Donc vous voulez apprendre le hacking ? Alors, vous êtes à la bonne porte (ou sur le bon article plutôt). Mais, avant de commencer, je tiens évidemment à préciser que cet articlea vous explique selon moi, le processus pour devenir un “Hacker éthique”. Même s’il est légal d’apprendre à hacker, il est évidemment interdit de tenter de s’introduire sur un système sans autorisation. Non, mais je préfère prévenir d’avance, on ne sait jamais.
1. Qu’est-ce qu’un hacker éthique (ou Pentester ou Auditeur de test d’intrusion )?
Commençons par définir ce qu’est le Hacking éthique. Première chose, vous allez trouver plusieurs appellation pour ce poste. Mais, en France le terme le plus couramment utilisé est “Pentester” pour Penetration Tester. Il est aussi possible de trouver l’appellation “Auditeur en test d’intrusion” utilisé par certaine entreprise.
Mais ça consiste en quoi ? Basiquement, l’objectif d’un pentester est de tester la sécurité d’un système ou d’un ensemble de système en essayant de s’introduire à l’intérieur comme le ferait un véritable hacker. Il se met dans la peau d’un hacker et tente d’exploiter les failles de sécurité ou vulnérabilités d’un système.
Dans la cybersécurité, les pentesters font souvent partie d’une Red Team.
- Red Team : Groupe de Pentester travaillant de pair pour chalenger la Blue Team en simulant les impacts réels d’une cyberattaque et en évaluant les processus de réponse sur incident.
- Blue Team : Si la Red Team est en attaque, la Blue Team représente la défense. La blue team se doit de détecter et réagir face aux attaquants.
Il existe différent type de pentest, tout dépend de ce que le client souhaite. Vous pouvez par exemple être amenés à réaliser une campagne de phishing ou de réaliser des intrusions physiques (oui j’ai bien dit physique 😉).
2. Le chemin à suivre pour devenir un hacker
a. Les prérequis
Un hacker dois avoir pas mal de compétences. Commençons par les basiques pour l’instant :
- Compétences en GNU/Linux : presque tous les outils de hacker sont développés pour Linux. Vous trouverez des cours sur Linux un peu partout sur internet. Je vous conseillerai de commencé avec Ubuntu qui est le plus user-friendly.
OpenClassrooms (anciennement le SiteDuZero)
Linux for Hackers // EP 1 (FREE Linux course for beginners)
Si vous comprenez l’anglais, vous devez définitivement vous abonnez à cette chaine
- Compétences en réseau : avoir les bases en réseau est obligatoire.
- Compétences en programmation : je pense que c’est vraiment important, surtout pour comprendre comment fonctionne un PC. Vous voulez faire de l’IT sans savoir programmer ? Ce n’est pas possible !
- Curiosité : c’est le prérequis le plus important. En vérité un hacker, c’est juste quelqu’un de curieux.
- Anglais : Dans l’IT en général, les documentations, logiciel et ressources sont souvent en anglais. Vous n’avez pas besoin d’être bilingue, juste de pouvoir lire et écrire en anglais.
b. Le chemin à suivre
Je vais maintenant vous expliquer le chemin que vous devez suivre selon moi pour devenir un pentester. Si vous n’avez aucune connaissance en informatique (vous partez de rien). La première chose à faire est d’apprendre à programmer !
POURQUOI vous devriez APPRENDRE à CODER?
Apprendre à programmer sera votre premier pas dans la cyber. Personnellement, j’ai débuté mon aventure par l’apprentissage de la programmation. Je vous conseillerai de commencer par apprendre le Python, car c’est un langage très utilisé dans le domaine de la cybersécurité. De plus, il est assez simple et très riche en ressource.
PYTHON pour les DÉBUTANTS #1 Introduction
Ma série de vidéo sur Python
Alors, c’est juste un conseil. Vous pouvez débuter avec le langage de programmation que vous voulez. L’objectif est d’apprendre les bases de l’informatique à travers ce langage.
Ensuite après avoir appris à programmer, vous devez définitivement faire des CTF (Capture The Flag). Ce sont des challenges ou le but est simple, récupérer le drapeau en utilisant vos compétences de hacker ! Pas mal hein ?
Pour débuter, je vous conseille TryHackMe qui est vraiment pas mal. J’ai aussi entendu beaucoup de bien de PicoCTF qui a été créé à l’origine pour les étudiants.
picoCTF – CMU Cybersecurity Competition
TryHackMe | Cyber Security Training
Ces deux plateformes de CTF sont très intéressantes, car elles offrent en plus des challenges, des “learning path”.Comme vous avez pu le voir dans la partie précédente, il y a beaucoup de connaissances à avoir pour devenir un hacker. Et justement, vous pourrez challenger ces connaissances avec les CTFs. Il faudra sûrement alterné entre les cours et les CTFs.
- Mention spéciale pour HackTheBox et root-me qui sont des excellentes plateformes de CTF. Ils sont aussi très connus, et souvent en entretient, on vous demandera votre rang sur ces deux plateformes. (surtout root-me qui est une plateforme française !). Mon conseil est de commencer avec picoCTF et TryHackMe et d’ensuite bifurqué vers root-me et HTB.
Pour être honnête, vous pourrez trouver des ressources un peu partout sur Internet. Ceux de TryHackMe sont vraiment pas mal. Personnellement, je vous conseillerai de faire le cours en ligne “Penetration Testing Student” créé par INE. Il est gratuit, il vous suffit juste de créer un compte. C’est un cours très complet qui offre même la possibilité de revoir les bases (réseau, programmation, …). Bref, je ne peux que vous le recommander !
À l’origine, INE avait créé cette formation pour préparer les étudiants à leur certification eLearnSecurity Junior Penetration Tester. D’ailleurs, c’est la parfaite transition pour vous parler des certifications !
- Il vous faudra aussi construire par vous-même votre HomeLab. Un homelab, c’est juste l’environnement que vous allez utiliser pour performer vos actions de véritable hacker (et aussi pour pouvoir réaliser les CTF). Je vous en dirais plus dans un prochain article. Mais sachez que vous pouvez juste installer kali linux en machine virtuel sur votre pc.
3. Les certifications
Pour commencer, c’est quoi une certification ?
- Certification : Diplôme permettant de valider une ou plusieurs compétences professionnelles.
Pourquoi parler de certification dans un article pour débuter le hacking. Car concrètement, vous apprenez le hacking pour quel raison ? Avoir in-fine un job chez Google ! L’objectif final est d’avoir un travail. Et là il y a deux écoles, ceux qui adorent les certifications et ceux qui les détestent.
Pour certaine entreprise, avoir une certification est obligatoire pour pouvoir passer les “gate keepers” (jolie nom donné par Neal Bridges aux RH).
En France, c’est possible d’avoir un poste de pentester sans avoir de certification (surtout si vous avez un bon diplôme et que vous sortez d’une bonne école). Mais, si vous voulez aller à l’étranger, passer l’OSCP, ce sera plus simple.
Merci d’avoir pris le temps pour lire. Si vous avez des questions, vous pouvez me les poser en commentaire de la vidéo, sur facebook ou sur twitter.
D’autres ressources utiles :
Apprendre à programmer : par où commencer ?
Comment installer Ubuntu sur Windows 10 ! (VirtualBox)
Bienvenue [Root Me : plateforme d’apprentissage dédiée au Hacking et à la Sécurité de l’Information]