GO AI ACADEMY

Ethical hacking- cybersécurity - Forensics

image

Programme Détaillé

Module 1 : Sécurité des Réseaux & Nouvelles Menaces

1
Panorama, Cyber-Espionnage & Setup Lab
  • Cadre légal, éthique, terminologie (Red, Blue, Purple Team).
  • Panorama de la surveillance numérique étatique et des menaces asymétriques.
  • Configuration sécurisée des environnements virtuels (Sandbox).
« Blackout Initial » — Analyse d'urgence Cas pratique
Le Scénario

L'administrateur réseau d'une banque soupçonne une fuite et une exfiltration de données client survenue durant le week-end (data leak over weekend). Les hackeurs ont pris le soin d'effacer toutes les traces (Anti-forensics). La banque vous fait appel et vous devez urgemment retrouver les preuves de l'infiltration et évaluer la quantité et le type de données exfiltrées.

La Mission

Configurer son lab sécurisé et analyser une capture de trafic brut (fichiers PCAP) pour identifier un trafic sortant anormal noyé dans la masse.

Le Résultat

Un environnement de travail opérationnel et l'extraction des Indicateurs de Compromission (IoC).

2
Architecture et Interception Réseau
  • Modèle OSI, protocoles sécurisés (HTTPS, TLS 1.3, VPN), architectures Zero Trust.
  • Firewalls et IDS/IPS de nouvelle génération.
  • ARP Spoofing, session hijacking et HoneyPot (Cyber Deception).
Terminal fantôme & C2 — Interception réseau Cas pratique
Le Cas Client

Le SOC (Security Operations Center) d'une multinationale lève une alerte critique : un terminal fantôme (rogue device) connecté au réseau de l'entreprise établit des connexions suspectes vers une infrastructure de commande externe (C2).

Mandat d'Intervention
  1. Déployer une interception tactique (Man-in-the-Middle) via un empoisonnement ARP pour dérouter silencieusement le flux vers la station d'audit.
  2. Exploiter une clé de session compromise pour contourner le chiffrement TLS (Session Hijacking) et inspecter les paquets en temps réel via Wireshark.
  3. Déployer un leurre actif (Honeypot réseau) imitant des services critiques de l'entreprise pour attirer l'attaquant, isoler ses futures tentatives de rebond et analyser ses méthodes d'intrusion en environnement confiné.
Livrable Opérationnel

Déchiffrement intégral du tunnel de communication, isolation de la charge utile pour bloquer l'attaque en cours, et mise en place d'une infrastructure de traçage (Honeypot) pour piéger les futures actions du groupe de hackers et enrichir la Threat Intelligence du client.

Module 2 : Ethical Hacking, Pentest & Automatisation

3
Reconnaissance et OSINT
  • Reconnaissance passive/active, footprinting, énumération réseau.
« Opération Shadow Hunt » — Investigation Judiciaire & OSINT Cas pratique
Réquisition Judiciaire (Le Cas)

Une cliente est victime d'un chantage numérique aggravé (sextorsion). Un maître chanteur totalement anonyme détient des données à caractère intime et menace de les divulguer massivement sur les réseaux sociaux si ses exigences ne sont pas satisfaites. Suite au dépôt de plainte, les autorités judiciaires mandatent votre cellule d'investigation (CTI) pour une intervention d'urgence. Le seul artefact technique (point de pivot) fourni au dossier est le pseudonyme utilisé par l'attaquant : Beluga226XL.

Mandat d'Investigation (La Mission)
  • Déployer des plateformes d'analyse de liens (Maltego, Spiderfoot) pour traquer l'alias Beluga226XL sur le web de surface, les réseaux sociaux et les forums clandestins afin de reconstituer son empreinte numérique et initier sa désanonymisation.
  • Extraire et analyser la télémétrie et les métadonnées (EXIF) des fichiers « preuves » envoyés par le maître chanteur pour isoler une géolocalisation ou l'empreinte de son matériel physique.
  • Interroger les registres de fuites de données (Leaked DBs) sur le Dark/Deep Web pour relier ce pseudonyme à des adresses e-mail réelles, et exploiter ses propres failles de sécurité opérationnelle (OpSec) pour récupérer ses identifiants historiques.
  • Mener une reconnaissance active via des moteurs de recherche IoT (Shodan, Censys) sur les adresses IP identifiées pour cartographier l'infrastructure technique qui dissimule l'attaquant (serveurs relais, routeurs, VPN).
Livrable Opérationnel

Un rapport d'investigation numérique à valeur légale destiné aux autorités. Ce dossier doit lever l'anonymat de l'acteur malveillant, cartographier son infrastructure de dissimulation, et isoler le point d'entrée technique exclusif qui permettra la contre-offensive (Séance 4) pour neutraliser la menace et récupérer les données volées.

4
Exploitation de Systèmes (Zero-Click & Modern Exploits)
  • Framework Metasploit avancé.
  • Exploitation Windows (SMB, RDP) : contournement d'antivirus et menaces Zero-click.
« Opération Breach & Clear » — Contre-Offensive & Exploitation Cas pratique
Contexte Opérationnel (Le Cas)

Suite au profilage OSINT de l'investigation précédente, votre équipe a identifié avec certitude le serveur personnel sur lequel le maître chanteur « Beluga226XL » stocke les données sensibles de la cliente. Le procureur a délivré un mandat d'intervention exceptionnel (cadre d'Active Defense) pour neutraliser la menace avant la publication des fichiers. L'audit de surface révèle que le serveur cible est un environnement Windows protégé par un Antivirus standard (EDR), mais dont les correctifs de sécurité n'ont pas été appliqués depuis plusieurs mois.

Mandat d'Intervention (La Mission)
  • Concevoir et packager une charge utile (payload) obfusquée spécifiquement conçue pour contourner les mécanismes de détection par signature de l'antivirus cible (AV Evasion).
  • Paramétrer et lancer une attaque à distance sans interaction humaine (Zero-Click Exploit) sur les protocoles exposés (SMB ou RDP) en utilisant les modules avancés du framework Metasploit.
  • Établir un canal de communication chiffré et furtif (Reverse Shell) entre l'infrastructure compromise du maître chanteur et la station de l'opérateur Red Team.
  • Élever les privilèges de l'accès initial pour obtenir les droits d'administration totaux (Root/SYSTEM) sur la machine cible.
Livrable Opérationnel

Prise de contrôle totale de l'infrastructure de l'attaquant. Sécurisation et suppression définitive des données à caractère intime volées à la cliente (neutralisation de la menace de sextorsion). Rédaction d'un compte-rendu technique de compromission détaillant le vecteur d'attaque utilisé pour s'introduire sur le serveur cible.

5
Persistance & Mouvement Latéral
  • Post-exploitation, Buffer Overflow moderne.
  • Élévation de privilèges et vol d'identifiants (Mimikatz).
« Opération Checkmate » — Persistance & Mouvement Latéral Cas pratique
Contexte Opérationnel (Le Cas)

L'intervention d'urgence (Séance 4) a permis de prendre le contrôle du serveur principal de « Beluga226XL » et de supprimer les données primaires. Cependant, l'analyse immédiate de la machine révèle qu'elle est connectée à un réseau interne plus vaste (l'infrastructure criminelle du maître chanteur). Il est hautement probable que des sauvegardes automatisées des données de la cliente existent sur d'autres nœuds de ce réseau (serveurs de backup NAS, machines secondaires). Si le hacker détecte votre présence ou redémarre son système, l'accès sera perdu.

Mandat d'Intervention (La Mission)
  • Implanter des mécanismes de persistance furtive (tâches planifiées obfusquées, manipulation de clés de registre) pour garantir le maintien de l'accès (Backdoor) à l'infrastructure cible, même après un redémarrage du système.
  • Opérer une extraction d'identifiants post-exploitation : dumper la mémoire vive (RAM) de la machine compromise pour en extraire les condensats de mots de passe (Hashes) et les tickets d'authentification de l'administrateur du réseau (outils type Mimikatz).
  • Exécuter un mouvement latéral silencieux (Pivoting et Pass-the-Hash) : utiliser le premier serveur comme tête de pont pour rebondir et compromettre de proche en proche les autres machines du réseau interne.
  • Atteindre et compromettre le cœur de l'infrastructure (le Contrôleur de Domaine ou le serveur de stockage central) en contournant les solutions de détection internes de l'attaquant.
Livrable Opérationnel

Compromission totale et silencieuse de l'ensemble de l'infrastructure criminelle. Démantèlement du réseau et destruction certifiée de toutes les sauvegardes cachées des données de la cliente. Remise aux autorités d'un rapport de neutralisation garantissant l'éradication définitive de la menace de sextorsion.

Module 3 : Sécurité Web, API & Ingénierie Sociale 2.0

6
Attaques Web et API (OWASP)
  • Injection SQL, XSS, SSRF, failles de logique métier.
  • Cartographie et attaque d'API (REST/GraphQL).
« Opération Glass Vault » — Audit Offensif Web & API Cas pratique
Le Cas Client (Contexte de l'Audit)

Un acteur majeur de la FinTech (ou du E-commerce) mandate votre cabinet pour éprouver la sécurité de sa nouvelle plateforme applicative avant son lancement public (Go-Live). L'équipe de développement du client est persuadée que son backend API est étanche et que la gestion des droits utilisateurs est inviolable. En tant qu'auditeurs offensifs (Red Team), vous avez l'autorisation explicite d'attaquer cette infrastructure de pré-production pour prouver le contraire.

Mandat d'Intervention (La Mission)
  • Déployer un proxy d'interception avancé (Burp Suite) pour analyser l'architecture de la cible et intercepter les requêtes API en transit entre le client web et le backend.
  • Identifier les failles de logique métier et contourner les contrôles d'accès en manipulant les jetons d'authentification à la volée (Session Hijacking / usurpation d'identité).
  • Découvrir et militariser une vulnérabilité critique d'Injection SQL (SQLi) cachée dans les paramètres de l'API, forçant ainsi le serveur de base de données à outrepasser ses restrictions.
Livrable Opérationnel

Preuve de Concept (PoC) démontrant l'exfiltration silencieuse de la table des utilisateurs et la compromission des accès administrateurs de la plateforme. Fourniture au client d'un rapport d'audit (Pentest Report) évaluant l'impact métier critique de la faille (fuite de données massives), accompagné des correctifs de code (Secure Coding) nécessaires pour patcher l'API avant sa mise en production.

7
Ingénierie Sociale & Menaces IA
  • Phishing, Vishing, Smishing.
  • Utilisation de l'IA (Deepfakes, LLM) pour automatiser l'ingénierie sociale.
« Opération Phantom Executive » — Ingénierie Sociale, Email Spoofing & IA Offensive Cas pratique
Le Cas Client (Contexte de l'Audit)

Une multinationale dont le périmètre technique est lourdement fortifié mandate votre équipe Red Team pour évaluer son « risque humain » (Human Risk Assessment) ainsi que la résilience de son infrastructure de messagerie face à l'usurpation d'identité. Face à un réseau logiciel impénétrable de l'extérieur, le client vous autorise à combiner l'exploitation de failles de configuration SMTP avec une campagne d'ingénierie sociale propulsée par l'IA contre le secrétariat de la direction générale.

Mandat d'Intervention (La Mission)
  • Auditer la configuration DNS et SMTP du domaine de l'entreprise pour prouver l'absence (ou la mauvaise implémentation) des protocoles de sécurité et d'authentification des courriels (SPF et DKIM).
  • Exploiter cette vulnérabilité technique (Email Spoofing) pour forger un e-mail de Spear-Phishing militarisé (document Office avec Macro obfusquée) s'affichant comme provenant de l'adresse e-mail légitime et exacte du PDG (prenom.nom@entreprise-cliente.com).
  • Mener une collecte OSINT sur les apparitions publiques du dirigeant pour en extraire des échantillons vocaux et exploiter des modèles d'IA générative (Voice Cloning) afin de synthétiser un clone vocal haute-fidélité.
  • Synchroniser l'attaque : déployer l'e-mail parfaitement usurpé tout en simulant un appel téléphonique d'urgence (Vishing par IA) pour inciter la cible à ignorer les alertes de sécurité et à ouvrir le document infecté.
Livrable Opérationnel

Preuve d'Accès Initial (Initial Access) obtenue depuis l'intérieur du réseau. Remise au comité de direction d'un double rapport d'audit :

  1. Technique : Démonstration de la vulnérabilité du domaine à l'usurpation et fourniture des directives d'ingénierie pour verrouiller la messagerie via l'implémentation stricte des politiques SPF, DKIM et DMARC.
  2. Organisationnel : Preuve de l'efficacité redoutable des attaques manipulatoires propulsées par l'IA (Fraude au Président 2.0) couplée à un plan de formation « Zero Trust Humain » pour le personnel clé.

Module 4 : Vulnérabilités Matérielles & Mobilité

8
Sécurité Mobile et Spywares
  • Architecture d'Android et rétro-ingénierie (Reverse Engineering).
  • Fonctionnement des malwares d'état (Pegasus-like).
« Opération Pegasus-Lite » — Mobile Forensics & Rétro-ingénierie Cas pratique
Le Cas Client (Contexte Opérationnel)

Le service de sécurité d'un corps diplomatique mandate en urgence votre cellule DFIR (Digital Forensics & Incident Response). Le terminal mobile (Android) d'un haut dignitaire présente des anomalies comportementales sévères (surchauffe thermique injustifiée, exfiltration de données chiffrées hors bande). Les soupçons se portent sur l'infection par un spyware furtif de classe étatique (type Pegasus ou Predator), possiblement injecté via une faille Zero-Day.

Mandat d'Investigation (La Mission)
  • Procéder à l'extraction sécurisée de la charge utile suspecte (fichier APK) et la transférer dans un environnement d'analyse isolé (Sandbox mobile).
  • Utiliser des outils de rétro-ingénierie (Jadx, APKTool) pour décompiler l'application et contourner les mécanismes d'obfuscation (Anti-Analysis / Anti-Debugging) mis en place par les développeurs du malware.
  • Analyser le code source reconstitué pour cartographier les capacités d'espionnage de l'implant (routines d'activation silencieuse du microphone et de la caméra, interception des messageries).
  • Isoler et extraire les adresses IP/domaines de l'infrastructure de Command & Control (C2) codés en dur ou calculés dynamiquement par le malware.
Livrable Opérationnel

Rapport d'analyse de malware (Malware Analysis Report) certifiant la compromission. Fourniture immédiate des Indicateurs de Compromission (IoCs) pour permettre au SOC du client de bloquer l'infrastructure de l'attaquant au niveau réseau. Désinfection chirurgicale du terminal et documentation des méthodes d'exfiltration pour auditer et protéger les autres membres de la délégation diplomatique.

9
Hardware Hacking & Accès Physique
  • Sécurité des équipements : routeurs, objets connectés (IoT).
  • Injection physique (Bad USB, Juice Jacking).
« Opération Close-Access » — Intrusion Physique & Compromission Hardware Cas pratique
Le Cas Client (Contexte de l'Audit)

Un opérateur d'infrastructure critique (ou une institution financière), très confiant dans la robustesse de ses pare-feu et de son architecture logicielle, mandate votre équipe Red Team pour évaluer sa résilience face à une « menace interne » ou à une infiltration physique. L'objectif de cette mission Close-Access est de démontrer qu'une fois le contrôle d'accès des locaux franchi (Badge cloné ou Tailgating), le matériel réseau physique et les postes de travail momentanément laissés sans surveillance constituent une faille fatale.

Mandat d'Intervention (La Mission)
  • Développer et militariser une charge utile matérielle (Clé USB type Rubber Ducky ou câble OMG) reposant sur une attaque HID (Human Interface Device). Le script (BadUSB / Keystroke Injection) doit s'exécuter en moins de 3 secondes pour contourner les antivirus (EDR) avant le verrouillage de l'écran.
  • Exécuter une opération d'infiltration chronométrée : pénétrer dans la zone cible (simulée), déployer l'implant USB sur un poste déverrouillé pour initier un accès distant furtif, et se retirer en moins de 60 secondes.
  • Mener une compromission matérielle (Hardware Hacking) sur les équipements réseau périphériques de l'entreprise : interfacer un équipement d'analyse directement sur les ports de maintenance physiques (UART/JTAG) d'un routeur cible.
  • Détourner le processus de démarrage du routeur pour réaliser une extraction matérielle (Dump) du microprogramme (Firmware) afin d'y déceler des secrets industriels ou d'injecter une Backdoor persistante au niveau matériel.
Livrable Opérationnel

Preuve d'établissement d'un accès matériel persistant, totalement aveugle et indétectable par les sondes de sécurité logicielles (Firewalls/IDS) du client. Remise d'un rapport d'audit « Phygital » (Physique + Logique) prescrivant le durcissement physique des routeurs, le blocage strict des périphériques USB via des politiques GPO, et la mise en place d'une culture du « Clear Desk / Verrouillage d'écran » au sein de l'entreprise.

  • Nombre de places: 30
  • Enregistrement séance: Oui
  • Quizzes et exos: Oui
  • Langue d'enseignement: Français
  • Support vidéo tuto: Oui
  • Certificat: Oui