Distribution Linux optimisée pour les tests de pénétration, Kali Linux est maintenue et gérée par des spécialistes de la sécurité offensive. Que signifie ce nom ? Eh bien, nous allons y venir. Cette distro est née en 2006 sous le nom de BackTrack Linux, mais après une refonte majeure en 2013, elle a reçu le nom de Kali. Basé sur Debian Testing, Kali comprend plus de 300 outils de sécurité, dont les grands comme Metasploit, Nmap et Aircrack-ng, mais aussi une grande variété d'outils plus obscurs et spécialisés.
Kali est gratuit à télécharger et à utiliser, mais elle est conçue comme une distribution Linux spécialisée, optimisée pour les tests de pénétration, et non comme un système d'exploitation quotidien permettant de vérifier votre courrier électronique ou de naviguer sur le web ou de partager des gifs de chatons.
Pour commencer avec Kali
Si vous êtes familier avec Linux, en particulier avec une version de Debian comme Ubuntu (ou, bien, Debian directement), alors Kali vous semblera familier, du moins au début. Ouvrez un terminal et fouinez. Il est officiellement reconnu comme une variante conforme de Debian par le projet Debian, et avec un bureau GNOME par défaut, il a l'aspect et le toucher que vous pouvez attendre au premier coup d'œil.
Avance rapide vers cette scène d'un film de la Seconde Guerre mondiale où un sergent grisonnant et coupeur de cigares enlève la bâche poussiéreuse qui recouvre les Big Guns. C'est à peu près ce que l'on ressent lorsqu'on déploie Kali et qu'on commence à jouer avec. D'autant plus que pointer la plupart de ces outils sur des cibles sans leur permission est illégal en vertu de la loi sécurité des réseaux et des systèmes d'information (loi n°2018-133 du 26 février 2018) en France, mais on trouve des équivalents dans le monde entier. Encore une fois, Kali n'est pas destiné à être utilisée comme système d'exploitation quotidien par défaut, mais doit être utilisée pour des tests de sécurité. En tant que telle, elle est fréquemment installée sur une machine virtuelle sur un PC, en utilisant VMWare ou VirtualBox sur un hôte Windows, Mac, ou même Linux. Kali s'installe aussi très bien en tant que VM Qubes. Les néophytes peuvent commencer par télécharger une VM VMWare ou VirtualBox préconfigurée pour être rapidement opérationnels.
À qui s'adresse Kali ?
Kali est une distribution Linux spécialisée destinée aux utilisateurs expérimentés de Linux qui ont besoin d'une plateforme de test de pénétration offensive axée sur la sécurité. « Si vous n'êtes pas familier avec Linux en général, si vous n'avez pas au moins un niveau de compétence de base dans l'administration d'un système, si vous cherchez une distribution Linux à utiliser comme outil d'apprentissage pour vous familiariser avec Linux, ou si vous voulez une distribution que vous pouvez utiliser comme installation de bureau à usage général, Kali Linux n'est probablement pas ce que vous cherchez », expliquent les administrateurs de Kali sur leur site.
Une fois dans le vif des tests de pénétration, Kali est le bon choix pour la plupart des tâches de sécurité offensives. Les utilisateurs avancés peuvent se faire une opinion sur les alternatives à Kali qu'ils préfèrent, mais les nouveaux venus dans le domaine des tests d'intrusion doivent se familiariser avec Kali avant d'envisager d'autres options.
Installation des métapackages de Kali
Il y a tellement d'outils de sécurité disponibles pour Kali qu'ils ne peuvent pas tous tenir dans un seul téléchargement. Comme beaucoup de ces outils sont spécialisés pour des cas spécifiques de matériel ou d'utilisation marginale, Kali télécharge avec un ensemble des outils les plus couramment utilisés et permet aux utilisateurs d'installer des méta-paquets - des paquets Debian qui comprennent des dizaines, voire des centaines de paquets dans cette catégorie. Les administrateurs de Kali donnent l'exemple du téléchargement de Kali pour un engagement sans fil de pentesting. Plutôt que d'attendre que tout soit installé, une commande apt-get install kali-tools-wireless permet d'obtenir tous les outils sans fil de Kali, ce qui vous permettra d'aller plus vite.
La liste complète des méta-paquets comprend plus d'une douzaine d'options. Les nouveaux utilisateurs de Kali devraient commencer par installer kali-linux-default et peut-être kali-tools-top10. La bête noire compléte de Kali est baptisée All the Things, mais elle demande de longs temps de téléchargement et une surcharge d'outils.
Les outils populaires de Kali
Imaginez un couteau suisse avec plusieurs centaines de gadgets, de gewgaws et de machins. Par où commencer ? Probablement pas la pince à épiler ou le cure-dent. le principal outil reste le grand couteau, certainement l’ouvre-boîte, le tournevis. Pour Kali, c’est Metasploit, le populaire cadre de test de pénétration. On peut aussi citer Nmap, l'indispensable scanner de ports. Et Wireshark, l'omniprésent analyseur de trafic réseau. Et bien sûr, Aircrack-ng, pour tester la sécurité du WiFi.
Pour gérer le trafic du réseau, on a le choix entre mitmproxy et Burp (version gratuite). Pour craquer des mots de passe hors ligne ? Hashcat et John l'éventreur feront le travail. Commencer sa journée en injectant du SQL ? Sqlmap est un bon point de départ. Pour créer des courriels de phishing dans le cadre d'une campagne de test, les outils d'ingénierie sociale - comme le Social-Engineer Toolkit (SET) - continueront à se jouer les employés inattentifs.
S'entraîner à utiliser Kali
Pour démarrer avec à Kali, il est nécessaire de trouver un terrain d’exercice légal sur lequel pointer l'arsenal d'outils. Des services populaires comme VulnHub et HacktheBox offrent un accès VPN gratuit ou bon marché à des dizaines de boîtes vulnérables qui permettre de mettre en pratique ses talents de hacker.
Une fois lancée, la certification OSCP est à portée de main. Cette très convoitée certification Offensive Security Certified Professional, créée et gérée par les gens d'Offensive Security - qui assurent également la maintenance de Kali Linux - offre une formation pratique à l'aide de Kali et un examen de 24 heures où les étudiants doivent pirater des cibles vulnérables pour réussir. L'OSCP n'est pas facile à passer. C'est pour une bonne raison que leur devise est « Try Harder » (essayez plus fort).
Caractéristiques spéciales de Kali
Kali prend en charge toutes sortes de cas pratiques et notamment le support ARM (Raspberry Pi), un mode d'analyse, un « Kali pour Android" appelé NetHunter, des images Amazon EC2 AWS, et même le support du braille. La plupart de ces derniers sont des cas d'utilisation avancée dont un débutant n'aura probablement pas besoin, ni même besoin de connaître, mais l'univers de Kali est vaste et populaire.
Quant au nom Kali, il signifie, entre autres, déesse hindoue de la préservation, de la transformation et de la destruction, mère divine (de Ramakrishna), art martial philippin, ou sévère en swahili. Mais pour les administrateurs de l’OS, Kali est simplement le nom que nous avons trouvé pour notre nouvelle distribution. »
Formidable article j'ai l'impression que on n'a pas besoin d'être un ingénieur développeurs pour utilisé kali. Mais moi je suis passionné de la sécurité informatique et je désire l'apprendre.comment je fais alors .besoin d'aide. Car je commence en informatique.
Signaler un abusVisiteur13308 +1 (team blackarch)
Signaler un abusinitialement Kali Linux se nommait BackTrack ; certains disent qu'ils sagit de Ubuntu en capture d'écran ; je trouve qu'il est difficile de dire de quelle distribution on parle à la simple vue d'une capture d'écran ; un fond d'écran ça se change et l'un étant basé sur l'autre il est tout à fait normal que Kali Linux ressemble à Ubuntu car ce qui différentie l'OS c'est surtout les programmes et scripts embarqués ... maintenant rien ne vous empêche sur Kali Linux d'appliquer les modifications que vous désirez pour utiliser un autre gestionnaire de fenêtres ou les personnalisations qui vous intéressent ; tout comme d'installer de quoi jouer à des jeux vidéos même si ce n'est pas le meilleur raccourcis ce n'est tout bonnement pas impossible.
Signaler un abusJe reconnais avoir utilisé Kali Linux il y a quelques années pour tester la sécurité de mon cloud ;) faire un audit "global" voir ce qu'il était possible d'en tirer et surtout voir s'il était possible de "down le cloud" ça m'a permis d'améliorer certains points ; mais au delà du cadre légal les hacker se fichent de ce cadre là du coup Kali Linux peut être considéré comme une arme destinée au réseau ; qui selon qui l'emploi ; peut être synonyme avec coût financier à la clé ...
Signaler un abusParrot Os pour les debutants c'est quand meme 100x mieux que Kali, pour les confirmés y'a blackarch !
Signaler un abusMais Kali c'est juste MrRobot qui l'a rendu populaire.
Kali s'utilise très souvent en Virtual Machine ou container, d'où le bureau Ubuntu
Signaler un abusIllustrer Kali avec une capture d'Ubuntu ? Original...
Signaler un abusOui mais l'image que vous avez choisi c'est Ubuntu 🤔🤔
Signaler un abus..."À qui s'adresse Kali ?"... En tout cas plus à Pablo Escobar...
Signaler un abus