Je suis pentester indépendant en partenariat avec Hackmosphere. J'ai récemment obtenu le CPTS et je partage ici mon retour d'expérience pour ceux qui préparent cette certification.

Préparation

Préparation

4
mois de cours
HTB Academy
+1
mois de boxes
pour consolider
13/14
flags obtenus
en 7-8 jours

La préparation s'est étalée sur environ quatre mois pour les cours du path HTB Academy, suivis d'un mois supplémentaire de boxes pour consolider. Mon premier passage s'est soldé par un échec. En attendant les résultats, j'ai enchaîné avec le Dante Pro Lab.

Dante m'a énormément apporté : les pivots multiples, la gestion de tunnels avec ligolo-ng, et surtout le fait de devoir se débrouiller seul dans un environnement réaliste. Je n'ai pas fait Zephyr. Pour moi, Dante + AEN étaient suffisants pour se préparer à l'examen.

Organisation des notes

J'ai organisé mes notes comme je le fais lors d'un vrai pentest, avec OneNote. Pas de field manual ultra-structuré à la mode, mais une approche pragmatique : une section par machine/service, des commandes clés, et surtout mes observations et ce qui a fonctionné ou non.

Conseil

L'essentiel, c'est d'avoir un système dans lequel vous êtes à l'aise et que vous pouvez parcourir rapidement quand vous êtes bloqué à 3h du matin.

L'examen

L'examen

Les flags

J'ai obtenu 13 flags sur 14 en 7 à 8 jours. Beaucoup de retours sur l'ancienne version parlent des flags 5 et 9 comme les plus difficiles. Sur la nouvelle version, c'est le flag 8 qui m'a donné le plus de fil à retordre.

Pattern récurrent

La difficulté ne venait pas d'une technique obscure mais d'une énumération incomplète de ma part. Ce n'est pas la technique qui vous bloque, c'est ce que vous n'avez pas vu.

La partie Active Directory

L'AD est le cœur du CPTS et c'est aussi là que j'ai le plus progressé. En mission réelle comme à l'examen, la méthodologie est la même : on commence par BloodHound pour cartographier les relations de confiance et identifier les chemins d'attaque, puis on déroule.

NetExec
Énumération SMB, spray de mots de passe, validation de credentials. L'outil le plus polyvalent de l'examen.
BloodHound
Cartographie des relations de confiance AD et identification des chemins d'attaque. À relancer après chaque compromission.
impacket
psexec.py, wmiexec.py, smbexec.py, secretsdump.py. Incontournable pour le mouvement latéral.
ligolo-ng
Pivoting simple et stable. Proxy côté attaquant, agent côté cible, interfaces TUN en quelques commandes.

Pivoting

Pour le pivoting, j'ai utilisé ligolo-ng exclusivement. C'est tellement simple et pratique que je ne vois pas pourquoi on s'embêterait avec autre chose. On lance le proxy côté attaquant, l'agent côté cible, et on crée les interfaces TUN en quelques commandes. Comparé à un double tunnel SSH avec du port forwarding dynamique, c'est le jour et la nuit.

Conseil technique

Compilez vos binaires ligolo-ng vous-même en statique plutôt que d'utiliser les releases précompilées. Un CGO_ENABLED=0 avec les bons flags de build et vous éviterez des problèmes de compatibilité sur certaines cibles. Pour le double pivot, gardez un schéma réseau à jour avec vos tunnels, les ports exposés et les segments accessibles.

Élévation de privilèges

Linux : les classiques restent les classiques — SUID, capabilities, cron jobs, sudo mal configuré. Ne négligez pas les chemins moins évidents : un service qui tourne en root avec un fichier de config accessible en écriture, ou une lib partagée qu'on peut hijacker.

Windows : au-delà des vecteurs habituels (SeImpersonatePrivilege, services mal configurés), familiarisez-vous avec winPEAS et PowerUp.ps1. Mais surtout, comprenez pourquoi ces outils remontent ce qu'ils remontent. L'examen teste votre compréhension, pas votre capacité à lancer un script.

Le rapport

Le rapport

C'est là que j'ai eu ma petite frayeur. J'ai utilisé SysReptor avec le template officiel HTB. Mon rapport faisait 80 pages.

Après l'envoi, j'ai fait l'erreur d'aller regarder ce que les autres disaient sur le web. Tout le monde parlait de rapports de 100, 150, voire 195 pages. Le stress est monté d'un coup.

Mon approche : j'ai fait le choix de regrouper mes évidences par type et de ne pas être répétitif dans la description des failles. Si la même vulnérabilité apparaît sur plusieurs machines, je la documente une fois proprement avec toutes les occurrences, les preuves associées, l'impact et la remédiation — plutôt que de copier-coller le même pavé dix fois. Résultat : un rapport plus concis, mais dense et pertinent.

La rédaction m'a pris environ 16 heures. En pentest réel, le rapport est le seul livrable que le client voit. Autant s'y habituer dès maintenant.

Attention

Ne regardez pas ce que font les autres après avoir soumis. Ça ne sert à rien à part vous stresser.

Conseils

Mes 3 conseils

1. Ne vous dispersez pas

Le path Academy est long et dense. Le piège, c'est de vouloir tout faire. Concentrez-vous sur le path, faites AEN en blind, et si vous avez le temps, faites Dante. Le reste est du bonus.

2. Ne vous acharnez pas

Si vous êtes bloqué depuis plus de deux heures sur un flag, changez de cible. Allez énumérer ailleurs, revisitez vos notes, prenez une pause. J'ai perdu du temps à m'obstiner sur des pistes qui ne menaient nulle part alors que la réponse était sur une autre machine. En pentest comme à l'examen, le mouvement latéral c'est aussi savoir pivoter mentalement.

3. Énumérez tout

C'est le conseil que tout le monde donne et que personne n'applique assez. L'examen n'est pas techniquement insurmontable, c'est un examen d'énumération. Un nmap complet sur tous les ports, du fuzzing de vhosts et de répertoires, une énumération SMB/LDAP méthodique, un BloodHound à jour après chaque compromission. Si vous avez bien énuméré, les techniques d'exploitation coulent naturellement.

À retenir

Si vous bloquez, c'est probablement que vous avez raté quelque chose, pas que vous manquez de compétences techniques.

Bilan

Ce que je ferais différemment

Mon principal défaut a été de partir trop loin dans mes réflexions. Quand vous bloquez, la tentation est de chercher des techniques avancées, des exploits exotiques, des chaînes d'attaque complexes. La réalité du CPTS, c'est que les réponses sont souvent plus simples qu'on ne le pense. Un partage réseau mal protégé, un mot de passe réutilisé, un service en écoute qu'on a oublié de scanner. Restez méthodique, restez simple.

Le CPTS face à la réalité terrain

Ayant fait des pentests réels, je peux dire que le CPTS est très proche de la réalité. L'environnement AD multi-machines, la progression du périmètre externe vers le domaine interne, le besoin de documenter proprement chaque étape. Tout ça reflète bien ce qu'on fait en mission.

La différence principale avec le terrain, c'est l'absence de contrainte de discrétion. En mission réelle, on fait attention au bruit réseau, aux détections EDR, aux logs. Le CPTS ne teste pas ça — mais le CAPE devrait combler ce manque.

Et après ?

Le CRTA que j'ai passé était beaucoup trop simple comparé au CPTS. Quant à l'OSCP, d'après les retours que j'ai eus, il est au même niveau. Donc à part pour plaire aux RH, je n'y vois pas un intérêt technique particulier.

Mon focus maintenant, c'est le CAPE. D'après le senior avec qui je travaille, je suis devenu plus rapide et plus pertinent depuis l'obtention du CPTS. C'est ça qui compte. Les certifications sont des jalons, pas des destinations.