Plateformes
Hack The Box (HTB)
Une plateforme axée sur des machines virtuelles et des challenges pratiques avec un focus pentesting.
| Avantages | Inconvénients |
|---|---|
| Environnements réalistes | Courbe d'apprentissage assez raide |
| Très grande communauté active | Peut être frustrant pour les débutants |
| Contenu régulièrement mis à jour | Certains contenus premium payants |
| Excellent pour la préparation OSCP | Interface parfois complexe |
| Solutions détaillées disponibles | Nécessite un bon niveau technique de base |
Hack the Box propose aussi son Academy, un environnement plus adapté aux apprentissages et permettant d'obtenir des certifications.
TryHackMe (THM)
Plateforme orientée apprentissage avec une approche plus pédagogique et guidée.
| Avantages | Inconvénients |
|---|---|
| Parfait pour les débutants | Moins de machines avancées que HTB |
| Chemins d'apprentissage structurés | Contenu premium limité en version gratuite |
| Interface intuitive | Certains labs peuvent être lents |
| Tutoriels détaillés | Moins challengeant pour experts |
| Rooms thématiques complètes | Communauté moins grande que HTB |
Root-Me
Plateforme française proposant des challenges variés en sécurité informatique.
| Avantages | Inconvénients |
|---|---|
| Totalement gratuit | Interface un peu datée |
| Grande variété de challenges | Documentation parfois limitée |
| Fort accent sur les fondamentaux | Progression moins structurée |
| Communauté francophone active | Moins de contenu récent |
| Système de points motivant | Peu d'environnements réalistes |
PortSwigger Web Security Academy
Plateforme spécialisée dans la sécurité des applications web, créée par les développeurs de Burp Suite.
| Avantages | Inconvénients |
|---|---|
| Contenu très qualitatif | Focalisé uniquement sur le web |
| Documentation exhaustive | Pas de gamification |
| Labs pratiques bien conçus | Progression parfois répétitive |
| Gratuit et complet | Nécessite Burp Suite |
| Mis à jour régulièrement | Peut être technique pour débutants |
Vulnerable by Design
Les challenges Vulnerable by design sont des applications intentionnellement conçues avec des vulnérabilités à des fins pédagogiques. Comme OWASP Juice Shop ou DVWA, ces plateformes open source permettent aux apprenants d'explorer des failles de sécurité dans un environnement contrôlé.
Leur code source accessible offre une double perspective : exploiter les vulnérabilités et comprendre leur implémentation technique. Ces applications peuvent être facilement déployées localement ou dans le cloud, offrant ainsi un terrain d'entraînement personnalisé pour pratiquer la sécurité applicative à son rythme.
En voici quelques exemples:
- Kubernetes Goat : Environnement Kubernetes vulnérable pour apprendre la sécurité des conteneurs et clusters
- TerraformGoat : Infrastructure as Code vulnérable pour pratiquer la sécurité cloud et Terraform
- SKF Flask : Application Python Flask vulnérable avec tutoriels sur les failles web modernes
- OWASP Juice Shop : Application e-commerce moderne en NodeJS avec plus de 100 challenges de sécurité
- iGoat Swift : Application iOS vulnérable pour apprendre la sécurité mobile sur Swift
- OWASP WrongSecrets: Vulnerable app with examples showing how to not use secrets