyberChef — ROT13 | Décale les lettres de 13 rangs. Pour un autre décalage, changez le nombre dans la recette. |
| CrackStation | Collez un hash MD5/SHA et il cherche le mot de passe original dans sa base de données. |
| dCode — XOR | Déchiffrement XOR avec ou sans clé connue. |
| dCode — Pigpen | Alphabet visuel fait de traits et de points (alphabet "franc-maçon"). Utile si vous voyez des symboles géométriques. |
🌍 Web
Les challenges web exploitent des failles dans des sites. Votre navigateur est votre meilleur outil.
| Réflexes à avoir |
F12 → Sources — regarder le code JavaScript et HTML F12 → Réseau — voir les requêtes envoyées (URL, paramètres, cookies) F12 → Stockage/Application — voir et modifier les cookies Tester des URLs comme /robots.txt, /.env, /.git/Regarder l'URL : les paramètres après ? peuvent contenir des infos
|
| Inspecteur F12 | Onglet Sources pour le code JS, Réseau pour les requêtes, Application → Cookies pour modifier les cookies. |
| jwt.io | Décode et modifie les tokens JWT. Collez le token à gauche, modifiez les données à droite. Utile quand on vous donne un rôle "user" et qu'il faut devenir "admin". |
| URL Encoder/Decoder | Encode/décode les caractères spéciaux dans les URLs (%20 = espace, etc.). |
🔍 OSINT (Recherche en sources ouvertes)
Trouver des informations à partir de photos, de comptes en ligne ou d'indices visuels.
| Google Maps / Street View | Cherchez un lieu à partir d'indices visuels : panneaux, enseignes, architecture, langue… |
| Google Images (recherche inversée) | Glissez une image dans la barre de recherche Google Images pour trouver où elle a été prise ou publiée. |
| exif.tools | Uploadez une photo pour voir ses métadonnées (GPS, appareil, date…). Les photographes oublient souvent de les supprimer ! |
🔬 Forensic (Analyse de fichiers)
Analyser des fichiers, des logs ou des captures réseau pour trouver des traces cachées.
| HexEd.it | Éditeur hexadécimal en ligne. Ouvrez un fichier pour voir son contenu brut — cherchez des chaînes de texte cachées (Ctrl+F). |
| Online File Viewer | Ouvrir des fichiers de types variés directement dans le navigateur. |
| A-Packets | Analyse de fichiers .pcap (captures réseau) en ligne. Uploadez le fichier et cherchez des données en clair (HTTP, texte…). |
| Ctrl+F dans un éditeur texte | Pour les fichiers de logs : ouvrez-les dans le bloc-notes et cherchez des mots-clés comme flag, secret, admin, ou des IPs suspectes. |
🖼️ Stéganographie (Messages cachés)
Des informations sont dissimulées dans des images ou des fichiers audio.
| exif.tools | Vérifiez toujours les métadonnées d'une image en premier ! Un flag peut être caché dans les commentaires EXIF. |
| Aperi'Solve | Outil tout-en-un de stéganographie. Uploadez une image et il teste automatiquement : métadonnées, LSB, binwalk, strings… |
| Morse Code Audio Decoder | Décode automatiquement du morse audio. Uploadez le fichier .wav/.mp3 et laissez-le analyser. |
| Spectrum Analyzer | Visualise le spectrogramme d'un fichier audio. Un message ou une image peut être caché dans les fréquences ! |
⚙️ Reverse Engineering (Comprendre du code)
Lire, comprendre et "inverser" du code pour retrouver un flag.
| dCode — Brainfuck | Exécute du code Brainfuck (le langage avec que des +-><[].). Collez le code et cliquez sur "Exécuter". |
| deobfuscate.io | Dé-obfusque du code JavaScript rendu illisible. Collez le code et il essaie de le rendre compréhensible. |
| Beautifier.io | Reformate du code minifié (JS, HTML, CSS) pour le rendre lisible. Première étape quand le code est sur une seule ligne. |
| Console du navigateur (F12) | Onglet Console : vous pouvez y exécuter du JavaScript, mettre des breakpoints dans l'onglet Sources pour voir les variables en temps réel. |
💻 Programming
Écrire ou exécuter de petits scripts pour traiter des données.
| Online Python | Exécutez du Python directement dans le navigateur. Parfait pour compter des lettres, tester des divisions, boucler sur des ROT… |
| Replit | IDE en ligne (Python, JS, etc.) si vous voulez un environnement plus complet. |
| Console F12 | La console JavaScript du navigateur est aussi un environnement de scripting ! Vous pouvez y écrire des boucles for pour tester des choses. |
💡 Astuces générales
| 1 | Lisez bien l'énoncé — il y a presque toujours un indice dans la description du challenge (un mot en gras, un nom, une référence). |
| 2 | Prenez les hints — ils sont gratuits et faits pour vous aider, pas pour vous pénaliser. |
| 3 | Commencez par les faciles — les challenges à peu de points (50-100) sont faits pour débuter. Prenez confiance avant d'attaquer les gros ! |
| 4 | Répartissez-vous — dans votre équipe, chacun peut attaquer une catégorie différente en parallèle. |
| 5 | Googlez tout — "decode base64 online", "pigpen cipher decoder", "what is ROT13"… c'est pas de la triche, c'est de la recherche ! |
| 6 | Changez de challenge — si vous bloquez depuis 15 min, passez à autre chose et revenez plus tard avec un regard neuf. |
Bonne chance et amusez-vous bien ! 🚀