Accueil > Sécurité > Certified Ethical Hacker

Certified Ethical Hacker

Le 9 Mai, j’ai passé une certification, la Certified Ethical Hacker v9.
Le but de ce billet est donc de faire un postmortem de ce « projet ».

L’année dernière, avec un collègue, nous avons suivis la formation mais nous avons passé (tous deux avec succès) la certification plusieurs mois plus tard.
Le but n’était pas la certification en elle-même. Même si elle reste un sacré gros bonus.

Toutes les informations que je vais donner ici sont publiquement disponibles, agrémentés de mon ressentis personnel.
Il ne faut donc pas s’attendre à un dump ou assimilable.

 

Pourquoi de la sécurité ?

 

L’année dernière, j’avais déjà parlé un peu plus longuement de la sécurité ici : [SSI] Sécurité des Systèmes d’Information.
Le constat reste grosso modo le même (voir même pire).

Le TOP 10 2017, dans sa version Release Candidate n’est pas réellement différent :TOP 10 2017 - RC

Cela fait donc maintenant 13 ans que la majorité des failles exploitées sont parfaitement connues et documentées et qu’il est possible de trouver assez facilement comment s’en protéger.

Et même si la sécurité doit être prise en charge dans le projet (et donc être portée de haut en bas de l’entreprise), pour ce qui est de l’applicatif, c’est en dernier recours le développeur qui fait. Ou non.

Dans ce cadre, et pour moi, la sécurité revêt plusieurs intérêts : pour mes clients, pour mon entreprise mais également par intérêt personnel.

 

Pourquoi cette certification ?

 

Déjà, pourquoi vouloir passer une certification ?
C’est malheureux à dire, mais en France, c’est souvent le diplôme ou la certification qui sont crédibles et moins l’expérience réelle.
Dans notre cas, l’expérience réelle est relativement limitée.
Donc, la certification possède son utilité en tant que telle.
Ni plus, ni moins.

Pourquoi celle-ci en particulier ?
Il y a d’autres certifications :

Il est aussi possible de regarder du côté de l’ISO 27001, CISA, CISM, CLFE…

Autrement dit, il y a du choix.
Par contre, le CEH nous semblait la plus pertinente par son approche assez vaste et pourtant relativement accessible (ça, c’était ce qu’on pensait).

 

Présentation de la Certified Ethical Hacker

 

Tout d’abord, une petite présentation de la certification.
La page Wikipédia est assez intéressante dans le domaine.

Voici la description de l’EC-Council, qui gère cette certification:

A Certified Ethical Hacker is a skilled professional who understands and knows how to look for weaknesses and vulnerabilities in target systems and uses the same knowledge and tools as a malicious hacker, but in a lawful and legitimate manner to assess the security posture of a target system(s). The CEH credential certifies individuals in the specific network security discipline of Ethical Hacking from a vendor-neutral perspective.
EC-Council

La certification peut être passée seule, mais la formation qui précède est quand même vivement conseillée.
Cela représente un certain investissement autant financier qu’en terme de temps (5 jours).

Il est possible de voir ce que contient la certification et comment se passe l’examen depuis la brochure (ce lien EC-Council, la brochure est mentionnée vers le milieu de la page « Brochure and Outline »).

 

La formation

 

Pour notre formation, nous sommes passés par Sysdream (avec la page de la certification : Certified Ethical Hacker v9).

Quelques mots avant tout sur le cadre.
L’accueil était assez sympa, avec des petites viennoiseries chaque matin autour d’un café.
En arrivant en avance, il était possible de discuter avec des participants d’autres formations ainsi que des gens de Sysdream.
C’était assez sympa, avec le restaurant d’entreprise accessible.
Bref, c’était plutôt sympa.

Après, le formateur était TRÈS bon.
Une vraie brute sur des sujets vraiment très variés (social engineering, système, réseau, code…) et ça se voyait que la sécurité était un intérêt personnel avant d’être un intérêt professionnel.
Pour animer les séances, il était aussi plutôt bon.

Pendant 5 jours, il faut défiler un nombre pas croyable de slides.
Et c’est là que le talent du formateur est important.
Celui qu’on avait a passé rapidement pas mal de slides pour nous faire des exercices pratiques et nous expliquer en direct, approfondissant certains points et illustrant d’exemples.
J’avoue que s’il s’était contenté des slides (ce qu’il aurait très bien pu faire, donc attention à l’organisme de formation), ça aurait pas été possible de tenir.

Le dernier jour, on a fait un bon gros TP (sur les modèles des CTF).
Donc il faut compter environ 500 slides par jour.
La formation est très dense, avec 18 modules :

  1. Introduction to Ethical Hacking
  2. Footprinting and Reconnaissance
  3. Scanning Networks
  4. Enumeration
  5. System Hacking
  6. Malware Threats
  7. Sniffing
  8. Social Engineering
  9. Denial-of-Service
  10. Session Hijacking
  11. Hacking Webservers
  12. Hacking Web Applications
  13. SQL Injection
  14. Hacking Wireless Networks
  15. Hacking Mobile Platforms
  16. Evading IDS, Firewalls and Honeypots
  17. Cloud Computing
  18. Cryptography

Malware Threats et System Hacking sont les pires, je trouve.
Hacking Wireless Networks et Hacking Mobile Platforms ne sont pas réellement folichons non plus.
Pour les autres, ça allait mieux.
Et sur les modules 9 à 13, j’étais en terrain relativement connu.

Il faut aussi bien prendre en compte que, comme beaucoup de certifications dans le genre, c’est du pur bachotage.

Pendant notre session de formation, sur la dizaine de personnes présentes, il n’y avait que trois ou quatre qui voulaient passer la certification.
Autrement dit, la formation (pour peu que le formateur soit bon) peut se suffire à elle-même.

 

Les supports

 

Les supports, en anglais uniquement, se divisent en plusieurs parties.
Il y a deux énormes bouquins qui servent de support de cours.
C’est des pavés plus lourd qu’un âne mort avec uniquement les slides vu en formation.
Un autre, tout aussi gros, comprend les labs avec des exercices.
Honnêtement, les bouquins ne servent à rien si ce n’est le numéro de licence.

Ce numéro permet de s’enregistrer sur le site de l’EC-Council et d’avoir accès aux fichiers numériques.
Là, on parle de 230 Mo pour les cours et 130 Mo pour les labs…
Ca représente plus de 2400 pages pour les modules et plus de 1600 de labs…
Les cours reprennent les slides mais sont annotés. Ce qui veut dire qu’ils sont bien plus utiles que les bouquins.

Il y a deux choix.
Le premier, c’est les PDF avec le DRM à la con de Adobe qui fait que y a de grosses chances que ce ne soit pas possible d’ouvrir les supports (sur 2 PCs, y en a qu’un qui peut).
Le second, c’est le DRM de Locklizard. C’est vachement mieux. Quand le service est up. Ce qui n’est pas le cas à l’instant où j’écris ces lignes.
Du coup, là, j’ai des fichiers qui ne me servent plus ou moins à rien… Frustrant.

Enfin, sur le site web, il est aussi possible de télécharger des outils.
Et là, c’est un peu la fête.
Je ne saurais que trop conseiller de monter plusieurs machines virtuelles dédiées.
Ne serait-ce que parce que les anti-virus vont hurler à la mort tellement il y a des trucs dangereux dans le tas.
Il y a par exemple des TPs sur des trojans.
Autrement dit, faire les TPs sur un système « live », c’est du suicide.

 

Mon feeling : Le bon, le mauvais et le moche

 

Le bon

Le bon, voir très bon, c’est que la certification permet de balayer pas mal de choses de manière assez structurée et fournit une méthodologie.
Elle permet également d’apprendre le vocabulaire et de revoir certaines bases (le réseau et moi, c’est toujours pas ça…).

Il y a aussi souvent de la redite. Mais ça à le mérite de rentrer, à force…

Donc, dans ces généralités, la certification, via ses supports de cours, est donc très bien.

Le mauvais

Sur la masse des slides et du texte, il manque un peu de relecture, ça fait pas toujours très pro.
Certaines phrases sont incomplètes (il manque des mots voir les phrases sont tronquées).

Il y a également quelques slides qui ne sont pas forcément là où on pourrait s’y attendre.
Un peu comme l’inquisition espagnole.

Le moche

Le moche porte majoritairement sur les TPs.
La V9 date de 2016, pourtant, certains outils ou sites web qui sont référencés n’existent plus.
De même certains outils ne fonctionne pas ou pas comme expliqués (ce qui est un brin moins moche, déjà…).
Le pendant, c’est que certains TPs ne peuvent tout simplement pas fonctionner.
Et ça, c’est réellement moche parce qu’on peut passer plusieurs heures à essayer de faire fonctionner ce TP à la con et finalement abandonner en dépit de cause.
C’est non seulement une perte de temps formidable mais surtout source d’une très grosse frustration.

Il nous a été indiqué de faire une capture d’écran/photo de l’écran de résultat pour avoir une preuve en cas de problème…

Enfin, sur le site de l’EC-Council, le forum possède quelques posts (une poignée…) et c’est pas réellement vivant.
L’aspect communautaire, faut réellement oublier.

Le uber moche

Saloperie de DRMs qui handicapent uniquement ceux qui veulent utiliser les fichiers légalement…

 

Conclusion

 

Avec mon collègue, on a passé énormément de temps sur cette formation.
Parfois à la limite de l’overdose, pour être honnête, parce qu’on avait beaucoup de chemin à faire.

La préparer a été long et douloureux. D’autant plus qu’on ne pratiquait pas. Et c’est bien là où se pose le soucis.
Une personne qui baigne dans le domaine, même depuis pas trop longtemps, connaîtra les différents termes et pourra s’entraîner sur des situations plus « réelles » que les TPs.
Par contre, pour une personne qui commence, c’est raide.

Les ingénieurs systèmes et réseaux auront plus de facilités pour la simple raison que beaucoup de modules tournent autour (certains outils pour faire de la surveillance réseau sont aussi utilisés pour le hacking, par exemple).
De même, ceux qui connaissent bien Linux seront plus à l’aise sur Kali Linux (la distribution de pentest du moment).
Savoir faire du Python peut aussi aider, mais ça reste facultatif dans le cadre de la certification.

Mais au final, je suis content de l’avoir passer.
Je suis également tellement soulagé d’en avoir fini…

Cependant, la formation et la certification n’étaient que la première marche, pour nous.

 

Aller plus loin

 

Cybersécurité: il pourrait manquer 1,8 million de salariés qualifiés dans 5 ans

Publicités
Catégories :Sécurité
  1. Aucun commentaire pour l’instant.
  1. No trackbacks yet.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment cette page :