Le 23 mai 2026, le BreizhCTF a rassemblé 600 hackers au Couvent des Jacobins pour sa dixième édition. Un cru aux arômes d’IA. L’intelligence artificielle a pris de plus en plus de place dans le monde des CTF. Comment le BreizhCTF, la plus grande compétition de cybersécurité en présentiel de France, a-t-elle intégré ce nouvel élément qui redistribue les cartes ? Décryptage avec Lucas Laise (Kaluche), l’un des créateurs du BreizhCTF.
Une dixième sous IA. En 2026, le BreizhCTF a passé le cap de la 10e édition. Après une journée du 22 mai placée sous le signe de la découverte des métiers de la cybersécurité et de l’hygiène numérique pour les jeunes publics, 600 hackers ont investi le Couvent des Jacobins de Rennes le lendemain. Plus de 7h de CTF les attendaient.
Une accélération de l’usage de l’IA entre 2025 et 2026
Jusqu’ici, la recette est restée la même pour la plus grande compétition de cybersécurité en présentiel de France. Seulement cette année, un ingrédient est venu rajouter son grain de sel. Et pas des moindres : l’IA.
Depuis 2022, la technologie déferle sur tous les pans de la sphère numérique et les compétitions cyber comme les CTF ne sont pas épargnés. « En 2025, l’IA avait déjà bien progressé, rappelle Lucas Laise alias Kaluche, l’un des fondateurs du BreizhCTF. Nous avions alors fait avec en nous disant qu’elle accélérerait la résolution de certains challenges. Mais cette année, la différence est saisissante. Les capacités de l’IA ont progressé, notamment sur les parties agentique, workflow automatisation, etc. »
Cette accélération s’est ainsi produite fin 2025 début 2026, soit au moment où l’organisation du BreizhCTF et la création des challenges battaient leur plein. « Il était trop tard pour tout changer. Mais l’IA a bien été intégrée dans l’esprit des challmakers (créateurs des défis) du CTF. En revanche, elle n’a pas modifié notre manière de les concevoir. Nous ne voulions pas créer des challenges plus durs à résoudre pour l’IA et qui se seraient révélés potentiellement impossibles pour un humain. Nous faisons ces défis pour les joueurs, pas pour l’IA. »
Les challmakers, eux ont aussi, y ont recours, notamment afin d’ajouter des éléments de contexte au sein des challenges à relever. « Je veux qu’on amène de l’histoire afin d’amener du fun. L’IA nous a facilité la vie à ce niveau. »
L’autodéclaration comme témoin
En 2025, aucun travail de comptabilisation de l’usage de l’IA n’avait été mis en place. En 2026, l’équipe technique du BreizhCTF a mis en place deux classements distincts. L’un, général, l’autre auto-déclaratif dans lequel chaque équipe indiquait si oui ou non l’IA a été utilisée durant les 7h30 de CTF.
Ainsi, le scoreboard « sans IA » a recensé 19 équipes sur les 116 inscrites, soit environ une centaine de challengers ayant fait le choix de partir pour un CTF « à l’ancienne ». Lors de la remise des trophées, un graphique a présenté les technologies privilégiées pour la résolution d’énigmes avec l’IA. Sans surprise, Anthropic (derrière Claude) et Google (Gemini) ont largement été plébiscités. Lucas Laise tempère : « Savoir ce qui a été résolu par IA reste compliqué. Si un joueur veut dissimuler l’utilisation de l’IA, il pourra le faire. Nous ne pourrons aller contre. Si une équipe a déclaré qu’elle n’a pas utilisé l’IA et qu’elle l’a tout de même fait… On ne peut pas tout contrôler, car ça se contourne assez facilement. Nous sommes bien placés pour le savoir. »
Forcément, l’IA a chamboulé le classement du CTF breton. Des équipes historiques de la compétition ont ainsi dégringolé au classement général. « C’est un peu triste à voir que l’IA surpasse tout ça. Et c’est un peu frustrant pour eux aussi. Et je partage tout à fait cette frustration. Ça va être notre axe de travail pour l’année prochaine. »
Quel avenir pour le BreizhCTF et les CTF en général ?
L’IA remet en question les CTF dans leur globalité. Le BreizhCTF n’en est pas exempté. Pour 2027, Kaluche et ses compairs de l’équipe technique ont déjà des idées afin de minimiser les impacts de l’intelligence artificielle. « Nous ne voulons pas de pay to win. Plus on a de tokens (jetons), plus l’IA pourra résoudre des challenge. Nous allons essayer de trouver une solution pour y remédier. Nous allons voir si nous pourrons l’intégrer en 2027. Le format de CTF risque de changer. Beaucoup pensent que les CTF sont morts avec l’IA. Je n’en fais pas partie. Nous devons nous adapter et trouver des solutions. Ceux qui veulent rouler sur les challenges sans apprendre, ils peuvent. Ce n’est pas fun d’un point de vue apprentissage. Ils ne comprendront peut-être pas ce qu’ils ont résolu. Mais nous ne supprimerons pas l’IA pour autant. Elle est là. À nous de nous adapter pour que cette aide ne soit pas un problème afin de frustrer le moins de personnes possible. »
Cette année, le BreizhCTF s’est étalé de 10h à 17h30. L’intégralité des challenges a ainsi été résolue par l’ensemble des équipes. L’IA n’a donc pas eu réponse à tout.
Aussi, outre la compétition, le BreizhCTF rassemble la communauté cyber dans un même lieu. Les participants au CTF ont l’occasion d’échanger avec les sponsors de l’événement. « Même si ce n’est pas le but, une équipe qui arriverait à résoudre l’ensemble des challenges deux heures avant la fin pourrait tout de même profiter du BreizhCTF. » Les challengers peuvent s’approprier l’événement d’une autre manière avec le Hack&Job, le forum du recrutement. Cette année plus de 180 offres d’emploi y ont ainsi été valorisées.
Publié le 05 juin 2026 par ANDRÉ Guillaume
Nos autres articles
Dernières actualités et moments forts
du campus cyber breton sont ici !
Besoin d’aide ou de conseils sur le sujet ?
L’équipe de Bretagne Cyber Alliance est là pour vous orienter vers le meilleur interlocuteur de l'écosystème !