Sujets-libres.fr

Informatique, logiciels libres, internet, humeurs et… le reste !

Root-me et les autres

Rédigé par -Fred- Aucun commentaire

Depuis quelques semaines, j'écumes le site de challenges informatiques root-me.org. J'en ai pratiqué d'autres avant mais celui là est vraiment super et je me suis dit qu'il serait intéressant d'en parler et d'expliquer pourquoi je trouve celui là cool.

Tout d'abord, par challenges informatiques, il faut comprendre épreuves réparties dans différentes catégorie (web côté serveur, web côté client, réseau, sténographie, cryptographie, crack, forensic, ...). Ce sont des situation variées mais qui, à chaque fois, incluent volontairement des faiblesses qu'il faut exploiter. Dans chaque épreuve, il faudra récupérer un "flag" pour valider. Après, plus on valide d'épreuves, plus on obtient de points (le nombre de points varie en fonction de la difficulté de l'épreuve).

Je n'ai pas encore testé les CTF sur root-me mais j'apprécie vraiment le côté didactique du site. Pour l'essentiel des épreuves, de la documentation plus ou moins utile (mais toujours en rapport avec le sujet) et proposée. Les forums sont assez calmes mais sont intéressants aussi. De plus, une liste d'outils est proposé.

Là où ce genre de site est vraiment pertinent pour apprendre, c'est que quoi qu'il arrive, il y a toujours une faiblesse à trouver. Ça semble idiot comme ça mais en y réfléchissant, pas tant que ça finalement. Dans une situation réelle où personne n'a volontairement introduit de faille, il est possible qu'il n'y en ai pas et on peut donc passer à autre chose sans états d'âme. Là, on peut passer à autre chose bien entendu mais on sait pertinemment que l'on a pas trouvé la solution pour exploiter un faille qui est bien présente. Quand on est un petit peu persévérant, et pour peu qu'un épreuve résiste, il faut donc bouffer de la doc, tester des trucs et quand on a tout essayé, recommencer mais en pensant autrement. Une fois que l'on a validé, il est possible d'accéder à des solutions ou d'en proposer soit même. La solution a autant d'importance que tout ce que l'on aura déployé comme énergie pour la trouver.

Je conseille vraiment ce genre de site, déjà parce que ça évite de faire n'importe quoi en situation réelle (comme du pentest sauvage) pour apprendre. C'est super formateur et on découvre comme ça un grand nombre de problèmes qui pourraient arriver ailleurs, notamment sur des systèmes dont on a la charge. Ça fait aussi parfois tomber certaines certitudes. Ceux qui sont en recherche de poste dans la sécu informatique peuvent aussi mettre ça en avant sur leur CV. Ce n'est pas mon cas mais je le signale au passage.

Dernier point et pas des moindres, ce type de site est fait pour apprendre. Pas simplement pour apprendre telle ou telle technique mais pour apprendre à regarder tout nouveau problème de manière nouvelle.

Écrire un commentaire

Quelle est la dernière lettre du mot xlhv ?

Fil RSS des commentaires de cet article