Plateformes d’apprentissage de la cybersécurité

Crédit : CodiMD — « Fiche conseil cybersécurité et NSI » — https://codimd.apps.education.fr/s/OkEt6oyFB.
Contenu original sous licence CC BY-SA 4.0.

Cette fiche a pour objectif de présenter différentes plateformes d’apprentissage de la cybersécurité disponibles sur Internet

Un parcours PIX

Il existe une sélection de questions issues de Pix et formalisées dans un parcours pour explorer différents aspects de la cybersécurité.

Accès direct : https://app.pix.fr/campagnes/JBKZDH685

D’autres plateformes

La cybersécurité s’apprend largement par la pratique. Les plateformes ci-dessous proposent des environnements ludiques ou professionnels.

Capture The Flag (CTF)

  • Le CTF est une compétition où l’objectif est de résoudre des défis liés à la cybersécurité. Chaque épreuve valide un flag, une chaîne de caractères prouvant la réussite.

  • Un calendrier mondial de ces compétitions est disponible sur CTFtime link

  • Il existe d’autres variantes de CTF, le pwn (prononcé ‘powne’) par exemple, qui consiste à capturer l’accès root sur une ou plusieurs machines en exploitant une série de vulnérabilités, et maintenir son accès lorsqu’on joue contre une autre équipe (KOTH: king of the hill).

Challenges Kids 🇫🇷

Try Hack Me (THM) 🇺🇸

  • Plateforme : https://tryhackme.com

  • Plateforme de référence pour les “noobs” en cybersécurité. Elle aborde de manière simple tous les . L’approche peut paraitre parfois un peu superficiel. En revanche, les apports sont très riches tous les thèmes actuels sont abordés dans des modules individuels (Fishing, AD, …​).

  • Avantages 👍:

    • Idéal pour débuter

    • Centré sur la cybersécurité mais aborde également les notions adjacentes (codage, les réseaux, les bases de données, Linux …​)

    • Très progressif, machines (attaquantes et attaquées) dans le navigateur

    • Approche orientée pratique et pas universitaire

    • Accès par parcours d’apprentissage (pentester junior, avancé, hunter, blue team defenser …​) ou modules thématiques (Nmap, injections SQL, codage Python, réseau …​).

    • Nombreux parcours gratuits (offre payante pas très onéreuse)

Pour une progression débutante : Complete Beginner → Pre-Security → Advent of Cyber → JR Penetration Tester.

Hack The Box (HTB) 🇺🇸

  • Plateformes :

  • Contenu débutant à professionnel

  • Trois sections principales :

    1. HTB Academy — cours guidés

    2. HTB Labs — machines vulnérables

    3. HTB CTF — compétitions et création de défis

  • Avantages 👍 :

    • Même qualité que Try Hack Me

    • Challenges proposés sous forme guidée ou pas

    • Parcours certifiants dans les différents domaines de la cybersécurité

    • Certifications reconnues dans le domaine professionnel

  • Inconvénient 👎:

    • Offre payante onéreuse

Cyber-Learning 🇫🇷

  • Plateforme : https://cyber-learning.fr

  • Public : seconde → Bac+2

  • Défis progressifs et outils intégrés

  • Avantages 👍:

    • possibilité de monter/gérer des équipes

    • possibilité de créer sa propre “arène” pour y mettre des équipes, et choisir les challenges à résoudre

Root-Me 🇫🇷

Cryptohack 🇺🇸

Avantages 👍 :

  • notion de parcours qui permet d’appréhender les concepts progressivement.

  • quelques fiches de cours pour chaque concept

  • utilisation de Python3 dans la plupart des résolutions

  • manipulation des encodages (binaires, hexadecimal, ASCII, base64…) dans le parcours général, très utile pour résoudre les autres challenges.

  • un parcours mathematics : PGCD, PGCD étendu, arithmetique modulaire, …​

  • des parcours autours de toutes les thématiques crypto (symetrique/asysmetrique, RSA, diffie-hellman, hash …)

  • une archive des CTF link notamment les challenges proposés à l’ECSC (coupe européenne de CTF)

  • Entraide via le canal Discord CryptoHack link

picoCTF 🇺🇸

  • Plateforme : https://picoctf.org

  • Projet d’apprentissage initié par l’université de Canergie Mellon, elle fait autorité institutionnellement aux US. Les challenges sont dans le menu Practice  picoGym

  • Avantages 👍 :

    • Challenges classés par catégories, tous les thèmes sont abordés

    • des cours sont disponibles sous forme de vidéos, et de guides,

    • progression dans la difficulté,

    • du niveau collège au niveau universitaire.

    • solutions parfois accessibles sur le net, notamment via des “writeups” complets sur la plateforme medium

PortSwigger Academy 🇺🇸

  • Plateforme : https://portswigger.net/web-security

  • Orienté cybersécurité du Web

    PortSwigger est l’éditeur du logiciel Burp Suite, quasiment indispensable pour évaluer toutes les failles d’un site Web quelque soit ça technologie.

  • L’entreprise met également à disposition gratuitement des cours et des labs en ligne pour travailler les vulnérabilités classiques du top10 OSWAP, mais également des failles plus récentes et à la pointe (Web MLL attack, race conditions, graphQL API vulnarabilities …).

  • Une certification professionnelle est accessible après avoir fait tout le parcours, et passé un examen pratique (4h) pour un coût de 89€

  • Avantages 👍:

    • accès spécifique à une thématique (injection SQL, ou XSS par exemple) : cours et lab associés avec un parcours progressif.

    • accès gratuit,

    • travail en autonomie,

    • solutions disponibles sur Internet lorsqu’on est bloqué mais aussi vidéos sur YouTube

VulnHub 🇺🇸

  • Plateforme : https://www.vulnhub.com

  • Mise à disposition gratuite de machines virtuelles volontairement vulnérables.

  • Entraînement à la sécurité informatique, en particulier au pentesting, dans un cadre légal et contrôlé.

🞄  🞄  🞄