REX : BreizhCTF 2026, quand l'IA bouscule le plus grand CTF de France

Un rythme qu'on ne reconnait plus

Un CTF a d'ordinaire sa courbe. Les épreuves faciles partent vite, les plus techniques résistent, et le classement se stabilise au fil des heures. Cette année près de deux équipes sur trois ont joué avec une IA en renfort. Résultat : la courbe a changé d'allure. Des challenges réputés difficiles sont tombés bien plus vite que de coutume. La différence a été flagrante sur deux familles d'épreuves : le reverse engineering où un binaire, qui aurait occupé un analyste plusieurs heures, se faisait décortiquer en une fraction du temps. La cryptographie où des constructions tordues, habituellement réservées à quelques spécialistes, se résolvaient en quelques échanges avec l'IA. 

Ce sont les domaines les plus sélectifs du CTF qui ont cédé en premier.

Le classement a changé de visage

L'écart entre les équipes qui exploitent l'IA et celles qui s'en passent est devenu difficile à ignorer. Deux compétitions semblaient se dérouler en même temps, dans la même salle. Le classement final l'a confirmé. Des équipes qui dominaient les éditions précédentes se sont retrouvées loin de leur rang habituel pendant que des équipes moins attendues, et pour certaines issues du monde étudiant, prenaient les premières places du tableau. L'IA a rendu accessibles des épreuves qui, jusqu’ici, filtraient naturellement les profils les plus pointus. Pour un événement qui a vocation à sensibiliser et à recruter, avec un Hack&Job affichant plus de 180 offres, cette ouverture a du bon. Mais elle interroge aussi sur la valeur du classement quand l'outil pèse autant, voire plus que la compétence. Le paradigme change : de plus en plus d’équipes armées d’IA raflent tous les challenges sur leur passage.

Les pièges tendus aux modèles

Les organisateurs avaient pourtant anticipé avec certaines épreuves contenant de faux flags, des chaînes calibrées pour ressembler à une solution valide et tromper un modèle un peu trop sûr de lui… L'objectif était de ralentir les équipes qui soumettaient les réponses de l'IA sans les vérifier. 

Le procédé a freiné certaines équipes, sans les arrêter. Dès qu'un humain reprenait la main il pouvait réaiguiller l'IA dans la bonne direction. L'IA propose et l'opérateur valide. Cette répartition résume assez bien ce qui décrit aujourd'hui une équipe efficace en CTF ou l’IA reste un outil, et son efficacité dépend toujours de la supervision humaine.

Une tendance qui dépasse Rennes

Le BreizhCTF n'est pas un cas isolé. Au Forum In Cyber 2026, l'European Cyber Cup proposait une manche CTF IA conçue avec Airbus et Google autour de Gemini. L'ESNA, qui a remporté la compétition, rapporte avoir vu « une quinzaine de challenges résolus dans les cinq premières minutes d'une manche, sans intervention humaine, avec des capacités qui n'existaient pas six mois plus tôt » selon leurs propres mots. Leur facteur de réussite tenait à la maîtrise de l'outil adossée à de vraies compétences, pour reprendre la main au bon moment.

Le phénomène se mesure ailleurs. La participation aux CTF publics a reculé d'environ 70 % par rapport à 2023 à cause d’une baisse d’intérêt nette des participants traditionnels face à des équipes d’IA automatisées bouclant en quelques secondes des épreuves pensées pour les humains. [DF1.1][TB1.2]Les équipes offensives sont confrontées à la recrudescence de l’IA, qui impose une refonte du format ouvert tel qu'on le connaissait depuis vingt ans. Les organisateurs du BreizhCTF l'ont bien compris en mettant l'IA au programme et en adaptant certains challenges pour tenir compte de ce nouvel environnement.

Ce que nous en retirons pour nos tests d'intrusion

Cette accélération, nous la retrouvons aussi sur nos missions. Nos pentests assistés par IA progressent plus vite et explorent un périmètre plus large. Ils font également remonter des vulnérabilités complexes qui auraient nécessité plusieurs jours d'analyse manuelle et un enchaînement de failles mineures. Pour autant, l'IA ne dispense pas de garde-fous, ces outils doivent être supervisés de près. Nous gardons le contrôle sur les actions menées contre le système d'un client et nous surveillons attentivement les données qui transitent vers un modèle. Le tri des faux positifs reste de notre responsabilité, car un agent peut parfois inventer une vulnérabilité et la défendre avec aplomb, comme les faux flags croisés à Rennes. Sans relecture humaine et validation des résultats, un rapport perd toute valeur.

L'IA, outil à maîtriser, cible à surveiller

Les systèmes d'IA déployés chez nos clients deviennent eux-mêmes des cibles potentielles. Nous réalisons des tests d'intrusion spécifiques à l’IA et aux LLM pour évaluer ces systèmes face aux techniques d’attaque recensées par le MITRE ATLAS, comme la prompt injection ou le détournement d'agents reliés à des outils internes. Un modèle capable de résoudre un challenge de crypto en trois minutes peut, quand il est mal encadré, ouvrir une brèche dans une application de production et nuire gravement à l’entreprise. 

Le BreizhCTF 2026 a donné un aperçu grandeur nature de cette bascule.  L’irruption massive de l’intelligence artificielle a bouleversé les dynamiques habituelles, redistribué les cartes du classement et mis en lumière de nouveaux enjeux, aussi bien pour les organisateurs que pour les participants. L’IA s’impose comme un outil incontournable, mais aussi comme une surface d’attaque à surveiller de près. Plus que jamais, l’équilibre entre automatisation et expertise humaine devient central dans la pratique du hacking éthique. Les prochaines éditions s’annoncent passionnantes, avec de nouveaux défis à relever pour toute la communauté !

Notre prochain rendez-vous : Le hack !

Claranet est sponsor de l'édition 2026 du Hack.

Nos équipes ont bien évidemment répondu présentes et participeront au concours Live hacking, 

Rendez-vous sur place ! Ou au prochain REX de cet event 😊