Parmi toutes les certifications liées à la sécurité du Système d’information, comment se distingue le CEH (Certified Ethical Hacker) ? Pour le savoir, nous avons été invités à suivre la formation CEH version 6 de l’EC-Council lancée en juin 2007. Une formation dispensée par l’un des partenaires agréés en France - Sysdream - située en banlieue parisienne à Saint-Ouen.

Organisme de formation, Sysdream est également une société spécialisée dans les tests d’intrusion, une expérience importante pour ce type de formation même si le CEH n’est pas une formation qui vise les « pentesters » aguerris. Le CEH constitue une étape obligatoire qui mène vers la certification CHFI (Computer Hacking Forensic Investigator) pour l’expertise judiciaire par exemple et LPT (Licensed Penetration Tester) pour les spécialistes de l’intrusion.
Dans la salle se trouve une dizaine de personnes où se mêlent responsables informatiques, ingénieurs sécurité, consultants, universitaires souhaitant mettre en oeuvre une licence dans le domaine de la sécurité informatique, consultant... Bref, une brochette de profils hétéroclites.

Pour chaque élève est fournie une boîte avec cinq manuels en anglais gros comme des annuaires et quatre DVD où se trouvent les autres modules de cours au format PDF, plusieurs centaines d’outils utiles disponibles pour les environnements Windows et Linux, des livres blancs et articles, du code source servant d’exemples... On le comprendra aisément et certification d’origine américaine oblige, chaque élève signera un document sur l’usage éthique de ce qu’il apprendra.

La formation CEH comprend 67 modules qui, bien évidemment, ne seront pas tous vus pendant la semaine de formation. Le formateur se concentre sur une petite vingtaine de modules qui représentent les points clés des questions servant à la certification. Il est donc recommandé de laisser passer quelque temps avant de passer sa certification contrairement à une certification ISO 27001 Lead Auditor où l’usage est de commencer le cours le lundi pour passer la certification le vendredi. Si 67 modules représentent une certaine charge de travail, l’étendue de l’apprentissage reste moindre que les dix domaines du CBK (Common Body Knowledge) de la certification CISSP de l’ISC². Toutefois, toutes ces certifications ne sont pas réellement concurrentes mais plutôt complémentaires entre elles. Et ce même si nous pensons, en outre, que le module cryptographie est mieux développé par l’ISC². De même, certains « slides » comportent des erreurs ou des points contestables mais là n’est pas le cœur du débat. La caractéristique du CEH est de prendre la position de l’attaquant plutôt que celle du défenseur. Seront donc étudiées les phases de reconnaissance, scanning, prise de contrôle, maintien du contrôle pour finir avec l’effacement des traces. La formation CEH vous fait connaître et utiliser beaucoup d’outils, ce qui fait grincer les dents de certaines personnes dans les forums. C’est là que le formateur a un rôle clé à jouer pour mettre en relief les outils. En précisant ceux qui sont complémentaires. En effet, pour le scan de ports, rien de révolutionnaire par rapport à nmap. Il ne sert donc à rien de passer le même temps sur tous les outils présentés. Ce recul effectué par le directeur technique de Sysdream, Paulo Pinto, permet donc de gagner un temps précieux. De même, l’expérience dans les prestations de hacking est un atout pour enrichir ce type de prestations. Des ateliers pratiques sont proposés en fin de modules.

Pour les gens présents la salle, la formation est globalement satisfaisante. Pour Yohann Slomian, responsable informatique du RSI (Régime social des indépendants) de Franche-Comté, « le rapport qualité/ temps de la formation CEH est impressionnant ». « La sécurité est une de mes nombreuses activités, le fait de disposer d’une grosse boîte à outils à jour avec manuels contextuels, cours pratiques et théoriques est très intéressant pour moi ». Et d’ajouter : « cela me permet de se remémorer les risques qu’on a tendance à oublier lorsqu’on n’a pas eu de gros pépins depuis un certain temps. On comprend qu’il est facile de pirater un système d’information et qu’il faut faire une effort de surveillance ». Quels sont les éléments qui ont plu à ce responsable informatique ? « J’ai bien aimé les ateliers même si j’en aurais souhaité davantage. Les ateliers comme l’intrusion, le cracking de mots de passe à distance ou la recherche de fichiers sensibles m’ont séduit de même que les attaques de l’Homme du Milieu (MITM). J’utilise d’ailleurs dans mon entreprise les outils Wireshark et Abel & Cain dans un autre contexte.
En revanche, j’ai moins aimé la partie exploitation de buffers overflow (dépassements de mémoire tampon) avec le framework Metasploit. C’est plus une démonstration à mon sens qu’un atelier. »
Envisage-t-il de passer la certification ? « Oui car cela va me forcer à entrer dans les détails et à me plonger dans les cours. C’est aussi un moyen de valider mes acquis ».

Le bilan est aussi très positif pour Constantin Yamkoudougou, ingénieur sécurité aux hôpitaux universitaires de Strasbourg qui ne regrette pas sa semaine. Cet habitué aux tests d’intrusion et aux audits internes a voulu « se confronter à des choses formalisées ». « Je voulais savoir si mon approche était utopique ou pas dans le cadre de mon travail et si j’étais en décalage en termes d’outils. J’ai apprécié l’aspect solutions car bien souvent les sociétés qui réalisent des tests d’intrusion nous parlent des vulnérabilités trouvées mais moins souvent de la solution pour y remédier. Cette formation, très intéressante donne le B.a-BA ; elle n’est toutefois pas suffisante pour se dire pentester. Rien ne remplace la pratique et l’expérience de tous les jours. Par ailleurs, j’ai apprécié de trouver de nouvelles pistes ».

Ajoutons enfin que la certification CEH est uniquement dans la langue de Shakespeare et comprend 150 questions auxquelles il faut répondre en quatre heures.