Les scripts kiddies, ah les scripts kiddies, je ne pense pas qu’il y a un truc qui nuit autant à l’infosec que ces derniers. Je crois même qu’ils sont pire que les blackhats ! Mais comment on devient un script kiddie ? That’s ze question !

Ça commence toujours par de bonne intentions et souvent qu’un ado (pas toujours) ait regardé un film où il est question de “hacker” et de piratage. Une fois le film terminé, notre ado se précipite sur son ordinateur et google “comment on devient un hacker”. Il clique sur le premier lien dans les résultats affichées et ça le mène vers un thread d’un forum où un tutoriel sur comment utiliser sqlmap [0] a été posté avec (bien évidemment) quelques exemples pour des google dorks. Il réussi à piraté son premier site et le deface peut-être.

Généralement la phase d’apprentissage du script kiddie s’arrête là, trois jours après et quelques déface à son compte il se croit déjà un h4ck3r. Sauf si par hasard il tombe sur un billet de blog/post de forum où ça parle de la fameuse certification CEH : Certified Ethical Hacker [1], aka la fabrique de script kiddies. Là notre ami va commencer à chercher sur les sites torrents et warez des vidéos de cette formation et comme tout script kiddie qui se respecte il sautera directement vers les vidéos réservées à la partie exploitation, car le script kiddie est une espèce qui n’aime pas perdre son temps et préfère aller droit au but.

Notre ami découvre Kali Linux [2] puis Metasploit [3] mais leur monde se bouscule quand il découvre le très célèbre exploit MS08-067, il en croit pas ses yeux ! Il peut h4ck3r des ordinateurs en moins d’une minute. Malheureusement pour notre ami, il a raté la partie de “formation” consacrée à la constitution d’un lab, donc il sait pas comment installer windows XP sur une machine virtuelle, et de toute façon je doute que ça peut l’intéresser, ce qu’il veut lui c’est hacker les autres. Après plusieurs jours de réflexion (notre script kiddie n’est pas très futé) trouve ce qu’il pense être une brillante idée, il va essayer de h4ck3r les vieilles machines tournants sous win xp dans le cyber café du coin. Miracle, il réussi à le faire, encore une fois il n’en croit pas ses yeux, ça y est il est devenu un h4ck3r ! Trois jours plus tard, il ajoute “penetration tester” à sa bio Twitter.

Bon j’avoue, j’ai un peu caricaturé mais je peux vous rassurer que ce n’est pas loin de la réalité.

Mais comment on devient un “pentester” alors si on doit éviter les tutos postés sur les forums et les “certifications” à la CEH ? Très bonne question.

Tout d’abord, si vous croyez que vous pouvez devenir “pentester” juste en suivant une formation du genre CEH ou en lisant deux, trois ou même quatre livre du style The basic of penetration testing, Hacking with kali, Web application hacking, etc, vous vous trompez Sans une maitrise au moins des fondamentaux du réseau (TCP/IP surtout), du fonctionnement des systèmes d’exploitation GNU/Linux et Windows, des technologies web (si vous souhaitez vous spécialisez dans la sécurité des applications web), sans tout ça vous n’irez pas loin, vous n’irez nul part je dirais même. Car ce qui différencie un script kiddie d’un vrai pentester c’est que le premier peut savoir qu’un système, application web est vulnérable, alors que le deuxième comprend POURQUOI il l’est. C’est là où réside toute la différence.

Si je me base sur mon propre expérience, des interviews que j’ai lu ou entendu dans les podcasts, aucun pentester n’a commencé sa carrière sans avoir exercé pendant plusieurs années comme admin système, développeur, admin réseaux… Donc si vous pensez être meilleur qu’eux “be my guest”.

Un des meilleurs sites pour acquérir ces compétences est sans aucun doute cyberaces.org [4]. Cyber Aces est une initiative lancé par l’institut SANS, sans doute le meilleur dans le domaine de formations sécurité informatique. L’initiative vise à offrir aux gens passionnés par l’infosec d’apprendre les bases et fondamentaux du métier.

Les cours sont divisés en trois modules : Systèmes d’exploitation, réseaux et administration système.

Module 1 : systèmes d’exploitation

Ce module est constitué de deux parties, la première est réservée au système GNU/Linux, la deuxième à Windows. Vous apprendrez par exemple les commandes de base de Linux, la gestion des utilisateurs et groupes, gestion des permissions, etc.

Modules 2 : Réseaux

Ce module est à mon humble attention le plus important de la formation (non pas que les autres soient moins importants) et celui qui vous demandera le plus d’attention. Vous y apprendriez les fondamentaux du réseau et ses sept couches, avec une attention particulière pour la 3ème couche.

Administration système

Tout admin sys qui se respecte doit au moins connaitre un langage de script, pour automatiser certaines taches. Ce module propose une introduction aux trois langages de script les plus populaires : PHP, Bash et Powershell.

Une fois que vous aurez terminé avec ces vidéos, bien compris comment administrez une machine GNU/Linux ou Windows, comment fonctionne le réseau TCP/IP et que vous avez écrit vos premiers scripts, vous pouvez alors vous orientez vers des sites comme cybrary.it [5]. Je vous recommande de commencer par les cours CompTIA A+, CompTIA Linux+, CompTIA Network+ et CompTIA Security+ avant d’essayer d’aborder d’autres formations plus avancées. Le mieux c’est que vous les suivez les modèles d’apprentissage qu’ils ont mis en place, par niveau par exemple (débutant, intermédiaire, avancé).

Une dernière chose, regarder des vidéos ou lire des livres c’est bien, mais rien ne vaut de mettre ses mains dans le cambouis, n’ayez pas peur de tester vos connaissance, vous trouverez des tonnes de tutos en ligne sur comment monter un lab, vous trouverez même des sites qui veut permettent de pratiquer vos connaissances sur des “routeurs cisco par exemple”.

Bonne chance :-)

Liens

[0]: https://github.com/sqlmap
[1]: http://eccouncil.org
[2]: https://www.kali.org
[3]: https;//www.metasploit.com
[4]; http://cyberaces.org
[5]: http://cybrary.it