Discussion :

[zelegolas2]

Bonjour,

Depuis quelque années la sécurité est de plus en plus à la mode. On voit de plus en plus de "Consultant en Sécurité" et d'autres "experts" en tout genre. Sans oublier toutes les boites de sécurités qui apparaissent plus vite que des champignons.

Existe t il des écoles et/ou des diplômes reconnus et sérieuse/sérieux qui permet de devenir un expert dans ce domaine ?
Y t a il des formations meilleurs que d'autres dans ce domaine ?
Qu'est ce qu'attend une entreprise d'un expert en sécurité, sur quel critères va t elle le recruter ?
Comment peut on reconnaitre que quelqu'un est réellement expert dans ce domaine ?
Quels sont les langages de programmation qui sont les plus appréciés de ces experts et pourquoi ?

Merci d'avance pour vos réponses

[gangsoleil]

• Existe t il des écoles et/ou des diplômes reconnus et sérieuse/sérieux qui permet de devenir un expert dans ce domaine ?
  Oui, il en existe. Des reconnus aussi, mais ca depend de qui. Les PDG ne reconnaitront pas les memes formations que les developpeurs.
  
• Y t a il des formations meilleurs que d'autres dans ce domaine ?
  Oui, comme partout. Mais de la a te dire lesquelles....
  
• Qu'est ce qu'attend une entreprise d'un expert en sécurité, sur quel critères va t elle le recruter ?
  Ca depend de ce que souhaite l'entreprise, et de ce qu'elle fait. Un hebergeur web par exemple va se concentrer sur ce domaine, alors qu'une entreprise specialisee dans le dev d'applications critiques va chercher a se premunir d'autre chose. Et encore autre chose pour d'autres.
  Donc les recrutements ne sont pas les memes.
  
• Comment peut on reconnaitre que quelqu'un est réellement expert dans ce domaine ?
  Intrinsequement, on ne peut pas. Il faut savoir ce que l'on veut, et lui faire passer un entretien en ce sens. Comme pour n'importe qui donc.
  
• Quels sont les langages de programmation qui sont les plus appréciés de ces experts et pourquoi ?
  Encore une fois, ca depend. Est-ce que tu penses a la prevention d'intrusion sur le reseau, ou bien a l'exploitation de failles dans le code permettant de prendre le controle d'une machine ?
  Dans le premier cas, il faut connaitre le reseau, dans le second cas, il faut connaitre le langage du logiciel. Et dans les deux cas, il faut savoir ce que l'on cherche.

[MiaowZedong]

Existe t il des écoles et/ou des diplômes reconnus et sérieuse/sérieux qui permet de devenir un expert dans ce domaine ?

Oui, il y a de plus en plus de formations. Comme le dit Gangsoleil, certaines sont reconnues; mais ça ne suffit pas à devenir expert.

Y t a il des formations meilleurs que d'autres dans ce domaine ?

Oui. Mais je ne sais pas si ce sont celles qui t'offrent les meilleurs débouchés. À chaque fois que j'ai affaire à des vrais experts en sécurité, j'ai l'impression que ce milieu est très dominé par la culture hacker. Il y a des écoles où le prof paie une bière à l'étudiant qui réussit le mieux l'exercice, ça ne choque pas les professionels de l'infosec, ça peut choquer certains PDG.

Qu'est ce qu'attend une entreprise d'un expert en sécurité, sur quel critères va t elle le recruter ?

Souvent sur la recommendation d'un autre expert ou de quelqu'un qui a un pied de le milieu, et validation par les RH. Comme pour tout poste

Comment peut on reconnaitre que quelqu'un est réellement expert dans ce domaine ?

S'il te trouve une zero-day dans ton logiciel, soit il a de la chance, soit il s'y connait, soit ton logiciel est une passoire
Sinon, c'est au jugé: un expert peut créer des tests techniques pour essayer d'évaluer la méthodologie et les connaissances d'un candidat, mais c'est très dur d'être certain.

Quels sont les langages de programmation qui sont les plus appréciés de ces experts et pourquoi ?

Tous; après comme dit Gangsoleil la spécialisation est possible. Je pense qu'un véritable expert doit avoir des connaissances sur le bas niveau, mais il y a aussi beaucoup de techniques de hacking/sécurité qui opèrent avec un niveau d'abstraction élevé.

[metalamania]

Bonjour,

Je vais ajouter mon petit grain de sel, bien que je ne sois encore qu'un simple étudiant dans le domaine .

• Existe t il des écoles et/ou des diplômes reconnus et sérieuse/sérieux qui permet de devenir un expert dans ce domaine ?

Oui il existe des écoles en France. Certaines ne te présentent en général que de la crypto, d'autres introduisent le management et pour finir, il y a une formation qui t'enseigne plus l'offensif. Cependant, il faut faire attention. Moi aussi, je rêvais d'avoir le statut 'expert', mais en réalité, une école n'est là que pour te donner le minimum requis et tu te rendras vite compte que c'est au fil du temps, quelques années passées, que tu peux devenir un expert reconnu. C'est valable pour tous les métiers.

• Y t a il des formations meilleurs que d'autres dans ce domaine ?

Certainement ! Mais le plus important c'est d'apprendre à son rythme quand même. Si tu choisis un cursus qui te bourre le crâne..c'est pas terrible. Par contre, si tu t'amuses dans ce que tu apprends, tu n'en sortiras que meilleur. MiaowZedong a raison sur l'histoire de la bière et malgré tout, cela améliore l'ambiance, et donc l'apprentissage.

• Comment peut on reconnaître que quelqu'un est réellement expert dans ce domaine ?

Lorsque tu comprends ce qu'il t'explique de façon claire et précise ! Bien sur, il y aussi les travaux qu'il a réalisé, sa renommée, ses publications, etc..

• Quels sont les langages de programmation qui sont les plus appréciés de ces experts et pourquoi ?

De manière générale (et plus pour l'exemple !) :
Langages pour la réalisation de scripts : Python, Perl, Ruby, Bash
Langages pour la réalisation d’exécutables : C, C++, ASM

Cela dit, tout dépend de ta spécialité, web, système, applicatif, réseau ?
En conséquence, tu t'adapteras toujours en fonction de sur quoi tu travailles.

N'hésite pas à rencontrer des professionnels ou même à participer à des hackerspaces !

[Invité]

La "sécurité", ça me fait un peu penser au terme "informaticien". Ça ne veut pas dire grand chose en soi. Le spectre est large, et pour rebondir sur l'intervention de metalamania, effectivement l'histoire nous a démontré que les failles de sécurité sont potentiellement possibles dans toutes les couches ISO d'un SI.

Pour parler du domaine que je connais, à savoir les couches basses phy/mac/tcp-ip, les écoles/organismes qui proposent des cursus sécurité sont essentiellement orientés sur les tâches proactives de protection de réseau. A savoir déployer des DMZ dans les "règles de l'art", installer des points de filtrage, comprendre les attaques classiques pour mieux les prévenir, etc. C'est un bon début pour celui qui veut s'investir dans la sécurité réseaux.

Mais il existe aussi tout un pan de la sécurité dont on parle moins. C'est la sécurité "côté réactif". Cette expertise s'acquiert avec le temps et l'expérience parce que ça demande une connaissance pointue des protocoles, c'est très orienté "bits and bytes" et tu peux sortir de la meilleure école qui soit, si tu ne connais pas en profondeur la cinématique des flux impactés, le temps d'isoler et de comprendre une attaque qui sort des sentiers battus et c'est toute une DMZ qui est tuée en moins d'une heure. Parce que le problème c'est que si tu coupes tous les flux de ta DMZ, tu ne peux plus observer, enregistrer et traquer l'activité de l'attaque.

J'avais d'ailleurs démontré à un de ces experts (qui m'interviewait) pourquoi il ne fallait jamais faire de l'IP Spoofing seulement limité à quelques adresses IP. Quand je lui ai présenté un certain outil inconnu de son bataillon, il a très vite compris pourquoi. Et quand je lui ai expliqué le genre de parade à mettre en oeuvre pour faire croire à l'attaquant qu'il avait rempli son objectif le temps qu'on le traque, il a soudain arrêté de ma parler de paquets IP... Et je crois qu'il a eu peur que je lui prenne son job parce qu'apparemment mon profil ne correspondait pas au poste

Et là je rejoins camarade MiaowZedong. Perso, je connais de très bons experts sécurité/intrusion (dont un qui a déjà participé à un démantèlement de réseau pédomachins sur Internet) et je suis d'accord sur le fait que c'est une culture. Une culture "underground" comme ils disent de l'autre côté de l'Atlantique... Effectivement, il faut trainer sur certains forums...

Il y a les forums d'ados et de pseudo-geeks qui utilisent les softs tout faits pour épater la galerie (comme j'ai vu récemment à la télé, deux pauvres types d'une arrogance infinie qui faisaient les malins avec leur portable sur les terrasses de café pour cracker des clés Wifi WEP/WPA, mais je ne suis pas sûr du tout qu'ils comprenaient ce qu'ils faisaient ). Je parle de certains sites de hackers qui nécessitent d'être parrainé pour déjà avoir le droit d'afficher la liste des forums. Là, c'est autre paire de manches.

Si tu veux devenir un vrai expert sécurité/intrusion/hacking, ton premier ami c'est Google puis ensuite c'est Wireshark une fois que tu sais de quoi tu parles

Steph

[zelegolas2]

Tout d'abord merci pour vos réponses

D'après ce que je comprends les écoles servent simplement à fournir les bases. Le reste on l’acquière soi même avec le temps et de l'huile de coude.

Par contre dans vos réponses vous me dites qu'il existe quand même des écoles ou des formations qui sont susceptibles de fournir au moins de bonnes base mais vous n'en citez aucune. Je trouve que ça serait intéressant de comparer ce qu'elles proposent et avoir un retour de ceux ont suivi le cursus. Ou même si vous n'avez pas suivi le cursus indiquer si ce qu'ils proposent a du sens. Ou mieux encore quel serait la formation idéale à vos yeux.

Personnellement je pense pas devenir un expert en sécurité, j'ai déjà pas mal à faire en tant que développeur pour me tenir à jour. Et de toute façon comme le dit IP_Step le sujet est tellement vaste qu'il me faudrait sans doute des années de pratique pour prétendre à un certain niveau d'expertise. Mais je suis curieux. Et je me dis que progressivement en connaissant un peu mieux ce domaine je pourrai sans doute améliorer la qualité de mon code ou mieux encore lors de la conception intégrer le volet sécurité. Quand une application est développée on oublie ou on néglige très souvent ce volet. On s'en inquiète après coup quand c'est généralement trop tard. Si on pouvait dès la conception faire bien les choses on pourrait sans doute réduire les risques.

En tant que développeur des questions me sont souvent venu à l'esprit : Mon application serait elle plus vulnérable si j'utilise un langage plutôt qu'un autre ? Quels sont les bonnes pratiques au niveau développement qui éviteront que l'application soit vulnérable ? Quand on développe une application qu'elles sont les questions que l'on doit se poser (lié à la sécurité) ?

[Loceka]

Mon application serait elle plus vulnérable si j'utilise un langage plutôt qu'un autre ?

Oui.

Les langages de script ou permettant d'exécuter dynamiquement du code sont moins sécurisés que les langages compilés à cause de la possibilité d'injecter du code.

A part ça, je ne vois pas ce qui rendre un langage de programmation plus vulnérable qu'un autre.

[metalamania]

Ce n'est pas forcément le langage qui rend plus vulnérable une application mais plutôt la manière dont a été écrit l'application : mauvaise gestion de la mémoire, mauvais contrôles des entrées/sorties etc..

Enfin je ne suis pas un expert mais c'est tout du moins ce que je connais :-)

[manticore]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

A part ça, je ne vois pas ce qui rendre un langage de programmation plus vulnérable qu'un autre.

Je pense qu'il est plus facile de faire des erreurs en C/C++ que en java. Simplement parce que celui-ci ne permet pas au dévellopeur de gérer ces pointeurs.

Après comme le dit metalamania, si tout est bien programmé, il ne reste que les 0-days

[gangsoleil]

A part ça, je ne vois pas ce qui rendre un langage de programmation plus vulnérable qu'un autre.

Je pense qu'il est plus facile de faire des erreurs en C/C++ que en java. Simplement parce que celui-ci ne permet pas au dévellopeur de gérer ces pointeurs.

Oui, mais la machine virtuelle Java, que tu ne maitrises pas, est une potentielle source de bugs. Comme ce fut le cas il n'y a pas si longtemps que ca, avec un virus qui a ainsi pu attaquer plusieurs OS directement (Windows et Mac principalement).


Il est plus ou moins facile de faire des erreurs avec certains langages, mais les langages compiles t'offrent l'avantage de pouvoir etre independant de tout code exterieur, ce qui ne sera jamais le cas des langages interpretes.

[homeostasie]

Après comme le dit metalamania, si tout est bien programmé, il ne reste que les 0-days

Je rajouterais qu'il faut aussi que le tout soit bien compilé!

Cela ne corrigera pas les erreurs de programmation mais peut prémunir de l'exploitation de celles-ci en activant par exemple:
- Sous Windows: GS, NX, SafeSEH, DynamicBase
- Sous Linux: SSP, RELRO, NX, PIE

Oui, mais la machine virtuelle Java, que tu ne maitrises pas, est une potentielle source de bugs. Comme ce fut le cas il n'y a pas si longtemps que ca, avec un virus qui a ainsi pu attaquer plusieurs OS directement (Windows et Mac principalement).

Ouais apparemment ils ont laissé les utilisateurs Linux tranquille! ;-)

mais les langages compiles t'offrent l'avantage de pouvoir etre independant de tout code exterieur, ce qui ne sera jamais le cas des langages interpretes.

Je ne comprends pas trop, dans le cas où le programme fait appel à une lib. externe dont on ne maîtrise pas le code, on appelle bien du code extérieur...

[gangsoleil]

mais les langages compiles t'offrent l'avantage de pouvoir etre independant de tout code exterieur, ce qui ne sera jamais le cas des langages interpretes.

Je ne comprends pas trop, dans le cas où le programme fait appel à une lib. externe dont on ne maîtrise pas le code, on appelle bien du code extérieur...

Tu peux etre independant : quelle que soit la fonctionnalite que tu veux implementer, tu peux l'ecrire toi-meme. Alors que tu ne peux pas te passer de la machine virtuelle.

[homeostasie]

Tu peux etre independant : quelle que soit la fonctionnalite que tu veux implementer, tu peux l'ecrire toi-meme. Alors que tu ne peux pas te passer de la machine virtuelle.

En effet, en C, on peut l'être si on le veut. ;-)
Mais, je pense qu'une majorité de logiciel s'appuie sur du code déjà développé par des entités externes pour éviter de réinventer le roue et perdre du temps.

[MiaowZedong]

En effet, en C, on peut l'être si on le veut. ;-)
Mais, je pense qu'une majorité de logiciel s'appuie sur du code déjà développé par des entités externes pour éviter de réinventer le roue et perdre du temps.

Ça peut être un choix à faire: si tu ne peux pas, pour des raisons de sécurité, faire confiance à un élément dont tu n'as pas la source, tu peux très bien investir du temps pour avoir la même chose avec un contrôle complet sur le code. Si ton besoin est moins fort, tu évites de réinventer la roue en prenant l'existant, quite à avoir des risques non-maitrisables.

Sinon, tu peux aussi chercher une solution open-source. Il est tout de même plus dur de cacher un backdoor dedans, et tu peux plus facilement trouver et résoudre d'eventuels failles. Mais l'open-source n'est pas sans ses propre problèmes.

[Toulousaing]

vous me dites qu'il existe quand même des écoles ou des formations qui sont susceptibles de fournir au moins de bonnes base mais vous n'en citez aucune.

https://www.isc2.org/cissp/default.aspx

Certif CISSP. La plus dure, la plus complète, la plus reconnue.

[JonesKey]

J'ai une question qui rejoint ce que demande zelegolas2, j'espère que cela ne dérange pas que j'utilise ce topic :

Est-ce qu'il est possible de rejoindre l'univers de la sécurité des systèmes d'informations sans justement avoir "la meilleure formation, les meilleurs expériences possible" dans ce domaine ?

Je m'explique, la sécurité m'intéresse beaucoup mais cela reste pour moi plus un hobby (j'y reviens de temps en temps, je lit un livre, j'apprends des choses, j'expérimente puis je repars ,etc.). Si bien que ma formation (d'ingénieur en informatique) est relativement générale (i.e. pas de master spécialisé dans la sécurité), et mes stages ne sont pas ciblés dans ce domaine.

Y a t-il toujours un moyen (avec les années, l'acharnement et les bonnes rencontres) de rejoindre ce milieu ? J'en vais bientôt sortir de mon école et j'espère ne pas mettre fermer définitivement ces portes...

[gangsoleil]

Y a t-il toujours un moyen (avec les années, l'acharnement et les bonnes rencontres) de rejoindre ce milieu ?

Bien sur !

Ce milieu est aujourd'hui extremement ouvert, et dans la mesure ou il n'y a que peu de formations, beaucoup de pseudo "experts securites" sont des gens absolument non diplome dans ce domaine (et parfois absolument incompetents).