Épreuve OSINT du Midnight Flag 2026, indépendante des autres. Scénario fictif dans un cadre explicitement autorisé. Reproduction à fins pédagogiques.
L'objectif : retrouver des informations publiées en ligne par un meurtrier, à partir d'une simple image.
Extraire l'indice dissimulé dans l'image, remonter jusqu'à la note laissée en ligne, puis jusqu'au compte de l'auteur pour y récupérer le flag.
1 · Inspection de l'image
Une image étant fournie, le premier réflexe est de regarder ses métadonnées. Un strings sur le PNG fait ressortir un champ de commentaire.
$ strings image.png
IHDR
tEXtComment
Qv0101Ad
IDATx…
IEND
Le champ tEXtComment est une zone de commentaire standard du format PNG, souvent utilisée pour cacher un message. Ici, Qv0101Ad n'est pas un texte lisible : ce n'est pas le flag, mais probablement une référence.
2 · Retrouver la note en ligne
Cherché tel quel sur plusieurs moteurs (Google, Bing, Yandex, DuckDuckGo, Yahoo), le mot-clé ne donne rien de pertinent. Le bon indice est dans l'énoncé : "This image contains crucial information for an online note left by the killer."
Une note en ligne oriente vers un service de partage de texte. Pastebin, très courant dans ce contexte, expose ses pastes sous la forme pastebin.com/<id>. En testant l'identifiant :
url pastebin.com/Qv0101Ad
[+] paste trouvé → pseudo 0xForSure
Le paste révèle un pseudonyme, 0xForSure (le préfixe 0x trahit un profil orienté cyber).
3 · Du pseudo au flag
Un balayage multi-plateformes (WhatsMyName) sur 0xForSure liste ses comptes. La piste Roblox aboutit : un utilisateur 0xForSure existe et a publié une map baptisée « Try it ». En rejoignant la map, le flag s'affiche directement dans le jeu.
roblox 0xForSure → map "Try it"
flag MCTF{R0BL0X_0N_T0P_0S1NT_M0D3}
Lecture strictement passive de contenus publics (métadonnées, paste, profils). Aucun contact avec les comptes ; les indices sont recoupés à partir de l'énoncé.
4 · À retenir
- Les métadonnées d'image (champ
tEXtCommentd'un PNG) sont un premier pivot systématique. - Un identifiant court et opaque évoque souvent une référence de service (paste, raccourcisseur) : l'énoncé indique lequel.
- Les plateformes inattendues (Roblox, jeux) font partie du terrain OSINT : un balayage de pseudo ne s'arrête pas aux réseaux classiques.