Pensez-vous que cela est contournable?
C'est l'implémentation lighttpd des fichiers htaccess d'Apache. Il y a peut-être des vulnérabilités dans certaines version de lighttpd, je ne me suis pas renseigné, mais sinon, les techniques utilisées contre un htaccess fonctionneront de la même façon ici.
Autrement dit, c'est contournable, si ça a été mal configuré par le webmaster. Le fait que le fichier soit présent dans l'arborescence des pages servies est vraiment une mauvaise idée - d'autant que dans le cas de lighttpd, la configuration est faite dans répertoire /etc, il n'y a donc aucun intérêt à mettre le fichier de mots de passe ailleurs - mais il ne doit pas tout à fait être visualisable, sinon je suppose que tu ne poserais pas la question.
Je ne m'étendrai pas sur les techniques de contournement des htaccess, ce serait spoiler les épreuves du challenge.