Sécurité Informatique Ethical Hacking 3ème Edition

En cette fin d’année 2013 je me suis penché sur la lecture de la troisième édition du livre “Sécurité informatique- Ethical Hacking” des éditions ENI (collection Epsilon). Je vous partage ici mon ressenti par rapport à cette lecture.

LIVREHACK

Le thème global du livre, qui est remis au goût du jour pour la troisième fois afin de prendre en compte l’actualité, est donc la sécurité informatique (et le Ethical Hacking). Il s’agit d’un livre qui a pour but d’englober le sujet de façon complète et d’aborder les principaux composants de la sécurité informatique dans leur ensemble.  Pour faire un tour rapide des différents chapitres présents dans le livre :

  • C1 : Introduction et définitions
  • C2 : Méthodologie d’une attaque
  • C3 : Social Engineering
  • C4 : Les failles physiques
  • C5 : Les prises d’empreintes
  • C6 : Les failles réseau
  • C7 : Cloud Computing : forces et faiblesses
  • C8 : Les failles web
  • C9 : Les failles systèmes
  • C10 : Les failles applicatives
  • C11 : Risques juridiques et solutions

Je dois dire que j’ai littéralement dévoré ce livre tant il regorge d’informations, les différents chapitres exposent chacun un des composants de la sécurité informatique de façon précise. Seul le dernier chapitre, sur les droits de l’informatique, m’a un peu rebuté car il n’est pas très technique. Cependant il a totalement sa place dans l’œuvre car il est important de se tenir au courant de ce qu’une attaque informatique peut vous faire risquer, pour ne pas aller trop loin dans nos petites expérimentations mais également pour savoir comment se défendre juridiquement si nous sommes la cible d’une attaque.

Différentes approches sont proposées à chaque chapitre, allant de l’explication générale aux détails techniques des différentes attaques et méthodologies. On arrive à avoir une vision complète des différents chapitres ce qui nous apporte au final un contenu plutôt complet sur le sujet abordé.

Parmi les éléments techniques abordés on peut par exemple retrouver les flux ADS (Alternate Data Stream) qui consiste à cacher un fichier dans un autre pour dissimuler une information, le Google Hacking qui consiste à utiliser le moteur de recherche Google pour chercher des failles de sécurité de façon très précise (appelé aussi Google Dorks), l’utilisation du proxy Burp Suite qui permet de capturer, générer et rejouer des échanges entre son navigateur web et le serveur web dans le but d’effectuer des attaques. Ou encore l’utilisation de wfuzz, utilitaire permettant d’effectuer des attaques de types brute force rapidement. Cela ne représente qu’un petit pourcentage de tout ce que l’on apprendra de ce livre, beaucoup d’astuces sont données et j’y replonge souvent quand j’ai besoin d’informations supplémentaires sur un sujet.

Ce livre a été écrit et mis à jour par pas moins de 8 rédacteurs, chacun apportant son expertise, les styles d’écritures se différencient d’un chapitre à l’autre, allant du plus ou moins précis, du plus ou moins technique selon les besoins. Mais il faut reconnaître que l’expertise de chacun des auteurs se ressent.

  • Marion AGE : Développeuse web et multimédia, pigiste pour la presse informatique
  • Sébastien BAUDRU : Formateur et conseiller en sécurité informatique, formateur Linux
  • Nicolas CROCFER : Diplômé des Systèmes d’information. Développeur indépendant
  • Franck EBEL : Responsable de la licence professionnelle CDAISI
  • Jérôme HENNECART : Enseignant, Formateur en sécurité informatique
  • Sébastien LASSON : Spécialiste de la sécurité matérielle des systèmes. Développeur web indépendant
  • David PUCHE : Développeur, Cofondateur de la société DRASTIC
  • Raphaël RAULT : Avocat spécialisé en droit de l’informatique, enseignant dans la licence CDAISI

Une lecture que je recommande grandement aux intéressés de la sécurité informatique. Bien que les experts pourront s’en passer, la majorité d’entre-vous y apprendront des tas de notions, de techniques et de principes de sécurité.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *