Voila , pour le moment je suis en L2 info , donc rien de bien folichon et j'aimerai faire si possible ma L3 dans l'université dont le master me plait (plus simple à intégrer notamment)
donc j'ai vu pendant mes recherches quelques master sécu qui me plaisent mais j'aimerai votre avis sur ceux que vous connaissez .
De préférence pas un axé crypto car je ne suis pas une touche absolue en maths .
Tout ça dans le but d'intégrer une boite de pentest .

Merci à ceux qui répondront et préférentiellement , argumenteront.

Shift

J'ai vu très très très peu de formations existantes dans le monde qui font une étude approfondie de techniques de hacking.

En France, il n'y en a pas à ce que je sâche.
Généralement ce sont des masters qui inclue des notions de management en sécurité ou à la rigueur c'est de la configuration de serveurs, de routeurs, de firewalls, d'IDS et j'en passe mais rien n'a voir avec le hacking.

Les écoles qui proposent des formations en hacking inclue par exemple NYU Poly, Wisconsin Uni", etc.

A mons humble avis, le mieux est de faire un master d'informatique tout ce qu'il y a de plus classique et puis ensuite t'orienter vers des certifications.

Le hacking est un domaine dans lequel plus on connait un système, un langage de programmation, etc, et plus on a des chances et des possibilitées d'en détourner l'usage originel pour lequel un logiciel ou système est conçu.
Dans ces conditions, il apparait donc nécessaire d'étudier le/les systèmes en question .... donc une bonne maitrise informatique (programmation, réseau, etc) s'impose.

Ensuite les certifications sont "professionnalisantes" et t'apportent des connaissances assez précises (ça a l'air de ce que j'ai pu voir) et sont assez appréciés dans le monde professionnel de ce que j'ai pu voir.

Ces différentes étapes me semblent "logique" étant donné les connaissances qu'il faut avoir en hacking .... aucunes écoles ne peut se permettre de tout "enseigner".
Si tu veux avoir "un niveau" en hacking, la seule solution est d'étudier par toi même. Tous les meilleurs hackers se sont autoformés.

Pour ma part, j'en suis encore dans la partie étude et j'étudie le hacking dans mon temps libre par-ci par-là.
Je me dirigerais vers les certifications après.

Et finalement, concernant le pentest ... ça a pas l'air trop "chaud", le plus chaud concerne la R&D ... mais le pentest a plutôt l'air de se cantonner à l'usage de tools déjà existants et un peu d'imagination.
Car bon, pour peu que t'ais les autorisations nécessaires, ... tu peux bien faire joujou quand même: usb sticks piégées (autorun), rogue AP (airbase-ng), MiTM (ettercap), etc.
Le plus dur et relou dans l'histoire: le rapport à écrire à la fin. Ca doit pas changer des masses de tous les autres rapports ... à part que c'est sous couvert de NDA, etc.

m_101

Je suis tout à fait d'accord avec m101. J'en parlais il y a un moment avec un pote et il n'y pas à ma connaissance de master sécurité en stade avancé.
D'ailleurs developpez.com à sorti un article, http://www.developpez.com/actu/39793/Se ... s-hackers/
Il y a un très gros retard dans ce domaine en France avec très très peu de formation, et une demande qui semble croissante de la part des entreprises sur ce genre de profil.
Personnellement je pense aller jusqu'à un master info comme à dit m101 et terminé par une année d'école d'ingénieur sur la sécurité informatique.

Yep, y'a clairement pénurie.
D'un côté c'est pas plus mals pour ceux qui travaillent dans ce milieu. Plus il y a de demandes et plus l'offre est rare => mieux payés ... à moins que je me trompe .
Bon après c'est pas top pour la sécurité mais ça c'est encore un autre sujet ...

Anyway, cette demande explose à cause des LulzSec, Anonymous et compagnie ... sans eux y'aurait pas autant de demande. Comme quoi ils ont quand même eu un impact positif sur l'industrie dans l'ensemble ^^.

Pour ma part, vraiment, je vois pas l'intérêt des masters en sécurité informatique par rapport à des certifications ... enfin bon.
On me dira que les certifications sont "chères" ... mais faut pas oublier que c'est "mieux vu" du côté de l'entreprise, enfin j'en parlait avec uns de mes anciens tuteurs de stage .

D'un autre côté, j'ai déjà parlé à pas mals de gens voulant bosser dans la sécurité informatique (car c'est la mode ...) et ne savent pas vraiment ce qu'ils veulent y faire ... bref, manque d'information plus que tout.
Pour les gens, bosser dans la sécurité informatique = firewalls, IDS, point barre.

Euuuuh, les gars, vous vous gourez, là :

Y'a des master orientés sécu de l'info, où des cours d'exploitation de vulns, de certification, de crypto et cie sont dispensés. Le niveau est pas forcément méga haut partout, mais c'est pareil dans toutes les études : c'est le stage de fin d'études qui te forme le plus.

Le pentest c'est pas "je lance un scan W3AF/acunetix/apscan" et je teste 2 ou 3 trucs à la main à la script kiddie style. C'est pas non plus du "je laisse trainer une clé USB" ou "je fais un MITM". C'est débile, c'est comme le DDOS, on sait que ça marche, point barre, pas besoin de tester.

Avoir un niveau en "hacking" ça veut rien dire. Forcément c'est pas en 1 an de fac que tu peux voir tout ça, ni avec une formation d'une semaine ou une certif. Tout le monde se spécialise dans des domaines, et dans une boîte, tu fais tourner les compétences, c'est tout.

Enfin, les boîtes recrutent des mecs qui ont simplement un bon niveau (ou en tout cas le devraient). Et forcément, une formation sécu, sur le CV, ça compte. Et en France, plus qu'une certif à la con que tout le monde peut pas s'offrir. Ce qui n'est pas pour me déplaire, pasque perso, j'aurais pas pu m'en payer une.

J'suis bien d'accord avec vos polémiques sur l'enseignement en France sur lesquelles on est tous d'accord depuis un moment mais ça fait pas vraiment avancer mon schmilblick :/

Pour en revenir au sujet , j'ai donc j'ai pensé aux masters suivants :

-Informatique Génie de l'Information et Sécurité de Rouen (http://formations.univ-rouen.fr/SIG51_8 ... _formation) (dont j'ai entendu de bien récemment)

-Sécu Syst Info de Troyes (http://www.utt.fr/fr/formation/master-e ... e-ssi.html) (Apparemment dans les meilleurs de France au classement 2012)

-ASR de Reims (http://www.univ-reims.fr/formation/doma ... /12366.pdf) (Avantage => bosse directement sur du matos cisco similaire aux entreprises avec une certif cisco a la clef, ça vaut ce que ça vaut mais ça y est)

-Sécu de l'Info & Crypto de limoges avec parcours Sécu info plutot que crypto

Biensur j'en ai vu d'autres et ils ont tous un petit truc différent, je ne vais donc pas tous les lister ici

Qu'en pensez vous , des plus , des moins ?

N'ayant pas été dans ces écoles, je suis désolé de ne pouvoir t'aider, par contre je me permets de répondre pour la remarque de m101 sur la R et D.

Juste pour signalé que la R & D ne se limite pas a faire de la recherche de vuln ,publié des patch et veillé.

Pour faire bref(du haut de mes 1 an d'expérience en R&D--> humour) la r & d de type projet innovant en Développement experimental d'une appli web de service (gratuite) avec un budget matériel de 0 seulement un humain c'est:
Veille technologique (le plus longtemps possible)
veille/Recherche de vulnérabilité (doit s'accordé continuellement avec les optimisation)
Analyse du marché / de la fiabilité des services
Conception(dont la securité dès la conception)
Développement web multiplateformes + developpement d'api exportables
Design
Intégration
Optimisation ( accessibilité ,gestion des user, de l'espace disque etc..)
et la on arrives seulement a la version beta.
Etant donné que le projet est réfléchi il pourra beaucoup plus facilement évolué et / OU avec l'aide de licenses libres se transformer ultérieurement en plateforme grace au social coding.

Le temps passé sur la R et D est relatif au type de projet. mais en tout cas sa prends plusieurs mois,meme si tu fais ça seul en partant de 0 et que le projet est petit. Et la com n'est toujours pas faite !

Tu peu avoir des technique comme préparé un projet B de secour a coté lorsque tu débutes la veille techno et la recherche de vuln (aussi t'es probablement contraint d'arreté de hack autre chose que ton code pour des raisons de temps) ..

Pour te donner un ordre d'idée, la boîte de pentest où je bosse recrute principalement 2 profiles:

* Le profile "hacker", cad le mec qui bidouille à mort depuis qu'il à 16 ans, mais qui n'a pas forcément fait des études de malade. A force de s'intéresser au hacking il a une connaissance assez large niveau sécurité. En general il est allé a pas mal de conférences de sécu (petites ou grandes) et à participer a des CTF de hacking.

* Le profile "développeur", cad quelqu'un qui ne s'y connait pas forcément à mort niveau sécurité, mais qui est un bon développeur et a quand même un attrait pour le domaine (lis des blogs, est allé a des conférences de sécu, ou autre). C'est un profil intéressant à recruter pour les raisons donnés par m101: si tu comprends comment un système marche, en changeant un peu d'état d'esprit tu seras tout à fait apte à le casser. L'autre avantage est qu'une expérience de développeur permet de se mettre à la place des développeurs quand tu testes leur produit, ce qui permet de mieux comprendre leurs problèmes et ca évite de proposer des solutions un peu loufoques.

Rien à battre des certifications par contre (plus un sujet de blagues), mais c'est peut être spécifique à ma boite.
Et oui il faut aimer écrire des rapports et organiser des réunions ... Moi j'aime bien, surtout quand les développeurs sont en larme à la fin du meeting (true story) !

Hello,

je sais que le sujet traitais d'un master en France, mais si l'anglais ne te fais pas peur, et si les USA sont trop loin pour toi, le top européen c'est l'University College Dublin (http://cci.ucd.ie/) pour ses nombreux partenariats en forensic, Cambridge (http://www.cl.cam.ac.uk/) dont le niveau en recherche n'est plus à prouver (Ross Andersen pour ne citer qu'un kéké), peut être l'Imperial College en info mais c'est assez généraliste (http://www3.imperial.ac.uk/computing).

Sinon, le hacking est une 'science de l'amateur' (ne le prenez pas dans le sens péjoratif du terme); ce que je veux dire c'est que ce sont plutôt des techniques que tu vas découvrir en dehors des cours, au gré des forums, blogs, lectures diverses et variées, des expériences, etc...
Donc si tu veux rester en France :
master d'info + autoformation = atteinte de ton objectif (devenir pentester)

@Strayy, quand je dis "niveau en hacking", bien entendu il faut se spécialiser. Je veux entendre par là qu'il y a des compétences et des connaissances derrière ... et pas juste une simple utilisation de tools existants.
Le pentest si je ne me trompe pas est de tester une entreprise au niveau de sa sécurité, tout aussi bien à un niveau politique/management, que technique ou humain. Donc peu importe les techniques utilisées pour le test du moment que ça soit autorisé. Bien entendu, ça ne peut pas se cantonner QUE à des scans automatisés mais c'est une partie intégrante non?
Enfin bon, je pense que tu as plus d'expérience dans le domaine donc je te fais confiance sur le sujet .

@shift Bon aller, je vais "démonter" un peu ces formations (je n'ai pas fais ces formations mais bon ... un avis parmis d'autres):
* Informatique Génie de l'Information et Sécurité de Rouen (http://formations.univ-rouen.fr/SIG51_8 ... _formation)
Ca a l'air pas mals du tout. Ca a l'air quand même assez théorique pour certaines choses. Etant donné que pas mals de choses complexes sont balayées ... le temps manquera probablement pour creuser plus en profondeur.

* Sécu Syst Info de Troyes (http://www.utt.fr/fr/formation/master-e ... e-ssi.html) (Apparemment dans les meilleurs de France au classement 2012)

En lisant le contenu, ça donne l'impression qu'ils font du remplissage:
- différence entre "Sécurisation des réseaux" et "Sécurité des réseaux"? Ils auraient pu faire un seul module.
- "Codage de l'information" et "Base de l’informatique" ... on parle d'un Master ... qu'es-ce que des modules de L1 viennent fouttre dans un Master? ...
- "Gestion et contrôle de réseaux" ça veut pratiquement rien dire pour moi ça ... Administration réseau? bref ..
- "Construction de la sécurité", ça veut tout et rien dire
Bref, ils devraient être plus précis et spécifiques car certains titres de cours laissent à désirer ... reste à voir le contenu.

* ASR de Reims (http://www.univ-reims.fr/formation/doma ... /12366.pdf)
Purement du CISCO à mon humble avis ...


Pour ma part, je reste sur ma position: un background de bon développeur et tu hack dans ton temps libre même si une formation sécurité peut faire "joli" sur le CV.

Ensuite, tu peux te faire des contacts pour bosser en sécurité lors des conférences, stages, etc. Faut se socialiser un peu quoi .
De ma toute petite expérience du milieu, c'est un TOUT PETIT milieu. La plupart des professionnels de la sécurité informatique se connaissent plus ou moins tous entre eux.
Pour peu que tu ais eu de bons stages ou eu l'occasion de taper la discussion avec plusieurs personnes du milieu et que tu ais un niveau correct dans la spécialité sécurité que tu as choisis ... je pense que les jobs ne manquent pas on dira .
Dans tous les cas, il faut se spécialiser, ça y'a pas de doutes.

L'important est de savoir ce que tu veux faire, la spécialité que tu veux faire.
Si tu n'as aucune idée sur celle-ci, le mieux est de prendre une formation assez générale pour ensuite se spécialiser.
Si tu prends une spécialité dès le début et qu'au bout des 3/4 du chemin tu te rends compte que tu veux pas faire cette spécialité ... tu l'as un peu dans le *** ...

@thibaultL yep merci pour ces précisions appréciées sur la R&D .


Sinon merci les gens pour les précisions sur les certifications .
Perso" je sais toujours pas trop où donner de la tête à ce sujet ... car y'en a qui disent que c'est essentiel d'autres non.
Je vois pas trop ce que ça pourrait m'apporter ...
Par exemple: je veux bien que le CEH soit possiblement apprécié des entreprises ... mais tous le monde dis que c'est de la m****, j'ai vu les slides et ça donne pas envie du tout ... ça a plus l'air d'un truc commercial qu'autre chose.
Et pis comme dit @Strayy ... putain ça coute la peau du cul ces trucs ...