Périmètre

Épreuve OSINT du Midnight Flag 2026, indépendante des autres. Scénario fictif dans un cadre explicitement autorisé. Reproduction à fins pédagogiques.

L'objectif : retrouver des informations publiées en ligne par un meurtrier, à partir d'une simple image.

Objectif

Extraire l'indice dissimulé dans l'image, remonter jusqu'à la note laissée en ligne, puis jusqu'au compte de l'auteur pour y récupérer le flag.

1 · Inspection de l'image

Une image étant fournie, le premier réflexe est de regarder ses métadonnées. Un strings sur le PNG fait ressortir un champ de commentaire.

strings sur l'image
$ strings image.png
IHDR
tEXtComment
Qv0101Ad
IDATx…
IEND

Le champ tEXtComment est une zone de commentaire standard du format PNG, souvent utilisée pour cacher un message. Ici, Qv0101Ad n'est pas un texte lisible : ce n'est pas le flag, mais probablement une référence.

2 · Retrouver la note en ligne

Cherché tel quel sur plusieurs moteurs (Google, Bing, Yandex, DuckDuckGo, Yahoo), le mot-clé ne donne rien de pertinent. Le bon indice est dans l'énoncé : "This image contains crucial information for an online note left by the killer."

Une note en ligne oriente vers un service de partage de texte. Pastebin, très courant dans ce contexte, expose ses pastes sous la forme pastebin.com/<id>. En testant l'identifiant :

Résolution de la référence
url pastebin.com/Qv0101Ad
[+] paste trouvé → pseudo 0xForSure

Le paste révèle un pseudonyme, 0xForSure (le préfixe 0x trahit un profil orienté cyber).

3 · Du pseudo au flag

Un balayage multi-plateformes (WhatsMyName) sur 0xForSure liste ses comptes. La piste Roblox aboutit : un utilisateur 0xForSure existe et a publié une map baptisée « Try it ». En rejoignant la map, le flag s'affiche directement dans le jeu.

Flag
roblox 0xForSure → map "Try it"
flag MCTF{R0BL0X_0N_T0P_0S1NT_M0D3}
OPSEC

Lecture strictement passive de contenus publics (métadonnées, paste, profils). Aucun contact avec les comptes ; les indices sont recoupés à partir de l'énoncé.

4 · À retenir

Côté méthode
  • Les métadonnées d'image (champ tEXtComment d'un PNG) sont un premier pivot systématique.
  • Un identifiant court et opaque évoque souvent une référence de service (paste, raccourcisseur) : l'énoncé indique lequel.
  • Les plateformes inattendues (Roblox, jeux) font partie du terrain OSINT : un balayage de pseudo ne s'arrête pas aux réseaux classiques.