Excellent ouvrage pour débuter, ou simplement pour se faire une idée sur le domaine des tests d'intrusion.
Sans trop entrer dans les détails, il offre bien plus qu'un mode d'emploi des différents outils présentés : il propose une méthode de travail, ce qui fait souvent défaut dans ce type d'ouvrage.
Les 3 premiers chapitres vont souvent dans les généralités mais proposent la mise en place d'un véritable atelier de test d'intrusion. Dès le 4ème, on entre dans le vif du sujet (les exploits), et l'auteur couvre tout ce qui est assez connu, sans vraiment entrer dans les détails... on reste dans les sujets classiques d'injection SQL, d'attaque de la ruche Windows, de comparaison de mots de passe hachés...
L'auteur reste simple dans ses exemples et ses explications, ce qui rend le livre accessible à un large public... au risque d'en tromper certains. Bien que le sujet soit accessible à tous, l'utilisation de ces techniques demande une compétence pointue dans de nombreux domaines informatiques... et ceci ne ressort pas tellement après lecture de cet ouvrage.
La pente qui sépare le testeur d'intrusions éthique du pirate en herbe est savonneuse. Bien que l'auteur l'explique très succinctement en début d'ouvrage, l'utilisation de ces outils est risquée, tant au point de vue de l'attaqué que de l'attaquant... Un débutant attaquant laissera bien évidemment des traces... qui risque de lui coûter fort cher. Ne jouez jamais avec ces outils sur votre lieu de travail : cela vous coûtera votre place avant que vous ne vous en rendiez compte!
Il me semble primordial, pour bénéficier de ce type d'ouvrage, d'avoir à disposition un ordinateur ou un portable que l'on découplera du réseau pour faire les exercices proposés... le temps nécessaire à tester les outils présentés... mais surtout les compétences et la rigueur requises pour ne pas sortir du périmètre de sécurité.
Petit bémol quant à l'ouvrage : la qualité des copies écran de l'ouvrage laisse parfois à désirer...
La suite logique d'un tel ouvrage : un apprentissage plus poussé des outils présentés (Metasploit, Nessus, etc.).
Partager