VulnHub vs Hack The Box pour un cours de pentest
Vous préparez un module de pentest et vous hésitez entre deux références : VulnHub et Hack The Box (HTB). Les deux fournissent des machines vulnérables à attaquer, mais ils ne répondent pas aux mêmes contraintes pédagogiques ni logistiques. L'un est une bibliothèque de VM téléchargeables que vous maîtrisez de bout en bout ; l'autre est une plateforme cloud gamifiée avec abonnements, scoring et parcours structurés.
Ce comparatif vous aide à choisir non pas « le meilleur » dans l'absolu, mais le bon outil selon votre objectif, votre salle de TP et votre réseau d'établissement. À la fin, vous trouverez un parcours type sur six séances qui combine les deux. Pour le cadre global de votre cours, voyez aussi notre page cours pentest.
Profils des deux écosystèmes
VulnHub : la bibliothèque de VM offline
VulnHub est un dépôt communautaire de machines virtuelles vulnérables que l'on télécharge au format .ova, .vmdk ou .zip. Chaque machine est conçue par un auteur, souvent autour d'un thème (escalade de privilèges Linux, web mal configuré, services réseau exposés). Vous l'importez dans VirtualBox ou VMware, vous l'isolez sur un réseau hôte uniquement, et vous l'attaquez depuis une VM Kali.
Points caractéristiques :
- Aucun compte requis, aucun abonnement, contenu gratuit.
- Fonctionne 100 % hors ligne une fois téléchargé.
- Difficulté très variable (de la machine « boot2root » accessible aux scénarios experts).
- Pas de scoring intégré : la validation passe par la capture de flags (
user.txt,root.txt) que vous vérifiez vous-même. - Des classiques pédagogiques gravitent autour de cet univers, comme Metasploitable 2, ou des applications web volontairement faillibles à héberger soi-même : DVWA, OWASP Juice Shop, bWAPP.
VulnHub vous donne un contrôle total. En contrepartie, vous portez la maintenance : choisir des machines de qualité, vérifier qu'elles bootent, gérer le stockage.
Hack The Box : la plateforme cloud gamifiée
Hack The Box est une plateforme en ligne. Les machines tournent dans le cloud HTB ; l'étudiant s'y connecte via un VPN OpenVPN et attaque l'instance comme s'il était sur le même réseau. Le scoring est automatique : on soumet le flag dans l'interface, les points s'attribuent, le classement se met à jour.
Structure à connaître :
- Starting Point : un parcours guidé d'introduction, idéal pour des débutants, avec des indications pas à pas.
- Machines active : les machines du moment, sans write-up officiel public (pour préserver le challenge).
- Machines retired : les anciennes machines, accessibles avec un abonnement, accompagnées de write-ups officiels et de vidéos. C'est l'or pédagogique : vous pouvez préparer une correction fiable.
- HTB Academy : un volet cours modulaire (théorie + exercices notés) découplé des machines, très utile pour structurer un syllabus.
HTB demande une connexion stable et, pour exploiter tout son potentiel, un budget. Le tier gratuit existe, mais l'accès aux machines retired et à l'Academy passe par des abonnements (VIP/VIP+, et offres Academy/Student séparées). Des tarifs éducation existent ; ils se négocient et évoluent, donc vérifiez les conditions courantes plutôt que de vous fier à un chiffre figé.
Alignement avec vos objectifs pédagogiques
Le bon choix dépend de ce que vous voulez réellement faire travailler.
Vous visez la méthodologie et l'autonomie sur l'infrastructure ? VulnHub est imbattable. L'étudiant gère l'import de la VM, la configuration réseau, le scan, l'énumération, l'exploitation, l'escalade. Il comprend la chaîne complète parce qu'il n'y a pas de magie cloud : tout est sous ses yeux. C'est aussi le terrain idéal pour faire monter en compétence le futur pentesteur sur les fondamentaux système et réseau.
Vous visez la rigueur, la progression mesurée et la motivation ? HTB excelle. Le scoring, les classements et les badges entretiennent l'engagement, et Starting Point offre une rampe d'accès douce. L'HTB Academy vous donne une trame de cours prête à l'emploi sur des thèmes précis : reconnaissance, attaques web, Active Directory.
Vous préparez une certification ? Les deux nourrissent la préparation, mais différemment. Pour une certification web orientée pratique comme l'eWPT, un mix d'applications web vulnérables (Juice Shop, DVWA) et de modules web HTB Academy colle bien aux compétences attendues. Pour un examen offensif généraliste, l'entraînement sur machines retired HTB de difficulté croissante est une référence reconnue.
Vous enseignez une vulnérabilité précise ? Pour démontrer une injection SQL de manière contrôlée et reproductible, une appli auto-hébergée comme DVWA ou Juice Shop est plus pédagogique qu'une machine HTB complète, car vous isolez le concept sans le bruit d'une chaîne d'exploitation complète.
| Critère | VulnHub | Hack The Box |
|---|---|---|
| Coût | Gratuit | Tier gratuit limité ; abonnements VIP/Academy ; offres édu à négocier |
| Offline | Oui, total après téléchargement | Non, nécessite VPN + Internet |
| Scoring | Manuel (vérif des flags par l'enseignant) | Automatique, classements, badges |
| Maintenance | À votre charge (télécharger, tester, stocker) | Déléguée à la plateforme |
| Niveau | Très variable, à trier soi-même | Gradué et étiqueté (Easy → Insane) |
| Suivi enseignant | À construire (flags, rendus) | Tableau de bord, progression Academy |
Logistique : comptes, VPN, mode offline
La logistique tranche souvent le débat plus que la pédagogie.
Le poste étudiant et la salle de TP
Dans les deux cas, l'étudiant a besoin d'une VM Kali Linux comme machine attaquante. Prévoyez des postes avec assez de RAM (8 Go minimum, 16 Go confortable) et la virtualisation activée dans le BIOS. Pour VulnHub, ajoutez la VM cible : comptez l'espace disque correspondant (plusieurs Go par machine) sur chaque poste ou sur un partage réseau local.
Conseil pratique : pour VulnHub, créez un réseau « hôte uniquement » (host-only) dans VirtualBox afin que Kali et la cible communiquent entre elles sans toucher au reste du réseau. C'est la base de l'isolement, et un excellent réflexe à enseigner.
Le réseau de l'école et le VPN
C'est ici que HTB peut coincer. La connexion repose sur OpenVPN, et beaucoup de réseaux d'établissement filtrent les ports ou bloquent les tunnels VPN. Avant d'engager un cours entier sur HTB, testez la connexion VPN depuis la salle de TP réelle, pas depuis votre bureau. Anticipez aussi la bande passante : trente étudiants qui montent un tunnel et chargent des instances cloud, cela se ressent.
VulnHub n'a pas ce problème : une fois les fichiers récupérés, plus aucune dépendance réseau externe. C'est le choix robuste pour les salles mal connectées, les examens en conditions contrôlées, ou les établissements à politique réseau stricte.
Mode offline et distribution
Pour VulnHub, téléchargez les machines une fois sur un poste enseignant, vérifiez les empreintes (checksums), puis distribuez via clé USB, partage SMB ou serveur local. Vous gagnez du temps et vous évitez que trente postes saturent la connexion. Si vous voulez aller plus loin et industrialiser votre infrastructure, consultez notre guide pour créer un lab pentest gratuit.
RGPD et conditions d'usage en école
Faire jouer des mineurs ou des étudiants majeurs sur une plateforme tierce engage votre responsabilité.
Comptes étudiants et données personnelles
HTB exige la création de comptes nominatifs (e-mail, parfois pseudonyme rattaché à l'identité de l'étudiant). Cela implique un traitement de données personnelles par un sous-traitant situé potentiellement hors UE. Quelques règles de prudence :
- Faites créer les comptes avec une adresse e-mail dédiée aux études, jamais l'e-mail personnel principal.
- N'imposez pas de données superflues ; un pseudonyme suffit pour le scoring.
- Informez les étudiants (et les représentants légaux pour les mineurs) du recours à une plateforme externe et de la nature des données transmises.
- Documentez ce traitement dans le registre RGPD de l'établissement et vérifiez auprès du DPO.
VulnHub, à l'inverse, ne demande aucun compte : pas de collecte, pas de transfert. Du point de vue conformité, c'est l'option la plus simple, ce qui en fait souvent le meilleur choix par défaut pour les publics mineurs.
CGU de HTB et cadre légal du pentest
Les CGU de HTB encadrent strictement l'usage : on n'attaque que les machines fournies par la plateforme, dans le périmètre autorisé. C'est en réalité un atout pédagogique : cela illustre concrètement la notion de périmètre d'engagement et la frontière légale entre test autorisé et intrusion illicite. Profitez-en pour rappeler le cadre français (l'accès ou le maintien frauduleux dans un système est un délit) et la règle d'or du métier : pas de test sans autorisation écrite.
Quel que soit l'outil, posez par écrit une charte de TP : périmètre limité aux machines du cours, interdiction de scanner le réseau de l'école, isolement des VM. C'est à la fois une protection juridique et une leçon de déontologie.
Parcours type sur 6 séances
Voici un module de pentest de six séances (3 à 4 heures chacune) qui combine intelligemment les deux écosystèmes : VulnHub pour la maîtrise de l'infrastructure et l'examen offline, HTB pour la montée en compétence guidée et la motivation.
- Séance 1 — Mise en place du lab (VulnHub). Import de Kali et d'une première cible facile, configuration du réseau host-only, vérification de la connectivité, charte de TP. Objectif : chaque étudiant a un lab fonctionnel et isolé.
- Séance 2 — Reconnaissance et énumération (VulnHub / Metasploitable 2). Scan avec Nmap, identification des services, énumération web et SMB. On pose la méthodologie : cartographier avant d'exploiter.
- Séance 3 — Vulnérabilités web (DVWA + OWASP Juice Shop). Travaux dirigés ciblés sur l'injection SQL, le XSS et les contrôles d'accès cassés. Applications auto-hébergées pour isoler chaque faille proprement.
- Séance 4 — Première chaîne complète (HTB Starting Point). Inscription des comptes, connexion OpenVPN testée en amont, résolution guidée d'une à deux machines. Découverte du scoring et de la soumission de flags.
- Séance 5 — Machine retired en autonomie (HTB). Une machine retired de niveau Easy, avec write-up officiel gardé en réserve pour la correction. Les étudiants travaillent en binômes ; vous débriefez la chaîne d'exploitation et l'escalade de privilèges.
- Séance 6 — Évaluation (VulnHub, offline). Examen en conditions contrôlées sur une machine VulnHub inédite, sans Internet. Rendu attendu : un rapport de pentest structuré (résumé, méthodologie, vulnérabilités, preuves, remédiations). On évalue la démarche, pas seulement le flag.
Ce séquencement fait monter la difficulté progressivement, sécurise l'évaluation finale (offline, donc non dépendante du réseau) et habitue les étudiants au livrable réel du métier : le rapport.
Ce qu'il faut retenir
VulnHub et Hack The Box ne s'opposent pas, ils se complètent. VulnHub vous donne la souveraineté technique, le mode offline et une conformité RGPD triviale : c'est votre socle pour la mise en place du lab, l'enseignement de l'infrastructure et l'évaluation en conditions contrôlées. HTB apporte la progression graduée, le scoring motivant, les write-ups des machines retired et la trame de cours d'Academy : c'est votre accélérateur d'engagement et de montée en compétence.
Le réflexe le plus rentable : commencez sur VulnHub pour poser les fondations et la conformité, puis introduisez HTB une fois les comptes, le VPN et la charte validés. Testez toujours la connexion VPN depuis la vraie salle avant de bâtir un cours dessus, et gardez l'examen final en offline pour ne dépendre de personne le jour J.
Vous voulez déployer ce module sans y passer vos soirées ? Cyber Teachers met à votre disposition des intervenants capables de concevoir et d'animer des labs de pentest clés en main — sélection des machines, infrastructure isolée, supports de TP et grilles d'évaluation — adaptés à votre public et aux contraintes réseau de votre établissement.