Dans cette formation, nous allons aborder ce qu'est un CTF (Capture The Flag) “Wargame” pour les pentesters (et aussi les passionnés de sécurité informatique). Un CTF s'apparente donc à une intrusion dans un système réel conçu pour cela. C'est un bon moyen pour les pentesters de s'entrainer en toute légalité. L'entrainement consiste à trouver les vulnérabilités disponibles, de les exploiter pour ensuite extraire des données (« flags » ou « drapeaux »).
Que peut-on trouver dans un CTF “Wargame” ?
Un CTF est généralement composé de plusieurs épreuves que l'on peut classer suivant des niveaux de difficulté. Au démarrage, on vous fournit quelques consignes : le nombre de drapeaux à trouver, quelques éléments utiles sur la machine à attaquer (ou pas).
Le métier de pentester nécessite des connaissances solides dans différents domaines comme :
- le réseau
- la sécurité informatique (cryptographie, systèmes de codage, audit de sécurité réseau et web)
- le développement logiciel et systèmes informatiques (systèmes embarqués / industriels / …)
Vous pouvez retrouver dans notre formation « Les bases de l'informatique » (https://academy.nohackme.com/introduction.html) les notions importantes avant de se lancer dans le domaine du Hackeur Ethique. Dans cette formation, nous utiliserons des outils pré-installés dans la distribution Kali Linux (https://academy.nohackme.com/kali-linux.html). D'autres outils existent, en voici une liste non exhaustive : https://www.nohackme.com/blog-les-outils-des-pentesters-et-ethical-hackers-7.html
Ces auditeurs sont donc très polyvalents mais surtout ils sont joueurs et aiment relevés des défis.
Les CTF vont donc regrouper un ou plusieurs de ces domaines suivant le niveau de difficulté.
Un CTF va généralement se décomposer ainsi :
- Scanning
- Enumération
- Exploitation
- Escalade de privilèges
- La boîte à outils
- Comment réaliser un CTF ?
