Sécurité 101/102/103/104 - 2026

Nos formations d'introduction à divers éléments essentiels de sécurité informatique.

Sécurité 101-102-103-104

Nouveauté 2026: sécurité "104" ou 121 avec @Dax "Sécurité 121 - Introduction au cloud AWS et à ses vecteurs d'attaque"

Dates:

• 26 octobre: Sécurité 101
• 27 octobre: Sécurité 102
• 28 octobre: Sécurité 121 "104"
• 29 octobre: Sécurité 103

Tous les détails sont ci-dessous:

Chaque formation inclus:

• 1 Billet Hackfest (assister aux conférences, villages Beginner CTF, etc.)
• Nourriture (dîner et café)

Non-inclus:

• Billet CTFChaque formation (doit être acheté apart).

-----------------------------------------------------------------------------

Sécurité 101

Au-delà de connaître la sécurité informatique de base, il essentiel de connaître les ressources de notre réseau vulnérable. Pour ce faire, l’apprentissage de certains outils nous permettant de faire un audit de base de notre réseau devient incontournable. D’autant plus que si l’on ne connaît pas ces outils, les personnes qui en veulent à nos données les connaissent très bien.

« De leurs ennemis les sages apprennent bien des choses. » - Aristophane

Description

Cette formation permettra au participant d’acquérir les compétences requises pour créer un audit de base de leur réseau informatique ou de participer à des jeux de sécurité (CTF). Le participant va réviser les concepts de base réseau, avoir un aperçu de l’utilisation d’outils de virtualisation, ainsi qu’apprendre les étapes des tests d’intrusion réseau, l’utilisation d’outils de vérifications de vulnérabilités du réseau informatique et de l’utilisation de Kali-Linux. Le tout se fera à travers plusieurs exercices toute au long de la journée.

Cette formation est conçue pour toute personne désirant acquérir de l’information sur l’intrusion d’un réseau. Plus particulièrement, les personnes désirant être initiées à la sécurité technique de base et désirant participer à des jeux de sécurité (hacking). La connaissance de base des protocoles utilisés dans un réseau informatique est un atout pour cette formation.

Horaire

• Introduction à l’intrusion (Pen testing)
• Introduction
• White, black , red and blue
• Méthodologies
• Les étapes de l’intrusion
• Outils de virtualisation
• VMWare
• VirtualBox
• Autres
• Kali Linux
• Introduction à Kali
• Connaître Kali Linux
• Commandes de base
• Mise à jour et installation de logiciels
• Les services
• Le réseau sous Kali Linux
• Installation d’un petit environnement de test local
• Établir une connexion
• Introduction à netcat
• Regard rapide à des alternatives : socat, powershell and powercat
• Am I in the middle : que peut-on voir sur le réseau?
• Retour sur les protocloles : segment TCP & UDP, paquet IPv4 & IPv6, la trame et 3-ways handshake
• Tcpdump et wireshark
• Découverte du réseau
• Nmap
• Hping/Nping
• Scapy
• Découverte de vulnérabilités
• Information en ligne
• Nessus
• Script Nmap
• Exploitation : Metasploit

Biographie

Formateur indépendant et enseignant en informatique (réseautique) au cégep de Sainte-Foy, Claude Roy est un ingénieur en informatique diplômé de l’Université Laval. Autodidacte, il considère que tout peut s’apprendre si l’intérêt et la passion sont présents. C’est ainsi qu’il passe de programmeur de système à spécialiste en infrastructure réseau : réseaux sans fil, routage et commutation. Disposant des certifications CCNA, CCAI, CCNA-Security et CCNP, il offre depuis une dizaine d’année les formations Cisco ainsi que des formations en sécurité informatique. Son désir de perfectionnement et son implication des dernières années avec le HackFest l’on amené à développer davantage ses compétences en sécurité des infrastructures et des systèmes applicatifs. Bien qu’il ait opéré pendant plusieurs années sa propre entreprise de consultation en information, il se concentre désormais sur son rôle de formateur.

Logistique

• Quand: 9h00 à 19h00
• Matériel: BYOD (Bring your own device), une machine virtuelle Kali Linux doit être installée
• VMWare workstation ou player fortement recommandé

-----------------------------------------------------------------------------

Sécurité 102

Il est bon de connaître les outils de base pour vérifier notre réseau, mais un réseau est plus complexe que nous le croyons. Il faut creuser un peu plus dans de notre réseau pour découvrir les failles plus subtiles, mais tout aussi dangereuses. De nombreux outils sont à la disposition des personnes malveillantes voulant exploiter ces failles et il faut en connaître autant sinon plus que nos attaquants.

« Qui connaît son ennemi comme il se connaît, en cent combats ne sera point défait. Qui se connaît mais ne connaît pas l'ennemi sera victorieux une fois sur deux. Qui ne connaît ni son ennemi ni lui-même est toujours en danger. »- L’Art de la guerre par Sun Tzu

Description

Cette formation fait suite à sécurité 101, elle va permettre au participant d’aller au-delà de l’audit de base et de participer de manière plus active dans des jeux de sécurité (hacking games). Le participant va parfaire ces connaissances acquises dans sécurité 101 et apprendre l’utilisation de nouveaux outils de vérifications des vulnérabilités de Kali Linux.

Dans la première partie, le participant sera introduit à la découverte de mots de passe avec John et hashcat, la sécurité Web à l’aide de proxy tel webscarab, burp et OWASP-ZAP et à l’abus des applications Web comme le SQL Injection, XSS et CSRF. Il sera également introduit aux techniques de hacking réseau pass-the-hash.

Dans la deuxième partie, nous allons revoir chacune des techniques précédentes à travers des démonstrations et des exercices sous la supervision du formateur.

Cette formation est conçue pour toute personne désirant aller plus loin dans l’intrusion d’un réseau. Plus particulièrement, les personnes désirant acquérir des notions de sécurité technique avancées et désirant participer à des jeux de sécurité (hacking).

Horaire

• Introduction
• Hacking de mots de passe
• Sécurité et piratage Web à l’aide de proxy
• Sécurité et piratage des clients
• Techniques de hacking réseau
• Exercices sur les proxys
• Démonstrations et exercices de piratage des clients : SQL injection, XSS et CSRF
• Démonstration et exercices d’extraction de mots de passe (services windows, SAM local, cleartxt in memory) et utilisation de John et hashcat.
• Démonstrations et exercices de hacking réseau pass-the-hash
• Travail sur les exercices

Formateur:

Claude Roy (bio dans la section sécurité 101)

-----------------------------------------------------------------------------

Sécurité 103

« Qui ne réfléchit pas et méprise l’ennemi sera vaincu. » - L’Art de la guerre par Sun Tzu

La formation Sécurité 103 est la suite logique des formations Sécurité 101 et Sécurité 102 et vise essentiellement à faire en sorte que le participant puisse s’introduire dans la peau d’un pentester qui souhaite gagner l’accès à un système informatique.

La première partie servira à introduire la participante ou le participant à la reconnaissance, et ce, à l’aide de différents outils : FOCA, LinkedIN ou Github. De plus, cette partie de la formation, la vulnérabilité du réseau sera abordée à travers le « Port scanning Follow up » et les identifiants par défauts. Enfin, nous analyserons les raisons pour lesquelles il importe de rechercher des vulnérabilités dans un pen test. Nous pourrons également profiter des expériences d’un vrai pen tester.

La partie suivante a pour objectif d’introduire la participante ou le participant à des techniques de MITM (Arp, Mitm6, Wpad, Responder) ainsi qu’à des techniques pouvant faciliter la découverte de mot de passe avancées.

Enfin, la dernière partie sera davantage orientée vers les systèmes d’exploitation avec l’escalade de privilèges sous Linux et Windows mais également vers la sécurité sous une architecture de domaine.

Horaire

9h00 à 12h00 et 13h00 à 19h00

Thèmes abordés

- Recon- FOCA- LinkedIN- Github

- Network Pentest- Port scanning Follow up- Default credentials- Vulnerability Scan- Real experience of a penetration tester

- MITM- Arp- Mitm6- Wpad- Responder- Passwords- Password Spraying- Advanced Hashcat Usage- Esoteric Hashcat

- Linux Privilege Escalation : SSH, Sudo, Setuid...- Windows Privilege Escalation : PTH, cred manager, lsass...- Domain Architecture Security- Domain User- Domain Admin- Local Admin- Service Account- Trusts

Formateur:

Simon Nolet

-----------------------------------------------------------------------------

Sécurité 121 "104" - Introduction au cloud AWS et à ses vecteurs d'attaque

Description

Cette formation introduit les concepts fondamentaux du cloud computing à travers la plateforme Amazon Web Services (AWS), avec un accent particulier sur les enjeux de sécurité, les vecteurs d'attaque et les mauvaises configurations les plus courantes.

Pour commencer, le participant découvrira l'architecture d'AWS et se familiarisera avec le concept du cloud. Il sera initié aux différentes interfaces telles que la console web, l'interface en ligne de commande (CLI) et les SDKs. Il sera également introduit aux services de base d'AWS et pourra interagir avec ceux-ci au travers de démonstrations pratiques et d'exercices. Finalement, toute cette section pourra être mise en pratique lors d'un atelier au travers du Beginner CTF.

Le reste de la journée sera consacré à l'exploration de la surface d'attaque du cloud AWS, incluant des exemples concrets. Le tout est appuyé par des démonstrations et exercices pratiques afin de mieux comprendre les risques réels associés au cloud. Pour conclure, un défi style CTF permettra aux participants de mettre en pratique les connaissances acquises durant la journée.

Cette formation s'adresse à toute personne désirant comprendre les fondements de la sécurité dans AWS, notamment les professionnels TI, administrateurs systèmes, analystes en sécurité ou toute personne souhaitant évoluer vers la sécurité du cloud. Le but du cours est de donner au participant les outils dont il a besoin pour développer sa propre méthodologie de pentest ou de CTF dans un environnement AWS.

Horaire

- Introduction
- Présentation du formateur
- But du cours
- Qu’est-ce que le cloud?
- Services gérés
- Modèle de tarification
- Applications cloud natives
- Introduction au cloud AWS
- Modèle de responsabilité partagée
- Régions, zones de disponibilité et points de présence
- “Sans serveur”
- Offre gratuite d’AWS
- Console, CLI et SDKs
- Console
- Accès à la console (interactif)
- Clés d’accès
- CLI
- Configuration du CLI (interactif)
- Présentation des SDKs
- Amazon Resource Names (ARNs)
- AWS Signature Version 4
- Exploration des services principaux
- Stockage
- Simple Storage Service (S3)
- Exercice S3 (interactif)
- “Compute” traditionnel
- Elastic Compute Cloud (EC2)
- Elastic Container Service (ECS)
- Relational Database Service (RDS)
- Exercice EC2 (interactif)
- “Sans serveur”
- Lambda
- Exercice Lambda (interactif)
- Intégration
- EventBridge
- Simple Notification Service (SNS)
- Simple Queue Service (SQS)
- Beginner CTF
- Défis AWS 1 à 15 (interactif)
- Le but de l’attaque
- Surface d’attaque
- Vecteurs d’attaque standards
- Identity and Access Management (IAM)
- Security Token Service (STS)
- Organizations
- Virtual Private Cloud (VPC)
- Menace interne
- Scénarios d’attaques
- Métadonnées EC2 (interactif)
- Bucket S3 public (interactif)
- Fuite de clé d’accès AWS (interactif)
- Exemples concrets (interactif)
- Défi final (interactif)

Durée

1 jour, de 9h00 à 19h00 (avec une heure de dîner)

Formateur:

@Dax