WHY2025: Secret Tokens
Écrit par l’équipe HackGyver – Août 2025
1: Introduction
Le Hackgyver a participé à la WHY2025, notamment au CTF, et à un sous-jeu du CTF: les Secrets Tokens.
C'est un jeu organisé par la team CTF, où les visiteurs du camping de la why2025 doivent trouver des tokens dissimulés un peu partout sur le terrain.
Ils peuvent être sur des installations, sur des sites web ou simplement dans un lieu aléatoire lié à la WHY2025.
Ces tokens peuvent être en texte clair, faire partie d'un puzzle, codés ou offusqués.
Tous les campeurs peuvent participer à cette chasse, mais aussi proposer des tokens à faire trouver aux autres.
Les Tokens sont en général cachés dans des tentes ou sur des installations, forçant les gens à faire des rencontres avec d'autres campeurs.
Les Tokens peuvent apparaitre et disparaitre selon l'heure et les jours, ainsi les chasseurs doivent se promener constamment sur le camping.
Un quota de 20 tokens à trouver permet d'avoir 200 points sur le CTF principal.
Au final nous aurons trouver 26 secret tokens sur 121.
Le Hackgyver se classera à la 32ème position sur 317 équipes chassant les tokens.
2: Les tokens sur place
Le secret token le plus répandu est bien évidemment celui sur les drapeaux de la WHY2025.
Il faut s'en rapprocher pour pouvoir apercevoir qu'un secret token est caché dessus.
flag : secret{WHYflags}
Au bar, des sous-bocks étaient disponibles, en retournant celui-ci, un secret token était derrière.
Pour obtenir le token, il fallait trouver des mots et garder les lettres inutilisées formant le token.
Les mots peuvent être en diagonale vertical, horizontal, en inversé, etc..
flag : secret{PUZZLEHACKER}
À l'infodesk un token était dispo sous forme de drapeaux de sémaphore.
Juste en dessous un petit texte nous invite aussi a visiter le Serendiep, un bateau fablab pas très loin du camping.
flag: secret{FUNWITHFLAGS}
Au Serendiep, un token était effectivement là-bas, utilisant le langage des signes:
flag : secret{LEARNTOSIGN}
L'orga de Phrack a aussi participé aux secret tokens.
Leur token est dissimulé sur le dos de la version papier du zine, encodé en base64.
flag : secret{WHY2025PHRACK40TH}
Pendant la conférence d'ouverture, un token était également caché dans une vidéo qu'ils ont diffusée:
flag : secret{HiFromTeamCTF}
Pendant la conférence présentant le CTF et les secret tokens, un token était donné dans les slides:
flag : secret{FromThePresentation}
Dans la tente CTF, une feuille de papier étrange était accrochée sur un mur.
Il fallait la regarder sous différente perspective pour obtenir le token:
flag : secret{LookingFromAllSidesToFindAllTheTokens}
Toujours dans la tente CTF, un autre token était disponible, un peut plus facile à obtenir:
flag: secret{BeerAndMateDrinkTent}
Au party stage, la où passe des DJ, un token était disponible sur le mur de son:
flag: secret{DEFACED}
Au bière-pong, un token en clair:
flag: secret{WashYourBalls}
Sur les affiches de signalisation de sécurité incendie, un token était sur les panneaux:
flag: secret{AddThisNumberToYourPhoneContactsNow}
Parmi les campements, d'autres tokens étaient disponibles:
flag: secret{SayCh33se}
Un autre sous une affiche:
flag: secret{XMarksTheSpot}
Dans la tente des libraires:
Nous n'avions pas pensé à prendre de photo, mais à côté de la tente d'assemblage des badges se trouvaient un secret token.
Il fallait simplement lire un tag NFC pour obtenir le token BeCurious.
Juste à côté du Secret Token NFC on avait celui-là, qui consistait à passer la petite lunette contre les cases manquantes pour faire apparaitre le flag.
Ce secret token a été celui le plus résolu par les joueurs.
flag: secret{HTTP302}
À la tente des Bretons sur leur drapeau, une adresse menant à un site internet.
La difficulté ici étant de trouver le caractère « ზ » pour constituer l'URL.
Le site nous mène à un fichier « secret-token.d64 » à charger dans un émulateur Commodore 64
flag: secret{0x120df}
D'une manière similaire sur leur barnum, le village des Espagnoles ont eux, mis une feuille de papier pointant l'adresse de leur site en indiquant qu'il y avait un secret.
Il suffisait de s’y rendre pour avoir le token:
flag: secret{anarkiaYcervezaFria}
3: Les tokens en ligne
Un token était caché sur la map en ligne du site, il suffisait de bien regarder.
Un autre sur le wiki:
Toujours sur le wiki, encore un token:
Encore sur le wiki, un autre token:
Un token était aussi disponible sur la radio en ligne du camping (streams.why-radio.nl/channel-2.aac).
Il suffisait d'écouter pour l'avoir: secret{NOSTREAM}
Un token était disponible aussi sur le discord du CTF.
Un token dans la FAQ sur le site des angels.
Un autre token toujours sur le site des angels.
Un token dans une news de la why a propos des secret tokens.
Sur le site du CTF (ctf.why2025.org) dans le header Content-Security-Policy se trouve également un token encodé en base64.
flag: secret{WrongCSPHeaderButCorrectToken}
Mais la majorité des tokens à trouver reste sur le terrain.
En tout cas avec tout ça, nous arrivons à plus de 25 tokens, nous permettant de récupérer 200 points sur l'épreuve Onsite 200: Secret Token Game
Après la fin du Secret Token Game, le scoreboard final a été publié, ainsi que la liste de tous les tokens.
Nous sommes la seul team à avoir trouvé WrongCSPHeaderButCorrectToken ainsi que 0x120df !
4: Conclusion
Le jeu des Secret Tokens s’est révélé être bien plus qu’un simple sous-jeu du CTF.
Il a permis de créer des moments de découverte, et surtout de rencontres entre campeurs.
Accessible à tous, même à ceux qui n’avaient pas envie de se lancer dans des challenges techniques, il a su attirer un public varié et dynamiser la vie du camping.
Bien que nous sommes rester entre nous pour la chasse, nous avons rencontré d'autres groupes qui cherchaient des tokens, qui nous ont aiguillés aussi sur les endroits où chercher.
La diversité des supports, qu’ils soient physiques (sous-bocks, affiches, installations, tentes, drapeaux…), ou bien numériques (site, radio, Discord, wiki…) ou même humains (interactions avec les autres campeurs) a offert une véritable chasse au trésor grandeur nature, évolutive et vivante.
En mélangeant ludique, technique et convivialité, les Secret Tokens ont enrichi l’expérience de la WHY2025 et renforcé l’esprit communautaire de l’évènement.
Une initiative à renouveler, voire à élargir, tant elle incarne parfaitement l’esprit hacker: curiosité, partage et jeu.
Merci à la team CTF pour l'organisation, et à tous ceux qui ont participés à la mise en place des tokens.