Premiers pas dans la cybersécurité

Rédigé par cafou Aucun commentaire
Classé dans : Sécurité Mots clés : cybersécurité pentest confs blogs

Oui je sais, cela fait des mois que n'ai rien publié. La procrastination c'est comme la Force en moi, puissante. Il y a quelques semaines, j'ai eu la soudaine envie d'explorer un domaine dans laquelle j'avais quelques vagues notions. Assez pour faire de la sécurité opérationnelle mais pas assez en profondeur prétendre être vraiment junior dans le domaine.

Comme dit en introduction, je suis très loin d'être expert dans le domaine donc si quelqu'un de qualifié passe par ici, je lui pris d'être magnanime et je tiendrais compte des remarques qui me seront faites. L'espace commentaire est aussi fait pour cela après tout.

Définition et contexte

Tout d'abord, un peu de terminologie, je copie ici la définition Wikipédia : "Le mot cybersécurité est un néologisme désignant le rôle de l'ensemble des lois, politiques, outils, dispositifs, concepts et mécanismes de sécurité, méthodes de gestion des risques, actions, formations, bonnes pratiques et technologies qui peuvent être utilisées pour protéger les personnes et les actifs informatiques matériels et immatériels (connectés directement ou indirectement à un réseau) des États et des organisations (avec un objectif de disponibilité, intégrité et authenticité, confidentialité, preuve et non-répudiation)" Comme vous pouvez le voir, c'est un véritable iceberg, aussi je me limité à un champ précis dans mon apprentissage et il en sera de même pour cet article.

J'ai décidé de m'intéresser à la sécurité offensive (ou hacking éthique). C'est-à-dire, apprendre à utiliser les vraies techniques de hackers pour pouvoir protéger efficacement un système informatique. Un bon attaquant est un bon défenseur. Avant d'aller plus loin, il est nécessaire que je décrive l'état d'esprit des gens qui travaillent dans le métier où ceux pour qui c'est un passe-temps. Du peu que je connaisse de la discipline, l'apprentissage s'effectue la majorité du temps en autodidactique (même s'il est possible de monter en compétence en groupe). Toujours dans l'esprit des hackers, il faut acquérir des connaissances théoriques dans sous-domaine particulier (rétro-ingénierie logicielle ou sociale, stéganographie, cryptanalyse, test d'intrusion, etc etc) puis les mettre en pratique à l'aide d'exercices. Évidemment, je m'en tiendrais strictement au cadre légal français, la mise en œuvre des techniques apprises se fera uniquement dans un environnement de test qui m'appartient ou qui dédié à ça.

Les plateformes d’apprentissage

Après cette longue intro, je vais passer en revue les plateformes que j'utilise et je terminerais par vous donner mes outils de vieille.

Les plateformes dédiées

Il en existe pas mal mais plutôt qu'essayer d'établir une liste exhaustive, je vais vous décrire sommairement celles que je j'utilise: TryHackMe C'est une plateforme britannique payante qui propose de nombreux cours pour tous les niveaux et permets d'acquérir le bagage théorique nécessaire pour comprendre, exploiter et contrer de nombreuses type de failles : faille de configuration réseau, système, appli-web, base de données, etc etc. Ainsi que les outils qui sont vraiment utilisés par les auditeurs en sécurité(pentesters) . Il existe aussi Hack the Box qui est une plateforme similaire à TryHackme. La mention du profil hackthebox fait toujours son petit effet dans le CV mais pour le moment, je n'ai pas encore commencé des défis dessus. J'essaye de me concentrer sur une seule plateforme mais j'y viendrais à l'occasion. Autre plateforme nationalement reconnue: Rootme.org . Je n'y ai pas encore raîné ses guêtres pour des raisons similaires à celles évoquées pour HTB mais elle sera sans doute ma plateforme de prédilection dans un proche futur.

Youtube

La première plateforme auquel j'ai pensé est évident youtube qui est celle qui la plus susceptible de contenir ce qui m'intéresse au vu de la diversité de son contenu. Pour le moment, je suis allé piocher du côté francophone avec la chaîne Khaos Farbauti Ibn Oblivion. Dans ces longues vidéos (oui une heure, c'est considéré comme long sur youtube), il présente le genre de petits défis que l'on peut effectuer tranquillement chez soi. Comme par exemple les CTF ou Capture de Drapeau, vous disposez d'une machine virtuelle volontairement vulnérable à un certains type de failles que vous devez exploiter.

La veille

Tout informacien(ne) digne de ce nom se doit de faire de la veille quotidiennement. Pour ma part, je l'effectue via différents canaux numériques en fonction de mon humeur et du périphérique que j'ai sous la main. Voici une petite petite liste à la Prévert de ce que j'utilise présentement. N'hésitez pas à commenter cet article pour m'aider à l'enrichir.

Twitter

Aussi étrange que celui puisse paraitre, j'ai pu y trouver des profils de personnes très intéressantes à suivre comme Baptiste Robert aussi connu sous le nom de fs0c131y , je suis également une association française : Léa Linux deux entreprises françaises : Quark Lab et Squad. Parmis les anglophones , je suis deux chercheurses en cybersécurité : Binni Shah et Chompie et h0mbre H0mbre

Blog

Dans les blogs je n'en suis que trois : le blog de Qualys , le blog du Google Project Zero et le blog de Filippo Valsorda Le premier est plus compréhensible pour le débutant que je suis et le second regorge de détails très intéressants sur des failles découvertes l'équipe dédiée de Google et le troisième est un blog de chercheur en sécurité. Il y aussi celui de Bruce Schneier qui est une référence internationale.

Les bulletins du CERT de l'ANSSI

Ces bulletins sont courts et efficaces. J'en fais la lecture à travers son flux RSS général. Mais plusieurs sont disponibles par catégorie comme les indicateurs de compromission, les avis de sécurité, etc

Les podcasts

Comme mentionné dans un vieux article de ce blog : j'écoute principalement le comptoir sécu et nolimit sécu , deux podcats francophones.

Les conférences

Les conférences filmées c'est l'occassion de rencontrer des personnes pour réseauter ou simplement tout simpler échanger autour d'un verre mais aussi de rire un peu quand les démonstrations sont frappées par l'effet Bonaldi. On peut aussi y découvrir des failles pas forcément présentées dans les différents supports de veille cités précédemment. Je ne suis l'actualité que de quelques unes(même si il existe beaucoup plus comme vous en doutez) . La plus grosse est américaine, c'est la DEF CON mais niveau européen nous ne sommes pas en reste avec les allemands pour le Chaos Computer Club et la française, le SSTIC et Le hack (anciennement la nuit du hack)

Le mot de la fin

Voilà, j'espère que cette petite liste vous aura permis de découvrir des choses. De mon côté, je vais essayer d'écrire des articles sur les CTF et autres défis que je réalise. Et mettre à jour cet article au fur et à mesure.

Fil RSS des articles de cette catégorie