Le hacking et le pentesting sont des domaines vastes et passionnants, mais souvent intimidants pour les débutants. Pour mieux comprendre cet univers, il est utile de connaître les termes clés que tout professionnel ou passionné de cybersécurité utilise au quotidien.
Voci un dictionnaire de termes essentiels, avec une définition simple, un exemple concret et les outils associés quand ils existent. Que vous soyez curieux, étudiant ou futur pentester, ce guide vous servira de référence.
| Terme | Explication | Exemple | Outils utiles |
|---|---|---|---|
| Backdoor | Accès caché à un système. | Un pirate installe une porte dérobée pour revenir plus tard. | Metasploit, Netcat |
| Black Hat | Hacker malveillant qui attaque pour nuire. | Voler des cartes bancaires. | — |
| Botnet | Réseau d’ordinateurs infectés contrôlés à distance. | Des milliers de PC envoyant du spam. | Mirai, Zeus |
| Brute Force | Essayer toutes les combinaisons possibles pour deviner un mot de passe. | Tester « 1234 », puis « 12345 ». | Hydra, John the Ripper, Hashcat |
| Bug Bounty | Récompense donnée aux hackers éthiques qui trouvent des failles. | Gagner 500€ en signalant une faille. | HackerOne, Bugcrowd |
| CSRF | Forcer un utilisateur connecté à exécuter une action non voulue. | Faire transférer de l’argent via un faux lien. | Burp Suite |
| CVE | Identifiant unique d’une vulnérabilité connue. | CVE-2017-0144 = WannaCry. | NVD, Exploit-DB |
| Credential Stuffing | Réutiliser des identifiants volés ailleurs. | Essayer un mot de passe Netflix sur Facebook. | Sentry MBA, OpenBullet |
| CTF (Capture The Flag) | Compétition d’entraînement en cybersécurité. | Résoudre un défi pour trouver FLAG{123}. | TryHackMe, HackTheBox, Root-Me |
| DDoS | DoS lancé depuis plusieurs machines. | Un botnet bloque un site. | LOIC, HOIC |
| DoS | Attaque qui rend un service indisponible. | Inonder un site de requêtes. | LOIC |
| Enumeration | Extraire des infos détaillées sur un système. | Découvrir les utilisateurs d’un serveur Windows. | Enum4linux, Nmap, Nikto |
| Exploit | Code ou technique qui tire parti d’une faille. | Accéder à un mot de passe en clair. | Metasploit, Exploit-DB |
| Firewall | Barrière filtrant le trafic réseau. | Bloquer un port sensible. | iptables, pfSense |
| Forensics | Analyse d’un système après une attaque. | Chercher quel fichier a ouvert la porte. | Autopsy, Volatility |
| Footprinting | Cartographier un système cible. | Identifier les IP et serveurs d’une entreprise. | Maltego, Recon-ng |
| Grey Hat | Hacker intermédiaire, pas toujours légal. | Trouver une faille sans autorisation. | — |
| Hash | Valeur chiffrée unique d’un mot de passe ou fichier. | « secret » devient `5ebe2294…`. | sha256sum, md5sum |
| Hashcat | Outil pour casser des mots de passe hachés. | Retrouver « motdepasse123 ». | Hashcat |
| IDS | Système de détection d’intrusion. | Alerte lors d’un brute force. | Snort, Suricata |
| IPS | Système qui bloque automatiquement une intrusion. | Couper la connexion suspecte. | Snort, Suricata |
| Keylogger | Programme qui enregistre vos frappes clavier. | Capturer un mot de passe. | Spyrix, Ardamax |
| Man-in-the-Middle (MITM) | Intercepter la communication entre deux parties. | Lire vos messages en Wi-Fi public. | Ettercap, Bettercap, Wireshark |
| Malware | Logiciel malveillant en général. | Un virus qui efface vos fichiers. | — |
| Metasploit | Cadre d’outils pour tester des exploits. | Lancer un exploit sur Windows. | Metasploit |
| OWASP Top 10 | Liste des 10 failles web les plus critiques. | SQL Injection est dans le Top 10. | — |
| Payload | Partie d’un exploit qui exécute l’action. | Un payload ouvre un accès à distance. | Metasploit |
| Patch | Correctif de sécurité. | Installer une mise à jour Windows. | WSUS, apt/yum |
| Pentest | Test de sécurité simulant une attaque. | Engager un pentester pour un site. | Kali Linux, Parrot OS |
| Phishing | Tromper un utilisateur pour obtenir ses infos. | Un faux mail de banque. | Gophish, SET (Social Engineering Toolkit) |
| Privilege Escalation | Obtenir plus de droits que prévu. | Passer simple utilisateur → admin. | LinPEAS, WinPEAS |
| Privilege Escalation (Horizontale) | Prendre l’accès d’un autre utilisateur. | Passer du compte « Paul » à « Marie ». | CrackMapExec |
| Privilege Escalation (Verticale) | Obtenir des privilèges supérieurs. | Passer en administrateur. | LinPEAS, WinPEAS |
| Ransomware | Malware qui chiffre vos fichiers et demande rançon. | « Payez 300€ pour récupérer vos données ». | — |
| Reconnaissance | Phase d’information avant une attaque. | Rechercher des sous-domaines. | theHarvester, Shodan |
| Rootkit | Logiciel cachant une présence malveillante. | Masquer des fichiers pirates. | chkrootkit, rkhunter |
| Sandbox | Environnement isolé pour tester un programme. | Lancer un fichier suspect dans une sandbox. | Cuckoo Sandbox |
| Scanning | Chercher des ports ou services actifs. | Scanner un serveur avec Nmap. | Nmap, Masscan |
| SIEM | Centralise et analyse les logs de sécurité. | Détecter une connexion suspecte. | Splunk, ELK, QRadar |
| Sniffing | Écouter le trafic réseau. | Capturer identifiants avec Wireshark. | Wireshark, tcpdump |
| Social Engineering | Manipuler une personne pour obtenir des infos. | Se faire passer pour un technicien. | SET (Social Engineering Toolkit) |
| Spoofing | Se faire passer pour une autre source. | Envoyer un mail avec l’adresse du patron. | Ettercap, Bettercap, SPF/DKIM test |
| SQL Injection | Insérer du code SQL dans une base de données. | `’ OR 1=1 –` | sqlmap, Havij |
| Trojan | Programme malveillant déguisé en logiciel utile. | Un faux jeu contenant un cheval de Troie. | njRAT, DarkComet |
| Virus | Malware qui infecte d’autres fichiers. | Un fichier Word contaminé. | ClamAV (détection) |
| Vulnérabilité | Faiblesse dans un système. | Mot de passe admin par défaut. | Nessus, OpenVAS |
| White Hat | Hacker éthique qui aide à sécuriser. | Tester un site légalement. | — |
| Worm | Malware qui se réplique sur un réseau. | WannaCry infecte des PC. | — |
| XSS (Cross-Site Scripting) | Injecter du code malveillant dans une page web. | `<script>alert(« hacké »)</script>` | Burp Suite, OWASP ZAP |
| Zero-Day | Faille inconnue sans correctif disponible. | Découverte avant Microsoft. | Exploit-DB, 0day.today |
La cybersécurité peut sembler complexe, mais connaître les termes essentiels du hacking et du pentesting est un excellent point de départ. Ce dictionnaire vous a présenté des notions clés, avec des définitions simples, des exemples concrets et les outils associés.
Des formations informatique pour tous !
Débutant ou curieux ? Apprenez le développement web, le référencement, le webmarketing, la bureautique, à maîtriser vos appareils Apple et bien plus encore…
Formateur indépendant, professionnel du web depuis 2006, je vous accompagne pas à pas et en cours particulier, que vous soyez débutant ou que vous souhaitiez progresser. En visio, à votre rythme, et toujours avec pédagogie.
Découvrez mes formations Qui suis-je ?Que vous soyez débutant ou futur pentester, ces connaissances vous permettront de mieux comprendre les attaques, de renforcer vos systèmes et d’aborder le monde de la sécurité informatique avec confiance.
Se familiariser avec ces concepts est la première étape pour progresser dans un domaine où curiosité et vigilance sont vos meilleurs alliés.
