Zeroday Cyber Academy

Pentest

Apprendre le pentest légalement : plateformes, labs, CTF, communautés

Apprendre le pentest légalement en 2026 : cadre juridique France, labs (HTB, THM, GOAD), CTF, bug bounty et communautés. Éviter les articles 323-1 à 323-3.

Naim Aouaichia
14 min de lecture
  • Pentest
  • Apprentissage
  • Cadre légal
  • CTF
  • HackTheBox
  • TryHackMe
  • Bug bounty
  • Communauté
  • Home lab
  • Sécurité offensive
  • Ressources
  • Article 323-1
  • Parcours apprentissage
  • Roadmap

Apprendre le pentest légalement en France en 2026 est possible à tous les niveaux techniques via cinq canaux parfaitement cadrés juridiquement : plateformes dédiées (HackTheBox, TryHackMe, Root-Me, PortSwigger, PentesterLab), home labs vulnérables déployés chez soi (DVWA, GOAD, Metasploitable), CTF publics avec règlement (404 CTF, Hackropole, FCSC, SSTIC), programmes de bug bounty à scope déclaré (YesWeHack, HackerOne, Bugcrowd), et communautés d'apprentissage actives en français. Hors de ces canaux, le Code pénal français (articles 323-1 à 323-7, loi Godfrain de 1988 renforcée par la LCEN de 2004) sanctionne tout accès ou maintien frauduleux dans un STAD jusqu'à 5 ans de prison et 150 000 € d'amende, même sans dommage causé et même avec une intention purement pédagogique. Cet article détaille les cinq canaux légaux, le cadre juridique à maîtriser et la trajectoire d'apprentissage recommandée sur 12 mois.

Le cadre juridique français en 2026

Le droit français est l'un des plus stricts d'Europe en matière d'intrusion informatique. Maîtriser le cadre est un prérequis non négociable avant de toucher à quoi que ce soit en pratique.

Le socle : articles 323-1 à 323-7 du Code pénal

ArticleInfractionSanction maximale
323-1Accès frauduleux ou maintien frauduleux dans un STAD2 ans + 60 000 € (5 ans + 150 000 € si modification)
323-2Entrave au fonctionnement d'un STAD5 ans + 150 000 €
323-3Introduction, modification, suppression, extraction frauduleuse de données5 ans + 150 000 €
323-3-1Détention, diffusion, offre d'outils permettant ces infractions2 à 5 ans + amendes
323-7Commis en bande organisée10 ans + 300 000 €
323-4-1Commis contre un STAD de l'État7 ans + 300 000 €

STAD = Système de Traitement Automatisé de Données, c'est-à-dire tout système informatique au sens large (serveur, application, équipement réseau, objet connecté).

Historique législatif

  • Loi Godfrain (1988) : création des articles 462-2 et suivants, ancêtres des 323-X actuels.
  • LCEN (21 juin 2004) : renforcement des sanctions et adaptation au numérique moderne.
  • Loi LOPPSI 2 (2011) : extension aux outils (article 323-3-1).
  • Loi de Programmation Militaire (2013) : obligations spécifiques aux OIV (Opérateurs d'Importance Vitale).
  • NIS 2 (directive UE 2022, transposition France fin 2024) : extension du périmètre aux OSE (Opérateurs de Services Essentiels), environ 15 000 entités françaises concernées.
  • LCEN article 47 modifié (2024) : renforcement limité de la protection des chercheurs de vulnérabilités agissant de bonne foi, mais sans lever l'exigence d'autorisation préalable.

Jurisprudence à connaître

L'arrêt Bluetouff (Cass. crim. 20 mai 2015, n° 14-81336) reste la référence : accéder à des données librement accessibles (non protégées par mot de passe) mais sans autorisation explicite du propriétaire du système peut être qualifié d'accès frauduleux dès lors que la conscience du caractère non intentionnellement public est établie. Cette jurisprudence a élargi significativement le périmètre des infractions 323-1 en France, au-delà de ce qu'on observe dans d'autres juridictions européennes.

Canal 1 — Les plateformes d'entraînement en ligne

Les plateformes SaaS dédiées couvrent 70 % des besoins d'apprentissage technique. Toutes ces plateformes hébergent des cibles que leurs CGU autorisent explicitement à attaquer par l'utilisateur authentifié.

PlateformeNiveauModèleFocus
PortSwigger Web Security AcademyDébutant → AvancéGratuit totalPentest web théorie + labs
TryHackMeDébutant → IntermédiaireFreemium (~10 €/mois premium)Parcours guidés, SOC L1 et red team
HackTheBoxIntermédiaire → ExpertFreemium (~15-20 €/mois VIP)Machines offensives, Academy, Pro Labs
Root-MeDébutant → AvancéGratuit + premium ~10 €/moisChallenges francophones, historique
PentesterLabIntermédiaire~20 €/mois ProWeb, API, exercices ciblés
Offensive Security Proving GroundsIntermédiaire → ExpertFreemiumPréparation OSCP, labs dédiés
VulnHubDébutant → ExpertGratuitVMs téléchargeables, exécution locale
OverTheWireDébutantGratuitWargames Linux / réseau fondamentaux
picoCTFDébutantGratuitEntrée CTF, pédagogique
LetsDefendDébutant → Intermédiaire~15 €/moisBlue Team investigations
Blue Team Labs Online (BTLO)Débutant → Avancé~20 €/moisBlue Team + DFIR
CyberDefendersIntermédiaireGratuitBlue Team CTF

Recommandations par profil

  • Strict débutant pentest web : PortSwigger Web Security Academy (gratuit, couverture complète OWASP Top 10 + WSTG).
  • Débutant généraliste : TryHackMe path « Complete Beginner » ou « Jr Penetration Tester ».
  • Passage intermédiaire : HackTheBox machines Easy puis Medium, TryHackMe « Offensive Pentesting ».
  • Passage avancé : HackTheBox Pro Labs (Offshore, Cybernetics), Altered Security labs (CRTP/CRTE).

Canal 2 — Les home labs et environnements vulnérables à déployer chez soi

Les plateformes en ligne ne remplacent pas un home lab. Déployer soi-même un environnement vulnérable développe la compétence infrastructure et l'autonomie.

Environnements vulnérables standards

  • OWASP Juice Shop : application JS moderne volontairement vulnérable, couvre OWASP Top 10 2021. Déploiement Docker en 5 minutes.
  • DVWA (Damn Vulnerable Web Application) : PHP/MySQL, classique, adapté aux fondamentaux SQLi/XSS.
  • bWAPP : 100+ vulnérabilités web catégorisées.
  • WebGoat : projet OWASP Java, exercices guidés.
  • Metasploitable 2 et 3 : VM Linux et Windows volontairement vulnérables, pour exploitation système.
  • VulnHub : catalogue de centaines de VM vulnérables téléchargeables et exécutables localement.
  • HackTheBox Starting Point : machines pédagogiques gratuites (pour membres HTB).
  • VulnLab : scénarios AD chaînés (payant).

Home lab Active Directory : GOAD

GOAD (Game of Active Directory) par mayfly277 / Orange Cyberdefense est le standard open-source en 2026 pour apprendre le pentest AD. Déploiement automatisé via Vagrant + Ansible, environnement multi-domaines vulnérable par design couvrant Kerberoasting, AS-REP Roasting, NTLM Relay, ACL abuse, Unconstrained Delegation, RBCD, ADCS ESC1-ESC8.

Configuration matérielle recommandée

  • Mini-PC ou station de 16-32 Go RAM (32 Go pour GOAD complet).
  • Disque NVMe 500 Go minimum.
  • Hyperviseur : Proxmox, VMware Workstation Pro, Hyper-V, ou VirtualBox.
  • Budget typique : 600-900 € pour une machine dédiée neuve, ou 400-600 € en occasion.
# Exemple d'installation Juice Shop local en 3 commandes
docker run --rm -p 3000:3000 --name juice-shop bkimminich/juice-shop
 
# Métrique d'apprentissage : compter les challenges résolus via l'interface admin
# http://localhost:3000/#/score-board (compte admin par défaut créé au lancement)

Canal 3 — Les CTF publics en France et à l'international

Les Capture The Flag sont des compétitions cadrées par un règlement où les participants exploitent des challenges préparés par les organisateurs. Format légal par définition.

CTF francophones majeurs 2026

CompétitionOrganisateurFréquenceNiveau
404 CTFAirbus + ANSSI + Telecom ParisAnnuel (printemps)Junior → Senior
FCSC (France Cybersecurity Challenge)ANSSIAnnuelQualification ECSC
HackropoleANSSIPermanentChallenges permanents, tous niveaux
SSTIC ChallengeSSTICAnnuel (avant le SSTIC)Senior / expert
Breizh-CTFBreizh-EntraideAnnuelIntermédiaire
Pass The SALT CTFPass The SALTAnnuelIntermédiaire

CTF internationaux accessibles

  • picoCTF (Carnegie Mellon) : la meilleure porte d'entrée pour débutants.
  • Google CTF : annuel, reconnu, nombreuses catégories.
  • CSAW CTF (NYU) : qualifications mondiales.
  • RingZer0 CTF : plateforme permanente avec système de rangs.
  • European Cybersecurity Challenge (ECSC) : championnat européen, équipe France sélectionnée via FCSC.
  • NorthSec CTF (Montréal) : reconnu, niveau élevé.

Plateformes centralisatrices

  • CTFtime.org : calendrier, classements internationaux, profils d'équipes.
  • France-Cybersecurity-Challenge : portail ANSSI pour les compétitions françaises.

Canal 4 — Le bug bounty encadré juridiquement

Le bug bounty est la forme la plus réaliste de pentest légal : cibles en production, enjeux financiers, qualité de reporting exigée. Mais c'est aussi celui qui exige le plus de rigueur juridique.

Plateformes majeures

PlateformeOrigineSpécificité
YesWeHackFrance (Paris)La plateforme francophone de référence, RGPD-friendly
HackerOneUSVolume le plus important, programmes publics et privés
BugcrowdUSAlternative mature, fort sur programmes US
IntigritiBelgiquePlateforme européenne en croissance

VDP vs bug bounty rémunéré

  • VDP (Vulnerability Disclosure Program) : pas de récompense, reconnaissance publique seulement. Exemples : programmes de Red Hat, GitLab open-source, certaines mairies françaises. Idéal pour débuter sans pression et construire son track record.
  • Bug bounty rémunéré : primes allant de quelques centaines d'euros (low severity) à plusieurs dizaines de milliers d'euros (critical RCE sur cible majeure). Ratio soumission / valide typique débutant : 1 sur 20 ou 1 sur 50 les 6 premiers mois.

Règles juridiques non négociables

  1. Lire le scope et les exclusions avant tout test. Tout endpoint, sous-domaine ou IP non listé dans le scope est hors périmètre légal.
  2. Respecter les restrictions techniques. Interdictions fréquentes : DoS/DDoS, social engineering des employés, test de politiques de mot de passe via brute force massif, publication publique avant autorisation.
  3. Respecter le safe harbor du programme. La plupart des programmes incluent une clause de safe harbor qui écarte les poursuites civiles et pénales en cas de respect des règles.
  4. Documenter chaque action. Traçabilité via Burp logs, captures horodatées, scope exact au moment du test.

Alternative française : disclosure responsable via l'ANSSI

Pour les systèmes français hors bug bounty formel, l'ANSSI publie un guide de divulgation responsable et accepte les signalements via ssi.gouv.fr. L'article 47 de la LCEN modifié en 2024 renforce la protection du chercheur agissant de bonne foi, mais n'autorise pas les tests non sollicités au préalable.

Canal 5 — Les communautés et ressources d'entraide

Apprendre en solo plafonne rapidement. Les communautés actives accélèrent la progression via retours d'expérience, mentorat informel et collaboration sur des challenges.

Communautés francophones spécialisées pentest

  • Zeroday Cyber Academy sur Skool : communauté dédiée à la progression technique et à l'accompagnement carrière en cybersécurité offensive. Accès : skool.com/zeroday. Format : discussions techniques, revues de write-ups, partage de ressources, suivi de parcours d'apprentissage, mentoring.
  • Root-Me : communauté historique liée à la plateforme de challenges, active depuis 2010.
  • HFS (Hackers For Security) : communauté généraliste FR.

Discords thématiques francophones

  • Hackademy (généraliste pentest FR).
  • Serveurs officiels de plateformes : HackTheBox FR, TryHackMe FR.
  • Serveurs dédiés événements : Breizh-CTF, LeHack, Pass The SALT.

Événements physiques annuels

ÉvénementLieuFréquenceProfil
SSTICRennesAnnuel juinAcadémique, recherche
LeHack (ex Nuit du Hack)ParisAnnuelMixte pro / passionnés
BSides ParisParisAnnuelCommunautaire, gratuit
Pass The SALTLilleAnnuelOpen source, recherche
Hack.luLuxembourgAnnuel octobreInternational
Insomni'hackGenèveAnnuelSuisse, CTF prestigieux
ECSCTournant UEAnnuelCompétition européenne équipes

Chapters OWASP France actifs

  • OWASP Paris, Lyon, Toulouse, Nantes, Bordeaux.
  • Meetings réguliers avec conférences techniques gratuites.

Erreurs fatales à éviter

Tester un site « pour voir » sans autorisation. Même un simple nmap sur un domaine qui n'appartient pas à soi est un acte juridiquement qualifié. Plusieurs étudiants français ont été condamnés entre 2020 et 2024 pour des tests non autorisés « par curiosité » sur des sites d'universités, de mairies ou d'entreprises.

Utiliser ses compétences contre son employeur actuel. Même avec accès légitime à un système professionnel, un test non demandé par le RSSI peut tomber sous 323-1 et justifier un licenciement pour faute grave. Toujours obtenir une autorisation écrite datée et signée.

Partager des write-ups de machines HackTheBox actives. Interdit par les CGU HTB, entraîne la suspension du compte. Uniquement les machines « retired » (retirées) peuvent faire l'objet d'un write-up public.

Télécharger un leak présumé pour « analyse éducative ». Les données issues d'une compromission restent du ressort de 323-3 (extraction frauduleuse), même si le chercheur n'a pas participé à la compromission initiale. L'affaire Bluetouff (2015) fait jurisprudence.

Publier un exploit 0-day sans coordination avec l'éditeur. Relève potentiellement de 323-3-1 (diffusion d'outils de compromission). La norme en 2026 : Coordinated Vulnerability Disclosure (CVD), délai standard 90 jours via CERT ou bug bounty, extension possible avec accord de l'éditeur.

Trajectoire légale recommandée sur 12 mois

PériodeFocusOutils/plateformesLivrables
Mois 1-2Fondamentaux web + LinuxPortSwigger Academy + TryHackMe Beginner20-30 labs résolus
Mois 3-4Exploitation web structuréeDVWA + Juice Shop + TryHackMe Jr Pentester10 write-ups rédigés
Mois 5-6Passage HackTheBox machines EasyHTB Academy + HTB machines10-15 boxes résolues
Mois 7-8Active Directory, labs plus avancésGOAD + HTB Medium + Proving Grounds3-5 write-ups AD
Mois 9-10Premier CTF + bug bounty VDP404 CTF ou Hackropole + YesWeHack VDP1er rapport BB, CTF top 200 FR
Mois 11-12Spécialisation + communautéSkool Zeroday + Discord spécialisé + HTB Pro LabsPortfolio GitHub + plan certif OSCP/CRTP

Volume horaire réaliste : 8-12 heures/semaine, pas au-dessus sur la durée (burn-out garanti). La régularité prime sur l'intensité ponctuelle.

Points clés à retenir

  • Cadre juridique France : articles 323-1 à 323-7 du Code pénal, jusqu'à 5 ans et 150 000 € sans dommage, 10 ans en bande organisée.
  • Cinq canaux légaux : plateformes (HTB, THM, PortSwigger), home labs (GOAD, DVWA, Juice Shop), CTF (404 CTF, Hackropole, FCSC, SSTIC), bug bounty (YesWeHack, HackerOne, Bugcrowd, Intigriti), communautés (Skool Zeroday, OWASP, Discords FR).
  • Jurisprudence Bluetouff 2015 : accès à des données apparemment publiques peut constituer une infraction si l'intention d'accès est établie.
  • Bug bounty : toujours lire scope + safe harbor avant tout test, débuter sur VDP sans rémunération pour construire sa crédibilité.
  • Événements physiques : SSTIC, LeHack, BSides Paris, Pass The SALT, OWASP chapters — multiplicateurs de progression.
  • 12 mois de parcours structuré avec 8-12 h/semaine ouvrent l'accès à un niveau junior pentest professionnel.
  • Communauté active (ex. Skool Zeroday) multiplie par 2-3 la vitesse d'apprentissage vs autodidacte isolé.

Pour aller plus loin

Questions fréquentes

  • Est-il légal d'apprendre le pentest en France en 2026 ?
    Oui, apprendre le pentest est parfaitement légal en France tant que l'apprentissage se déroule sur des systèmes autorisés : plateformes dédiées type HackTheBox ou TryHackMe, labs propres hébergés chez soi (VM vulnérables, GOAD), CTF publics organisés avec règlement, programmes de bug bounty avec scope déclaré, ou systèmes de son employeur avec autorisation écrite explicite. L'illégalité commence dès qu'un test est exécuté sur un système dont on n'est pas propriétaire et pour lequel on n'a pas d'autorisation écrite datée. Le Code pénal français (articles 323-1 à 323-7, issus de la loi Godfrain de 1988 et renforcés par la LCEN de 2004) punit l'accès frauduleux à un système jusqu'à 5 ans de prison et 150 000 € d'amende, même si aucun dommage n'est causé. Les cinq canaux d'apprentissage légaux couvrent 100 % des besoins techniques jusqu'au niveau professionnel avancé.
  • Les CTF sont-ils tous légaux à participer ?
    Oui dès lors qu'ils sont organisés publiquement avec un règlement définissant le périmètre. Les CTF majeurs accessibles légalement en 2026 : 404 CTF (organisé par Airbus et l'ANSSI, annuel), Hackropole (plateforme permanente de challenges ANSSI), FCSC (France Cybersecurity Challenge, annuel), SSTIC Challenge (rallye annuel prestigieux), European Cybersecurity Challenge (via ANSSI), picoCTF (beginner-friendly, Carnegie Mellon), Google CTF, CSAW CTF, RingZer0, NorthSec. Les plateformes CTFtime.org et France-Cybersecurity-Challenge répertorient les compétitions et classements. La règle universelle : ne jamais tester de vulnérabilité en dehors de l'infrastructure officielle du CTF, même si une autre plateforme semble en lien. Toute exploration hors scope expose aux articles 323-1 à 323-3.
  • Le bug bounty est-il légal sans autorisation préalable ?
    Oui, mais uniquement sur les programmes qui publient une politique de scope et de safe harbor. En 2026, les plateformes établies (YesWeHack, HackerOne, Bugcrowd, Intigriti) ne listent que des programmes avec autorisation contractuelle entre l'entreprise et le chercheur participant, matérialisée par les CGU de la plateforme et le scope du programme. Tester un site non listé, même s'il appartient à la même société, sort immédiatement du cadre légal. Les VDP (Vulnerability Disclosure Programs) offrent un cadre gratuit sans rémunération mais légal, idéal pour débuter. L'ANSSI publie également un guide de divulgation responsable et un point de contact pour signaler des vulnérabilités sur les systèmes français hors bug bounty formel. L'article 47 de la LCEN modifié en 2024 renforce la protection des chercheurs agissant de bonne foi, mais n'autorise pas l'absence d'autorisation préalable.
  • Est-ce que HackTheBox et TryHackMe sont vraiment légaux ?
    Oui, entièrement. Ces plateformes fonctionnent sur un modèle SaaS où les utilisateurs reçoivent un accès authentifié via VPN à des machines virtuelles qui leur sont destinées par les CGU de la plateforme. HackTheBox (fondée 2017, basée au Royaume-Uni puis US), TryHackMe (fondée 2018, Royaume-Uni), PentesterLab, Root-Me (français depuis 2010), PortSwigger Web Security Academy (gratuit, par l'éditeur de Burp Suite) et Offensive Security Proving Grounds sont toutes légales par design. Attention cependant aux CGU : certaines plateformes interdisent de partager les solutions de machines actives, ou limitent les usages commerciaux. Pour les machines retirées (retired boxes HTB), les write-ups sont autorisés et encouragés. Sur les plateformes gratuites payantes, un abonnement premium (environ 15-20 €/mois HTB, 10 €/mois TryHackMe) débloque l'essentiel du contenu.
  • Que risque-t-on si on teste un site web au-delà du périmètre autorisé ?
    Les sanctions françaises sont lourdes et effectives, même sans intention malveillante. Article 323-1 du Code pénal (accès frauduleux ou maintien frauduleux dans un STAD) : 2 ans de prison et 60 000 € d'amende. Article 323-2 (entrave au fonctionnement d'un STAD) : 5 ans et 150 000 €. Article 323-3 (introduction, modification, suppression ou extraction frauduleuse de données) : 5 ans et 150 000 €. Article 323-3-1 (détention, diffusion ou offre d'outils permettant la commission de ces infractions, depuis 2013) : 2 à 5 ans. Article 323-7 (commis en bande organisée) : 10 ans et 300 000 €. Circonstances aggravantes : 7 ans et 300 000 € si l'infraction cible un STAD de l'État. L'arrêt Bluetouff de la Cour de cassation (20 mai 2015) a clarifié que le simple accès à des données accessibles mais à l'insu du propriétaire du système peut être qualifié d'infraction. La jurisprudence française est significativement plus sévère que dans d'autres juridictions européennes sur ce point.
  • Quelles communautés rejoindre pour apprendre le pentest en français ?
    Plusieurs communautés francophones actives animent l'écosystème pentest en 2026. Communautés généralistes et bootcamps : Zeroday Cyber Academy (communauté Skool dédiée à la progression technique et à l'accompagnement métier, skool.com/zeroday), Root-Me (communauté historique liée à la plateforme de challenges), HFS (Hackers For Security). Discords thématiques : Hackademy (FR, généraliste), NSHL, MrRobot Discord, serveurs dédiés Breizh-CTF et Nuit du Hack. Événements physiques annuels : SSTIC (Rennes, référence académique française), LeHack (ex Nuit du Hack, Paris), BSides Paris, BSides Lyon, Pass The SALT (Lille), Hack.lu (Luxembourg), Insomni'hack (Genève). Chapters OWASP France : Paris, Lyon, Toulouse, Nantes, Bordeaux. L'ANSSI anime via son compte GitHub et via Hackropole un pont actif avec la communauté chercheur-en-sécurité.
Découvrir le bootcamp DevSecOpsRejoindre la communauté Zeroday sur Skool

Écrit par

Naim Aouaichia

Expert cybersécurité et fondateur de Zeroday Cyber Academy

Expert cybersécurité avec un master spécialisé et un parcours hybride : développement, DevOps, DevSecOps, SOC, GRC. Fondateur de Hash24Security et Zeroday Cyber Academy. Formateur et créateur de contenu technique sur la cybersécurité appliquée, la sécurité des LLM et le DevSecOps.

À lire également