Les Challenges InfoSec
|Voilà quelques jours (voir quelques semaines) que j’ai replongé dans une vieille addiction frénétique, celle des challenges en ligne. Une monomanie qui m’a peut-être éloigné un peu du blog d’ailleurs, je l’avoue. Pour tout vous dire, ce qui m’a amené à retomber dans cette activité chronophage est la redécouvert de quelques notes prisent à l’époque sur différents challenges de www.newbiecontest.org. Me remémorant ces années bénites teinté de candide insouciance, l’envi me pris de remettre le couvert… De plus les comptes n’étaient pas réglés, quelques foutus challenges trop coriaces pour ce moi du passé avaient éprouvé alors ma patience plus que de raison…
Mais que sont les challenges ?
Et bien, les challenges informatique à l’instar des CTF dont je vous parlais plus tôt, représentent sans doute l’un des meilleurs moyens à votre disposition pour vous former à la sécurité informatique.
Ce qu’on appelle des challenges dans le milieu de la sécurité informatique sont des épreuves ludiques destinées à initier les participants à certains types de vulnérabilités, à des méthodes de hacking particulières ou à toutes sortes de connaissances utiles à l’érection de votre background #InfoSec.
newbiecontest.org
Commençons par le commencement, ou tout du moins par mon commencement à moi (puisque après tout ce blog est au moins le mien pour un tiers, et cet article est tout à moi).
Que trouve-on sur newbiecontest.org ?
Newbie Contest est un site de challenge relativement vieux (créé en 2006 ou pas loin), ce qui explique la profusion de challenges disponibles, plus de deux-cents épreuves réparties dans sept catégories dont voici la liste accompagnée de brèves descriptions des catégories.
- Crackme – ASM, segmentation mémoire, décompilation, vulnérabilités applicatives
- Cryptographie – Cryptographie historique et informatique
- Hacking – Vulnérabilités Web coté serveur
- Javascript/Java – Vulnérabilités Web coté client
- Logique – Logique, pataphysique et programmation
- Programmation – Programmation de haut vol
- Stéganographie – Stéganographie historique, programmation et culture multimédia
root-me.org
Root-Me.org est un peu plus jeune, mais le site dispose tout de même d’une centaine d’épreuves. Le site étant récent, les sujets traités et les vulnérabilités sont d’actualités ce qui est quand même pas mal. Gros bonus, sur root-me.org on peut faire des CTF !
- App – Script – Faiblesses d’environnement et erreurs de développement
- App – Système – Vulnérabilités applicatives
- Cracking – Décompilation et ASM
- Cryptanalyse – Cryptanalyse, codes et déchiffrement
- Forensic – Investigation numérique
- Programmation – Programmation de haut vol
- Réaliste – Mise en situation réelle
- Réseau – Sécurité réseau et analyse de trames.
- Stéganographie – Stéganographie historique, programmation et culture multimédia.
- Web – Client – Vulnérabilités Web coté client
- Web – Serveur – Vulnérabilités Web coté serveur
Il est bien entendu question de stimuler votre motivation par un classement, des points et des objectifs accessibles et nombreux. Vous ne trouverez pas de tutoriels ou d’explications détaillées des vulnérabilités à exploiter (en tout cas tant que vous n’aurez pas validé l’épreuve, et débloqué l’accès à la partie solution qui vous permettra de comparer les méthodes que vous avez utilisez avec celles des autres), par contre vous trouverez de nombreux indices sur les forums et espaces d’échange réservés aux membres. N’hésitez pas d’ailleurs à vous rendre régulièrement sur les channels IRC de ces deux communautés, vous y trouverez certainement un peu d’aide. ;-)