Est un programme en ligne de commande pour gérer les fichiers sur le stockage en Cloud, avec une très bonne documentation. C'est une alternative riche en fonctionnalités aux interfaces de stockage web des fournisseurs de cloud computing. Plus de 40 produits de stockage dans le cloud prennent en charge Rclone, notamment les magasins d'objets S3, les services de stockage de fichiers pour les entreprises et les particuliers, ainsi que les protocoles de transfert standard.

Rclone dispose de puissants équivalents de cloud aux commandes unix rsync, cp, mv, mount, ls, ncdu, tree, rm et cat. La syntaxe de l'outil familière inclut le support du pipeline shell et la protection contre les exécutions à sec. Il est utilisé en ligne de commande, dans des scripts ou via son API.

Nous sommes dessus en ce moment pour Blue-Keys

Pour les personnes moins avancé, il existe le logiciel Veeam Agent pour Microsoft Windows FREE. Notez qu'il existe également une version Linux (avec une interface en ligne de commande uniquement)

🇬🇧 Not french? Go to the EN Edition

Bienvenue ! Sur Internet, il existe de nombreux tutoriels/cours pour apprendre le développement, sauf que la plupart d'entre eux sont mauvais parce qu'ils vous enseignent de mauvaises pratiques ou des choses obsolètes. C'est pourquoi cette liste de bonnes sources pour apprendre le développement a été créée.

Tutoriels/Cours par langages

Algorithmie

• Cours, exercices et concours (France IOI)

• Tutoriel (GoalKicker)

Bash

Malheureusement, il n'y a pas de bon tutoriel/cours en français pour ce langage.

• Bash HOWTO

C

• Tutoriel/Cours (Zeste de Savoir)

• Cours (GoalKicker)

• Documentation C (DevDocs)

C++

• Tutoriel/Cours (Zeste de Savoir)

• Cours (GoalKicker)

• Documentation C++ (Cpp Reference)

C#

• Guide (Doc Microsoft)

• ASP.NET (Doc Microsoft)

• Guide (Doc Microsoft)

• ASP.NET (Doc Microsoft)

• Dot.Blog Collection (E-naxos)

• LINQ (Jon Skeet's coding blog)

Clojure

Malheureusement, il n'y a pas (encore) de bon tutoriel/cours en français pour ce langage.

• Clojure for the brave and true

Common Lisp

Malheureusement, il n'y a pas (encore) de bon tutoriel/cours en français pour ce langage.

• Practical Common Lisp

Git

• Traduction française du cours officiel

• Cours officiel

Go

• Bases (traduction non officielle de "A Tour of Go")

• Basics (Tour Golang)

• To go further (Doc Golang)

Haskell

• Apprendre Haskell vous fera le plus grand bien !

HTML/CSS

• Tutoriel illustré pour les débutants (Interneting Is Hard)

• Tutoriel Interactif (FreeCodeCamp)

• Cours HTML (GoalKicker)

• Cours CSS (GoalKicker)

• Tutoriel/Cours HTML & CSS (Marksheet)

• Documentation HTML (MDN) ou Référence Rapide (HTML Reference)

• Documentation CSS (MDN) ou Référence Rapide (CSS Reference)

Java

• Tutoriel/Cours (JM Doudoux)

• Cours (Alexandre Mesle) (contient également bon nombre d'exercices)

• Formation (KOOR)

• Cours (GoalKicker)

• Tutoriel/Cours (Java2S)

• Documentation (Oracle)

• Cours Interactif (Jetbrains)

Javascript

• Guide complet (MDN)

• Cours JavaScript (javascript.info)

Kotlin

Malheureusement, il n'y a pas de bon tutoriel/cours en français pour ce langage.

Lua

Malheureusement, il n'y a pas de bon tutoriel/cours en français pour ce langage.

• Programming in lua (first edition)

OCaml

• Cours d'introduction (Good Eris)

• Cours (Real World Ocaml)

PHP

• Tutoriel (Pierre Giraud) ou Autre tutoriel (PHP The Right Way)

• Cours (PHP The Right Way) ou Autre cours (GoalKicker)

• Documentation PHP

• Complément sur la sécurité (OWASP)

• Complément sur la sécurité, orienté PHP (Initiative Paragon)

• Liste de contrôle de sécurité (Sqreen)

Python

Langage recommandé pour commencer le développement

• Tutoriel/Cours (Apprendre à programmer avec Python 3 de Gérard Swinnen)

• Cours (GoalKicker)

• Documentation Python

• Cours Interactif (Jetbrains)

Ruby

• Documentation Ruby

• Documentation Ruby on Rails

Rust

• Tutoriel/Cours

• Tutoriel/Cours

• Tutoriel/Cours

• Rust par l'exemple

• Documentation

Scala

• Livre traduit : Scala par l'exemple Ne vous laissez pas décourager par les deux premiers exemples. Tout est expliqué par la suite !

Sécurité

• MOOC de l'ANSII

SQL

• Tutoriel/Cours (SQL.sh)

• Modélisation BDD(Merise)

• Cours SQL (GoalKicker)

• Cours MySQL (GoalKicker)

• Cours PostgreSQL (GoalKicker)

• Documentation PostgreSQL Base de données recommandée

• Documentation MySQL/MariaDB

• Documentation SQLite

Éditeurs génériques

Les IDE

• Visual Studio Community (C++, C, Java, HTML/CSS, Javascript) Windows et Mac OS seulement

Devenir développeur

• Devenir développeur backend

• Devenir développeur frontend

• Devenir devops

Les sites non conseillé

Ces sites donnent de nombreuses informations fausses et/ou obsolètes et ne devraient pas être utilisés

• OpenClassrooms

• W3Schools

• W3Resource

• La chaîne youtube de PrimFX

• La chaîne youtube de Graven - Développement

Liens utiles

Ces sites sont une bonne source d'information pour de nombreux langages de programmation.

• Mozilla Developer Network / MDN

• DevDocs

• GoalKicker Livres de programmation gratuits dans un grand nombre de langages

Contribuer

Ce site est open-source ! Une erreur à notifier ? Des liens à rajouter ? Pour cela, rendez-vous sur le dépôt git

Licence

Open Source image CC-BY 4.0 Open Source Initiative Autres images CC-BY 4.0 Mozilla Foundation (FxEmojis)

Cet article va vous permettre d'apprendre la cybersécurité en vous donnant des ressources, conseils et différentes informations. Cependant cet article n'est pas la Bible de la cybersécurité ! Vous n'êtes en aucun cas obligé de suivre ce que l'on vous conseille. Si vous avez des recommendations d'ajouts ou d'éléments à retirer, n'hésitez pas à nous contacter sur notre Discord ! Bonne lecture, et bon apprentissage ! :-)

1. Veille technologique

Suivez les experts influents de la cybersécurité sur Twitter. Ceux qui ont le plus de succès ne se font probablement pas appeler experts de la cybersécurité. Ils se contentent de lâcher constamment des bombes de connaissances, des conseils et des astuces qui peuvent aider votre carrière. Voici une courte liste pour vous aider :

@bammv, @cyb3rops, @InfoSecSherpa, @InfoSystir, @JohnLaTwC, @armitagehacker, @danielhbohannon, @_devonkerr_, @enigma0x3, @gentilkiwi, @hacks4pancakes, @hasherezade, @indi303, @jackcr, @jenrweedon, @jepayneMSFT, @jessysaurusrex, @k8em0, @lnxdork, @mattifestation, @mubix, @pwnallthethings, @pyrrhl, @RobertMLee, @ryankaz42, @_sn0ww, @sroberts, @spacerog, @subtee, @taosecurity

2. Combinez lecture et pratique

Il existe plusieurs entreprises qui produisent régulièrement du contenu de qualité sur la sécurité. En tête de liste, nous trouvons CrowdStrike, Endgame, FireEye, Kaspersky, Palo Alto's Unit 42 et TrendLabs. Au fil de votre lecture, essayez de comprendre comment vous détecteriez l'activité décrite, puis comment vous enquêteriez.

Il existe aussi des CTF, il s'agit de compétitions en solo ou en équipe, généralement des challenges lié à la sécurité où il est nécessaire de retrouver un mot de passe qu'on appel le flag, plus d'info sur les CTF:

Ce qui est génial, c'est qu'après, les compétiteurs font ce qu'on appelle des write up. Il s'agit de documents qui expliquent pas à pas comment un challenge a été réussi. C'est une vraie mine d'or d'informations ! Nous recommandons vivement que vous en lisiez ou regardiez, car oui, il y en a même sur YouTube!

Cherchez-vous à développer vos connaissances techniques en vue d'un poste d'analyste ? L'étendue de ce que vous devez savoir peut paraître décourageant. Les connaissances les plus fondamentales à acquérir concernent peut-être la suite de protocoles TCP/IP. Préparez-vous à répondre en toute confiance à la question "que se passe-t-il quand...".

Pour l'apprentissage du Forensic, vous ne pouvez probablement pas obtenir de meilleures bases que la 3e édition de "Incident Response and Computer Forensics". Le chapitre sur l'investigation de Windows est un véritable trésor. Plongez dans Powershell, les cadres d'attaque associés, et apprenez à accroître la visibilité de l'activité PowerShell grâce à la journalisation. Associez ces connaissances à l'une des meilleures formations gratuites disponibles sur Cobalt Strike et d'autres vidéos, regardez-les et appliquez les concepts que vous avez appris dans le cadre de l'essai de 21 jours de Cobalt Strike.

Vous n'avez pas assez de temps ?

Envisagez d'investir. Le "Blue Team Field Manual" et le "Red Team Field Manual" complètent nos recommandations à ce sujet. En parallèle, mettez en place un laboratoire avec des postes de travail Windows 7 (ou ultérieur) reliés à un domaine. Compromettez le poste de travail en utilisant certaines des techniques les plus simples, puis explorez l'activité post-exploitation. Votre objectif est de vous faire une idée aussi bien du côté de l'attaque que de la défense.

En ce qui concerne le réseau, pensez à :

• "The Practice of Network Security Monitoring" ;

• "Practical Packet Analysis" ;

• "Applied Network Security Monitoring".

Lorsque le moment est venu de mettre en pratique ce que vous avez appris dans les livres, utilisez des ressources telles que le blog sur l'analyse du trafic des logiciels malveillants et la consultation de PacketTotal pour vous faire une idée de ce qui est "normal" et de ce qui ne l'est pas. Votre objectif ici devrait être de comprendre les sources de données (preuves réseau) qui peuvent être utilisées pour détecter et expliquer l'activité. Pour affiner vos processus d'investigation sur le réseau, pensez à Security Onion. Installez quelques capteurs réseau, surveillez le trafic et créez des signatures Snort/Suricata pour signaler le trafic illicite. Votre objectif est d'établir un processus d'enquête de base et, comme pour les points d'accès, de comprendre les côtés attaque et défense de l'équation.

3. Cherchez à pratiquer plus qu'à lire

Avez-vous déjà suivi un cours et, des mois plus tard, essayé d'utiliser les connaissances que vous aviez prétendument acquises pour découvrir que vous aviez oublié tous les éléments importants ? Oui, si vous déconnectez l'apprentissage de l'utilisation des connaissances, vous allez être dans une situation difficile. C'est peut-être l'un des plus grands défis à relever lorsqu'on se lance dans un rôle de sécurité plus technique.

Pour y remédier, en plus de combiner lecture et pratique, pensez à la technique de Feynman. Vous n'en avez jamais entendu parler ? Eh bien, il est facile de survoler les éléments que l'on ne comprend pas... mais si vous parvenez à les traduire dans un langage simple de façon à ce que les autres puissent les comprendre, vous les aurez mieux compris par la même occasion.

4. Développer un état d'esprit malveillant

Il y a quelques années, un spécialiste de la sécurité expliquait comment devenir un meilleur défenseur en pensant comme un adversaire. L'histoire s'accompagnait d'échanges maladroits (et humoristiques). Il est entré dans une chambre d'hôtel avec sa famille pendant ses vacances, a vu le distributeur de savon non sécurisé installé dans le mur de la douche et a dit à haute voix : "Wow, ce serait si facile de remplacer le shampoing par du Nair ! (produit d'épilation)" Sa famille était horrifiée.

Soyons clairs : nous ne préconisons pas que vous remplaciez le shampoing par du Nair, ou tout autre produit anti-capillaire. Et le concept de penser comme un agresseur n'est pas nouveau. Il y a huit ans, lorsqu'on a demandé à Lance Cottrell ce qui faisait un bon professionnel de la cybersécurité, il a répondu qu'il se mettait "à la place de l'attaquant et regardait le réseau comme l'ennemi le regarderait, puis réfléchissait à la manière de le protéger".

La meilleure façon d'y parvenir aujourd'hui est de se familiariser avec le cadre ATTACK de MITRE. Il devient rapidement le modèle de référence pour structurer le développement d'un processus d'investigation et comprendre où (et comment) vous pouvez appliquer la détection et l'investigation. Vous pouvez vous familiariser avec ce cadre avant d'entreprendre des lectures approfondies, puis y revenir de temps en temps si nécessaire.

5. Soyez intrépide

Ne laissez pas votre manque de connaissances vous arrêter. Il existe des organisations prêtes à investir dans des personnes ayant les bonnes caractéristiques et le désir d'apprendre. Postulez pour le poste, même si vous ne pensez pas être qualifié. Vous recevrez peut-être un refus. Et alors ? Essayez à nouveau dans une autre entreprise. Ou essayez à nouveau dans cette même entreprise plus tard. La lecture ne vous mènera pas loin... c'est en appliquant vos connaissances que vous passerez au niveau supérieur. Et devinez quoi, vous vous souvenez de la technique de Feynman ? Oui, en enseignant aux autres les connaissances que vous avez acquises, vous passerez au niveau supérieur.

Bonne chance, bonne chasse ! Enfin... à ceux qui disent "une formation en informatique et des compétences techniques approfondies vous aideront à trouver un emploi dans la sécurité", nous répondons : "Nous sommes d'accord !" Et à ceux qui disent que "les rôles dans la sécurité peuvent être larges et que vous pouvez les utiliser pour développer une expertise technique au fil du temps", nous répondons : "Nous sommes également d'accord !"

Ce que nous ne croyons pas, c'est de dire à des gens que nous ne connaissons pas qu'ils ne peuvent pas faire quelque chose sans comprendre leur situation unique. Il peut y avoir des chemins qui sont généralement plus faciles, ou généralement plus difficiles. Mais supposer que vous ne pouvez pas faire quelque chose est un vent contraire dont vous n'avez pas besoin. Nous espérons que vous avez trouvé ici des conseils qui vous donneront l'impulsion nécessaire pour envisager un emploi de sécurité de premier échelon (ou plus) et que vous postulerez. À cette fin, nous vous souhaitons... bonne chance !

6. Un diplôme universitaire est-il nécessaire pour faire carrière dans la cybersécurité ?

La réponse est courte : pas nécessairement. "Notre industrie a été inaugurée par des personnes sans diplôme universitaire", affirme Josh Feinblum. Travaillez dur pour vous impliquer dans la communauté, contribuez à des projets open source, essayez de parler de recherches cool lors de conférences - ce sont toutes des choses que les pionniers originaux ont faites et qui peuvent offrir des opportunités aux personnes intelligentes et travailleuses d'entrer dans l'industrie.

7. Prérequis en matière de cybersécurité

Comme dans tout domaine technologique, il est utile de commencer par acquérir les bases de la programmation. "Être capable de comprendre un langage de programmation vous donnera un bon départ dans la cybersécurité", déclare Kristen Kozinski. Vous n'avez pas besoin d'être un expert, mais être capable de lire et de comprendre un langage est une bonne compétence à avoir. Il ne s'agit pas d'un prérequis indispensable en matière de cybersécurité, mais c'est définitivement agréable à avoir.

8. Déterminez ce que vous voulez apprendre.

Le domaine de la cybersécurité est très vaste et comporte de nombreuses spécialités, qui changent et évoluent en permanence. La première étape de votre apprentissage autonome de la cybersécurité consiste à définir les domaines sur lesquels vous souhaitez vous concentrer et de vous faire une bonne image mentale de l'ensemble. Vous avez la possibilité de changer d'avis plus tard ou de pivoter, il est essentiel de savoir quel domaine vous intéresse. Demandez-vous si vous voulez vous concentrer sur la programmation, les tests de pénétration, la sécurité des réseaux, la criminalistique ou un autre domaine. En décidant maintenant, vous pourrez déterminer la meilleure voie à suivre.

9. Puis-je apprendre gratuitement ?

Il existe de nombreuses ressources gratuites disponibles en ligne et dans les bibliothèques locales, qui peuvent fournir une grande quantité d'informations sur la cybersécurité. À un moment donné dans tout parcours d'apprentissage, il sera probablement nécessaire d'investir dans des connaissances supplémentaires. Cependant, si vous souhaitez vous entrainer sans avoir à payer des serveurs, nous pouvons vous conseiller différents sites gratuits.

• Root-Me: Root-Me est un site qui vous permettra de vous entrainer dans divers domaines, et ce de façon entièrement gratuite. Il vous suffit de créer un compte et de démarrer un challenge !

• HackTheBox: HackTheBox est un site qui vous met à disposition des "box". Il s'agit d'ordinateurs sur lesquels vous pourrez vous entrainer, afin d'obtenir un accès admin. Attention, ce site propose avant tout des box plus difficiles, on le recommande donc peu si vous débutez!

• TryHackMe: TryHackMe est un site similaire à HackTheBox, cependant celui-ci est plus adéquat pour des débutants, et en plus il contient plusieurs excellents petits "cours"!

10. Parler anglais

Bien qu'il existe de nombreuses ressources en français, il en existe encore plus en anglais. Quand vous rencontrerez un problème, vous trouverez d'avantage de résultats et de réponses en anglais. De plus, vous aurez bien plus d'opportunité d'emploi si vous parlez anglais. En clair, pour faire de la sécurité, il est plus que recommandé de parler anglais, ou d'apprendre l'anglais.

11. Linux et les VM

Une machine virtuelle ou VM est un environnement entièrement virtualisé qui fonctionne sur une machine physique. Elle exécute son propre système d’exploitation (OS) et bénéficie des mêmes équipement qu’une machine physique : CPU, mémoire RAM, disque dur et carte réseau. Plusieurs machines virtuelles avec des OS différents peuvent coexister sur le même serveur physique : Linux, MacOS, Windows… Ce qui est important, c'est Linux! Si vous ne connaissez pas, nous vous conseillons vivement de rechercher comment créer une VM Linux et comment utiliser Linux. Il s'agit d'un puissant outil, mais il peut paraître compliqué quand vous débutez. Pas besoin de s'inquiéter : vous y arriverez vite !

12. Ressources

Il est important d'apprendre en utilisant de bonnes bases, pour cela nous vous avons fait une liste de ressources intéressantes !

13. Sources

Expel.io: a beginners guide to getting started in cybersecurity StartACyberCareer.com: how to learn cyber-security on your own LearnToCodeWith.me: how to get started in cybersecurity

14. Une suite par Bluekeys ?

WSA :

Orientations :

Merci à @0xTimD pour la roadmap pentest de HackTheBox ! Elle présente un peut pour avoir une idée non par quoi commencer et par quoi continuer.

@!comores11 : C'est vraiment une roadmap pour le "Pentest", juste le CEH à la fin c'est à discuter.

Voici une des meilleures plateformes d'apprentissage dans le domaine du hacking ( sans doute la meilleure parmi celles gratuites ) concernant les vulnérabilités liées au monde du web :

https://portswigger.net/web-security

• Elle est en anglais (oui, dans le monde du hacking, l'anglais est indispensable )

• Créée par les fondateurs du célèbre logiciel Burp Suite

• Correspond à tous types de personnes, qu'elle soit débutante ou expérimentée

• Très souvent mise à jour ( nouvelles catégories de challenges, articles d'experts en sécurité,...)

• Plus de 185 challenges de tous les niveaux sur le domaine du web avec les corrections disponibles

  • Des cours et challenges dans chacun des domaines suivants :

  • SQL injection

  • Cross-site scripting ( XSS)

  • Cross-site request forgery (CSRF)

  • Clickjacking

  • DOM-based vulnerabilities

  • Cross-origin resource sharing (CORS)

  • XML external entity (XXE) injection

  • Server-side request forgery (SSRF)

  • HTTP request smuggling

  • OS command injection

  • Server-side template injection

  • Access control vulnerabilities

  • Authentication

  • WebSockets

  • Web cache poisoning

  • Insecure deserialization

  • Information disclosure

  • Business logic vulnerabilities

Voici un site regroupant des milliers de programmes ("crackme") pour s'entraîner au Reverse Engineering. Il est accessible pour les niveaux : https://crackmes.one/ Voici une excellente série de vidéos abordant le domaine de la cryptographie pour les débutants : https://www.youtube.com/watch?v=V9bTy0gbXIQ&list=PLOapGKeH_KhFBC39ltMDhkEx1aI3hlwSK

https://cryptohack.org/ pour apprendre la crypto avec des bons challs (scripting requis au bout d'un certain moment) https://gtfobins.github.io/ pour privesc via une grande partie des binaires linux

Plusieurs chaines / sites lié principalement (mais pas que) au bug bounty (tout est en anglais)

• Guide to learn hacking https://www.youtube.com/watch?v=2TofunAI6fU

• Finding your first bug: bounty hunting tips from the Burp Suite community https://portswigger.net/blog/finding-your-first-bug-bounty-hunting-tips-from-the-burp-suite-community

• Practice https://portswigger.net/web-security

• Nahamsec's Twitch https://www.twitch.tv/nahamsec

• Nahamsec interviews with top bug bounty hunters https://www.youtube.com/c/Nahamsec

• Nahamsec's beginner repo https://github.com/nahamsec/Resources-for-Beginner-Bug-Bounty-Hunters

• Stök https://www.youtube.com/c/STOKfredrik

• InsiderPhD https://www.youtube.com/c/InsiderPhD

• Series for new bug hunters https://www.youtube.com/playlist?list=PLbyncTkpno5FAC0DJYuJrEqHSMdudEffw

• Jhaddix https://www.youtube.com/c/jhaddix

• Posts from Hacker101 members on how to get started hacking

• zonduu https://medium.com/@zonduu/bug-bounty-beginners-guide-683e9d567b9f

• p4nda https://enfinlay.github.io/bugbounty/2020/08/15/so-you-wanna-hack.html

• also a blog on subdomain takeovers https://enfinlay.github.io/sto/ip/domain/bugbounty/2020/09/12/ip-server-domain.html

• clos2100 on getting started without a technical background https://twitter.com/pirateducky/status/1300566000665014275

• al-madjus tips to find your first bug https://almadj.us/infosec/how-to-find-your-first-bug

• hacker101 videos https://www.hacker101.com/videos

https://www.youtube.com/watch?v=PaB17Cc0dUg (Certes c'est la base mais ça peut toujours servir).

Comprendre et utilisé les SSHA sous LDPA Type de fichier joint :

Je viens de recevoir mon exemplaire gratuit durant la promotion, du pdf : Mastering Linux Security and Hardening - Second Edition je le partage pour la communauté :