Discussion :

[idiart33]

Bonjour à tout le monde.
Je suis nouveau sur ce forum alors excusez moi si je fais quelconque erreurs.
J'ai 16 ans et je voudrais me lancer dans la sécurité informatique, mais voilà, j'ai vite compris que je n'avais pas toutes les bases nécessaires...
J'ai commencé récemment à coder en html, css et Javascript. Je sais me servir d'un PC mais quand j'entends parler d'informatique et que ça devient technique, je suis perdu!
Avez-vous des conseils, sites, tutoriels?
Merci par avance

[Neckara]

Bonjour,

La sécurité informatique est un domaine très vaste, dans quel sous-domaine tu souhaiterais te spécialiser ? Cryptographie ? Cryptanalyse ? Réseau ? Logiciel ? etc.


Personnellement, je te conseillerais une école d'ingénieur, ne serait-ce que pour avoir des bases solides. Ensuite, tu peux te spécialiser en sécurité informatique, soit avec un mastère, soit grâce aux majeur de l'école d'ingénieur.

Pour être autodidacte, tu peux effectivement acquérir quelques bases, mais cela reste assez limité.
Par exemple, impossible de faire un TP sur un HSM .

Pour la sécurité, tu as des tutoriels, une FAQ et éventuellement des livres.
Après, si tu veux te spécialiser dans un sous-domaine, ex. réseau, tu peux aussi aller dans la rubrique correspondante, ici la rubrique réseau.

[BufferBob]

salut,

Avez-vous des conseils, sites, tutoriels?

dans les grandes lignes :

• apprendre à programmer, le PHP et le C sont relativement incontournables quand on parle de sécurité, mais c'est pas du tout limitatif
• apprendre le fonctionnement des réseaux
• apprendre le fonctionnement des systèmes, au minimum se mettre sous Linux et faire des scripts shell, ça aide
• aller trainer sur des sites de challenges, en vrac quelques uns : root-me.org, newbiecontest.org, w3challs.com etc.
• prérequis essentiel : faire fonctionner son cerveau, ne pas rêver qu'on est un hacker (c'est le cas de beaucoup de "boards" de kikoolol) et développer le gout pour la technique et les choses complexes

ça vaut ce que ça vaut, c'est mes conseils.

Pour être autodidacte, tu peux effectivement acquérir quelques bases, mais cela reste assez limité.

les meilleurs spécialistes en sécurité que je connais sont tous des autodidactes, rapporteurs dans Phrack, Misc, conférenciers internationaux, vainqueurs de tournois internationaux, en poste dans les entreprises françaises pilliers de la sécurité du pays, à l'ANSSI voire plus si affinités, les écoles ont beau se développer de plus en plus, elles ne préparent pas à la réalité du terrain, je dois même dire que j'en ai vu un nombre incroyable penser qu'ils étaient super balaises en ayant fait Epitech et sortir des anneries techniques pourtant évidentes, allant jusqu'à insister avec une mauvaise foi confondante
la partie autodidacte est indispensable, c'est ce qui fait la différence entre un individu cursus et un passionné, et les entreprises ne s'y trompent pas.

[Neckara]

les meilleurs spécialistes en sécurité que je connais

Les chercheurs en sécurité que je connais ont tous fait une thèse .

Le fait d'être autodidacte n'exclut pas le fait d'avoir fait une formation afin d'avoir des bases solides sur lesquelles s'appuyer.
Si c'est juste être un script kiddy, oui, tout le monde peut le faire. Mais à partir du moment où il faut faire de l'analyse de risque, remplir des documents ISO, comprendre les maths derrière la cryptologie, ça ne s'invente pas.

Après, il y a toujours quelques génies qui peuvent tout réussir de manière autodidacte, mais ce n'est pas le cas de tout le monde, d'autant plus qu'il faut savoir ce qu'il faut apprendre et être sûr de ne pas passer à côté d'une "base" importante.


Un professionnel qui n'apprend plus, ce n'est pas un bon professionnel, ne serait-ce que pour se tenir à jour de l'état de l'art. Et c'est en effet très souvent en autodidacte, mais cela n'empêche d'avoir fait des études.

elles ne préparent pas à la réalité du terrain

De quel terrain ?
La sécurité informatique est très vaste, ce n'est pas uniquement protéger un réseau ou l'attaquer.

j'en ai vu un nombre incroyable penser qu'ils étaient super balaises en ayant fait Epitech et sortir des anneries techniques pourtant évidentes

En même temps Epitech…
Après il y a de tout dans une école, tout comme parmi les autodidactes.

la partie autodidacte est indispensable, c'est ce qui fait la différence entre un individu cursus et un passionné, et les entreprises ne s'y trompent pas.

Je n'ai pas dit le contraire, mais en étant un simple autodidacte, tu ne pourras jamais te procurer un HSM.

[BufferBob]

comme quoi on connait pas les mêmes, je connais des chercheurs en sécurité qui n'ont qu'un DUT à l'origine et des thésards qui font de la gouvernance et ont du mal à faire une bonne analyse forensics, nonobstant l'enchainement des procédures et l'organisation du pont téléphonique

à partir du moment où il faut faire de l'analyse de risque, remplir des documents ISO

oui, ça c'est de la gouvernance, c'est vrai que par défaut je songeais plus à ceux qui trouvent les vulnérabilités, les exploitent, font de la rétro-ingénierie sur les malwares etc. au temps pour moi, on pourrait rajouter les présentations powerpoint aussi dans les compétences souvent délaissées par les autodidactes

De quel terrain ?

ben le terrain "concret" comment dire... c'est un peu la différence entre le thésard qui affirme, fort de ses études, qu'il est impensable de bruteforcer un sha512 parceque ça prendrait des siècles et l'autodidacte qui pense que si le mot de passe hashé est "1234" ça se fait très bien parcequ'il sait d'expérience que les mdp user sont souvent faibles et que le bruteforce tient plus à la qualité du mot de passe qu'à l'univers des possibilités qu'offre la fonction de hashage

Après il y a de tout dans une école, tout comme parmi les autodidactes.

je suis bien d'accord

[Neckara]

je connais des chercheurs en sécurité qui n'ont qu'un DUT à l'origine

Je plaisantais un peu quand je disais "Les chercheurs en sécurité que je connais ont tous fait une thèse", vu que le statu de chercheur requiert d'avoir fait une thèse.
Après, les entreprises sont en effet assez flexibles sur les titres, une personne sortant de BAC+2 pouvant être vendu comme étant "ingénieur", voir même "expert".

des thésards qui font de la gouvernance et ont du mal à faire une bonne analyse forensics

J'ai envie de dire que ça dépend.
Si c'est des thésard en entreprise, ce sont peut-être des thésard qui n'ont pas été pris dans un centre de recherche public, donc peut-être pas les meilleurs (?).
D'un autre côté, on ne peut pas être expert en tout. S'il est plus dans la cryptographie, c'est normal qu'il n'excelle pas nécessairement dans le forensics.
Il faudrait donc savoir d'où viennent tes thésards.

je songeais plus à ceux qui trouvent les vulnérabilités, les exploitent, font de la rétro-ingénierie sur les malwares etc.

C'est déjà qu'une toute petite partie de la sécurité informatique.
Il y a aussi la cryptologie qui est plus "théorique", toutes les problématiques de vie privée et d'anonymisation, tout ce qui est du domaine de la recherche, trouver de nouvelles méthodes, critiquer celles existantes, créer de nouvelles attaques, baisser la complexité de certaines attaques, etc.

On peut très bien trouver des vulnérabilités et les exploiter en étant un script kiddy. On ne peut pas le nier. Par contre à partir du moment où on va essayer d’écrire ces scripts/outils, de faire de l'analyse de malware, ou d'avoir une vraie méthode d'audit ISOXXXX, cela demande de solides bases.


Pour faire un parallèle, n'importe quel débutant peut écrire un code en C++. Mais écrire un bon code en C++, prouver mathématiquement qu'il fait ce qu'on veut qu'il fasse, calculer sa complexité, l'avoir codé proprement, évolutif et flexible, en minimisant le nombre de bug, qui correspond parfaitement aux attentes du client, dans les temps et les coûts prévus, en ayant géré une équipe, … ce n'est pas du tout la même chose.

EDIT : Mais quand bien même le code pourrait être plus que dégueulasse, cela n'empêche pas le débutant de faire une très belle application fonctionnelle.

c'est un peu la différence entre le thésard qui affirme, fort de ses études, qu'il est impensable de bruteforcer un sha512 parceque ça prendrait des siècles et l'autodidacte qui pense que si le mot de passe hashé est "1234" ça se fait très bien parcequ'il sait d'expérience que les mdp user sont souvent faibles et que le bruteforce tient plus à la qualité du mot de passe qu'à l'univers des possibilités qu'offre la fonction de hashage

D'un autre côté, si "chaque octet [composant le mot de passe] sera hashé indépendamment", tu peux me mettre 4 ou 50 caractères, cela ne fait pas grande différence.

512 bits = 8*64 octets. Imaginons 256 possibilités par bits, cela fait 64*256 tests maximum à effectuer pour retrouver un mot de passe de 64 octets, soit 16 384 tests.
En effet, si les octets sont hashé indépendamment, on a pas un hash d'un mot de passe de X octets, mais X hashs de 1 octets.

Pour 4 octets, si pas hashé indépendamment, cela fait 256^4 = 4 294 967 296 possibilités à tester.


Je te taquine un peu .



Le problème est que tu pars d'une hypothèse que tu considère arbitrairement vraie, hypothèse qui est d'ailleurs pris par bcrypt. Mais qui n'est pas prouvée.

Problème : L'utilisateur doit retenir les mots de passes.
Hypothèse : La taille des mots de passes est de facto limité et ne peut grandir, sinon l'utilisateur ne peut le retenir.²

Cette hypothèse est, dans l'absolue, fausse pour trois raisons :

• Le problème n'est pas de retenir 1 mot de passe, mais d'en retenir plusieurs, mots de passe qui peuvent aussi changer (ex. à la demande du site, suite à une attaque) ;
• Un humain peut très bien retenir 64 caractères voir plus en utilisant des moyens mnémotechniques s'il le souhaite. Après tout, on a bien des personnes qui apprennent jusqu'à la 1000ème décimale de pi.¹
• Il existe des solutions techniques pour que l'utilisateur n'ai pas à se rappeler de son mot de passe.

Une preuve que cette hypothèse est fausse, dans l'absolu, est l'augmentation des recommandation de sécurité concernant la taille des mots de passes qui est passé de 6 à 10, 12 ou 14 caractères.

Pour en revenir à nos moutons, on s'assure que l'utilisateur n'ai pas de mot de passe faible en imposant des contraintes sur les mots de passes comme une taille minimale. Et quand bien même le mot de passe est faible, ce n'est en aucun cas le SHA512 qui est "craqué".
Prend n'importe quel algorithme, si le mot de passe est "0000", il sera brute-forcé très rapidement. Le tout est de suivre les recommandations.

¹Si un utilisateur peut retenir 5 mots de passes de 4 caractères, il est capable de retenir 1 mot de passe de 20 caractères.
²Je n'invente rien, c'est écrit dans l'abstract du papier de bcrypt.

[idiart33]

Salut,
Pour répondre à Neckara, je ne sais pas encore dans quel domaine je compte me spécialiser. J’ai fait un stage en Juin dans une entreprise de développement web et sécurité informatique. Les deux m’ont vraiment plus. Je continue de m’exercer à coder chez moi en html, css et js avec des tutoriels. Le problème c’est pour la sécurité, je ne sais pas par quoi commencer n’ayant quasiment aucune connaissance en sécurité. On m’a dit que la sécurité n’était pas ouvert au débutants, qu’il fallait d’abord connaitre pas mal de choses. J’ai essayé les challenges Root-me mais je n’ai rapidement plus trouvé la solution, manque de connaissances malgré des heures de réflexion et de recherches…
Je suis en terminale sti dd sin et je dois exprimer des vœux pour l’an prochain. Pour l’instant je penche plus pour un IUT + master ou une école, mon stage ayant confirmé ces deux possibilités. Que me conseillez-vous ?
Daniel

[Neckara]

Pour la sécurité, je pense qu'il faut déjà avoir des bases pour comprendre comment fonctionne le système qu'on souhaite par la suite attaquer/protéger/autre.

Donc d'abord acquérir un ensemble de connaissances, de culture générale avant de se spécialiser.


Faire un IUT informatique est en effet une très bonne idée, par contre, il faut essayer de bien se classer pour pouvoir postuler chez certaines écoles d'ingénieur.

Pour choisir entre master et école d'ingénieur… cela dépend ce que tu veux faire. Si tu veux faire de la recherche (et donc continuer par une thèse), choisit plutôt le master. Sinon, j'aurais tendance à dire que l'école d'ingénieur serait plus adaptée.
Je ne vais pas rentrer dans les détails, tu as encore deux années devant toi.


Évite juste les écoles où tu paye (cher) ton diplôme .

[idiart33]

Pour la sécurité, je pense qu'il faut déjà avoir des bases pour comprendre comment fonctionne le système qu'on souhaite par la suite attaquer/protéger/autre.

Donc d'abord acquérir un ensemble de connaissances, de culture générale avant de se spécialiser.

c'est tout à fait ça le problème. Parce que si j'ai un thème précis je suis tout à fait capable de me documenter et d'apprendre par moi même, mais là...
C'est possible IUT puis école d'ingé? Parce que j'ai cherché sur internet et j'ai trouvé que les licence pro après un IUT? Et à part un IUT il y a quoi comme possibilités pour le développement et la sécurité?

[Neckara]

IUT puis école d'ingénieur, c'est tout à fait possible, même s'ils préfèrent parfois les prépas.
Dans mon école, il doit bien y avoir plus d'1/3 d'IUT. Même des écoles très réputées prennent des IUT, mais il faut avoir un bon classement.

À part IUT, soit prépa soit licence soit BTS.
Pour la prépa, tu vas préparer ton entrée dans une école d'ingénieur, sans forcément avoir beaucoup d'informatique, ce qui peut être un peu dommage.
Pour la licence… tu vas juste perdre une année.

Après, pour toucher vraiment la sécurité, je pense qu'il faudra attendre la 2ème ou 3ème année d'ingénieur.


Pour un thème… le problème c'est que je ne peux pas te donner le plan de 5 années de formations.
Tu peux regarder les livrets pédagogique d'écoles/IUT pour voir les matières abordées.
Sinon, essaye de te faire plaisir, code des petits sites, des petites applications, amuses-toi. Sois curieux, fait des recherches sur internet, regarde et répond sur les forums.
Tu as 5 années pour apprendre, tout viendra en temps et en heure. Donc pour le moment, amuses-toi, bidouille un peu. Cela te servira ensuite pour approfondir tes cours.

[idiart33]

Donc IUT pour l'instant, après comme tu dis j'ai 2 ans pour y réfléchir.
Pourquoi je perdrais une année en faisant une licence?
Oui dans les écoles ont pratique pas beaucoup apparemment.

J'essaie pas forcément de suivre les programmes des formations. Je suis justement dans cet esprit de bidouiller pour m'amuser et découvrir des choses par passions.
Par exemple j'ai appris récemment qu'existait les keylogger, donc j'en ai de suite télécharger un pour tester. Et j'adore ça!
Pareil pour le site admin de la box, j'y suis allé j'ai regardé ce que l'on peut y faire sans tout trafiquer c'est pas mon but.
Mais si je n'avait pas entendu parlé de ces choses je n'aurai pas pu chercher sur internet leur fonctionnement. Je sais pas si je me fait comprendre...
Justement j'ai codé une calculatrice mais ça tout le monde peut trouvé un tuto et s’entraîner. En programmation je sais tout à fait quoi chercher, que ce soit pour réaliser une appli ou un jeu.
Je trouve en quel langage le faire puis un tuto pour ce langage si nécessaire mais pour la sécurité je bloque un peu.
Dsl je sais je suis difficile mais je meurt d'envie d'apprendre et là je bloque...
En tout cas merci beaucoup à toi, j'ai jamais eu de réponse sur d'autres forums

[Neckara]

Pourquoi je perdrais une année en faisant une licence?

Deux possibilités :

• tu fais ta licence, donc 3 années au lieu de 2 puis tu enchaînes par une école d'ingénieur. Tu as perdu une année.
• tu abandonnes ta licence au bout de la 2ème année pour aller dans une école d'ingénieur. Déjà je ne suis pas sûr à 100% que tu seras accepté partout. Et tu entreras en école d'ingénieur sans aucun diplôme (on ne sait jamais si tu abandonne l'école pour des raisons X ou Y).

Ensuite, en licence, si je ne me trompe pas, tu as 6 mois de cours commun avec tout le monde, donc pas tant d'informatique que cela.

Par exemple j'ai appris récemment qu'existait les keylogger, donc j'en ai de suite télécharger un pour tester. Et j'adore ça!

Attention !!!

Tes bidouilles, toujours dans ta propre machine virtuelle que tu dédies pour cela. Cf VirtualBox/VM Ware.

Je te préviens aussi, ne t'amuses pas à essayer d'attaquer des sites (ou autre) si leurs auteurs/propriétaires ne t'ont pas autorisé à le faire. Ne t'amuses pas à mettre un keylogger sur l'ordi de ta petite sœur.

Mais si je n'avait pas entendu parlé de ces choses je n'aurai pas pu chercher sur internet leur fonctionnement. Je sais pas si je me fait comprendre...

Je comprend parfaitement, c'est un peu pour cela que je dis que juste être autodidacte a des limites, on ne sait pas ce qu'on ignore.
Tu peux regarder les tutos de la rubrique, je t'ai passé un lien il y a quelques posts il me semble.

En programmation je sais tout à fait quoi chercher, que ce soit pour réaliser une appli ou un jeu.

DVP a une rubrique jeu, tu peux rejoindre un projet ou t'en inspirer pour créer le tien.

Dsl je sais je suis difficile mais je meurt d'envie d'apprendre et là je bloque...

Il faut apprendre à marcher avant d'apprendre à courir .

[idiart33]

Ok je prends note de toutes ces info, j'irais voir un CIO de toute façon.
Non je ne cherche pas à attaquer quiconque, juste à tester. J'ai déjà utilisé les VM et on m'a déjà dit de les utilisé comme tu me e dit mais pour un keylogger ou est le risque?
J'irais voir tout ça un de ces jours, promis

[Neckara]

mais pour un keylogger ou est le risque?

Tu as toujours le risque qu'il ai un comportement "non-désiré".

Ex. il envoi ce qu'il récupère sur internet, il se lance sans ton autorisation, il installe d'autres logiciels en secret, il lance un service en tâche de fond, …
Bref, quand on bidouille, on utilise une machine virtuelle. Comme ça plus de risques, on ne se pose plus de questions.

[idiart33]

Ok je vois, je voulais essayer de faire une VM pour tester mais aucun système d'exploitation ne fonctionnait. un ami m'a dit qu'il me fallait un iso.
Suis-je obligé de l'installer sur une clé USB ou un DVD?

[Neckara]

Non, il suffit de télécharger une iso sur ton ordinateur.

Ta VM a un lecteur CD/DVD virtuel. Il suffit juste de mettre l'iso dans ce lecteur virtuel, ie choisir un fichier iso dans ton système de fichier hôte.

Tu devrais pouvoir trouver pas mal de tutoriels sur internet.

[idiart33]

Oui en effet j'ai trouvé des tutoriels mais ils disaient de mettre le fichier ISO dans un DVD alors je pensais qu'il fallait un dvd physique...

[Escapetiger]

Ok je prends note de toutes ces info, j'irais voir un CIO de toute façon.
Non je ne cherche pas à attaquer quiconque, juste à tester. J'ai déjà utilisé les VM et on m'a déjà dit de les utilisé comme tu me e dit mais pour un keylogger ou est le risque?
J'irais voir tout ça un de ces jours, promis

Salut,

Topic particulièrement intéressant,

Je te suggère, à tout hasard, de lire ce qu'est un hacker éthique et de lire un article du Parisien sur le sujet à propos de l'Université de Valenciennes, ça pourrait te plaire .

[idiart33]

Salut,
Merci pour les liens j'irais voir demain il se fait tard

[Zep18]

Hello,

Sujet intéressant en effet,

IUT puis école d'ingénieur, c'est tout à fait possible, même s'ils préfèrent parfois les prépas.

Yep, pour ma part je voulais aussi m'orienter dans la sécurité, j'ai donc fait un DUT Informatique, et école d'ingé après.

Le DUT Informatique ne t'apportera pas grand chose en sécurité même, mais de très bonnes bases en programmation(java, PHP, C ...), un peu en réseaux, ce qui sera un avantage par la suite.

Comme dit Neckara, les écoles publiques sont exigeantes sur les dossiers, et seuls les 3 premiers de la promos pouvaient viser ce genre d'écoles (Ex : UTC, INSA ...). (Ce qui n'était pas mon cas)

Après pour le privé(EFREI, ESIEE, ECE ...) l'entrée s'y fait plus facilement (~25% de la promo éligible), c'est ce que j'ai fait, pas en filière classique, mais en filière alternance (L'entreprise prend en charge les frais d'inscription à l'école). C'est pendant ces trois années que tu pourras te spécialiser en sécurité.

Si tu as d'autres questions n'hésite pas

Zep