Créer un lab pentest gratuit pour étudiants

Pourquoi un lab de pentest est essentiel

Le test d'intrusion ne s'apprend pas dans un manuel. Les étudiants doivent scanner, exploiter, pivoter et documenter sur de vrais environnements pour développer les réflexes que le métier exige. Mais acheter des licences commerciales ou louer des cyber ranges coûte cher, et beaucoup d'établissements n'en ont pas le budget.

La bonne nouvelle : il est tout à fait possible de monter un lab de pentest fonctionnel et pédagogiquement solide sans dépenser un centime en logiciels. Les outils open source et les machines volontairement vulnérables disponibles gratuitement couvrent largement les besoins d'un cursus de cybersécurité.

Le matériel minimum requis

Avant de parler logiciel, parlons matériel. Un lab de pentest peut tourner sur des ressources modestes :

Option 1 : les machines des étudiants. Chaque étudiant installe VirtualBox ou VMware Workstation Player (gratuit) sur son propre ordinateur. Il fait tourner les VMs localement. C'est l'option zéro budget, mais elle dépend de la puissance des machines individuelles (minimum 8 Go de RAM et un processeur multi-coeurs).

Option 2 : un serveur mutualisé. Un serveur unique avec Proxmox (hyperviseur open source) héberge les machines vulnérables pour toute la classe. Les étudiants s'y connectent via le réseau local. Un serveur d'occasion avec 64 Go de RAM et un processeur correct suffit pour 15 à 20 étudiants simultanés.

Option 3 : des machines recyclées. Récupérer d'anciens postes de travail ou serveurs de l'établissement pour constituer un mini-cluster. Même du matériel de cinq ans peut faire l'affaire pour des labs de pentest classiques.

Dans tous les cas, prévoir un switch réseau dédié et un segment réseau isolé du réseau de production. On ne fait pas de pentest sur le réseau de l'école.

L'hyperviseur : Proxmox, le choix évident

Pour un lab gratuit, Proxmox VE est la solution de référence. C'est un hyperviseur open source basé sur KVM et LXC, avec une interface web complète pour gérer les machines virtuelles et les conteneurs.

Pourquoi Proxmox convient parfaitement aux labs pédagogiques :

• Gratuit et open source : pas de licence à payer, pas de limite fonctionnelle
• Snapshots et clones : restaurer un lab dans son état initial après un TP prend quelques secondes
• Réseau virtuel : créer des VLAN et des réseaux isolés sans matériel supplémentaire
• Templates : préparer une configuration de base et la dupliquer pour chaque groupe d'étudiants
• Interface web : les étudiants peuvent accéder à leurs VMs via un navigateur, sans client lourd

L'alternative pour les setups individuels : VirtualBox (gratuit, multiplateforme) ou VMware Workstation Player (gratuit pour un usage personnel et éducatif).

Les machines vulnérables incontournables

Le coeur du lab, ce sont les cibles. Voici les machines et applications volontairement vulnérables à déployer en priorité :

Pour les débutants

• Metasploitable 2 : la machine vulnérable classique. Services mal configurés, mots de passe faibles, vulnérabilités connues. Parfaite pour les premiers TP d'exploitation avec Metasploit.
• DVWA (Damn Vulnerable Web Application) : application web avec des niveaux de difficulté réglables. Idéale pour enseigner les failles de sécurité web : injection SQL, XSS, upload de fichiers, CSRF.
• Juice Shop (OWASP) : application e-commerce volontairement vulnérable. Plus moderne et réaliste que DVWA, avec un système de scoring intégré.

Pour les intermédiaires

• Metasploitable 3 : version plus récente et plus réaliste, disponible pour Windows et Linux. Configuration plus complexe mais scénarios plus proches de la réalité.
• VulnHub : des centaines de machines virtuelles vulnérables téléchargeables gratuitement, classées par difficulté. Un catalogue inépuisable pour varier les exercices.
• HackTheBox (machines retirées) : les writeups des machines retirées sont disponibles et constituent d'excellents supports de TP structurés.

Pour les avancés

• Machines personnalisées : construire ses propres machines vulnérables en installant des versions spécifiques de logiciels contenant des CVE connues. Plus de travail en amont, mais les scénarios sont parfaitement alignés avec le programme du cours.
• Active Directory vulnérable : déployer un lab AD avec GOAD (Game of Active Directory), un projet open source qui crée un environnement Active Directory réaliste et vulnérable. Indispensable pour les cours de sécurité offensive orientés entreprise.

La topologie réseau recommandée

Un lab de pentest bien conçu reproduit une topologie réaliste :

Réseau d'attaque. Le segment depuis lequel les étudiants lancent leurs attaques. Chaque étudiant dispose d'une machine Kali Linux (ou Parrot OS) sur ce réseau.

Réseau cible (DMZ simulée). Les machines vulnérables accessibles directement depuis le réseau d'attaque : serveurs web, services exposés, applications vulnérables.

Réseau interne simulé. Un second segment, accessible uniquement après pivoting. C'est là que se trouvent les machines cibles internes : Active Directory, bases de données, partages de fichiers. Cette séparation oblige les étudiants à pratiquer le pivoting et le mouvement latéral.

Pare-feu virtuel. Un pfSense ou OPNsense (gratuits et open source) entre les segments pour simuler un filtrage réseau réaliste. Les étudiants apprennent à contourner des restrictions, pas à attaquer des cibles exposées sans protection.

Cette topologie se configure entièrement dans Proxmox avec des bridges virtuels et des VLANs, sans aucun matériel réseau supplémentaire.

Les outils offensifs à installer

Sur les machines d'attaque (Kali Linux), les outils essentiels sont préinstallés. Assurez-vous cependant que les étudiants connaissent et pratiquent :

• Nmap : reconnaissance et scan de ports
• Burp Suite Community : tests de sécurité web
• Metasploit Framework : exploitation de vulnérabilités
• John the Ripper / Hashcat : cassage de mots de passe
• Gobuster / Feroxbuster : énumération de répertoires web
• Wireshark : analyse de trafic réseau
• BloodHound : cartographie et exploitation Active Directory
• Impacket : scripts d'attaque réseau et AD

Tous ces outils sont gratuits et open source. Un cours de pentest complet peut se faire sans aucune licence commerciale.

Gestion au quotidien : les bonnes pratiques

Snapshots avant chaque TP. Prendre un snapshot de toutes les VMs cibles avant le début du TP. En fin de séance, restaurer les snapshots pour retrouver un état propre. Automatiser cette opération avec un script sur Proxmox fait gagner un temps précieux.

Templates et clones. Créer des templates pour les machines récurrentes et les cloner plutôt que de les réinstaller. Un clone linked (lié) dans Proxmox consomme très peu d'espace disque supplémentaire.

Documentation des accès. Maintenir un document partagé avec les adresses IP, les identifiants par défaut et les objectifs de chaque machine. Les étudiants perdent moins de temps sur la logistique et plus sur la technique.

Rotation des scénarios. Changer les machines cibles entre les promotions pour éviter la circulation des solutions. VulnHub et les machines personnalisées permettent de renouveler facilement le catalogue.

Aller plus loin : intégrer le lab dans un parcours complet

Un lab de pentest ne vit pas en isolation. Il s'inscrit dans un parcours pédagogique :

• En amont : des cours sur les fondamentaux réseau et les systèmes d'exploitation pour que les étudiants comprennent ce qu'ils attaquent
• En parallèle : des exercices de forensic utilisant les traces générées par les attaques sur le lab
• En aval : la rédaction de rapports de pentest professionnels et la préparation aux certifications comme l'OSCP ou le CompTIA PenTest+

Ce qu'il faut retenir

Monter un lab de pentest pour étudiants ne nécessite aucun budget logiciel. Proxmox, Kali Linux, Metasploitable, DVWA, Juice Shop et les centaines de machines VulnHub permettent de couvrir l'ensemble d'un programme de sécurité offensive, du débutant à l'avancé.

L'investissement réel se situe dans le temps de préparation : choisir les bonnes machines, construire la topologie, documenter les accès et préparer les exercices. C'est un travail conséquent mais qui se rentabilise sur plusieurs promotions.

Vous souhaitez un intervenant capable de concevoir et animer des TP de pentest sur un lab dédié ? Cyber Teachers vous connecte avec des professionnels expérimentés en sécurité offensive et en pédagogie.