Mathéo Vergnolle, au centre, avec son équipe Synacktiv et de Jérome Tre-Hardy (à gauche), sur le podium du BreizhCTF 2025.
Veille & Tech

Habitué de l’exercice, Mathéo revient sur le BreizhCTF 2026 : « Maintenant que l’IA est partout, les CTF ont perdu de leur intérêt » 

À 25 ans, Mathéo Vergnolle est un expert des CTF avec près d’une cinquantaine d’événements à son actif. Il a notamment été capitaine de l’équipe de France sur des compétitions internationales en 2024 et 2025. Après sa deuxième participation au BreizhCTF, ce membre de l’équipe Synacktiv revient sur la 10e édition bretonne qui a eu lieu en mai à Rennes. Un rendez-vous marqué par l’utilisation libre de l’intelligence artificielle dans les challenges.  

Pouvez-vous vous présenter ? 

Je m’appelle Mathéo et je travaille chez Synacktiv depuis un an et demi. C’est mon premier poste après mes études. J’ai étudié à l’École Polytechnique et à l’Université Technique de Munich. Chez Synacktiv, je suis dans l’équipe reverse engineering : rétro-ingénierie, recherche de vulnérabilités de bas niveau. Je faisais beaucoup de CTF, mais j’ai vraiment réduit… Voire complètement arrêté. Maintenant que l’IA est partout, les CTF ont perdu de leur intérêt. On ne peut plus vraiment concilier l’aspect pédagogique et l’aspect compétitif. 

Comment s’est passé le BreizhCTF 2026 pour l’équipe Synacktiv ? 

C’était particulier. Nous nous étions concertés avant le début de la compétition. Le BreizhCTF offrait la possibilité de se déclarer comme n’utilisant pas de LLM (Large Language Model), ou en les utilisant de manière très limitée, comme un moteur de recherche pour de la recherche documentaire, mais sans leur demander de résoudre les challenges. Nous nous sommes mis d’accord pour ne pas les utiliser. Nous avons fait les épreuves à notre rythme, sans chercher à gagner, parce que de toute façon nous n’avions aucune chance. Il suffit de regarder le haut du classement : les équipes qui ont utilisé des LLM avaient au moins deux fois plus de points que les autres. Pour être compétitif, c’était incontournable. 

C’était votre deuxième participation au BreizhCTF. Comment avez-vous vécu cette édition par rapport à la précédente ? 

J’avais beaucoup aimé l’année dernière. Cette année, j’ai aussi passé un bon moment sur les challenges de ma catégorie qui étaient intéressants. J’ai appris des choses, cette partie du contrat a été remplie. Mais j’ai vraiment senti une différence d’ambiance. L’année dernière, on entendait tout le temps les gens se féliciter, sonner des petites cloches quand ils résolvaient un challenge. Cette année, c’était beaucoup plus calme. Je pense parce que les gens résolvaient les énigmes sans vraiment s’en rendre compte : c’étaient leurs agents IA qui s’en occupaient. Et il n’y a pas la même satisfaction à la résolution quand on n’a pas passé du temps dessus. 

Surtout, à la cérémonie de clôture, j’avais un sentiment bizarre. Le logo du BreizhCTF affiche « Hack to Learn » et globalement, selon moi, les premiers du classement n’avaient pas appris grand-chose pendant cette édition. Quand ils sont montés sur scène et qu’on leur a demandé un mot, ils n’avaient pas grand-chose à dire, parce que la plupart des challenges, ils ne les avaient même pas regardés. Leurs machines avaient tout fait.  

« Le défi intellectuel et la perspective d’apprendre des choses sur une technologie m’intéressent bien plus qu’un score élevé » 

C’est l’aspect pédagogique qui est pour vous la vraie finalité d’un CTF ? 

Oui, le défi intellectuel et la perspective d’apprendre des choses sur une technologie m’intéressent bien plus qu’un score élevé. Je n’ai pas envie d’utiliser l’IA dans les CTF. Et maintenant, si on ne l’utilise pas, on n’a plus vraiment de chances de gagner. Donc je préfère faire les choses de mon côté, à mon rythme, pour continuer à apprendre, et laisser le haut du classement à ceux qui sont là pour ça. 

Selon vous, l’utilisation de l’IA dans des compétitions comme le CTF devrait être régulée, voire interdite ? 

Oui. Ça fait débat, parce qu’il y a des gens qui disent que c’est un outil comme un autre, qu’il faut s’en saisir. Mais là, c’est un outil qui enlève toute la partie fun. Prenez les échecs : est-ce que les joueurs ont le droit d’utiliser des algorithmes ? Non, parce que sinon on fait juste jouer un algorithme contre un autre. Dans les concours d’algorithmique, les participants sont sur des machines déconnectées d’Internet, qui ne leur appartiennent pas. Il est donc impossible d’y installer ses agents IA. Ce que l’on veut évaluer dans ces compétitions, c’est l’intelligence humaine. L’intérêt des CTF, c’est d’évaluer les capacités de raisonnement, pas la capacité à faire du copier-coller ou à avoir monté une belle infrastructure d’agents. Ces compétences-là existent, mais ce ne sont pas celles qu’un CTF doit évaluer. 

Quels leviers peuvent activer les organisateurs pour limiter l’usage des LLM ? 

Plusieurs approches existent. Il y a d’abord l’aspect déclaratif : les participants se déclarent comme n’utilisant pas de LLM, avec un classement séparé. Ça permet à ceux qui sont là uniquement pour gagner d’aller sur le scoreboard général sans perturber les autres. 

Il y a aussi des CTF qui ont carrément interdit les LLM. Le FCSC [France Cybersecurity Challenge, organisé par l’ANSSI] a surveillé activement : dès qu’il y avait une suspicion, ils demandaient aux personnes concernées d’expliquer comment elles avaient résolu l’énigme. Ceux qui n’en étaient pas capables ont été disqualifiés. 

Le 404 CTF a fait quelque chose de plus malin : ils n’ont rien dit pendant la compétition. À la fin, ils ont fait passer une interview aux vingt premiers du classement, sans les avoir prévenus à l’avance, pour leur demander d’expliquer leurs solutions. Beaucoup n’étaient pas capables de le faire. Ils ont dû aller chercher les vrais gagnants beaucoup plus loin dans le classement. 

« C’est toute la chaîne qui s’appauvrit » 

Envisagez-vous de continuer à participer à des CTF dans ce contexte ? 

Ça m’intéresse moins, en effet. Ça fait plusieurs fois que je décline. C’est toujours sympa d’aller sur place avec des amis, de se confronter à des challenges intéressants. Mais il y a moins la dopamine de la réussite et l’adrénaline de la compétition. Je préfère faire les épreuves tranquillement, sans la pression du classement, pour vraiment apprendre les choses et prendre le temps de les faire bien. 

Que l’IA soit mieux contrôlée serait une condition pour vous redonner le goût de participer ? 

Effectivement, je serais beaucoup plus enclin à participer à un CTF si les LLM étaient interdits, ou s’ils sont contrôlés d’une manière ou d’une autre ; comme le système de budget de tokens à l’ICC (International Cybersecurity Challenge), par exemple. 

Pensez-vous que c’est un sujet que les organisateurs de CTF doivent traiter sérieusement ? 

Oui, et pour plusieurs raisons. L’intérêt des joueurs, d’abord. Mais aussi celui des concepteurs de challenges. Moi-même, je n’ai plus envie de concevoir des défis pour des CTF en sachant que les gens vont les passer directement à leur IA. Ça ne déclenchera pas de discussions intéressantes à la fin. Avant, sur les serveurs Discord des compétitions, les gens comparaient leurs méthodes de résolution après l’événement, demandaient comment l’autre avait abordé tel défi. Maintenant, la discussion s’arrête à : « Voilà ma conversation avec ChatGPT. » Les concepteurs vont avoir de moins en moins envie de produire des challenges vraiment soignés. C’est toute la chaîne qui s’appauvrit. 

Publié le 03 juillet 2026 par Thibaut Le Moal

Besoin d’aide ou de conseils sur le sujet ?

L’équipe de Bretagne Cyber Alliance est là pour vous orienter vers le meilleur interlocuteur de l'écosystème !