Cette fiche a pour objectif de présenter différentes ressources disponibles sur Internet autour de la cybersécurité faisant le lien avec le programme de NSI, voire parfois de SNT. Elle est loin d’être exhaustive et sera toujours amenée à évoluer.
Il existe une sélection de questions issues de Pix et formalisées dans un parcours pour explorer différents aspects de la cybersécurité. Accès direct par ce lien.
- https://app.pix.fr/campagnes/JBKZDH685
Il existe de nombreuses plateformes pour l’apprentissage de la cybersécurité. Certaines dans un objectif de professionalisation, d’autres à caractère purement ludique (CTF : Capture The Flag). La plupart sont anglophones.
Le CTF (capture The Flag) est une ludification des concepts de cybersécurité. Ce sont des compétitions dans lequels les équipes doivent résoudre des défis (challenges) dans différentes catégories. La résolution du problème permet de mettre évidence le code de validation de l’épreuve que l’on nomme flag.
Le concept est emprunté au domaine militaire dans lequel des équipes s’affrontent et doivent capturer le drapeau de l’équipe adverse.
Il existe d’autres variantes de CTF, le pwn (prononcé ‘powne’) par exemple, qui consiste à capturer l’accès root sur une ou plusieurs machines en exploitant une série de vulnérabilités, et maintenir son accès lorsqu’on joue contre une autre équipe (KOTH: king of the hill).
Point d’entrée pour tous les élèves et apprenti dans la cybersécurité.
Plateforme de référence pour les “noobs” en cybersécurité. Elle aborde de manière simple tous les concepts de la cybersécurité mais également les notions adjacentes (codage, les réseaux, les bases de données, Linux …). Cependant, les thèmes sont abordés suivant un aspect très pratique, pas universitaire. L’approche peut paraitre parfois un peu superficiel.
En revanche, les apports sont très riches tous les thèmes actuels sont abordés dans des modules individuels (Fishing, AD, …).
Plateforme concurrente de Try Hack Me, elle vise le même public avec un élargissement sur le professionnel. On peut donc y entrer avec un niveau zéro comme pour THM mais finir avec une certification professionnelle. La plupart des contenus sont gratuits, la partie certifiante ne l’est pas. La plateforme possède un système de points et de rangs, très reconnu professionnellement dans le milieu. Certaines box (Dante, Corporate) ont été conçues spécialement pour attester d’un certain niveau atteint dans le pentest.
3 plateformes sont accessibles :
Très bonne plateforme orientée crypto.
Projet d’apprentissage initié par l’université de Canergie Mellon, elle fait autorité institutionnellement aux US. Les challenges sont dans le menu Practice / picoGym
Orienté cybersécurité du Web, PortSwigger est l’éditeur du logiciel Burp Suite, quasiment indispensable pour évaluer toutes les failles d’un site Web quelque soit ça technologie. Le logiciel est gratuit en version community Edition et permet déjà de couvrir largement les besoins en NSI et en CTF.
L’entreprise met également à disposition gratuitement des cours et des labs en ligne pour travailler les vulnérabilités classiques du top10 OSWAP, mais également des failles plus récentes et à la pointe (Web MLL attack, race conditions, graphQL API vulnarabilities …).
Une certification professionnelle est accessible après avoir fait tout le parcours, et passé un examen pratique (4h) pour un coût de 89€ (certains formateurs Burp Suite reconnus n’ont que cette certification et facture 7000€ la formation individuelle )
Les catégories de challenges
Les challenges consistent à découvrir la valeur du drapeau (flag) en exploitant une faille de sécurité.
Voici une liste non exhaustive de challenges compatibles avec le programme de NSI.
types et valeurs de base (Numération)
type construit avec les tableaux indexés
Réseaux
NSI première
Analyse de trame
Wireshark
Ils s’agit dans les challenges d’analyser des trames ou extraits de trames capturée pour extraire des informations (@IP, @MAC, mot de passe, …).
Ils nécessitent en pré-requis de savoir utiliser la numération hexadécimale, le code ASCII.
Tous les challenges autours du XOR sont intéressants.
L’injection Sql est la plus célèbre des vulnérabilité observées sur les serveurs de données. Elle a longtemps été en tête du top10 OWASP. L’attaque est faite la plupart du temps au travers les champs de saisie d’un formulaire web. Elle consiste à taper une commande SQL qui aura pour objectif de divulguer le contenu de la base (tables, identifiants, mots de passe des utilisateurs par exemple). Elle repose sur un mauvais filtrage des entrées fournis
par l’application.
NSI terminale
base de donnée
sql
Tous les CTF organisés dans le monde sont sur CTFTIME