Les 20 commandes Linux que tout hacker éthique doit connaitre

Linux est le système d'exploitation de la cybersécurité. Les serveurs tournent sous Linux. Les outils de pentest tournent sous Linux. Les CTF se jouent sous Linux. Si tu veux progresser en sécurité informatique, tu dois maitriser le terminal.

Voici les 20 commandes que tu utiliseras tous les jours. Chaque commande est accompagnée d'un exemple concret lié à la cybersécurité.

Navigation dans le système de fichiers

1. pwd -Afficher le répertoire courant

pwd

Résultat : /home/kali/Desktop/ctf-challenge. Tu sais toujours où tu es. C'est la première commande à taper quand tu ouvres un terminal.

2. ls -Lister les fichiers

ls -la /var/log/

L'option -l affiche les détails (permissions, taille, date). L'option -a montre les fichiers cachés (ceux qui commencent par un point). En forensics, les fichiers cachés contiennent souvent des indices.

3. cd -Changer de répertoire

cd /etc/nginx/sites-available/

Tu te déplaces vers la configuration Nginx. Sur un serveur compromis, c'est ici que tu vérifies si l'attaquant a modifié la configuration du serveur web.

4. find -Chercher des fichiers

find / -name "*.log" -mtime -1

Cette commande cherche tous les fichiers .log modifiés dans les dernières 24 heures. En réponse à incident, tu veux savoir quels fichiers ont été touchés récemment.

Manipulation de texte

5. cat -Afficher le contenu d'un fichier

cat /etc/passwd

Affiche la liste des utilisateurs du système. C'est souvent le premier fichier qu'un pentester consulte. Il montre les comptes, les répertoires home et les shells associés.

6. grep -Chercher du texte

grep "Failed password" /var/log/auth.log

Filtre les tentatives de connexion échouées dans les logs d'authentification. Si tu vois 500 lignes avec "Failed password for root", quelqu'un fait du bruteforce sur le serveur d'AfriTel.

7. awk -Traiter des colonnes de texte

awk '{print $1, $4}' /var/log/apache2/access.log

Extrait l'adresse IP (colonne 1) et l'heure (colonne 4) de chaque requête web. Tu identifies rapidement les IP suspectes qui envoient trop de requêtes.

8. sed -Modifier du texte en flux

sed 's/http:/https:/g' config.txt

Remplace toutes les occurrences de http: par https: dans un fichier. Utile pour corriger des configurations en masse après un audit de sécurité.

Réseau

9. ping -Tester la connectivité

ping -c 4 192.168.1.1

Envoie 4 paquets ICMP vers une machine. Si elle répond, elle est en ligne. C'est le test le plus basique en réseau. Attention : certains pare-feu bloquent le ping.

10. nmap -Scanner un réseau

nmap -sV -p 1-1000 192.168.1.0/24

Scanne les 1000 premiers ports de toutes les machines du réseau local et identifie les services qui tournent. C'est l'outil de reconnaissance #1. Un pentester chez AkoBank commence toujours par un scan nmap.

11. netstat -Afficher les connexions réseau

netstat -tulnp

Liste toutes les connexions actives et les ports en écoute. Si tu vois un service inconnu sur le port 4444, c'est peut-être un reverse shell laissé par un attaquant.

12. curl -Faire des requêtes HTTP

curl -v https://api.akobank.com/login -d "user=admin&pass=test"

Envoie une requête POST au formulaire de connexion. L'option -v affiche les headers complets. Tu vois les cookies, les redirections et les codes de réponse. C'est plus précis qu'un navigateur pour tester des API.

13. tcpdump -Capturer le trafic réseau

tcpdump -i eth0 -w capture.pcap port 80

Capture tout le trafic HTTP sur l'interface eth0 et l'enregistre dans un fichier. Tu pourras l'analyser ensuite avec Wireshark. Pendant un incident chez AfriTel, cette commande a permis d'identifier l'exfiltration de données en temps réel.

Permissions

14. chmod -Modifier les permissions

chmod 700 script-secret.sh

Donne les droits de lecture, écriture et exécution au propriétaire uniquement. Personne d'autre ne peut lire ou exécuter le script. Les permissions mal configurées sont une des causes les plus fréquentes de compromission.

15. chown -Changer le propriétaire

chown www-data:www-data /var/www/html/upload/

Change le propriétaire du dossier d'upload vers l'utilisateur du serveur web. Après un incident, tu vérifies que les fichiers uploadés appartiennent au bon utilisateur et pas à root.

Processus

16. ps -Lister les processus

ps aux | grep python

Affiche tous les processus Python en cours. Si tu trouves un script Python inconnu qui tourne en arrière-plan, c'est potentiellement un outil de l'attaquant.

17. kill -Arrêter un processus

kill -9 1337

Arrête le processus avec le PID 1337. L'option -9 force l'arrêt immédiat. Quand tu identifies un processus malveillant, tu le termines avant qu'il ne fasse plus de dégâts.

18. top -Monitorer le système en temps réel

top

Affiche les processus triés par utilisation CPU. Si le serveur d'AkoBank est lent, top révèle qu'un processus inconnu consomme 98 % du CPU. C'est probablement un cryptominer installé par un attaquant.

Sécurité

19. ssh -Connexion distante sécurisée

ssh -i cle_privee.pem admin@192.168.1.50

Se connecte au serveur distant avec une clé privée. Le SSH chiffre toute la communication. C'est la méthode standard pour administrer un serveur Linux. N'utilise jamais Telnet. Jamais.

20. openssl -Opérations cryptographiques

openssl s_client -connect akobank.com:443

Affiche le certificat TLS du serveur. Tu vérifies la date d'expiration, l'autorité de certification et la version du protocole. Un certificat expiré ou auto-signé en production est un signal d'alarme.

Autre usage courant :

openssl enc -aes-256-cbc -salt -in confidentiel.txt -out confidentiel.enc

Chiffre un fichier avec AES-256. Tu protèges les données sensibles récupérées pendant un test d'intrusion.

Aller plus loin

Ces 20 commandes couvrent les bases. Mais le terminal Linux offre bien plus. Voici comment progresser.

Combine les commandes avec des pipes. La puissance de Linux vient du chainage. Un exemple :

cat /var/log/auth.log | grep "Failed" | awk '{print $11}' | sort | uniq -c | sort -rn | head -10

Cette ligne extrait les 10 adresses IP avec le plus de tentatives de connexion échouées. Six commandes enchainées. Un résultat immédiat.

Crée des scripts Bash. Quand tu tapes les mêmes commandes plusieurs fois, mets-les dans un script. L'automatisation est la différence entre un débutant et un professionnel.

Pratique sur CyberLycée. Notre parcours Linux couvre ces commandes et bien d'autres dans des environnements interactifs. Tu tapes les commandes dans un vrai terminal, sur de vrais systèmes. Les exercices sont progressifs : tu commences par ls et tu finis par écrire des scripts de détection d'intrusion.

Le terminal fait peur au début. C'est normal. Après quelques semaines de pratique, tu ne pourras plus t'en passer. Ouvre un terminal et commence par pwd. Le reste suivra.