HG Logo

Asso' HackGyver 2.0

WHY2025: Secret Tokens

Écrit par l’équipe HackGyver3 août 2025

Table des matières

Introduction

Le HackGyver a participé à la WHY2025, notamment au CTF, et à un sous-jeu du CTF : les Secrets Tokens.

hackgyver

C’est un jeu organisé par la team CTF, où les visiteurs du camping de la WHY2025 doivent trouver des tokens dissimulés un peu partout sur le terrain. Ils peuvent être sur des installations, sur des sites web ou simplement dans un lieu aléatoire lié à la WHY2025. Ces tokens peuvent être en texte clair, faire partie d’un puzzle, codés ou obfusqués. Tous les campeurs peuvent participer à cette chasse, mais aussi proposer des tokens à faire trouver aux autres.

secretclue

Les Tokens sont en général cachés dans des tentes ou sur des installations, forçant les gens à faire des rencontres avec d’autres campeurs. Les Tokens peuvent apparaitre et disparaitre selon l’heure et les jours, ainsi les chasseurs doivent se promener constamment sur le camping.

Un quota de 20 tokens à trouver permet d’avoir 200 points sur le CTF principal. Au final nous aurons trouver 26 secret tokens sur 121.

Le HackGyver se classera à la 32ème position sur 317 équipes chassant les tokens.

Les tokens sur place

Le secret token le plus répandu est bien évidemment celui sur les drapeaux de la WHY2025. Il faut s’en rapprocher pour pouvoir apercevoir qu’un secret token est caché dessus.

20250808_170636

secret{WHYflags}

Au bar, des sous-bocks étaient disponibles, en retournant celui-ci, un secret token était derrière. Pour obtenir le token, il fallait trouver des mots et garder les lettres inutilisées formant le token. Les mots peuvent être en diagonale vertical, horizontal, en inversé, etc..

secret_token_bar

secret{PUZZLEHACKER}

À l’Infodesk, un token était dispo sous forme de drapeaux de sémaphore. Juste en dessous un petit texte nous invite aussi à visiter le Serendiep, un bateau fablab pas très loin du camping.

token_infodesk

secret{FUNWITHFLAGS}

Au Serendiep, un token était effectivement là-bas, utilisant le langage des signes :

serendiep_token

secret{LEARNTOSIGN}

L’orga de Phrack a aussi participé aux secret tokens. Leur token est dissimulé sur le dos de la version papier du zine, encodé en base64.

phrack72_token

secret{WHY2025PHRACK40TH}

Pendant la conférence d’ouverture, un token était également caché dans une vidéo qu’ils ont diffusée :

Opening_token

secret{HiFromTeamCTF}

Pendant la conférence présentant le CTF et les secret tokens, un token était donné dans les slides :

token_slide_ctf

secret{FromThePresentation}

Dans la tente CTF, une feuille de papier étrange était accrochée sur un mur. Il fallait la regarder sous différente perspective pour obtenir le token :

ctf_flag1

secret{LookingFromAllSidesToFindAllTheTokens}

Toujours dans la tente CTF, un autre token était disponible, un peu plus facile à obtenir :

ctf_token2

secret{BeerAndMateDrinkTent}

Au party stage, là où passe des DJs, un token était disponible sur le mur de son :

party_stage

secret{DEFACED}

Au bière-pong, un token en clair :

beer_pong

secret{WashYourBalls}

Sur les affiches de signalisation de sécurité incendie, un token était sur les panneaux :

fire_token

secret{AddThisNumberToYourPhoneContactsNow}

Parmi les campements, d’autres tokens étaient disponibles :

selfie

secret{SayCh33se}

Un autre sous une affiche :

token_affiche

secret{XMarksTheSpot}

librarians

Nous n’avions pas pensé à prendre de photo, mais à côté de la tente d’assemblage des badges se trouvaient un secret token. Il fallait simplement lire un tag NFC pour obtenir le token :

secret{BeCurious}

becurious

Juste à côté du Secret Token NFC on avait celui-là, qui consistait à passer la petite lunette contre les cases manquantes pour faire apparaitre le flag. Ce secret token a été celui le plus résolu par les joueurs.

http302

secret{HTTP302}

À la tente des Bretons sur leur drapeau, une adresse menant à un site internet. La difficulté ici étant de trouver le caractère pour constituer l’URL.

bretons_token

Le site nous mène à un fichier secret-token.d64 à charger dans un émulateur Commodore 64.

secret-token.d64

secret{0x120df}

D’une manière similaire sur leur barnum, le village des Espagnols ont eux, mit une feuille de papier pointant l’adresse de leur site en indiquant qu’il y avait un secret. Il suffisait de s’y rendre pour avoir le token :

villlage_ssh_token

secret{anarkiaYcervezaFria}

Les tokens en ligne

Un token était caché sur la map en ligne du site, il suffisait de bien regarder.

map_why

secret{EverythingIsOnTheMap}

Un autre sur le wiki :

wiki_token

secret{ToiletLXXXV}

Toujours sur le wiki, encore un token :

wiki_token_2

secret{ThisOneIsOnTheWiki}

Encore sur le wiki, un autre token :

infobooklet_token

secret{FromTheInfoBooklet}

Un token était aussi disponible sur la radio en ligne du camping (streams.why-radio.nl/channel-2.aac). Il suffisait d’écouter pour l’avoir :

secret{NOSTREAM}

Un token était disponible aussi sur le discord du CTF.

discord_ctf

secret{WeGotADiscordChannel}

Un token dans la FAQ sur le site des angels.

faq_engelsystem

secret{EngelsystemFAQ}

Un autre token toujours sur le site des Angels.

shy_angel_token

secret{ShyAngelTypeAngel}

Un token dans une news de la WHY2025 à propos des secret tokens.

why_blog_token

secret{SecretBlogToken}

Sur le site du CTF dans le header Content-Security-Policy se trouve également un token encodé en base64.

curl

secret{WrongCSPHeaderButCorrectToken}

Mais la majorité des tokens à trouver reste sur le terrain.

En tout cas avec tout ça, nous arrivons à plus de 25 tokens, nous permettant de récupérer 200 points sur l’épreuve Onsite 200: Secret Token Game .

challenge solved

Après la fin du Secret Token Game, le scoreboard final a été publié ainsi que la liste de tous les tokens. Nous sommes la seul team à avoir trouvé WrongCSPHeaderButCorrectToken ainsi que 0x120df !

first blood

Conclusion

Le jeu des Secret Tokens s’est révélé être bien plus qu’un simple sous-jeu du CTF. Il a permis de créer des moments de découverte, et surtout de rencontres entre campeurs. Accessible à tous, même à ceux qui n’avaient pas envie de se lancer dans des challenges techniques, il a su attirer un public varié et dynamiser la vie du camping. Bien que nous sommes rester entre nous pour la chasse, nous avons rencontré d’autres groupes qui cherchaient des tokens, qui nous ont aiguillés aussi sur les endroits où chercher.

La diversité des supports, qu’ils soient physiques (sous-bocks, affiches, installations, tentes, drapeaux…), ou bien numériques (site, radio, Discord, wiki…) ou même humains (interactions avec les autres campeurs) a offert une véritable chasse au trésor grandeur nature, évolutive et vivante.

En mélangeant ludique, technique et convivialité, les Secret Tokens ont enrichi l’expérience de la WHY2025 et renforcé l’esprit communautaire de l’évènement. Une initiative à renouveler, voire à élargir, tant elle incarne parfaitement l’esprit hacker: curiosité, partage et jeu.

Merci à la team CTF pour l’organisation, et à tous ceux qui ont participés à la mise en place des tokens.

← Retour aux writeups