Root-me est un MOOC (Massive Open Online Course) de sécurité informatique. Root Me permet à chacun de tester et d’améliorer ses connaissances dans le domaine de la sécurité informatique et du hacking. Cette communauté met librement à disposition une plateforme dédiée à l’apprentissage du ethical hacking.
Nouveautés et évolution pour Root-Me.org :
- nouveau design ;
- rémunération pour les créateurs de challenge sur une liste pré-établie par le staff ;
- une boutique en ligne en partenariat avec Spreadshirt ;
- la possibilité aux membres de la communauté de cotiser pour l'association et de bénéficier de privilèges supplémentaires ;
- de nombreux environnements virtuels ont été ajout ;
- et bien sur toujours plus de challenges…
Root-Me.pro
Pour répondre aux fortes demandes des entreprises, notamment pour des challenges inter-entreprises et d'autres spécificités, Root-me.pro est né :
- scoreboard dédié ;
- sélection de challenge ;
- support dédié.
Aller plus loin
- Root Me - Rémunération (3172 clics)
- Root Me - Boutique (872 clics)
- Root Me - Cotisation (457 clics)
- Root Me - Environnements virtuels (574 clics)
- Root Me - Challenges (995 clics)
- Root-Me.pro (1064 clics)
# "tu fais tes mots croisés informatique ?" comme dit ma femme
Posté par ekyo . Évalué à 7. Dernière modification le 11 mars 2016 à 11:52.
root-me est vraiment sympa, j'ai passé de nombreuses soirées à m'amuser et à chercher, tester, trouver (parfois), apprendre (toujours).
Je vous souhaite de réussir avec le .pro, c'est une bonne initiative. Les entreprises devraient envoyer tous leur admins sys passer de l'autre côté au moins une fois pour s'améliorer/être sensibilisés à la sécurité…
Bonne continuation et _o/ g0uz
edit : il y a une petite faute d'orthographe sur la page d'accueil du pro
s/utilisée/utilisées/
# fonctionne pas
Posté par EauFroide . Évalué à 1.
Je viens de m'inscrire à l'instant pour tester et résultat : pas moyen de se connecter. (j'espère ne pas me faire spammer pour rien, je déteste filer une adresse mail pour m'inscrire…)
J'ai juste une fenêtre "Se connecter" qui ne fait rien, qui ne demande rien d'ailleurs.
Je ne sais pas non plus si mon inscription est bien validée, quand j'ai cliqué sur l'adresse de confirmation dans le mail de validation, le message (sur le site) a disparut bien trop vite pour que j'ai le temps de le lire.
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 4.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: fonctionne pas
Posté par EauFroide . Évalué à 1.
merci Francesco.
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: fonctionne pas
Posté par g0uZ (site web personnel) . Évalué à 2.
Salut à tous,
on va jeter un œil sur ce bug, pas normal, à corriger donc.
Merci pour le retour et bon entraînement ;-)
Root Me : plateforme d'apprentissage dédiée au Hacking et à la Sécurité de l'Information
[^] # Re: fonctionne pas
Posté par g0uZ (site web personnel) . Évalué à 3.
Salut EauFroide,
les deux bug ont été réglé :
Ca aurait été dommage de s'arrêter là, y a pas mal de choses à découvrir derrière l'index…
bon entraînement ,-)
Root Me : plateforme d'apprentissage dédiée au Hacking et à la Sécurité de l'Information
[^] # Re: fonctionne pas
Posté par EauFroide . Évalué à 1.
Merci, j'aime cette réactivité !
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
# security forever
Posté par ketchupenz . Évalué à 3.
À titre personnel, cette course à la sécurité me saoule car on sait tous que dans les structures, on a de moins en moins de moyen humain et de moins en moins de budget.
On sait tous qu'en pratique, les règles de sécurité ne peuvent être appliquées. Alors on fait ce qu'on peut.
On achète du Juniper, du Palo Alto, du Cisco mais on a des tous du cul avec leurs clés USB, leurs smartphones, leurs Google Drive, leurs Dropbox…
On se donne donc tous bonne conscience. Dans les faits, la moitié de S.I sont du gruyère. Avec quelle facilité on peut se présenter comme un technicien d'un société x ou y de photocopieurs pour y placer un sniffer sur la prise réseau et là c'est un petit exemple, je peux vous en sortir une vingtaine comme celui-là.
Alors la sécurité oui quand :
1 - on aura des moyens humains
2 - on aura des budgets
3 - on sera suivi par la Direction
4 - on m'aura augmenté.
L'IT c'est devenu le gros bordel !
[^] # Re: security forever
Posté par Juke (site web personnel) . Évalué à 5.
ha bon c'était mieux avant ?
[^] # Re: security forever
Posté par Yth (Mastodon) . Évalué à 4.
Par définition, oui.
[^] # Re: security forever
Posté par ketchupenz . Évalué à -10. Dernière modification le 11 mars 2016 à 14:47.
Oui avant c'était toujours mieux, je gagnais plus, j'allais plus souvent en vacances, les gens étaient plus polis, les gens ne faisaient pas 12 fautes d'orthographe par phrase, je respirais mieux, je mangeais mieux, je me soignais mieux, et quand je sortais dans la rue je n'avais pas l'impression d'être en Afrique du Nord.
[^] # Re: security forever
Posté par ariasuni . Évalué à 2.
J'arrive pas à savoir si ce commentaire est sérieux ou humoristique
Écrit en Bépo selon l’orthographe de 1990
[^] # Re: security forever
Posté par ʭ ☯ . Évalué à 4.
Oui mais non : tu as raison que la sécurité, c'est pas seulement des logiciels sûrs, mais c'est aussi ça!
La prise de conscience se fait petit à petit, chez nous on apprend à débrasser les prises quand un bureau bouge!
⚓ À g'Auch TOUTE! http://afdgauch.online.fr
[^] # Re: security forever
Posté par Aris Adamantiadis (site web personnel) . Évalué à 5.
Tu parles de problèmes de budget, mais tu achètes du matériel hors de prix là où il serait plus efficace d'engager une personne qualifiée pour faire régner l'ordre dans tout ce petit monde. Et oui les SI sont du gruyère, et pas juste la moitié (ceux qu'on teste sont généralement dans la catégories "on a du budget pour un test d'intrusion" et c'est pas joli joli).
Comme dans beaucoup d'autres situations impliquant des situations à faible probabilité, on attend un incident avant de réagir. Ca ne me ferait pas autant peur si la vie de personnes n'était pas mise en danger par cette négligence (voitures connectées, automates industriels, réseaux d’hôpitaux, transports publics, etc.)
[^] # Re: security forever
Posté par JoeltheLion (site web personnel) . Évalué à 10.
Si vous écoutiez vos utilisateurs plutôt que d'essayer de tout bloquer, ce serait peut-être aussi un moyen de progresser.
Les clés USB et Google drive seront toujours là tant que les ITs considèreront que leurs utilisateurs sont des cons à verrouiller.
# Rootme et du ssl ?
Posté par pouleta . Évalué à 7.
Rootme et compagnie, c'est ces sites qui n'activent pas le https et qui insultent ceux qui leur font remarquer parce que "ca coute trop cher" ?
[^] # Re: Rootme et du ssl ?
Posté par sm0k . Évalué à 1.
Pertinence d'HTTPS pour RootMe?
[^] # Re: Rootme et du ssl ?
Posté par Aris Adamantiadis (site web personnel) . Évalué à 10.
Bonnes pratiques de déploiement de sites web. Échange du mot de passe. Ne pas avoir l'air d'amateurs sur un site dédié à la sécurité.
[^] # Re: Rootme et du ssl ?
Posté par sm0k . Évalué à 0.
Le password est chiffré client-side. SSL est complètement overkill si on est pas dans un contexte e-commerce, mais merci de ton intervention. Il ne s'agit pas de mettre en place des choses "qui font classe".
[^] # Re: Rootme et du ssl ?
Posté par skety . Évalué à 7.
Client-side? Le chiffrement empeche n'importe qui de modifier le contenu d'un page par un MITM. Un exemple serait d'injecter un keylogger javascript directement dans la page, ce qui rend le chiffrement cote client inutile.
[^] # Re: Rootme et du ssl ?
Posté par sm0k . Évalué à -1.
Quel serait l’intérêt? Voler le compte d'un de tes petits copains sur Root-Me? Pour en faire quoi? Marquer des points à sa place? Honnêtement sur les derniers mois, OpenSSL aurait apporté + de vulnérabilités critiques (Heartbleed pour n'en citer qu'une) que de de bienfaits, surtout pour une plateforme ou il n'y à pas de données bancaires échangées.
[^] # Re: Rootme et du ssl ?
Posté par claudex . Évalué à 5.
Écouter tout le trafic pour récupérer des adresses mails, faire du phishing (en espérant que le mot de passe soit utilisé ailleurs)…
Tu peux faire du SSL sans OpenSSL.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Rootme et du ssl ?
Posté par g0uZ (site web personnel) . Évalué à 0.
C'est une histoire de choix, pour le moment, on préfère servir plus d'utilisateur que de monter une couche TLS qui nous semble bien inutile dans notre cas. Quand HTTP2 aura été un peu plus éprouvé et que nous l'utiliserons nous basculerons forcément sur TLS.
Root Me : plateforme d'apprentissage dédiée au Hacking et à la Sécurité de l'Information
[^] # Re: Rootme et du ssl ?
Posté par mikael.vallerie . Évalué à 1.
Y'a des statistiques et des tests qui montrent que le(s) serveur(s) actuel(s) tomberaient avec "une couche TLS" et autant d'utilisateurs quotidiens ?
Si ce n'est pas le cas, il n'est jamais trop tard. Ca se met en place en production en moins d'une heure. Surtout avec les nouveaux venus du genre Let's Encrypt.
Je juge pas hein, mais perso', e-commerce ou non, password chiffré client-side ou non, c'est niet si pas de SSL. Trop de possibilités de MITM, sans grand intérêt certes, mais question de principe.
Sinon, l'idée est vraiment bonne. Reste à voir si ça prendra, étant donné que ce genre de concept est (me semble ?) de plus en plus courant.
[^] # Re: Rootme et du ssl ?
Posté par g0uZ (site web personnel) . Évalué à 1.
Au niveau load, ça me parait être du bon sens ; mais il parait qu'il y a du mieux.
:')
Root Me : plateforme d'apprentissage dédiée au Hacking et à la Sécurité de l'Information
# oui, mais
Posté par octane . Évalué à 8.
root-me j'aime bien, j'y vais souvent, c'est vraiment génial d'avoir une plateforme comme ça.
Mais j'ai une ou deux questions:
-il est dit qu'on rémunère les challenges. Très bien, pourquoi pas. Mais pour être rémunéré, il faut être membre de l'assoce (?), donc il faut payer d'abord pour être payé éventuellement, si le challenge plait. C'est bizarre.
-sur le site root-me pro, il est écrit "L'intelligence collective d'une communauté de 35000 membres au service de votre sécurité". Un peu plus bas, il est écrit: "Faites tester la sécurité de vos applications métiers en toute sérénité par une communauté d'expert".
mouais mouais mouais. Ca veut dire quoi? Que si je suis inscrit sur root-me, je fais partie des 35000 experts qui va tester l'ppli métier d'un client? De quel client? Et le client paye qui? Et comment ça se passe? Il va y avoir un challenge "allez péter l'appli métier de la société X, vous aurez 20 points"? Je me suis inscrit pour m'amuser et apprendre des trucs en sécurité, pas pour servir de main d'oeuvre gratuite à un client inconnu.
Que root-me se professionalise, très bien. Que les admins utilisent la renommée de root-me pour fonder une boite pro, pas de problème avec ça. Que les admins se vantent comme expert en sécurité informatique, on ne peut leur nier, et c'est vrai.
Mais qu'ils embarquent les membres de root-me asso comme caution d'intelligence et de réservoirs de testeurs, ça m'interpelle un peu..
[^] # Re: oui, mais
Posté par antesis.org . Évalué à 2.
Bonjour Octane,
En réponse à tes questions:
Les éventuels tests d'applications métier sont uniquement proposés aux membres du staff root-me.org, si ils le désirent.
Les challenges rémunérés, dont les thèmes sont choisi uniquement par le staff RM.org, sont accessibles à tous.
Root-me.pro est né pour répondre aux besoins de grandes sociétés décentralisées qui désirent un serveur dedié, , extranet dedié, thèmes spécifiques pour "jouer sécurité" en interne, qui ne peuvent contracter du support en mode "associatif".
…personne n'embarque personne..
[^] # Re: oui, mais
Posté par octane . Évalué à 3.
Merci pour ces réponses claires. (Plus claires que le site en tout cas)
Et effectivement j'ai l'impression que des entreprises se servent de robot-me. On voit abondance de pseudo finissant par 42, il y a des séries de stagiaire1 stagiaire 2 etc…
[^] # Re: oui, mais
Posté par antesis.org . Évalué à 2.
-;)
..Je suis d'accord que le site .pro est pas trop clair..!..
c'est le début !
[^] # Re: oui, mais
Posté par Jiel (site web personnel) . Évalué à 3.
Cela peut aussi venir de gens qui ont lu ''Le guide du voyageur galactique''.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.