Vous devez essayer cette plateforme à tout prix !
What's going on guys, c'est Zack et bienvenue dans cette leçon dans laquelle on va parler d'une autre plateforme de test d'intrusion et de hacking éthique.
C'est une plateforme qui peut réellement faire la différence dans votre parcours de testeur d'intrusion.
Dans une leçon précédente, nous avons parlé de TryHackMe.
Nous avons vu comment créer un compte, comment choisir les salons de cours (rooms), les CTF, etc., et je vous ai encouragés à en faire le maximum.
Aujourd'hui, nous nous intéressons à Hack The Box Academy.
Ce qui est remarquable avec Hack The Box Academy, c'est qu'il s'agit d'une véritable académie, structurée comme une école en ligne pour vous former à la fois sur la théorie et la pratique.
Pour rappel, nous avions déjà mentionné la plateforme principale Hack The Box.
Celle-ci est avant tout orientée vers les CTF et la pratique pure.
Nous allons voir ensemble comment fonctionne l'écosystème de Hack The Box, que ce soit la plateforme principale de CTF ou Hack The Box Academy.
Si vous vous rendez sur `hackthebox.com`, vous arriverez sur leur plateforme historique.
C'est l'un des environnements de CTF les plus réputés au monde, fédérant une immense communauté de passionnés et de professionnels de la sécurité.
Vous y trouverez des laboratoires de hacking (Hacking Labs), des réseaux réalistes complexes à auditer (les ProLabs), des compétitions de type Battlegrounds, ainsi qu'un espace carrière (InfoSec Careers).
Hack The Box est une plateforme complète et très diversifiée.
Elle propose également des forums, des rencontres locales (les Meetups) orgzackées dans de nombreux pays pour s'entraîner ensemble, et propose des certifications professionnelles très respectées sur le marché.
De plus, la plateforme intègre un espace d'opportunités d'emploi (Job Opportunities) où vous pouvez postuler directement auprès d'entreprises partenaires comme TikTok ou d'autres, pour des postes de créateur de contenu défensif, de pentesteur (Penetration Tester) ou d'opérateur Red Team.
La plupart de ces postes sont actuellement basés aux États-Unis (New York, Los Angeles, Washington D.C.), mais il y a aussi régulièrement des opportunités dans d'autres pays comme la France ou le Canada.
L'onglet « Battlegrounds » propose des CTF en mode multijoueur en temps réel.
C'est une excellente préparation pour les audits réels.
Mais ce qui nous intéresse aujourd'hui, c'est Hack The Box Academy, accessible via `academy.hackthebox.com`.
Si vous débutez en pentest, c'est un excellent moyen d'acquérir les connaissances théoriques et pratiques de manière progressive.
Le seul inconvénient potentiel est que, tout comme TryHackMe, l'Academy est intégralement en anglais.
Si vous n'êtes pas à l'aise, vous pouvez utiliser des extensions de traduction automatique (comme Google Translate) dans votre navigateur pour traduire les cours en français.
Mais je vous conseille de faire l'effort de lire en anglais, car c'est la langue incontournable du domaine.
Sur Hack The Box Academy, les cours sont structurés par modules.
Chaque module comprend plusieurs leçons, combinant un cours théorique et des exercices pratiques à réaliser sur des machines virtuelles dédiées lancées dans le cloud.
Lors de votre inscription gratuite, la plateforme vous offre environ 100 cubes (la monnaie virtuelle du site) qui vous permettent de débloquer vos premiers modules.
Les modules sont classés par niveaux (Tiers).
Le Tier 0 s'adresse aux débutants complets.
On y trouve des introductions générales, des fondamentaux sur Linux ou Windows, les bases du fonctionnement des applications web, un cours sur Metasploit, une introduction à l'Active Directory (qui est l'une des meilleures que j'ai pu lire), ou encore des analyses de trafic réseau.
Une fois le Tier 0 complété, vous passez au Tier 1.
C'est ici que vous trouverez des modules plus avancés comme l'énumération réseau avec Nmap, l'apprentissage du Bash scripting, l'utilisation des shells et des payloads (Shells & Payloads), ou le cassage de mots de passe (Password Cracking).
Ce sont des modules assez denses que j'ai personnellement complétés.
En progressant, vous débloquerez les Tiers suivants (Tier 2, Tier 3, etc.) abordant des sujets plus complexes, comme les attaques Kerberos (Kerberoasting, AS-REP Roasting), pour finir par le Tier 4 destiné aux pentesteurs confirmés.
Plus vous montez en niveau, plus les modules demandent un nombre de cubes important pour être débloqués (de 10 à 50 cubes pour le Tier 0, et davantage pour les niveaux supérieurs).
Pour continuer à progresser, vous devrez acheter des cubes (par exemple, 1000 cubes pour 100 dollars, ou 50 cubes pour 5 dollars), ou souscrire à un abonnement annuel.
L'abonnement annuel de 490 dollars donne un accès illimité à tous les modules jusqu'au Tier 2, ainsi qu'à des réductions sur les certifications de Hack The Box.
Il existe également un tarif étudiant très intéressant à 8 dollars par mois.
Personnellement, je préfère acheter des cubes ponctuellement selon mes besoins pour débloquer les modules qui m'intéressent.
Hack The Box Academy propose d'excellentes certifications professionnelles très valorisées, comme la « Certified Penetration Testing Specialist » (HTB CPTS) ou la « Certified Bug Bounty Hunter » (HTB CBBH).
Ces examens durent généralement 24 heures en conditions réelles et nécessitent d'auditer une infrastructure complexe et de rédiger un rapport professionnel.
Pour vous donner un exemple de la qualité des cours, prenons le module « Linux Fundamentals ».
Le cours est très progressif, rédigé de manière simple par des experts, et se termine par des questions pratiques pour valider vos acquis.
Dans le chapitre « Working with Files and Directories », par exemple, vous pouvez lancer une machine d'attaque directement en cliquant sur le bouton d'activation de l'interface, ou vous connecter via le VPN de la plateforme en utilisant OpenVPN, tout comme sur TryHackMe.
En répondant correctement aux questions à la fin de chaque section, vous regagnez également quelques cubes.
En conclusion, je vous invite à tester gratuitement TryHackMe et Hack The Box Academy pour comparer les deux plateformes et choisir celle qui correspond le mieux à votre style d'apprentissage et à votre budget.
Concentrez vos efforts sur une seule plateforme au début pour progresser de manière efficace.
On se retrouve dans la prochaine leçon.
Peace.