Retour aux projets
Cybersécurité · 2025

Découvrir le pentesting

Validation à 100 % du parcours "Découvrir le pentesting" sur Root-Me PRO, couvrant les fondamentaux de la cybersécurité offensive : attaques web, réseau, vulnérabilités de code et compromission de systèmes Linux.

2025
Cameron FLORENCE
Cybersécurité
Découvrir le pentesting
Idée de départ

L'objectif de ce projet d'auto-formation était d'acquérir de solides bases pratiques en cybersécurité offensive (Red Team). À travers la plateforme d'apprentissage Root-Me PRO, il s'agissait de relever et de comprendre une série de défis techniques concrets (type Capture The Flag). Le but n'était pas seulement d'utiliser des outils automatisés, mais de comprendre la logique sous-jacente des failles de sécurité touchant les applications web, les réseaux d'entreprise et les systèmes d'exploitation, afin de mieux savoir s'en prémunir.

Technologies utilisées
Root-Me PRORoot-Me PRO
Kali LinuxKali Linux
NmapNmap
WiresharkWireshark
Burp SuiteBurp Suite
PythonPython
Répartition des rôles
Apprentissage autonome
Analyse des vulnérabilités, développement de scripts d'exploitation (exploits) et validation des 49 épreuves pratiques du parcours.
  • Cameron
Déroulement du projet
1
Reconnaissance et Réseau — Apprentissage des techniques de footprinting, scan de ports (Nmap), interception de trafic et exploitation de protocoles non chiffrés (Telnet, FTP).
2
Attaques Web — Identification et exploitation de failles critiques (Injections SQL, XSS, SSRF, IDOR, RCE) via la manipulation de requêtes HTTP et d'API.
3
Vulnérabilités de code — Analyse de failles applicatives bas niveau, avec la compréhension et l'exploitation de Buffer Overflows et de Format Strings.
4
Compromission Linux — Escalade de privilèges sur des systèmes Linux en exploitant des erreurs de configuration (fichiers SUID, tâches Cron) et attaques par force brute (SSH).
5
Validation finale — Réussite des 49 exercices pratiques, menant à la complétion du parcours à 100 %.
Contraintes et solutions

La difficulté principale des environnements d'entraînement comme Root-Me est l'effet "boîte noire" (Black-Box) : on se retrouve face à un système sans en connaître le fonctionnement interne. Lorsque je bloquais sur un challenge, la solution n'était pas de chercher l'outil magique, mais de revenir à la théorie. Par exemple, pour réussir une exploitation web complexe, j'ai dû lire la documentation officielle de certaines technologies ou protocoles pour comprendre comment le développeur avait pu faire une erreur d'implémentation.

Résultats
Parcours "Découvrir le pentesting" validé à 100 % (49/49 challenges réussis).
Mise en pratique concrète des vulnérabilités du Top 10 OWASP.
Acquisition d'une méthodologie d'audit technique (Énumération > Analyse > Exploitation).
Leçons tirées du projet

Cette expérience a été extrêmement enrichissante car elle permet d'adopter la "vision de l'attaquant". J'ai compris que la majorité des failles de sécurité ne proviennent pas de hacks ultra-sophistiqués, mais d'erreurs humaines de configuration ou de défauts de contrôle des entrées utilisateurs. Utiliser plusieurs méthodes (ligne de commande, manipulation de paquets, analyse de code) a considérablement renforcé ma compréhension globale de l'informatique. Je suis désormais beaucoup plus sensible aux bonnes pratiques de développement sécurisé et d'administration système (sécurité by design).