La plateforme de l’autoformation ultime ?

Root-Me est une plateforme ouverte gérée par une association et dont les membres et contributeurs participent activement à la création des challenges. Elle dispose donc d’une communauté solide, un forum actif où vous pouvez demander de l’aide. Le site est organisé en deux parties:

  • Challenges : Des box qui traitent un sujet à la fois, accessible en SSH (WebConsole ou depuis votre machine préférée)
  • CTF : Capture The Flag, le fameux, qui consiste à vous tester et voir si vous avez acquis le nécessaire pour dégotter le drapeau.

Dans mon premier billet, je disais que je conseillais Root-Me pour débuter. Dans une certaine mesure, c’est une fausse bonne idée.

Je vais vous exposer pourquoi tout de suite, vous allez comprendre.

Les moins

Le support

Si comme moi vous partez de zéro, vous aurez sûrement besoin d’un guide, d’un support de lecture/audio/vidéo pour comprendre comment vous devez vous y prendre.

Sur Root-Me, globalement le but est de ne pas vous aider et vous forcer à chercher par vous-même. Il y en a qui sont friands de ce genre d’apprentissage, ça m’a amusé quelques temps et puis finalement, passer cinq heures sur un challenge de niveau 1 c’est pas si gratifiant.

Il y a bien un peu de documentation technique (pas toujours) sur la faille/méthode à exploiter, mais c’est dans bien des cas insuffisant.

Les catégories

Quand on débute dans ce monde merveilleux mais complexe, comme dans toutes disciplines, on ne connait pas les termes ni leur signification. Pour certains on peut le deviner, pour d’autres c’est impossible. Cryptanalyse, Forensic, Stéganographie, App-Script, App-Système….par quoi commencer ? Là est pour moi le plus gros “défaut” de Root-Me, il n’y a pas d’accompagnement pour les noobies.

Les plus

Autonomie

Avez Root-Me vous gagnerez en autonomie, vous allez aiguiser votre approche face à un problème et contrairement à d’autres plateforme qui vous prennent par la main, celle-ci vous laissera parfois pantois face à l’inconnu et au défi qui vous attend.

Qualité

Les box sont de qualité (de ce que j’ai pu faire) et j’ai réussi contre toutes attentes certains défis que je ne pensais pas pouvoir atteindre, dans des domaines qui ne sont pas les miens.

Le tarif

C’est gratuit ! C’est tout de même assez rare en 2022 pour être souligné.

Catégories et CTF

Les grandes catégories de pentest sont traitées, comme évoqué précédemment. Une fois vos compétences aiguisées, vous pouvez les valider dans les CTF.

Conclusion

Commencer par Root-Me est à double tranchants, soit vous aimez, soit vous détestez. Pour ma part, ça m’a amusé les 15 premiers challenges, ensuite j’ai manqué de courage car sans aucune aide, ça prend un sacré temps et la situation de chacun rentre aussi en compte. Si votre but est, comme moi, de vous former et non de performer, alors il existe d’autres sites que j’ai découvert ensuite, dont un en particulier qui fera l’objet d’un billet dédié: TryHackMe.com.