No Hack Me

Les systèmes d'informations (SI) sont régulièrement attaqués par des « pirates » ou « hackers mal intentionnés », et ce pour différentes raisons (économiques, politiques, etc.). Pour pallier ces cyberattaques, les infrastructures informatiques doivent être testées en passant par des tests d'intrusions pour s'assurer du bon niveau de sécurité. Bertrand LECLERCQ (No Hack Me) est un consultant indépendant spécialisé en sécurité Offensive.

Test d'intrusion

Un test d'intrusion (« penetration test » ou « pentest », en anglais) est une méthode d'évaluation (« audit », en anglais) de la sécurité d'un système d'information ou d'un réseau informatique ; il est réalisé par un testeur, (« pentester », en anglais).

Rapport de vulnérabilité

Le scan de vulnérabilité est une composante du test d'intrusion, c'est-à-dire une sous-partie. C'est plus précisément un scan (comme son nom l'indique) de la cible qui permet d'énumérer les vulnérabilités, sans tenter de les qualifier ou de vérifier si elles sont exploitables.

Audit de code

L'audit de code est une pratique consistant à parcourir le code source d'un logiciel afin de s'assurer de la sécurité de celui-ci en testant sa vulnérabilité, ou bien chercher des bugs.

Présentation

Bertrand LECLERCQ

Pentester

Me Contacter

La forte polyvalence a caractérisé mon poste de DEVSECOPS pendant 15 ans (gestion de projet / développement / administration de serveurs / Infrastructure Cloud / Sécurité). Aujourd'hui je relève un nouveau défi en m'engageant résolument dans le secteur de la Cybersécurité. Ce secteur me donne l'opportunité de concilier rigueur méthodique, résolution de problèmes complexes, goût de l'investigation et sens des responsabilités et de la discrétion, traits qui caractérisent ma personnalité professionnelle.

Le métier de pentester est un métier exigent, il ne suffit pas de suivre son cursus à l'école. C'est un métier en perpétuelle évolution qui nécessite une soif d'apprendre. Il faut être passionné et avoir le goût du challenge permanent.

Pour débuter l'aventure de pentester, on commence par lire des ouvrages parlant d'Ethical Hacking (Hackeur Ethique) par exemple. On suit des formations à distance comme celle d'OpenClassRoom, on s'abonne à différentes chaînes Youtube (IppSec, Khaos Farbauti Ibn Oblivion par exemple). Puis, quand le moment est venu, on commence la pratique avec des plateformes comme HackThis!!, Root-me ou Zenk-Security. Et quand on est vraiment à l'aise, on se lance sur les CTF (Capture The Flag). De nombreuses plateformes permettant de télécharger des machines virtuelles existent comme : Hack The Box, PentestIt ou VulnHub

Quaoar : Vulnhub CTF

Aujourd'hui, nous allons aborder deux aspects dans le domaine du pentesting : Le premier concerne ce que l'on appelle un « CTF » ou « Capture The Flag ». C'est un exercice d'entraînement pour les pentesters. Pour cela, on installe une machine...

Lire l'article