Journée Portes Ouvertes
Le 23 novembre
En cliquant sur "Accepter", vous acceptez que des cookies soient stockés sur votre appareil afin d'améliorer la navigation sur le site, d'analyser l'utilisation du site et de nous aider dans nos efforts de marketing. Consultez notre politique de confidentialité pour plus d'informations.
Blog
Les plateformes pour s'entraîner à la cybersécurité

Les plateformes pour s'entraîner à la cybersécurité

Découvre les plateformes d'entraînement en cybersécurité qui offrent une variété de défis et d'outils pour tous niveaux, de débutant à expert.

10/10/2024
Noémie ManasséFavicon Oteria Cyber School
Noémie Manassé
Les plateformes pour s'entraîner à la cybersécurité
Sommaire
💡  Ce qu’il faut retenir de l’article

Les plateformes d'entraînement à la cybersécurité sont essentielles pour progresser, que vous soyez novice ou expérimenté. Des plateformes comme Root Me, TryHackMe ou Hack The Box permettent d’acquérir des compétences variées, que ce soit en cryptographie, en OSINT ou dans des environnements réalistes pour se préparer à des certifications professionnelles. Adapter votre choix de plateforme à vos objectifs est clé pour tirer le meilleur de votre entraînement.

Voici la liste des plateformes les plus populaires pour démarrer ou s’exercer. Le niveau d’entrée est assez variable selon les plateformes et la liste des challenges ou labs évoluent régulièrement. Dans tous les cas, il est important de tester et d’être insistant dans votre entraînement.

💀 Root Me

Root Me est une plateforme française réputée pour ses nombreux challenges couvrant un large éventail de sujets, tels que la cryptographie, le web… Contrairement à TryHackMe, Root Me adopte une approche plus autonome où les utilisateurs doivent résoudre des challenges sans être guidés à chaque étape. Un nombre de points atteste du niveau technique de chacun. 

Oteria est partenaire de Root-Me depuis quelques années. 

Points forts :

  • Variété des challenges : La plateforme propose des challenges sur des domaines tels que les systèmes d’exploitation, la stéganographie, l'Active Directory, et bien d’autres. Root Me fournit une documentation à lire pour mieux comprendre l’environnement et les objectifs. 
  • Communauté francophone active : Root Me propose un forum et un serveur Discord où les utilisateurs peuvent échanger des conseils et poser des questions, ce qui est utile pour surmonter certains obstacles lors des challenges.
  • Très prisée dans la sphère CTF : Root Me est idéale pour ceux qui veulent se préparer aux CTF. Elle est souvent sponsorisée par des entités du domaine et ses challenges permettent de se familiariser avec les formats compétitifs.

Public cible :

Root Me s'adresse à ceux qui préfèrent une approche plus indépendante, souhaitant se challenger sans nécessairement avoir une structure pédagogique détaillée. C'est une plateforme compétitive, idéale pour ceux qui aiment résoudre des énigmes techniques.

👉🏼 https://www.root-me.org/

☁️ TryHackMe

TryHackMe est une excellente porte d'entrée dans l’univers de la cybersécurité, particulièrement appréciée des débutants. Ce qui distingue TryHackMe, c'est son approche pédagogique, guidée par des cours interactifs et des "rooms" thématiques où les utilisateurs peuvent progresser à leur rythme. C'est idéal pour les apprenants qui préfèrent une formation progressive.

Points forts :

  • Pédagogie guidée : Les cours sont conçus pour permettre aux utilisateurs de suivre un chemin structuré, tout en ayant accès à des write-ups (corrections) pour les aider à comprendre les solutions des défis. Pour ceux qui débutent avec une machine Linux, TryHackMe offre la possibilité d’accéder à une machine Linux via le navigateur, simplifiant ainsi l’expérience utilisateur.
  • Rooms CTF et pédagogiques : Les utilisateurs Premium ont accès à une attack box (VM prête à l'emploi) pour s'entraîner sans avoir besoin de configurer leur propre environnement.
  • Certifications : La plateforme propose des modules certifiants, tels que le Pass Pentester, un atout précieux pour ceux qui visent des postes de testeur d'intrusion.

Pour les utilisateurs cherchant à approfondir des domaines spécifiques, le passage à l’abonnement Premium est recommandé, offrant un accès à des modules plus avancés. Cependant, la version gratuite propose suffisamment de contenu pour débuter.

Public cible :

TryHackMe est particulièrement adapté aux débutants qui cherchent à comprendre les bases de la cybersécurité, tout en offrant des parcours plus avancés pour les utilisateurs Premium. Rappel : Être dans le "Top 1%" des utilisateurs sur TryHackMe ne garantit pas nécessairement un niveau technique avancé.

👉🏼 https://tryhackme.com/

📦 Hack The Box

Hack The Box (HTB) est une plateforme incontournable pour les passionnés de cybersécurité, en particulier ceux qui cherchent une expérience plus proche du monde professionnel. HTB propose des machines virtuelles que les utilisateurs doivent "pirater" pour résoudre des défis. Chaque box est temporaire, et les utilisateurs Premium ont un accès prolongé aux machines. HTB

Points forts :

  • Réalisme : Les scénarios proposés par HTB reproduisent des environnements réels, offrant une expérience très proche de ce que les pentesters rencontrent dans le monde professionnel.
  • Hack The Box Academy : En plus des machines à pirater, HTB propose des cours approfondis via son Academy, ce qui en fait une excellente plateforme pour les utilisateurs souhaitant obtenir des certifications, comme l'OSCP.

Public cible :

Hack The Box est idéal pour les utilisateurs ayant déjà une bonne compréhension des bases de la cybersécurité et souhaitant se confronter à des environnements réalistes. C'est également une plateforme populaire pour ceux qui se préparent à des certifications de type OSCP ou pour les professionnels cherchant à maintenir leurs compétences à jour.

👉🏼 https://hackthebox.com/

⚙️ VulnHub et labs personnels 

Pour les utilisateurs souhaitant construire leurs propres environnements d'entraînement, VulnHub est une excellente ressource. VulnHub fournit des machines virtuelles préconfigurées que les utilisateurs peuvent télécharger et utiliser localement pour s'entraîner. Cela permet d'expérimenter à son propre rythme, en créant ses propres scénarios d'attaque et de défense.

Les labs personnels sont une approche avancée pour développer des compétences pratiques en construisant des environnements réseau complexes chez soi. En configurant des services vulnérables, les utilisateurs peuvent apprendre à exploiter des failles de sécurité tout en acquérant une compréhension plus fine des erreurs de développement et de configuration.

Public cible :

Les labs personnels et VulnHub s’adressent aux utilisateurs ayant déjà une certaine maturité technique et qui souhaitent créer leurs propres environnements d’apprentissage pour un contrôle total sur les scénarios d’attaque.

👉🏼 https://www.vulnhub.com/

🔐 Cryptohack et Cryptopals

Pour les passionnés de cryptographie, Cryptohack et Cryptopals sont des plateformes dédiées, mettant l'accent sur l’apprentissage des concepts de cryptographie via des défis techniques. Ces plateformes sont particulièrement orientées vers les utilisateurs ayant déjà des bases en mathématiques et en cryptographie appliquée.

Points forts :

  • Défis axés sur la cryptographie : Les défis de ces plateformes sont très spécifiques et demandent une bonne compréhension des concepts mathématiques appliqués à la cryptographie. Ils permettent de renforcer ses compétences techniques dans ce domaine particulier.
  • Notions scolaires et appliquées : Les plateformes introduisent des notions souvent vues dans des contextes académiques, rendant leur utilisation particulièrement intéressante pour ceux qui veulent comprendre les mathématiques derrière la cryptographie.

Public cible :

Ces plateformes sont idéales pour les utilisateurs ayant un intérêt particulier pour la cryptographie et des bases solides en mathématiques. Elles conviennent aux personnes cherchant à approfondir des sujets techniques pointus.

👉🏼 https://cryptohack.org/

👉🏼 https://cryptopals.com/

🔍 Les plateformes d’OSINT (Open Source Intelligence)

  • OSINTopia (ex-Ozint) est la plateforme de référence.
  • Oscar Zulu propose régulièrement des CTF sur des thématiques d’OSINT. Environ tous les 1 à 2 mois, de nouveaux challenges sont mis en ligne
  • OSINT-FR : La communauté OSINT.fr est particulièrement active sur Discord. Ce serveur permet d’échanger avec d'autres passionnés et professionnels de l'OSINT.
  • L'école de guerre économique : Dernier acteur notable dans l’écosystème OSINT, l'École de guerre économique publie un magazine mensuel dédié à l'OSINT. Ce support est une excellente source de veille et d’analyse sur les dernières tendances et méthodologies dans le domaine de l’intelligence économique et des enquêtes open source.

Vous pouvez également suivre le projet Fox et le collectif Bellingcat pour vous informer sur des études OSINT bien fouillées : 

  • Le Projet Fox est un groupe spécialisé dans les enquêtes OSINT sur la cybercriminalité et les menaces géopolitiques. Leurs recherches incluent la surveillance des activités sur le Dark Web, les cyberattaques, et les fuites de données. Le groupe est très actif dans la détection et la documentation des menaces, notamment celles liées à des groupes criminels ou des conflits internationaux. Ce projet fournit aux analystes des informations clés pour comprendre et anticiper les évolutions des menaces dans le domaine cyber.

  • Bellingcat est une référence incontournable en matière d’investigation OSINT, ayant contribué à des enquêtes majeures, notamment sur des conflits internationaux, des incidents militaires, et des événements liés à la désinformation. Ce groupe d'enquêteurs citoyens utilise les données publiques disponibles en ligne pour mener des recherches indépendantes. Les outils et méthodologies qu'ils partagent sont utilisés dans le monde entier, faisant de Bellingcat une ressource de choix pour ceux qui veulent approfondir leurs compétences en OSINT.

❓ Comment choisir ?

Le choix d'une plateforme dépend de vos objectifs :

  • Montée en compétences : TryHackMe et Hack The Box Academy sont des options solides pour progresser et comprendre les bases de la cybersécurité.
  • Valorisation sur le CV : Root Me et Hack The Box offrent des certifications et des badges attestant d’un niveau de compétence.
  • Infrastructure personnelle : Monter son propre environnement, via des services comme VulnHub, permet de créer des laboratoires de test personnalisés pour mieux comprendre les vulnérabilités et les exploiter.

✚ Ressources et outils complémentaires

Pour approfondir votre entraînement, voici quelques ressources souvent citées :

  • The Hacker Recipes : Un guide complet pour maîtriser des techniques spécifiques
  • HackTricks : Un recueil de techniques de hacking régulièrement mis à jour.
  • ired.team : Idéal pour ceux qui cherchent à comprendre les stratégies des équipes Red Team.
  • Pentesting cheatsheets : Un indispensable pour les pentesters souhaitant garder à portée de main les commandes et techniques essentielles.

Avant de se lancer dans les entraînements en cybersécurité, il est crucial de maîtriser ces trois piliers informatiques : la programmation, l'admin syst, et le réseau. Comprendre les fondamentaux de chaque sujet permet de mieux appréhender les outils et techniques utilisés dans la sécurité. Il ne s'agit pas simplement d'utiliser des outils, mais de comprendre leur fonctionnement et leurs implications.

Chaque personne avance à son propre rythme, et la clé est de persévérer et de ne pas abandonner. Le parcours en cybersécurité n'est pas linéaire, mais la maîtrise de ces trois piliers permet d'accélérer la progression. Bien que certaines personnes parviennent à exceller par simple curiosité, il est essentiel pour la majorité de solidifier ces bases.

Enfin, écrire son propre write-up (ex. : 1 ligne + 1 outil + 1 chemin) aide à mieux retenir et structurer les apprentissages au fil du temps.

👋🏼 Conclusion

Chacune de ces plateformes offre un environnement unique pour se former à la cybersécurité. Que vous soyez débutant cherchant à poser vos premières bases sur TryHackMe, ou un professionnel aguerri cherchant à affiner ses compétences sur Hack The Box, il existe une plateforme adaptée à vos besoins. Combinez ces ressources, participez à des CTF, et rejoignez des communautés / forums. 

À noter: Root-Me reste la référence en France.