Catégorie : Sécurisation

La catégorie Sécurisation contient différents principes permettant de sécuriser un objet informatique, de façon théorique (par rapport à un concept) ou pratique (en réponse à une actualité).

15/07/2019 Base de registres Windows
  Foutue base de registres : indispensable et anachronique !
14/05/2019 Développement
   Articles courts, Bonnes pratiques  
  Plutôt que de réinventer la roue (et mal), voici le guide de la CNIL à destination des développeurs. https://www.cnil.fr/fr/kit-developpeur
06/05/2019 Cryptographie en Python
   Cryptographie et chiffrement, Outils    ,
  Python est un langage pratique pour différents usages, y compris la cryptographie. Voici mon aide-mémoire sur le sujet. Installation Il faut jouer du pip. Le module le plus important est cryptography ! Voir aussi Mon repository GitHub
15/04/2019 TOTP
     , ,
  TOTP signifie Time-Based One-Time Password Algorithm. Bien. Les choses sont posées.
15/03/2019 Serveur VPN
  Installation d’un serveur Version Ubuntu apt install easy-rsa Source http://debian-facile.org/doc:reseau:openvpn
07/03/2019 Applications web de test
     ,
  http://www.dvwa.co.uk/
26/02/2019 Les gestionnaires de mots de passe faillibles ?
   Actualités, Blagues, Bonnes pratiques    , , , , , , , , ,
  Vraiment ? L’actualité court sur tous les sites web (enfin, quelques uns) pour indiquer que les gestionnaires de mots de passe comme KeePass ou 1Password laisseraient des informations critiques en clair.
19/02/2019 Anti-rootkits
     , , , , , , ,
  chkrootkit chkrootkit est un programme dont le but est de détecter la contamination d’une machine par un rootkit sur des machines de type Linux. ossec ossec comporte un module anti-rootkit. rkhunter rkhunter est un outil réputé de recherche de rootkit, fonctionnant sur Linux. Il permet de vérifier l’intégrité des principaux fichiers système (dont les commandes principales) et de s’assurer […]
19/02/2019 Chiffrement (outils)
  Encrypto GPG BitLocker TrueCrypt LUKS
18/02/2019 Bastion
  Le bastionnage (pas sûr que le terme existe) consiste à créer un bastion pour accéder à vos ressources (informatiques). On les utiliser sur des ressources sensibles par leur positionnement (ex : production), par leur nature (ex : outil de gestion de droits), leur contenu, etc. Ainsi, personne ne peut (en théorie) accéder à vos ressources sans montrer patte blanche et sans […]
18/02/2019 Auth0
  Auth0 https://thehackernews.com/2018/04/auth0-authentication-bypass.html https://auth0.com/blog/managing-and-mitigating-security-vulnerabilities-at-auth0/
15/02/2019 Antivirus
  Un antivirus est un nom générique donné aux programmes de sécurité, dont le but est de détecter et supprimer les virus (ce qui est un abus de langage pour désigner les programmes malveillants). La question mérite d’être posée : a-t-on besoin d’un anti-virus ? Sur un serveur web ? Sur un poste client ? Sur un smartphone ? Sur […]
15/02/2019 AWS
  Sécurité Suivre les événements Principes Utiliser CloudTrail pour le stockage sur le long terme des événements ; il faut ensuite traiter « manuellement » les événements. La mise-à-jour des événements peut mettre plusieurs minutes (entre 5 et 15), sachant qu’il n’y a pas de garantie d’AWS sur ce délai. Utiliser CloudWatch pour le court terme (plus rapide, quasiment […]
12/12/2018 Principes de base en entreprise
  On ne peut pas gérer la sécurité informatique d’une entreprise de la même façon qu’un particulier, de façon évidente. Difficile également de faire le tour du sujet en une seule rubrique, mais certains grands principes et grandes questions reviendront dans tous les services ayant à traiter de SSI.
25/09/2018 Outils (Sécurisation)
  En dehors des outils de base (comme les antivirus), il existe des outils ayant une action plus spécifique. Ils peuvent être utilisés en complément des méthodes de protection habituelles, pour des vérifications supplémentaires. Pentest 10 outils de pen test pour hackers éthiques, selon le Monde : Kali Linux nmap Metasploit Wireshark John the Ripper Hydra […]
19/09/2018 Commandes utiles
     , ,
  openssl Voici quelques commandes utiles. Sauf indication contraire, c’est du Linux 😉 mais ça marche quasiment de la même façon sous Windows. openSSL est un outil open source très répandu qui offre un très grand nombre de fonctions utiles pour la mise en oeuvre de SSL. Voici quelques exemples d’utilisation. Pour récupérer le certificat présenté par un […]
18/09/2018 MongoDB
  mongoDB est une base de données utilisée dans les développements à Gilles de style djeun’s. La sécurité n’étant pas le fort des générations Y ou Z, de nombreuses fuites de données ont été relatées dans la presse plus ou moins spécialisée. Fort de ce constat, je me suis demandé si c’était si difficile que ça […]
04/09/2018 S3
  S3 (Amazon Simple Storage Service) est un service de stockage d’objets en ligne d’Amazon Web Services (AWS). Bien que très pratique, il peut être très mal utilisé. Résultat : on assiste en ce moment à un florilège de divulgation de données via des S3 fonctionnant très bien mais mal paramétrés. Il existe des variantes avec […]
03/09/2018 ElasticSearch
  ElasticSearch est un moteur de recherche et d’analyse RESTful distribué, d’après son site web (elastic.co). Très utilisé et même proposé sous forme de service par AWS, ce produit permet de gérer des recherches sur de grandes quantités de données. C’est bien. Mais cela devient moins amusant quand on le configure mal, les informaticiens pouvant être […]
30/08/2018 Mot de passe
  Le mot de passe est un élément extrêmement sensible dans la chaîne de la sécurité. C’est le point faible le plus souvent rencontré et, forcément, le plus souvent utilisé pour les piratages et les actes malveillants. Il ne sert à rien de sécuriser sa connexion SSH si vous laissez un mot de passe faible… On […]
24/08/2018 Linux
  Linux is not Unix. Or Linux tend à se répandre un peu partout alors que, n’en déplaise à son créateur, il n’a pas forcément été conçu sur des bases suffisamment sûres pour les entreprises. Sources Publications http://ts.data61.csiro.au/publications/csiro_full_text/Biggs_LH_18.pdf
15/08/2018 Windows (sécurité)
  A la question « Windows est-il sûr », je ne saurais pas répondre, désolé. Pour autant, est-il plus sûr qu’avant, là d’autres ont répondu oui. Il faut reconnaître que la plupart des grandes sociétés et éditeurs informatiques font des efforts, et Windows 10 est beaucoup moins sensible (c’est-à-dire moins infecté par des programmes malveillants) que Windows 7. […]
07/08/2018 Vieux pots
  C’est dans les vieux pots qu’on fait les meilleures confitures. En 2016, la vulnérabilité la plus utilisée sur Windows date de 2010 ! Pour la petite histoire, à l’époque, il s’agissait d’une faille Windows inconnue du public et des spécialistes, sans correctif, et qui a servi à l’opération contre les centrifugeuses nucléaires iraniennes. Probablement utilisée […]
31/07/2018 MySQL
  Quoiqu’on dise sur le rachat de MySQL par Oracle, cela reste un des systèmes de gestion de bases de données les plus courants dans le monde web. Sécurisation de l’installation Il faut lancer l’utilitaire installé par défaut, qui permet déjà de corriger certains points. sudo mysql_secure_installation A la 1ère question, sur le plugin des mots […]
20/07/2018 Scan SSL
  La confiance n’exclut pas le contrôle, dit-on souvent. Il existe d’excellents outils pour évaluer la sécurité et la robustesse d’un serveur proposant une communication SSL. Pour ma part, je recommande SSLScan, dont il existe plusieurs variantes. En fouillant un peu, celle qui me semble la plus pertinente est celle de rbsec, car elle est à […]