En application de la délibération n°2.2 en date du 17 avril 2025 portant délégation du conseil communautaire au Président,

Limoges Métropole organise un Capture The Flag (CTF) dans le cadre de l'événement « Les rencontres professionnelles de la cybersécurité » le 3 juin 2025 à ESTER Technopôle.

Limoges Métropole a confié à la société YPSI le soin de concevoir et piloter le présent CTF dont vous trouverez ci-dessous le règlement.

Ce CTF s'adresse aux étudiants, aux particuliers ou aux professionnels, désireux de montrer leurs talents en matière de recherche en sources ouvertes et plus généralement en OSINT (Open Source Intelligence).

Règlement MEDILEAK 2

L'inscription sur la plateforme du CTF MEDILEAK 2 implique l'acceptation de ce présent règlement.

Comportement attendu des participants

Interdiction stricte d'attaquer la plateforme ou aux éléments créés pour le CTF (profils, sites internet, ...) au risque d'un bannissement définitif de celle-ci. Les connexions sont contrôlées en temps réel et les journaux d'activités sont consignés.

Si vous constatez un comportement anormal d'un utilisateur, merci de prévenir les administrateurs. Il est formellement interdit de partager des flags entre équipes et de publier des solutions (writeup) jusqu'à la clôture officielle du CTF.

Il sera porté une attention particulière sur :

• Comportement intimidant, abusif, discriminatoire, dérogatoire, dégradant ou harcèlement.

• Commentaires verbaux offensants, notamment concernant le sexe, l'identité sexuelle, l'orientation sexuelle, le handicap, la race, l'origine ethnique, l'âge ou la religion.

• Publication inappropriée de nudité et/ou d'images sexuelles dans les espaces publics et en ligne

• Intimidation délibérée, harcèlement ou "stalk" d'autres joueurs ou des organisateurs

• Harcèlement par photographie, enregistrement ou conversation.

Aucun comportement malveillant n'est toléré sous peine de bannissement définitif. Les comportements haineux, discriminants entraîneront une exclusion définitive du CTF de l'équipe entière si un ou des membres sont reconnus avoir eu ce type de comportement.

Les organisateurs aviseront le capitaine sur la décision d'exclusion.

Durée du CTF MEDILEAK 2

Le CTF en ligne aura lieu du vendredi 16 mai 2025 à 17h00 CET au dimanche 25 mai 2025 à 20h00 CET. Le défi final aura lieu à Limoges le mardi 3 juin 2025 de 9h30 à 15h30.

Inscriptions

Une phase d'inscription sur la plateforme de CTF aura lieu jusqu’au 13 mai 2025 23h59 CET.

Les inscriptions sont ouvertes aux écoles, universités, associations, personnes physiques, collectivités locales ou entreprises privées. Seuls les courriels des participants seront connus des organisateurs pour échanger en cas de litige. Un capitaine sera désigné par équipe.

Le capitaine sera responsable de l'inscription sur la plateforme et de l'envoi du lien de rattachement de ses membres à son équipe ainsi que de l’ouverture des demandes de support sur le serveur Discord.

Organisation des équipes

Chaque équipe est composée d'un capitaine et d’un à trois membres au maximum. Chaque équipe est identifiée par un nom unique.

Support aux équipes

Les organisateurs assureront un support en cas de problème technique aux équipes inscrites à travers une plateforme Discord. Le support sera assuré avec le meilleur effort pour répondre aux sollicitations des joueurs. Le lien de la plateforme sera communiqué sur le site du CTF.

Format des drapeaux du CTF

Les formats des drapeaux seront indiqués à chaque défi. Le nombre de tentatives sera indiqué sur la page du défi.

##Gestion des points et classement

Les défis du CTF seront basés sur score fixe. Chaque résolution rapportera le point indiqué dans la description du défi. Chaque mauvaise réponse entrainera un malus de 3 points sur le score global. Un nombre prédéfini d’essai est défini pour chaque défi, en cas d’utilisation de la totalité des essais disponibles, des essais complémentaires pourront être accordés, entrainant un retrait de 10 points par essai supplémentaire.

Le classement sera défini sur le score total à la clôture des qualifications. En cas d’égalité de score, le temps de résolution sera utilisé pour départager les équipes.

En cas de parfaite égalité sera procédé à un tirage au sort réalisé par un représentant de Limoges Métropole.

Phase finale

Pour la finale, seront conviés à Limoges le 3 juin 2025 :

• les deux équipes de la France Métropolitaine (hors Corse) ayant obtenu le meilleur score à la clôture du CTF en ligne,

• les deux équipes dont au moins deux membres sont domiciliés dans les départements de la Haute Vienne (87), de la Corrèze (19) ou de la Creuse (23) ayant obtenu le meilleur score à la clôture du CTF en ligne.

Dans le cas où aucune équipe ne comprendrait pas à minima deux membres domiciliés dans les départements suscités, les quatre équipes de la France métropolitaine ayant obtenu le meilleur score à la clôture du CTF en ligne seront qualifiées.

Dans le cas où une seule équipe comprendrait à minima deux membres domiciliés dans les départements suscités, cette équipe sera sélectionnée avec les trois équipes de la France Métropolitaine ayant obtenu le meilleurs score à la clôture du CTF en ligne.

Ces quatre équipes qualifiées devront être présentes à 9h30 CET le 3 juin 2025 à Limoges pour le défi final. Les équipes pourront utiliser leur propre matériel pour la résolution de ce dernier défi.

La présence d’au moins un membre de l’équipe est requis pour participer à la finale. Les autres membres peuvent être à distance. L’équipe sera seule responsable des moyens de communication à mettre en place dans ce cas.

Limoges Métropole prendra en charge les frais liés au déplacement dans la limite des modalités définies ci-dessous.

Les résultats définitifs seront annoncés le 3 juin 2025 à 16h00 CET par les organisateurs avec une remise de prix de l’organisateur et des partenaires. Limoges Métropole attribuera un prix financier de 1 000€ (mille euros) à l’équipe gagnante représentée par son capitaine. D’autres lots pourront être attribués aux autres candidats par Limoges Métropole et/ou les partenaires de l’événement.

##Prise en charge des frais de déplacement des finalistes

Les participants finalistes peuvent bénéficier du remboursement de leurs frais de transport aller- retour et d’hébergement pour se rendre à Limoges le 3 juin 2025. Le remboursement intervient sur présentation des factures liées au placement et à d’hébergement.

Les modalités de remboursement sont définies comme suit :

• Remboursement du trajet aller-retour : jusqu’à 150€ (cent cinquante euros) par personne de prise en charge du prix de transport
• Prise en charge d’une nuitée jusqu’à 80€ (quatre-vingts euros) par personne pour les participants résidant hors des départements suivants : Charente (16), Corrèze (19), Creuse (23), Dordogne (24), Indre (36), Vienne (86) et Haute-Vienne (87)

Les justificatifs sont à transmettre avant le 11/07/2025 en format numérique à l’adresse suivante : [email protected]

Exclusion de responsabilité

La société YPSI et les organisateurs déclinent toutes responsabilités en cas de dommage direct ou indirect, financier ou moral lors de l'utilisation de la plateforme du CTF.

Collecte de données personnelles

Conformément aux obligations du Règlement Général sur la Protection des Données (RGPD), il est porté à votre connaissance que les données que vous communiquez par le biais du présent formulaire d’inscription font l’objet d’un traitement de données opéré par Limoges Métropole en sa qualité de responsable de traitement :

Pour les finalités suivantes :

1. Permettre à Limoges Métropole, de manière directe ou par le biais d’un prestataire sous- traitant au sens du RGPD, de procéder à l’inscription des participants à la compétition de type « Capture the Flag » (CTF) se déroulant dans le cadre de l’évènement relatif à la cybersécurité du 3 juin 2025.

2. Permettre à Limoges Métropole, selon le consentement des participants, de communiquer avec les finalistes de cette compétition postérieurement à celle-ci et de les informer de l’organisation par Limoges Métropole de futurs évènements ou actions relatives au domaine de la cybersécurité.

Sur le fondement :

• Du consentement de la personne au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques (article 6.1-a du RGPD).

Données traitées :

• Coordonnées : adresse de messagerie.

• Etat civil, identité (*) : pseudo.

• Données relatives à l’activité professionnelle (le cas échéant) : organisme ; fonction.

(*) Seul le pseudo est requis pour l’inscription à la compétition ; dans l’hypothèse où de futurs échanges entre Limoges Métropole et les finalistes de la compétition nécessiteraient le traitement de données relatives à l’identité réelle des participants finalistes, les personnes concernées se verraient alors adresser des mentions d’information spécifiques quant à la nature des traitements opérés par Limoges Métropole.

L’organisation et la tenue du CTF tel que décrit dans les présentes mentions d’information s’inscrit dans le cadre d’actions relevant des compétences de Limoges Métropole, indépendamment de tout lien avec les plateformes proposant ce type de défis de type « Hack the Box », « TryHackMe », etc. Les données traitées sont en conséquence spécifiques à ce défi et ne reposent en aucun cas sur d’éventuels comptes établis par les participants auprès de ces plateformes avec lesquelles il ne sera opéré aucune interaction.

Durée de conservation des données :

Au titre de la finalité 1.

• Les données collectées au titre de cette finalité sont conservées par Limoges Métropole le temps nécessaire à l’organisation de la compétition.

Les données pour lesquelles aucun consentement n’a été donné par les participants pour les usages relevant de la finalité 2. Sont alors supprimées des systèmes informatiques de Limoges ainsi que, le cas échéant, de tout support non dématérialisé sur lesquels elles seraient susceptibles de figurer.

• Les données collectées/traitées par le prestataire, sous-traitant au sens du RGPD, auquel Limoges Métropole aurait recours au titre de cette finalité seraient conservées par ce sous-traitant pendant la seule durée du marché le liant avec Limoges Métropole et supprimées de tout support dématérialisé ou non exploité par ce sous-traitant au terme du marché ; ces conditions étant contractualisées par un contrat de sous-traitance entre Limoges Métropole et son prestataire sous-traitant.

Au titre de la finalité 2.

• Les données traitées au titre de cette finalité sont conservées par Limoges Métropole dans le respect du consentement des personnes formulées lors de l’inscription à la compétition et pendant une durée maximale de trois (3) ans à moins que les participants n’exercent avant ce terme un des droits dont ils disposent entrainant une suppression de leurs données.

• Avant le terme de cette période de trois (3) ans, Limoges Métropole informera les personnes ayant consenti aux traitements relevant de cette finalité de la prochaine suppression de leurs données et soumettra aux personnes concernées un nouveau consentement à l’usage de leurs données pour durée et selon des modalités qui leurs seront alors communiquées.

• A défaut de renouvellement de ce consentement, les données exploitées au titre de cette finalité seront supprimées des systèmes informatiques de Limoges Métropole ainsi que, le cas échéant, de tout support non dématérialisé sur lesquels elles seraient susceptibles de figurer.

• Les données traitées par Limoges Métropole au titre de cette finalité le sont exclusivement par Limoges Métropole sans faire appel à un prestataire ou à un quelconque tiers.

Destinataires des données :

Les données traitées au titre des finalités le sont par les services de Limoges Métropole suivants :

• Le Pôle « Attractivité et développement économique ».

• Les services administratifs de rattachement de ce Pôle.

• Le prestataire, sous-traitant au sens du RGPD, de Limoges Métropole pour ce qui concerne la finalité 1.

Droits associés au traitement :

Les personnes concernées disposent des droits suivants qu’elles peuvent exercer sur leurs données :

• Droit d’accès,

• Droit de rectification,

• Droit à l’effacement,

• Droit à la limitation du traitement,

• Droit à la portabilité,

• Droit d’opposition par retrait du consentement.

Les demandes d’exercice de droits peuvent être formulées auprès du Délégué à la Protection des Données (DPO) de Limoges Métropole :

• Par voie postale à l’adresse du siège de Limoges Métropole à l’attention du DPO 19 rue Bernard Palissy, CS 10001 87031 Limoges Cedex 1

• Par voie numérique via le formulaire dédié sur le site internet de Limoges Métropole https://http://www.limoges-metropole.fr/, menu « Limoges Métropole / L’institution / Nos politiques en matière de protection des données ».

Indépendamment des droits inhérents aux bases légales retenues pour ces traitements, toute personne concernée a le droit d'introduire une réclamation auprès d'une autorité de contrôle, en particulier dans l'État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du RGPD.

Les réclamations auprès de l’autorité de contrôle peuvent être formulées auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) :

• Sur le site web de la CNIL https://www.cnil.fr/fr/plaintes

• Par courrier postal en écrivant à : CNIL - Service des Plaintes - 3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07.

Pour toute question relative à cet évènement et aux opérations associées, vous pouvez vous adresser au Pôle « Attractivité et développement économique » de Limoges Métropole aux coordonnées suivantes : [email protected].

---

En vous inscrivant à la compétition de type « Capture the Flag » se déroulant dans le cadre de l’évènement relatif à la cybersécurité du 3 juin 2025 par le biais du présent formulaire, vous reconnaissez avoir pris connaissance des conditions et modalités de traitement de vos données telles qu’indiquées dans les présentes mentions d’information et vous consentez au traitement de vos données au titre de la finalité 1 et 2.