Hacking éthique : cours complet en vidéo
(Article publié initialement en 2017) Nous y sommes, le cours complet de hacking éthique en vidéo est disponible ! Voici de suite ce que vous allez apprendre, on passera ensuite aux questions et réponses et puis je vous emmènerai dans les coulisses de la création du cours.
Table des matières
Hacking éthique – le cours complet ? que saurais-je faire à la fin ?
Ce cours vous propose d’apprendre le passionnant sujet du hacking éthique, c’est-à-dire tous les concepts, méthodes et outils qui nous permettent de détecter et surtout de corriger des vulnérabilités informatiques dans nos systèmes, sites web et réseaux.
Vous saurez donc :
- Sécuriser vos systèmes et sites web en apprenant à repérer et corriger des faiblesses avant les pirates.
- Comprendre les méthodes et les outils utilisés pour vous pirater afin de vous en défendre concrètement et ne plus tomber dans les pièges (au delà de « faire un scan antivirus »).
- Comprendre le fonctionnement des systèmes & des réseaux.
- Créer votre propre laboratoire de test pour pratiquer et apprendre sans risques.
- Réutiliser voire même enseigner les bases de la sécurité informatique que vous aurez apprises.
- Vous préparer au métier de « responsable de la sécurité des systèmes d’information », de « consultant en sécurité informatique », ou à des certifications cybersécurité.
- Découvrir un monde nouveau, la face mystérieuse mais très importante de l’informatique, et mettre vos compétences aux profits d’autres personnes, entreprises, ou de vous-même.
- Et bien d’autres…
Alors oui, certes cet article sera une publicité assumée pour mon propre cours, mais je pense sincèrement qu’il vous sera utile. J’ai mis des mois à le construire en me basant sur vos commentaires et messages. Je le mettrai à jour aussi longtemps que possible et je ne serais satisfait que si le cours vous permet d’atteindre VOS objectifs !
Note : On parle bien ici de cybersécurité, il n’est pas question de pirater autrui. Le cours s’inscrit dans une démarche légale et éthique, dans le plus profond respect des standards du milieu.
Accéder au cours Maintenant
Le cours a été mentionné sur :
(et bien d’autres !)
Questions & Réponses sur le cours
« N’est-ce pas une mise au format vidéo des livres numériques (guides) ? »
Non, je n’aurais pas d’intérêt à le faire, et je souhaite justement profiter de la vidéo pour offrir un nouveau moyen, plus pratique, d’apprendre. Vous aurez de quoi manipuler de votre côté et suivre les vidéos en même temps.
Vous obtiendrez également des ressources inédites ainsi que tout un environnement de test clé en main pour vous épanouir dans ce domaine aussi important qu’indispensable qu’est la sécurité informatique.
Des QCMs et challenges sont également disponibles.
Plusieurs parties du cours ne sont traitées dans aucun guide, ni même sur le blog !
« Comment puis-je accéder aux vidéos ? et quel est le prix ? »
Les vidéos ne sont pas hébergées sur le site Le Blog du Hacker mais sur Cyberini.com, le centre de formation que j’ai créé.
Vous aurez accès à vie au cours de hacking éthique ainsi qu’à ses mises à jour et vous pourrez y accéder depuis votre PC ou vos appareils mobiles. Le tout avec mon support à la demande.
« Pourquoi Cyberini ? »
Cyberini est un centre de formation spécialisé en cybersécurité créée pour l’occasion. Le but est d’y créer une communauté d’étudiants passionnés, éthiques et soucieux des problématiques de cybersécurité.
Voici plus d’informations sur Cyberini.
« Pour qui ce cours de hacking éthique est-il fait, et pour qui n’est-il pas fait ? »
Ce cours est fait pour toutes les personnes qui souhaitent travailler plus tard dans la cybersécurité.
Il est également fait pour toutes les personnes qui travaillent ou souhaitent travailler dans l’informatique de façon générale, tout en souhaitant comprendre et sécuriser les systèmes, sites et réseaux qu’elles utilisent au quotidien.
Il correspond tout particulièrement aux débutants, peu importe leur âge ou diplôme. Et ce point est important, car de nombreuses formations en cybersécurité visent uniquement un public averti, voire professionnel. Ce n’est pas le cas ici, surtout que les cybermenaces visent tout le monde, dont les particuliers non sensibilisés !
J’ai rendu le cours accessible aux débutants, mais bien entendu il vous faudra au minimum avoir quelques notions de base en informatique (comme savoir utiliser Internet, savoir utiliser un système d’exploitation, …etc).
Cela dit, le cours (et tout le contenu que je publie de manière générale) n’est évidemment pas fait pour les personnes qui ont pour seul but de pirater d’autres personnes. Le cours ne vous aidera simplement pas à le faire, vous pratiquerez uniquement sur vos propres machines et sites.
Et enfin, ce cours n’est pas fait pour les personnes qui pensent tout obtenir d’un clic sans rien chercher ni pratiquer de leur côté.
Si vous pensez donc arrêter au bout de 5 minutes parce-que quelque chose ne fonctionne pas, et que vous n’avez pas cherché de solutions, vous n’êtes pas dans la mentalité d’un hacker et ce cours risque de vous décevoir.
L’informatique s’apprend beaucoup par la pratique et la recherche d’informations, vous devez avoir l’esprit innovant, curieux, actif et passionné pour profiter pleinement du cours.
Le Sommaire (attention, les nombreuses mises à jour le rendent vite obsolète)
Introduction
- Présentation de ce cours
- Ce que vous saurez faire
- Voici pourquoi il est intéressant d’apprendre la sécurité informatique
Démarrer en Sécurité informatique
- Piégez vos systèmes et découvrez si vous avez été piraté(e) !
- Qu’est-ce qu’un Hacker ?
- Les Bases de la Sécurité Informatique
- Vulnérabilités, Menaces et Exploits
- Téléchargez la Liste des Applications & Systèmes volontairement Vulnérables
- Les Concepts de Sécurité (Défense en profondeur, modèle Zéro confiance)
- Rappels sur les lois
Le hacking éthique : fondamentaux et préparation du Lab
- Télécharger et Installer Virtualbox
- Installation Facile de Kali Linux en tant que machine virtuelle sous Windows
- Installation de Kali Linux avec Virtualbox sous Mac
- Agrandir la taille de la fenêtre (additions invité)
- Résoudre les erreurs courantes avec Virtualbox & Kali Linux
- Premiers pas avec Kali Linux
- Commandes de base sous (Kali) Linux
- Initiation à la Programmation C sous Kali
- Initiation à la Programmation Python sous Kali
- Télécharger et Installer Metasploitable
- Télécharger et Installer (gratuitement) une machine virtuelle Windows 10
- Les 5 phases d’un test d’intrusion en sécurité informatique
- Quiz : connaissez-vous les bases de Kali Linux ?
- CHALLENGE : Testez vos compétences !
- Note importante avant de continuer
La reconnaissance
- Déroulement de la reconnaissance
- EXEMPLE : Reconnaissance sur un site web
- Le Google Hacking : Explications et contre-mesures
- CHALLENGE 1 : Trouvez ces informations sur Internet
- Réponse au CHALLENGE 1 [Spoiler]
- Introduction à Shodan et à la recherche Facebook
- Se protéger du Google Hacking
- Introduction à DNS
- Pratique avec DNS (nslookup et dig)
- EXEMPLE : Récupérez le champ DNS de scanme.nmap.org
- CHALLENGE 2 : Trouvez le code « challenge DNS » leblogduhacker.fr
- Réponse au CHALLENGE 2 [Spoiler]
- Le cas des adresses e-mail
- Récupérer des informations publiques sur un site web (whois, adresses IP…etc)
- Collecter et Analyser des données avec Maltego
- Utilisation de recon-ng pour accélérer la recherche d’informations
- Quiz : avez-vous retenu les grands concepts de la Reconnaissance ?
Le scanning réseau & web
- Déroulement du Scanning réseau
- Les Modèles OSI et TCP/IP
- Découvrir des services avec NMap
- EXEMPLE : Trouvez la version d’OpenSSH
- CHALLENGE 3 : Trouvez les 2 premiers chiffres du port utilisé
- Réponse au CHALLENGE 3 [Spoiler]
- Se protéger du Scanning réseau (pare-feu Linux)
- Découvrir des vulnérabilités Web avec Nikto et les corriger
- Découvrir des vulnérabiltiés avec Owasp Zed Attack Proxy
- Installer et utiliser le Système de Détection d’intrusion réseau Snort
- Quiz : avez-vous retenu les grands concepts du Scanning réseau ?
Gagner l’accès
- L’étape critique du test d’intrusion et moyens de prévention
- Les Bases de Metasploit (architecture et fonctionnalités)
- Metasploit en pratique (exploitation d’une vulnérabilité dans Metasploitable)
- Metasploit en pratique : exploitation d’une vulnérabilité Samba
- Création d’un exploit sur Metasploitable (Injection de Commande via PHP)
- Le Cracking de mots de passe (et pourquoi Michel1 n’est pas un bon mot de passe)
- CHALLENGE 4 : Crackez ce hash
- Réponse au CHALLENGE 4 [Spoiler]
- Prise de contrôle à distance de la machine virtuelle Windows 10 (exploitation)
- Post Exploitation, Persistance et The Fat Rat
- Exploit Firefox avec une simple visite d’une page web
- Mise en place du Système de Prévention d’Intrusion fail2ban (partie 1)
- Mise en place du Système de Prévention d’Intrusion fail2ban (partie 2)
- Quiz : maîtrisez-vous la phase critique du test d’intrusion ?
- Quiz : les failles informatiques
Le Social Engineering (ingénierie sociale)
- Explications sur la faille humaine (90% des piratages réussis)
- Le Phishing, explications et contre-mesures
- Le E-Whoring (E-Prostitution) et contre-mesures
- Malvertising & Téléchargements Drive-By et contre-mesures
- Le Détournement d’éléments visuels
- Les logiciels Rogues (faux antivirus, fausses applications…etc)
- Le ClickJacking (Détournement de clics) et contre-mesures
- Les failles de redirection
- Les Arnaques sur Internet
Les failles web
- Mise en place de notre site vulnérable sur mesure
- Le Top 10 OWASP : les 10 vulnérabilités web les plus populaires
- Démonstration de la faille XSS, et comment s’en prémunir
- Présentation de BeEF (Browser Exploitation Framework)
- Démonstration de l’injection SQL, et comment s’en prémunir
- Démonstration de la faille CSRF, et comment s’en prémunir
- Démonstration de la faille Local File Inclusion, et comment s’en prémunir
- Scannons notre site vulnérable ! et autres conseils de sécurité des serveurs web
- Utilisation de Damn Vulnerable Web Application et autres contre-mesures
Les failles réseau
- Comprendre et anticiper les dénis de service
- L’attaque de l’homme du milieu, exemple avec l’ARP Spoofing
- Le Vol de session TCP & le Vol de session Web
- Prévention contre le sniffing réseau, exemple avec HTTP et Telnet
- Introduction à la Sécurité Wi-Fi (notions de WEP, WPA(2), WPS)
Les programmes malveillants (malwares)
- Se défendre contre les Keyloggers
- Se défendre contre les Chevaux de Troie (exemple avec un Binder)
- Se défendre contre les Backdoors
- Étude d’autres Virus : Stealers, Crypters, programmes Batch
- La méthode certaine pour savoir si un programme est malveillant ou non
Cryptographie
- Introduction à la Cryptographie
- Introduction à PGP
- Introduction à SSL & TLS
- Introduction à la Stéganographie
Note: le sommaire est susceptible de changer au fil des mises à jour du cours.
Visionner le cours MAINTENANT
Les Coulisses du cours
Je trouve intéressant de parler un petit peu des étapes de la création d’un tel cours, qui était une première pour moi, mais aussi une formidable expérience.
L’idée est venue assez naturellement par l’évolution des modes d’apprentissage. J’ai l’impression (?) que j’ai commencé à écrire un « blog » alors que leur mode commençait à prendre fin. En effet, jusqu’en 2014, dire qu’on lance un blog faisait encore un peu sens (?) mais aujourd’hui on trouverait cela presque ringard.
Youtube a notamment pris le relais pour le contenu éducationnel. Et cela se confirme à la fois par les statistiques mais aussi par la lecture de vos propres besoins, chers lecteurs, dont certains m’ont plusieurs fois proposé de faire des vidéos.
L’achat de matériel et la mise en place du cours
Pour passer au format vidéo il faut forcément… une caméra et un micro ! Car pour l’anecdote, j’avais bien essayé de faire des articles à la fois textuel et vidéo dès le début du blog en 2013 (date de la création de ma chaîne Youtube) ! J’avais mis en ligne quelques vidéos que j’ai rapidement retiré honteusement. Notamment car je n’avais pas de micro hormis celui de la webcam,… d’un PC portable.
Cela n’est pas envisageable pour un cours vidéo qui demande la meilleure qualité possible aussi bien sur le fond que la forme…
J’ai donc emprunté une caméra Canon à un ami, et acheté un tout nouveau micro avec son filtre anti-pop : le bird um1 :
Se filmer avec une bonne caméra et épaulé par un bon micro est déjà une bonne chose, mais il reste à investir dans un logiciel de montage vidéo… et dans un fond vert pour le tournage des vidéos de présentation !
J’ai donc acquis Camtasia Studio qui a très bien fait son travail.
Et, j’ai acheté un fond vert sur Amazon, avec les lampes et tout ce qui va avec, de quoi ne plus laisser un m² de libre dans l’appartement :
Réalisation des vidéos et difficultés rencontrées
Saviez-vous que pour une 1h de vidéo, il faut environ 10h de travail ?
En fait, il faut tout d’abord préparer les programmes et les outils qui seront utilisés dans la vidéo. Cela inclut l’installation mais aussi la mise à jour des programmes en question. Certains changent rapidement avec des mises à jour au milieu du cours, d’autres plantent ou deviennent incompatibles (Kali Linux et Virtualbox ont un peu de mal à s’aimer parfois). J’ai donc, tout comme vous et sans le cacher, rencontré des soucis avec les outils présentés !
C’est pour cela qu’il vous faut être prêt(e) à résoudre des problèmes lorsque vous touchez aux détails de l’informatique en général. Cela n’arrive jamais qu’à vous.
Il faut ensuite s’assurer que les outils démontrés donnent un résultat attendu pour m’éviter d’avoir à refaire des vidéos.
Il faut également créer les diapos Powerpoint pour expliquer les divers concepts théoriques et avoir une ligne de conduite durant la vidéo.
Il faut ensuite filmer et ne pas se tromper dans les manipulations ou dans les expressions, sinon il faut refaire. Je ne faisais pas de scripts à l’avance.
Et pour l’anecdote, c’est sans compter l’outil d’enregistrement de vidéo qui avait quant à lui décidé de ne pas enregistrer l’écran Windows, mais d’enregistrer un écran noir à la place ! Toute une vidéo de 15min à refaire…
Il faut enfin passer au montage, retirer les bruits de fond, refaire certaines parties s’il manque encore des explications, corriger le son, exporter le tout et le mettre en ligne.
On est loin d’avoir fini ! Il faut encore créer les ressources additionnelles et les QCM. Un QCM est vite passé mais tellement difficile à créer ! En cybersécurité, il n’est pas rare que plusieurs réponses soient bonnes selon le contexte. Il me fallait donc bien faire attention aux questions et aux réponses.
En somme, le tournage complet du cours m’a facilement pris 3 mois à temps plein. Cela sans compter la création de Cyberini en lui-même qui double le temps effectif de travail, même si on va ici l’ignorer. Il faut simplement savoir que j’ai tout construit seul depuis le début.
Et finalement j’ai adoré réaliser ce cours ! J’espère vraiment qu’il vous plaira tout autant 😀
Merci à vous pour votre soutien et pour vos messages.
Je reste à votre disposition si vous avez besoin de plus d’informations, et je vous dis à tout de suite dans la première vidéo.
EDIT 5 ans après : ce cours est toujours mis à jour (on me pose parfois la question). Beaucoup d’heures de contenu ont été ajoutées. Il a également donné lieu à une série de cours complémentaires sur le hacking éthique. L’ensemble a été suivi par plus de 40 000 étudiants en quelques années ! Apparemment, c’est même devenu le cours de hacking éthique francophone le plus populaire. Merci à vous d’avoir été si nombreux à la suivre !
J’ai ainsi édité beaucoup de vidéos pendant ces dernières années pour les raisons suivantes :
- Mises à jour techniques (nouvelle version, nouveau bug, etc)
- Mise à jour non techniques (peu satisfait de ma voix et/ou de la qualité d’image)
- Ajouts de contenu (pour en savoir plus, pour aller plus loin)
- J’ai également répondu à des milliers de questions d’étudiants.
Mais tout n’est pas parfait et il n’est pas question ici de se vanter de quoi que ce soit. Parfois les étudiants sont vraiment bloqués, parfois le contenu ne va pas assez dans les détails… ou parfois il est au contraire trop compliqué. C’est pour moi comme pour vous un parcours d’apprentissage sur le moyen terme. Vos feedbacks me permettent de progresser et ainsi de mieux VOUS faire progresser !
Merci de m’avoir lu