Root-me: Rémunération des challenges de hacking et naissance de Root-me.pro

Posté par . Édité par Xavier Teyssier, Nÿco, ZeroHeure et palm123. Modéré par Ontologia. Licence CC by-sa
32
11
mar.
2016
Sécurité

Root-me est un MOOC (Massive Open Online Course) de sécurité informatique. Root Me permet à chacun de tester et d’améliorer ses connaissances dans le domaine de la sécurité informatique et du hacking. Cette communauté met librement à disposition une plateforme dédiée à l’apprentissage du ethical hacking.

Nouveautés et évolution pour Root-Me.org :

  • nouveau design ;
  • rémunération pour les créateurs de challenge sur une liste pré-établie par le staff ;
  • une boutique en ligne en partenariat avec Spreadshirt ;
  • la possibilité aux membres de la communauté de cotiser pour l'association et de bénéficier de privilèges supplémentaires ;
  • de nombreux environnements virtuels ont été ajout ;
  • et bien sur toujours plus de challenges…

Root-Me.pro

Pour répondre aux fortes demandes des entreprises, notamment pour des challenges inter-entreprises et d'autres spécificités, Root-me.pro est né :

  • scoreboard dédié ;
  • sélection de challenge ;
  • support dédié.
  • # "tu fais tes mots croisés informatique ?" comme dit ma femme

    Posté par . Évalué à 7. Dernière modification le 11/03/16 à 11:52.

    root-me est vraiment sympa, j'ai passé de nombreuses soirées à m'amuser et à chercher, tester, trouver (parfois), apprendre (toujours).

    Je vous souhaite de réussir avec le .pro, c'est une bonne initiative. Les entreprises devraient envoyer tous leur admins sys passer de l'autre côté au moins une fois pour s'améliorer/être sensibilisés à la sécurité…

    Bonne continuation et _o/ g0uz

    edit : il y a une petite faute d'orthographe sur la page d'accueil du pro
    s/utilisée/utilisées/

  • # fonctionne pas

    Posté par . Évalué à 1.

    Je viens de m'inscrire à l'instant pour tester et résultat : pas moyen de se connecter. (j'espère ne pas me faire spammer pour rien, je déteste filer une adresse mail pour m'inscrire…)
    J'ai juste une fenêtre "Se connecter" qui ne fait rien, qui ne demande rien d'ailleurs.

    Je ne sais pas non plus si mon inscription est bien validée, quand j'ai cliqué sur l'adresse de confirmation dans le mail de validation, le message (sur le site) a disparut bien trop vite pour que j'ai le temps de le lire.

    • [^] # Re: fonctionne pas

      Posté par (page perso) . Évalué à 4.

      J'ai eu le même problème que toi. En fait, quand tu cliques sur le lien de validatino, tu es automatiquement connecté. Il faut aller voir dans les défis pour véritablement s'en rendre compte

      • [^] # Re: fonctionne pas

        Posté par . Évalué à 1.

        merci Francesco.

        • [^] # Re: fonctionne pas

          Posté par (page perso) . Évalué à 2.

          Salut à tous,

          on va jeter un œil sur ce bug, pas normal, à corriger donc.

          Merci pour le retour et bon entraînement ;-)

          Root Me : plateforme d'apprentissage dédiée au Hacking et à la Sécurité de l'Information

    • [^] # Re: fonctionne pas

      Posté par (page perso) . Évalué à 3.

      Salut EauFroide,

      les deux bug ont été réglé :

      • si connecté, tu es redirigé sur une page de présentation des nouveautés disponibles sur le portail. En cliquant sur le lien de confirmation reçu à l'inscription tu es désormais bien redirigé.
      • si connecté et sur l'index (cas pas/plus possible normalement) que tu ouvres la fenêtre "se connecter" tu es redirigé sur la page des nouveautés

      Ca aurait été dommage de s'arrêter là, y a pas mal de choses à découvrir derrière l'index…

      bon entraînement ,-)

      Root Me : plateforme d'apprentissage dédiée au Hacking et à la Sécurité de l'Information

  • # security forever

    Posté par . Évalué à 3.

    À titre personnel, cette course à la sécurité me saoule car on sait tous que dans les structures, on a de moins en moins de moyen humain et de moins en moins de budget.

    On sait tous qu'en pratique, les règles de sécurité ne peuvent être appliquées. Alors on fait ce qu'on peut.

    On achète du Juniper, du Palo Alto, du Cisco mais on a des tous du cul avec leurs clés USB, leurs smartphones, leurs Google Drive, leurs Dropbox…

    On se donne donc tous bonne conscience. Dans les faits, la moitié de S.I sont du gruyère. Avec quelle facilité on peut se présenter comme un technicien d'un société x ou y de photocopieurs pour y placer un sniffer sur la prise réseau et là c'est un petit exemple, je peux vous en sortir une vingtaine comme celui-là.

    Alors la sécurité oui quand :

    1 - on aura des moyens humains
    2 - on aura des budgets
    3 - on sera suivi par la Direction
    4 - on m'aura augmenté.

    L'IT c'est devenu le gros bordel !

    • [^] # Re: security forever

      Posté par (page perso) . Évalué à 5.

      L'IT c'est devenu le gros bordel !

      ha bon c'était mieux avant ?

      • [^] # Re: security forever

        Posté par . Évalué à 4.

        ha bon c'était mieux avant ?

        Par définition, oui.

      • [^] # Re: security forever

        Posté par . Évalué à -10. Dernière modification le 11/03/16 à 14:47.

        Oui avant c'était toujours mieux, je gagnais plus, j'allais plus souvent en vacances, les gens étaient plus polis, les gens ne faisaient pas 12 fautes d'orthographe par phrase, je respirais mieux, je mangeais mieux, je me soignais mieux, et quand je sortais dans la rue je n'avais pas l'impression d'être en Afrique du Nord.

        • [^] # Re: security forever

          Posté par (page perso) . Évalué à 2.

          J'arrive pas à savoir si ce commentaire est sérieux ou humoristique

          Écrit en Bépo selon l’orthographe de 1990

    • [^] # Re: security forever

      Posté par (page perso) . Évalué à 4.

      Oui mais non : tu as raison que la sécurité, c'est pas seulement des logiciels sûrs, mais c'est aussi ça!

      La prise de conscience se fait petit à petit, chez nous on apprend à débrasser les prises quand un bureau bouge!

      ⚓ À g'Auch TOUTE! http://agauch.online.fr

    • [^] # Re: security forever

      Posté par (page perso) . Évalué à 5.

      Tu parles de problèmes de budget, mais tu achètes du matériel hors de prix là où il serait plus efficace d'engager une personne qualifiée pour faire régner l'ordre dans tout ce petit monde. Et oui les SI sont du gruyère, et pas juste la moitié (ceux qu'on teste sont généralement dans la catégories "on a du budget pour un test d'intrusion" et c'est pas joli joli).

      Comme dans beaucoup d'autres situations impliquant des situations à faible probabilité, on attend un incident avant de réagir. Ca ne me ferait pas autant peur si la vie de personnes n'était pas mise en danger par cette négligence (voitures connectées, automates industriels, réseaux d’hôpitaux, transports publics, etc.)

    • [^] # Re: security forever

      Posté par (page perso) . Évalué à 10.

      Si vous écoutiez vos utilisateurs plutôt que d'essayer de tout bloquer, ce serait peut-être aussi un moyen de progresser.

      Les clés USB et Google drive seront toujours là tant que les ITs considèreront que leurs utilisateurs sont des cons à verrouiller.

  • # Rootme et du ssl ?

    Posté par . Évalué à 7.

    Rootme et compagnie, c'est ces sites qui n'activent pas le https et qui insultent ceux qui leur font remarquer parce que "ca coute trop cher" ?

    • [^] # Re: Rootme et du ssl ?

      Posté par . Évalué à 1.

      Pertinence d'HTTPS pour RootMe?

      • [^] # Re: Rootme et du ssl ?

        Posté par (page perso) . Évalué à 10.

        Bonnes pratiques de déploiement de sites web. Échange du mot de passe. Ne pas avoir l'air d'amateurs sur un site dédié à la sécurité.

        • [^] # Re: Rootme et du ssl ?

          Posté par . Évalué à 0.

          Le password est chiffré client-side. SSL est complètement overkill si on est pas dans un contexte e-commerce, mais merci de ton intervention. Il ne s'agit pas de mettre en place des choses "qui font classe".

          • [^] # Re: Rootme et du ssl ?

            Posté par . Évalué à 7.

            Client-side? Le chiffrement empeche n'importe qui de modifier le contenu d'un page par un MITM. Un exemple serait d'injecter un keylogger javascript directement dans la page, ce qui rend le chiffrement cote client inutile.

            • [^] # Re: Rootme et du ssl ?

              Posté par . Évalué à -1.

              Quel serait l’intérêt? Voler le compte d'un de tes petits copains sur Root-Me? Pour en faire quoi? Marquer des points à sa place? Honnêtement sur les derniers mois, OpenSSL aurait apporté + de vulnérabilités critiques (Heartbleed pour n'en citer qu'une) que de de bienfaits, surtout pour une plateforme ou il n'y à pas de données bancaires échangées.

              • [^] # Re: Rootme et du ssl ?

                Posté par (page perso) . Évalué à 5.

                Quel serait l’intérêt?

                Écouter tout le trafic pour récupérer des adresses mails, faire du phishing (en espérant que le mot de passe soit utilisé ailleurs)…

                OpenSSL aurait apporté + de vulnérabilités critiques

                Tu peux faire du SSL sans OpenSSL.

                « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

                • [^] # Re: Rootme et du ssl ?

                  Posté par (page perso) . Évalué à 0.

                  C'est une histoire de choix, pour le moment, on préfère servir plus d'utilisateur que de monter une couche TLS qui nous semble bien inutile dans notre cas. Quand HTTP2 aura été un peu plus éprouvé et que nous l'utiliserons nous basculerons forcément sur TLS.

                  Root Me : plateforme d'apprentissage dédiée au Hacking et à la Sécurité de l'Information

                  • [^] # Re: Rootme et du ssl ?

                    Posté par . Évalué à 1.

                    C'est une histoire de choix, pour le moment, on préfère servir plus d'utilisateur que de monter une couche TLS qui nous semble bien inutile dans notre cas.

                    Y'a des statistiques et des tests qui montrent que le(s) serveur(s) actuel(s) tomberaient avec "une couche TLS" et autant d'utilisateurs quotidiens ?

                    Si ce n'est pas le cas, il n'est jamais trop tard. Ca se met en place en production en moins d'une heure. Surtout avec les nouveaux venus du genre Let's Encrypt.

                    Je juge pas hein, mais perso', e-commerce ou non, password chiffré client-side ou non, c'est niet si pas de SSL. Trop de possibilités de MITM, sans grand intérêt certes, mais question de principe.

                    Sinon, l'idée est vraiment bonne. Reste à voir si ça prendra, étant donné que ce genre de concept est (me semble ?) de plus en plus courant.

                    • [^] # Re: Rootme et du ssl ?

                      Posté par (page perso) . Évalué à 1.

                      Y'a des statistiques et des tests qui montrent que le(s) serveur(s) actuel(s) tomberaient avec "une couche TLS" et autant d'utilisateurs quotidiens ?

                      Au niveau load, ça me parait être du bon sens ; mais il parait qu'il y a du mieux.

                      Je juge pas hein, mais perso', e-commerce ou non, password chiffré client-side ou non, c'est niet si pas de SSL. Trop de possibilités de MITM, sans grand intérêt certes, mais question de principe.

                      :')

                      Root Me : plateforme d'apprentissage dédiée au Hacking et à la Sécurité de l'Information

  • # oui, mais

    Posté par . Évalué à 8.

    root-me j'aime bien, j'y vais souvent, c'est vraiment génial d'avoir une plateforme comme ça.

    Mais j'ai une ou deux questions:
    -il est dit qu'on rémunère les challenges. Très bien, pourquoi pas. Mais pour être rémunéré, il faut être membre de l'assoce (?), donc il faut payer d'abord pour être payé éventuellement, si le challenge plait. C'est bizarre.

    -sur le site root-me pro, il est écrit "L'intelligence collective d'une communauté de 35000 membres au service de votre sécurité". Un peu plus bas, il est écrit: "Faites tester la sécurité de vos applications métiers en toute sérénité par une communauté d'expert".

    mouais mouais mouais. Ca veut dire quoi? Que si je suis inscrit sur root-me, je fais partie des 35000 experts qui va tester l'ppli métier d'un client? De quel client? Et le client paye qui? Et comment ça se passe? Il va y avoir un challenge "allez péter l'appli métier de la société X, vous aurez 20 points"? Je me suis inscrit pour m'amuser et apprendre des trucs en sécurité, pas pour servir de main d'oeuvre gratuite à un client inconnu.

    Que root-me se professionalise, très bien. Que les admins utilisent la renommée de root-me pour fonder une boite pro, pas de problème avec ça. Que les admins se vantent comme expert en sécurité informatique, on ne peut leur nier, et c'est vrai.
    Mais qu'ils embarquent les membres de root-me asso comme caution d'intelligence et de réservoirs de testeurs, ça m'interpelle un peu..

    • [^] # Re: oui, mais

      Posté par . Évalué à 2.

      Bonjour Octane,

      En réponse à tes questions:

      • Est ce que Root-Me.org full MOOC, Association 1901, récupère d'une manière ou d'une autre les gens qui viennent s'entrainer gratuitement ?: NON.

      Les éventuels tests d'applications métier sont uniquement proposés aux membres du staff root-me.org, si ils le désirent.

      Les challenges rémunérés, dont les thèmes sont choisi uniquement par le staff RM.org, sont accessibles à tous.

      Root-me.pro est né pour répondre aux besoins de grandes sociétés décentralisées qui désirent un serveur dedié, , extranet dedié, thèmes spécifiques pour "jouer sécurité" en interne, qui ne peuvent contracter du support en mode "associatif".

      …personne n'embarque personne..

      • [^] # Re: oui, mais

        Posté par . Évalué à 3.

        Merci pour ces réponses claires. (Plus claires que le site en tout cas)

        Et effectivement j'ai l'impression que des entreprises se servent de robot-me. On voit abondance de pseudo finissant par 42, il y a des séries de stagiaire1 stagiaire 2 etc…

        • [^] # Re: oui, mais

          Posté par . Évalué à 2.

          -;)

          ..Je suis d'accord que le site .pro est pas trop clair..!..
          c'est le début !

        • [^] # Re: oui, mais

          Posté par (page perso) . Évalué à 3.

          On voit abondance de pseudo finissant par 42

          Cela peut aussi venir de gens qui ont lu ''Le guide du voyageur galactique''.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.