Discussion :

[dusace]

Slt à tous,
J'ai besoin de votre aide afin de me décider:
Je voudrais devenir un expert en sécu informatique et je sais que connaitre la programmation est un atout indispensable mais je suis aussi passionné par le développement d'appli de bureau qui facilite la vie au commun des mortels du coup je voudrai votre conseil pour savoir quel language devrait-je choisir en tre Java et Python, pour être capable avec ce seul langage aussi bien d'automatiser des tâches d'adminsyst, de faire des pentests, créer des antimalwares, mais aussi de creer des appli de bureau. Perso j'ai l’impression que Java n'est pas très utile dans la adminsyst et la secu.
Please éclairez ma lanterne.

[BufferBob]

salut,

réponse courte : y'a pas à choisir, faut savoir se débrouiller avec les deux

Python ça facilite la vie à tous les niveaux, mais Java c'est incontournable dès qu'on considère les applications mobiles par exemple, on ajoute à ça le langage C qui est un passage obligé, et probablement l'assembleur aussi, x86 mais aussi ARM, un peu de bash et/ou de Perl éventuellement pour colmater les trous en admin sys, et puis il y a tous les langages qui ont une prédilection pour le web, en tête de liste PHP et JavaScript (mais aussi Java du coup)

pour résumer, avis perso :

• admin sys : bash, Perl, Python, Java, PHP
• pentests : Perl, Python, Java, PHP, JavaScript
• anti-malwares : Python, C, ASM
• applis de bureau : Python, C, Java, JavaScript

[benjani13]

+1 BufferBob

dusace, il faut bien penser que si tu veux faire du pentest il te faudra une bonne culture générale, et donc avoir des bases de plusieurs langages et plusieurs systèmes. En effet tu pourras autant tomber sur une appli en C qui tourne sur un serveur Linux, un site web en PHP/J2E/.NET, une appli C# pour Windows ou une application Android en Java, etc.
Concernant la création d'outils pour le pentest, des langages comme Python, Perl et Bash sont très utilisés. Il arrive très souvent durant un pentest que tu ai besoin d'automatiser des actions (répéter des requêtes HTTP, énumérer des utilisateurs, etc) et savoir écrire un petit script Pyton/Bash/Perl est utile.

Tu ne peux bien sur pas connaitre ni maitriser tous les langages existant, je te conseille donc d'apprendre un ou plusieurs langages de chaque grande catégorie:
- Un langage web (HTML/PHP/Javascript)
- Un langage interprété (Python/Bash/Perl)
- Un langage semi-compilé (Java/C#)
- Un langage compilé (C/C++)
- Un langage d'assemblage (ASM x86/ARM)

Ça fait beaucoup, mais prend ton temps, avance petit à petit sur le ou les langages qui te plaisent le plus, et surtout amuse toi. Tant que le plaisir est là ça avance tout seul.

Si tu veux t'initier à la sécurité, je te conseille de débuter par la sécurité web. Pour t'exercer il y a de nombreux sites web qui te propose des exercices, que ce soit de sécurité web, applicatifs, réseau, cryptographie :
- Newbiecontest
- Root-me
- PentesterLab

[pascaldm]

Pour le pentest au sens large:
- Python est aujourd'hui incontournable,
- Ruby est pratique pour utiliser le core metasploit (gain de temps).
- Perl encore parfois nécessaire, mais on peut faire l'impasse
- shell (Unix/Linux)
- powershell (Windows)

Pour l'analyse de code malveillant et le dév d'exploit:
- ASM x86 indispensable (la quasi totalité des malwares windows sont en 32-bit pour garantir leur exécution)
- ASM x64 recommandé (il existe des exploits spécifiques au 64-bit)
- ASM ARM ou MIPS pour les systèmes embarqués, d'autres archi existent, cela dépend de la spécialisation.
- C/C++ pour le dév système/noyau (Windows/Linux).

Java n'est utilisé en pentest que pour auditer/reverser du code notamment dans les environnements Android.

Pour le pentest Web, comme déjà précisé, il faut des compétences en HTML/PHP/Javascript etc. et y ajouter le SQL.

Les langages ne sont pas tout, il faut une excellente maîtrise système (connaissance approfondie des OS, instrumentation de binaire/noyau, débogage ASM, désassemblage/profilage, ...) et réseau (IPv4/v6, sans-fil, mobile, commutation/routage, protocoles applicatifs...), une bonne maîtrise de la crypto appliquée, des connaissances en hardware (port série, JTAG, USB, PCI, SPI/I2C, ...).

Sans un excellent et large bagage technique, il est impossible de faire du pentest. Il faut donc être passionné car on reste en veille permanente...