Welcome to the
Mastercard Capture the Flag National Final 2026!
Presented by the National Cybersecurity Consortium
CYBER RANGE POWERED BY ENFOCOM CYBER Bienvenue à la finale nationale
de capture le drapeau Mastercard de 2026 !
Une présentation du Consortium national pour la cybersécurité
CYBER RANGE PROPULSÉ PAR ENFOCOM CYBER

Event Details

Date: Wednesday, June 17, 2026

Time: 10:00 AM - 4:00 PM (Eastern Time)

Location: 🌐 Remote or 📍 On-site (Hotel Omni Mont-Royal, Montreal, Quebec)

Teams participating on-site have been notified separately.

Schedule Overview

10:00 AMZoom Welcome & Kickoff
10:30 AMLog into Discord & CTF Platform – Challenges Go Live
12:00 PM – 12:30 PMLunch Break (Optional)
4:00 PMChallenges Close
4:01 PMZoom Closing Remarks
4:30 PMWinners Announcement via Email

All times above are in Eastern Time (ET).

What is This Capture the Flag All About?

This Capture the Flag (CTF) is a fun and educational cybersecurity competition for students from Canadian post-secondary institutions. Teams will tackle challenges in ethical hacking, cryptography, digital forensics, and online safety.

It's a safe environment to explore real-world concepts, build confidence, and grow your skills while working together and having fun.

Challenge Format

The event features challenges in:

  • Cryptography (Crypto)
  • Digital Forensics (Forensics)
  • Reverse Engineering (Rev)
  • Website Security (Web)
  • Binary Exploitation (Pwn)
  • Miscellaneous (Misc)

Solve problems, uncover hidden flags, and earn points, while tracking your progress and standings against other teams on the scoreboard.

Team Info

Teams must consist of 2 to 4 students from the same Canadian post-secondary institution.

Rules & Code of Conduct

The event's Code of Conduct and full set of Rules are provided for review and adoption. Participants are expected to read, understand, and comply with all rules and etiquette expectations outlined below.

🚩CTF Etiquette

You may only attack the challenges provided. The following actions are strictly prohibited:

  • DDoS attacks
  • Scorched Earth tactics (e.g., deleting challenge files)
  • Modifying or deleting flag files
  • Brute-forcing the infrastructure (not required for any challenge)

Example: In a SQL injection challenge, altering, dropping, or creating tables is forbidden as it may impact other participants' experience. Please be considerate and play fair.

Permitted Tools: All tools are permitted provided they are used for solving challenges and not for malicious purposes. Tools should only be used when relevant to a specific challenge and must not be used to exploit the platform or infrastructure, including both traditional cybersecurity tools and AI tools, subject to the AI rules below.

If you're unsure whether a domain, IP, or server is part of the CTF environment, or if you have any other technical questions, please ask in the official NCC CTF Discord before interacting with it.

For more details on the Discord server, see the FAQ.

🤖 Artificial Intelligence (AI) Rules

AI tools may be used strictly as a research and learning aid, not as a solution generator. Automated or agentic AI tools are not permitted under any circumstances.

✅ Permitted AI usage includes:
  • Explaining cybersecurity concepts
  • Clarifying terminology
  • Assisting with general research and learning exploration
❌ Prohibited AI usage includes:
  • Generating complete or partial challenge solutions
  • Producing flags or final submission answers
  • Writing or optimizing exploit scripts or solution code
  • Using automated or agentic AI tools in any capacity
Good Faith Standard

If you're unsure whether a particular use of AI crosses the line, ask yourself: "Is this tool thinking for me, or am I thinking with the help of this tool?" If the tool is producing the insight or solution, it's not permitted.

Permitted Reference Resources

Search engines, official documentation, man pages, wikis, blog posts, and other standard reference materials are all freely permitted. Standard security tools are permitted, but any AI features embedded within those tools must not be used to generate or suggest solutions.

Integrity & Reporting

Participants must act with integrity and in a spirit of fair play. If you become aware of AI misuse or other rule violations, please report it to the organizers. Submissions determined to be primarily AI-generated may be reviewed and may result in disqualification.

🌐 Connection & Network Integrity

All participants must connect using their legitimate network connection. The following are strictly prohibited:

  • IP spoofing
  • VPN services
  • Proxy servers
  • Any method used to mask, alter, or obscure your true network identity

Attempts to bypass monitoring, manipulate IP information, or anonymize traffic are not permitted. Violations will result in disqualification and loss of prize eligibility.

👥 Team Conduct

  • All challenge solutions must originate from within your team. Collaboration with other teams or outside parties is not permitted.
  • Sharing flags, hints, or any challenge-related information with other teams is strictly prohibited.
  • Flags must never be posted publicly or disclosed to other teams, including during or after events. If you're unsure whether a flag is correct, open a private support ticket via Discord. Unauthorized sharing may lead to disqualification or removal from the event.
  • Participants are expected to understand the techniques they use and must not rely solely on AI-generated content. All code must be authored by team members.

⚖️ Rule Enforcement

Teams suspected of misconduct will receive one warning via email. If misconduct is suspected again, disciplinary action will be taken. Violations may result in disqualification from the competition or loss of prize eligibility. Teams are fully responsible for the conduct of all their members.

The organizers reserve the right to enforce these rules at their sole discretion. All decisions regarding disputes, challenge validity and participant conduct are final.

Prizes

Top-performing teams from post-secondary institutions will be rewarded for their skills and teamwork. Prizes are listed on the Mastercard CTF Series 2026 Presented by the National Cybersecurity Consortium Website: Link

Ready to Begin?

To get started, navigate to the "Challenges" page and log in. Good luck!

Questions? Visit the FAQ for help with rules, tools, troubleshooting, and more.

Challenges

Détails de la compétition

Date : Mercredi 17 juin 2026

Durée : 10 h à 16 h (heure de l’Est)

Emplacement : 🌐En ligne ou 📍sur place (Hôtel Omni Mont-Royal, Montréal, Québec)

Les équipes qui participent sur place ont reçu une communication distincte à ce sujet.

Survol de l’horaire

10 hMot de bienvenue sur Zoom et coup d’envoi
10 h 30Ouverture de session sur Discord et sur la plateforme de capture de drapeau / Début des épreuves
12 h à 12 h 30Pause dîner (facultative)
16 hFin des épreuves
16 h 01Mot de la fin sur Zoom
16 h 30Annonce des équipes gagnantes par courriel

Toutes les heures ci-dessus sont selon l’heure de l’Est (HE).

La capture de drapeau, en quoi ça consiste?

La capture de drapeau est une compétition de cybersécurité ludique et pédagogique destinée à la population étudiante des établissements d’enseignement postsecondaire canadiens. Les équipes relèveront des épreuves dans les domaines du piratage éthique, de la cryptographie, de la criminalistique numérique et de la cyberprudence.

La compétition se déroule dans un environnement sûr où l’on peut explorer des concepts de la vraie vie, gagner en confiance et développer ses compétences tout en travaillant ensemble et en s’amusant.

Déroulement des épreuves

La compétition comprend des épreuves dans les catégories suivantes:

  • Cryptographie (Crypto)
  • Criminalistique numérique (Forensics)
  • Rétro-ingénierie (Rev)
  • Sécurité Web (Web)
  • Exploitation binaire (Pwn)
  • Divers (Misc)

Résolvez des problèmes, trouvez des drapeaux cachés et accumulez des points, tout en suivant votre progression et votre classement par rapport aux autres équipes sur le tableau de pointage en temps réel.

Renseignements sur les équipes

Les équipes doivent être composées de deux à quatre membres qui étudient dans un même établissement d’enseignement postsecondaire canadien.

Règlements et code de conduite

Le code de conduite de la compétition ainsi qu’une liste de règlements sont également fournis pour que vous en preniez connaissance et que vous vous y conformiez. Les équipes doivent lire, comprendre et respecter tous les règlements ainsi que les attentes en matière de comportement décrites ci-dessous.

🚩 Comportement à respecter

Vous pouvez seulement vous attaquer aux épreuves prévues. Sont strictement interdites :

  • les attaques par déni de service distribué (DDoS);
  • les stratégies d’anéantissement (par exemple, supprimer les fichiers d’une épreuve);
  • la modification ou la suppression de fichiers de drapeaux;
  • les attaques par force brute sur l’infrastructure (elles ne sont requises pour aucune épreuve).

Exemple : Dans le cadre d’une épreuve d’attaque par injection SQL, il est interdit de modifier, de supprimer ou de créer des bases de données, car l’expérience des autres équipes pourrait être touchée. Faites preuve d’un bon esprit sportif.

Outils autorisés : Tous les outils sont autorisés, à condition de servir à résoudre les épreuves et non à des fins malveillantes. Les outils doivent uniquement être utilisés lorsqu’ils sont pertinents pour une épreuve donnée et ne doivent pas servir à exploiter la plateforme ou l’infrastructure. Cette consigne vaut à la fois pour les outils de cybersécurité traditionnels et les outils d’IA (sous réserve des règlements concernant l’IA fournis plus loin).

En cas de doute à savoir si un domaine, une adresse IP ou un serveur fait partie de l’environnement de la compétition, ou si vous avez des questions de nature technique, informez-vous sur le serveur Discord officiel du CNC avant d’interagir avec l’élément en question.

Pour en savoir plus sur le serveur Discord, voir la foire aux questions.

🤖 Règlements entourant l’utilisation de l’intelligence artificielle (IA)

Les outils d’IA peuvent être utilisés uniquement comme une aide à la recherche et à l’apprentissage, jamais pour générer des solutions. Il n’est en aucun cas permis d’avoir recours à des outils d’IA automatisés ou agentifs.

✅ Les utilisations autorisées de l’IA incluent :
  • l’explication de concepts de cybersécurité;
  • la précision de terminologie;
  • l’obtention d’aide pour des recherches générales et à des fins d’apprentissage.
❌ Les utilisations interdites de l’IA incluent :
  • la génération de solutions entières ou partielles aux épreuves;
  • la production de drapeaux ou de réponses toutes faites;
  • la rédaction ou l’optimisation de scripts d’exploitation ou de codes de solution;
  • le recours à des outils d’IA automatisés ou agentifs de quelque manière que ce soit.
Principe de bonne foi

Si vous avez des doutes concernant une utilisation donnée de l’IA, à savoir si elle est permise ou non, posez-vous la question suivante : « Cet outil réfléchit-il à ma place, ou m’aide-t-il à réfléchir de mon propre? » Si l’outil produit le raisonnement ou la solution, il n’est pas autorisé.

Ressources de consultation autorisées

Sont autorisés sans restriction les moteurs de recherche, la documentation officielle, les pages-manuels, les wikis, les articles de blogue et toute autre documentation de référence standard. Les outils de sécurité standard sont également autorisés, mais leurs fonctions intégrées d’IA ne doivent en aucun cas être utilisées pour générer des solutions ou s’en faire proposer.

Intégrité et signalement d’infractions

Les équipes doivent faire preuve d’intégrité et d’esprit sportif. Si vous prenez connaissance d’une utilisation inappropriée de l’IA ou de toute autre infraction aux règlements, nous vous prions de la signaler au comité d’organisation. Les soumissions jugées comme ayant été générées principalement par l’IA pourront faire l’objet d’un examen et entraîner la disqualification de l’équipe fautive.

🌐 Connexion et intégrité du réseau

Pour se connecter au réseau, il est obligatoire d’utiliser sa propre connexion réseau. Les méthodes suivantes sont strictement interdites :

  • Usurpation d’adresse IP
  • Services de VPN
  • Serveurs proxy
  • Toute méthode visant à masquer, à modifier ou à dissimuler votre identité réseau

Les tentatives visant à contourner la surveillance, à manipuler les informations d’adresse IP ou à anonymiser le trafic ne sont pas autorisées. Toute infraction entraînera la disqualification et vous fera perdre votre droit à l’obtention de prix.

👥 Conduite de l’équipe

  • Toutes les solutions aux épreuves doivent provenir de votre équipe. La collaboration avec d’autres équipes ou des tiers n’est pas autorisée.
  • Il est strictement interditde partager des drapeaux, des indices ou toute autre information liée aux épreuves avec d’autres équipes.
  • Les drapeaux ne doivent jamais être affichés publiquement ni divulgués à d’autres équipes, que ce soit pendant ou après les épreuves. Si vous avez des doutes quant à l’exactitude d’un drapeau, envoyez un ticket de soutien sur le serveur Discord. Tout partage non autorisé peut entraîner la disqualification ou le retrait de la compétition.
  • Les équipes doivent comprendre les techniques qu’elles appliquent, plutôt que de se rabattre exclusivement sur du contenu généré par l’IA. De même, le code doit avoir été développé du tout au tout par les membres de l’équipe.

⚖️ Application des règlements

Les équipes soupçonnées d’avoir commis une infraction recevront un premier avertissement par courriel. Si une infraction est à nouveau soupçonnée, des mesures disciplinaires seront prises. Les infractions peuvent entraîner une disqualification de la compétition ou vous faire perdre votre droit à l’obtention de prix. Les équipes sont entièrement responsables de la conduite de chacun de leurs membres.

Le comité d’organisation se réserve le droit de faire respecter ces règlements à sa seule discrétion. Toutes les décisions concernant les différends, la conformité des épreuves et la conduite des équipes sont sans appel.

Prix

Les équipes d’établissements d’enseignement postsecondaire les plus performantes seront récompensées pour leurs aptitudes et leur esprit d’équipe. Les prix sont énumérés sur le site Web des compétitions de capture de drapeau Mastercard de 2026, une présentation du Consortium national pour la cybersécurité : Lien

Vous souhaitez commencer?

Rendez-vous sur la page Challenges et ouvrez une session. Bonne chance!

Des questions? Consultez la foire aux questions pour de l’information concernant les règlements, les outils, le dépannage et plus encore.

Challenges