Mais, je suis bloqué, je ne comprends pas ce qui est dit sur les forums mais je voudrais continuer. Que faire ? Continuer à apprendre le PHP ? ... Quelle est la prochaine étape pour atteindre mon but ?
Personnellement, à ce stade, je vous conseillerais de vous renseigner concernant les différents systèmes d'exploitation existants et les plus pertinents d'entre-eux pour travailler dans la sécurité info. Personnellement je tourne sous
Linux Parrot (une alternative à
Kali Linux). Vous l'aurez compris, changer de système d'exploitation pour un système Unix et en comprendre l'intérêt pourrait déjà être une bonne première démarche pour la suite...
Si vous ne connaissez rien aux systèmes Unix, téléchargez un iso de la distribution Ubuntu qui est actuellement la distribution Linux la plus "User Friendly" afin d'apprendre les bases du shell (dont vous aurez constamment besoin) et vous familiariser avec la logique des systèmes Unix.
->
https://www.ubuntu.com/download/desktop?Non pas que Windows ou Mac ne vous permettent pas de réussir les challenges présents ici, mais simplement que votre vie sera plus belle et surtout plus confortable avec un système plus adapté à ce genre d'exercices
Du coup pour vous, je dirais que dans un premier temps vous gagneriez à Linuxer ! Si vous cherchez des tutoriels à ce propos, il existe la communauté "openclassroom" (anciennement "LeSiteDuZéro") qui propose des tonnes d'excellents tutoriels francophones concernant les systèmes d'exploitations et la programmation en divers langages (gratuitement).
En fait, nous ne connaissons pas votre véritable objectif, difficile de vous aiguiller. La sécurité en informatique c'est vaste, plus vous allez vous intéresser à des domaines différents plus vous allez développer, entretenir, travailler, une logique concrète pour la sécurité informatique, le hacking.
Autant vous dire que la curiosité est votre meilleure alliée.
Sinon, dans les challenges sur newbiecontest, tous sont susceptibles de vous aider à progresser (ils existent, entre-autres, pour ça), je vais vous lister leurs intérêts, selon moi:
-
ClientSide: Les challenges les plus adaptés aux débutants (du moins pour la grosse moitié d'entre-eux) puisque vous avez des bases HTML, PHP, vous ne devriez pas avoir trop de mal à faire au moins la première moitié des challenges.
Renseignez-vous sur les différents types de failles propres au langage de script "Java" et tentez de voir si vous pouvez les repérer sur les différents challenges ClientSide.
Le simple fait de chercher après devrait vous apprendre des choses. Il s'agira beaucoup d'enregistrer les sources pour travailler sur elles en local (forcer le script à afficher le contenu de certaines variables et tout ça).
- Il y a les challenges
programmation qui me semblent adéquats mais je n'ai moi-même pas encore commencé cette catégorie, j'y ai juste déjà vu du PHP. Il est évident qu'entretenir des compétences en programmation dans divers langages (j'ai lu que vous codiez également en Python, j'adore ce langage) est essentiel.
- Le
Cracking ("CrackMe") est une discipline également très méthodique qui pourrait vous apprendre beaucoup de choses mais c'est très indigeste si vous commencez par là. Le cracking c'est presque de la poésie mais faut pas avoir peur de l'hexadécimal ou de coder un minimum en Assembleur (ASM). Encore une fois les commandes Terminales liées au noyaux Unix vous permettraient de gagner du temps.
- La
cryptographie. Certains challenges (les premiers surtout) ne sont pas indisociables de l'informatique, autrement dit n'importe qui munit d'un moteur de recherches pourrait résoudre les premiers challenges. Mais très vite on bascule dans la crypto plus orientée "informatique". Faut s'accrocher mais ça en vaut la peine. Savoir crypter et décrypter en toutes circonstances, de 1 c'est la classe, de 2 c'est
toujours utile.
- Les
suites logiques sont un genre d'exercice mental sympathique pour apprendre à définir la logique d'une personne qu'on ne connait pas. C'est assez infime niveau "enseignement" mais ça permet de ne pas laisser retomber la hype entre deux challenges informatiques. Comprendre la logique de quelqu'un plutôt que de résoudre une suite mathématique est une activité qui ne peut que vous conditionner à aller dans le sens de vos objectifs.
- La
Stéganographie est l'art de planquer des messages dans des supports numériques qui ne sont pas sensé emplir cette fonction. Il ne s'agit principalement pas d'informatique pure et dure, ces challenges sont à la portée de n'importe quel curieux un tant soit peu observateur. Ils pourront toute fois vous apprendre à vous familiariser avec certains logiciels propres au cracking ou aux traitements numériques en tous genres.
- Je ne connais le terme "
Forensics" que depuis peu, donc je préfère vous envoyer vers la documentation Wiki:
https://fr.wikipedia.org/wiki/Informatique_l%C3%A9gale Je n'ai personnellement pas encore commencé de challenge dans cette catégorie.
-
Hacking est probablement la catégorie qui vous intéresse le plus. Mais toutes les catégories présentes ici sont liées de près ou de loin à la catégorie "Hacking". Sur newbiecontest vous ne trouverez que ça, des choses en rapport de près ou de loin avec le hacking. La catégorie Hacking n'est plus 'hacking' que la catégorie 'ClientSide' par exemple, du moins dans les fondamentales.
La catégorie Hacking met à l'épreuve vos connaissances dans toutes les autres catégories présentes ici en plus de vous demander de faire preuve de la rigueur nécessaire à la compréhension de l'exploitation de certaines failles. Vous devrez vous-même trouver les failles ou les créer. Cette catégorie propose des challenges assez diversifiés, certains présentent des failles simples à reconnaître et à exploiter, d'autres vous feront fondre le cerveau si vous n'avez pas le bagage nécessaire dans toutes les autres catégories.
-
Wargame, pour l'instant la catégorie qui m'amuse le plus, même si j'en n'ai pas torché un seul, hahaha. De ce que j'ai compris, il s'agira la plupart du temps (si pas tout le temps ?) de faire ce qu'on appelle de "l'élévation de privilèges" (vous approprier les droits en lecture / écriture sur un fichier / dossier normalement inaccessible en vous servant de failles type SetuID.
Il vous faudra un Terminal pour vous connecter à un serveur SSH (Secure Shell), sous Windows il me semble que Putty fait très bien le café mais j'estime qu'il serait plus raisonnable d'aborder cette catégorie sous Linux en ayant un certain bagage concernant les commandes Shell liées au système.
Voilà voilà...
Pour chaque challenge vous trouverez une aide sur le forum (l'icône avec la petite bouée de sauvetage très appropriée, sur la page du challenge en cours).
PS : Ça ne serait pas pour débuter dans toute la sécurité informatique, mais juste sur la sécurité des sites webs.
Tout est lié, la sécurité Web ce n'est pas juste de la compréhension réseau, c'est un ensemble, un ensemble de connaissances assez bien représentés par les catégories présentes ici, sur newbiecontest =]
Soyez curieux au maximum, pensez à utiliser Google (ou autre) à chaque terme qui ne vous revient pas, faites des tests de parcelles de codes en local, créez des machines virtuelles pour faire d'autres tests, lisez un maximum de documentation (y en a ici, catégorie "Tutoriaux" ou simplement sur le forum mais il existe une flopée d'autres sites pour ça, bien entendu ... Google is your friend).
J'attire votre attention sur le fait que vous vous trouvez sur un site de challenges informatiques et non sur un site qui propose des "formations en sécurité Web".
Vous n'aurez que rarement des réponses "claires" à vos questions, ici. Vous n'aurez que des indices et encore, parfois vous n'en aurez pas, vous devrez compter sur l'étendue de votre curiosité et vos facultés de raisonnement pour progresser.
Rien ne vous empêche en parallèle de chercher des cours orientés sécurité informatique sur le net (MySQL, Java, html ...) encore une fois je vous envoie vers
https://openclassrooms.com/ pour consulter des tutoriels de ce genre.
Bon courage à vous, le hack c'est jamais terminé, l'apprentissage n'en finit pas mais c'est ça qu'on veut !