- https://clusif.fr/wp-content/uploads/2021/06/20201230-Rapport-Office-365-et-securite1.pdf
- https://learn.microsoft.com/fr-fr/microsoft-365/compliance/encryption?view=o365-worldwide
- https://learn.microsoft.com/fr-fr/compliance/assurance/assurance-encryption
- https://blog.ineat-group.com/2022/01/proteger-ses-documents-et-emails-sur-microsoft-365/
- https://www.nextinpact.com/article/70609/retour-sur-rachat-boxcryptor-par-dropbox-entre-flou-et-quete-dalternatives
Archives de catégorie : Non classé
Vive les masques jetables !
Comme tout le monde, vous vous êtes toujours demandé comment lancer un missile nucléaire en toute sécurité, sans que les Russes, les Chinois ou les Américains ne viennent perturber vos communications en changeant les cibles à l’insu de votre plein gré ou en connaissant vos cibles à l’avance : impossible de (sur)vivre sans savoir cela. Plus sérieusement, vous vous êtes plus probablement demandé s’il existait un moyen de chiffrement infaillible et infalsifiable permettant la transmission d’un message de façon vraiment confidentielle ? La réponse est oui : le masque jetable est la meilleure des solutions, et c’est même la seule. Nous ne parlons pas ici de la covid mais du chiffre de Vernam. La suite sur… NextINpact !
Internet de la surveillance
Kerberos
Kerberos est un service d’authentification permettant d’accéder à des ressources sur réseau, en se reposant sur un mécanisme de distribution de clés symétriques. Il est utilisé notamment par Windows pour le service d’Active Directory. Le Kerberos Consortium gère ce projet en accès libre.
Différence entre Kerberos et NTLM
NTLM était utilisé autrefois par Windows. Il fonctionnait à la façon classique d’un mot de passe, avec stockage en base du mot de passe que l’utilisateur devait fournir pour s’authentifier. La principale différence entre les deux systèmes est la vérification tierce partie et la capacité de chiffrement plus efficace de Kerberos.
Voici le principe d’une authentification via Kerberos.

Faut s’accrocher un peu pour comprendre. En gros, le client (C) peut se connecter au serveur (S) sans rien connaître de (S). Tout passe par une infrastructure tierce, appelée Centre de Distribution de Clés (KDC) qui comprend un serveur d’authentification et un serveur d’émission de tickets.
En termes imagées, le client va auprès d’un bureau de sécurité (le serveur d’authentification) et demande un badge ayant une durée limitée. A l’aide de ce badge, il se rend à un service d’émission de tickets (celui qui est responsable de la ressource), et demande un ticket pour accéder à la ressource. Sauf qu’à chaque étape, tout est chiffré avec des clés symétriques.
Pré-requis
Pour cela, des clés privées doivent au préalable avoir été échangées entre tiers. Ainsi :
- La clé privée spécifique au client doit être connue du serveur d’authentification. La clé est (toujours ?) dérivée du mot de passe servant à l’authentification sur l’AS via une fonction string2key ;
- La clé privée du serveur de tickets (TGS) doit être connue du serveur d’authentification ;
- La clé privée du serveur ressource (S) doit être connue du serveur de tickets (TGS).
Comme autre pré-requis, le client (C) doit avoir un principal, c’est-à-dire être connu du réseau. Côté client, il faut également savoir gérer ce protocole, ce qui est le cas pour Windows (GSSAPI).
Les différentes étapes
Pour cela, voici les opérations :
- Le client s’authentifie auprès du serveur d’authentification (Authentication Server, AS), en général via login/mot de passe ;
- Le serveur d’authentification lui renvoie un ticket d’authentification (Ticket Granting Ticket, ou TGT), qui l’authentifie durant un certain temps. Ce TGT est chiffré avec la clé du serveur de tickets, et ne peut donc pas être déchiffré par le client. A côté de cela, le serveur d’authentification envoie également une clé de session à utiliser pour l’échange avec le serveur de tickets (TGS) ;
- Pour accéder au serveur (S), le client (C) va utiliser ces éléments : il envoie le ticket d’authentification (TGT) au serveur de tickets (TGS) en le chiffrant avec la clé de session ;
- Le serveur de tickets déchiffre le TGT, le vérifie, et envoie alors au client une clé d’échange finale entre le client et le serveur (en bleu), chiffrée avec la clé de session, ainsi qu’un ticket de service chiffré avec la clé du serveur ;
- Le ticket de service est chiffré avec la clé du serveur : le client ne peut donc ni le lire, ni le modifier.
Cache
Le ticket d’authentification (TGT) ayant une certaine durée de validité, il doit être protégé convenablement dans un cache approprié, dont Kerberos exige qu’il soit en mémoire non swappable (pour éviter qu’il soit écrit sur un disque), accessible uniquement au niveau noyau, etc.
Le protocole interdit également tout stockage du mot de passe ou du secret obtenu via string2key
.
MIT Kerberos Consortium – Protocol Tutorial
Les attaques
Sources
- Explication de l’authentification Kerberos (varonis.fr)
- Kerberos : Principe de fonctionnement – Devensys Cybersecurity
- MIT Kerberos Consortium – Protocol Tutorial
- Kerberos en Active Directory – hackndo
- Fonctionnement de Kerberos (mit.edu)
- Les protocoles LDAP, DNS et Kerberos | IT-Connect
- L’Internet Rapide et Permanent – Le protocole Kerberos (developpez.com)
Voir aussi
JSON Web Token
Les JSON Web Tokens (ou JWT) sont des moyens d’échanger de façon sécurisée des données entre deux parties. Tout dépend ensuite de ce qu’on attend par sécurisé…
Continuer la lectureDrôles de certificats
Tout peut arriver dans ce bas monde, y compris d’avoir de drôles de certificats. Elément de confiance essentiel, il peut y avoir quelques ratés.
Continuer la lectureDevSecOps
Pas de stratégie DevSecOps possible sans une forte culture CI/CD dans l’entreprise, une plate-forme cloud ou On-Premise qui fonctionne et une automatisation à outrance des outils de test, de build et de déploiement.
Il est essentiel de ne plus penser à intégrer la sécurité dans les projets mais dans le cycle de vie des applications (SDLC).
Bertrand Méens, CTO de l’entreprise Oskab
Sources
Réponse automatique aux incidents
- https://auth0.com/blog/guardians-of-the-cloud-automating-response-to-security-events/
- https://github.com/dropbox/securitybot
- https://slack.engineering/distributed-security-alerting-c89414c992d6
- https://thehive-project.org/
Analyse d’une instance
Un mot sur GuardDuty
One of the most common observations after enabling GuardDuty is that it can be daunting at the beginning and that it requires a significant amount of time to tune it to make it serviceable for your environment.
https://auth0.com/blog/guardians-of-the-cloud-automating-response-to-security-events/
Types d’attaquants
Par grand type
- Script kiddies
- Hacktivistes
- Opportunistes
- Mafia
- Etats (ou groupe soutenus par des états)
Par niveau d’habileté
- Minimal/Faible : les script kiddies, les Anonymous, qui exécutent des bidules sans les comprendre, sans aucune connaissance de sécurité offensive (ou très peu) ;
- Standard : du personnel compétent mais isolé (loup solitaire, petit groupe type hacktivistes) ;
- Avancé : groupes organisés, avec du support technique et financier, profil typique dans le milieu de la cybercriminalité ;
- Prédateurs/Hors catégorie : les groupes étatiques ou soutenus par des états, tels que des services de renseignements, l’armée.
Certificat (contrôle)
Bien beau d’avoir un certificat, encore faut-il savoir s’il est fiable et valide. La norme utilisée étant quasiment toujours X509, étudions-en les caractéristiques.
Usage
SNI
Server Name Indication
Sources
SSRF
Vulnérabilité serveur à serveur permettant d’exécuter du script sur un serveur tiers alors qu’on ne devrait pas avoir le droit.
Continuer la lectureDeepfake
- https://ai.facebook.com/blog/deepfake-detection-challenge
- https://www.wedemain.fr/Zao-l-appli-qui-permet-d-incruster-votre-visage-dans-une-video_a4284.html
- https://www.nextinpact.com/brief/google-veut-lutter-contre-des—deepfakes—audio-7588.htm
- https://www.lefigaro.fr/secteur/high-tech/2018/04/20/32001-20180420ARTFIG00134-la-viralite-d-une-fausse-video-d8216obama-met-en-lumiere-le-phenomene-du-deep-fake.php
- https://www.securityweek.com/growing-threat-deepfake-videos
- https://www.securityweek.com/coming-conference-room-near-you-deepfakes et sa conclusion :
Don’t believe everything you see on the internet.
https://www.securityweek.com/coming-conference-room-near-you-deepfakes
Pourquoi moi ?
Liste de toutes les pages
- 2020
- - Code Covid-19
- - 2017
- - 2018
- - 2019
- - 2019 vu par SecureLink
- - 4G
- - A qui la faute ?
- - A quoi ressemble une attaque en 2020 ?
- - Active Directory
- - AMD, des failles
- - Anatomie d’un phishing (presque) ordinaire
- - Android
- - Anonymisation
- - Anonymous
- - Anti-rootkits
- - Anti-rootkits, usage
- - Antivirus
- - Antivirus accablants
- - API
- - Appareils mobiles
- - Articles intéressants
- - Atombombing
- - L’attaquant intérieur et les sous-traitants
- - Attaque et défense
- - Attaques (références)
- - Attaques sur la mémoire RAM
- - Attaques XML
- - Auth0
- - Authentification multifacteur
- - Authentification par assertion
- - L’avenir du mot de passe
- - AWS
- - Base de registres Windows
- - Bastion
- - BGP
- - Big brother
- - Big data
- - Biométrie
- - Biométrie et GDPR
- - Biométrie inviolable
- - Biométrie : les attaques
- - Bloomberg
- - Bonnes pratiques : les bases
- - Botnet
- - Brèves (juillet 2019)
- - Brèves (juin 2016)
- - Brèves (mai 2019)
- - Bug bounty
- - Bug SSL (Apple)
- - Calcul multipartite sécurisé
- - Canaux auxiliaires
- - Cassage de mot de passe
- - Certificat
- - Certificat (contrôle)
- - Chiffrement cloud
- - Chiffrement (outils)
- - Chiffrement ubiquitaire
- - Chkrootkit
- - CI/CD
- - CISSP
- - Clé de chiffrement
- - Clé SSH
- - Cloud
- - Cloud Act
- - Cloud (pannes)
- - Cloud, sécurisation
- - CMMI
- - CNIL
- - COBIT
- - Colored Teams
- - Commandes utiles
- - Compromission de mails
- - Conteneur
- - Contrôles et sécurisation du cloud
- - Cookie
- - Courbes elliptiques
- - Covid 19
- - Crypto AG
- - Cryptographie en Python
- - Cryptographie financière
- - Cryptologie
- - Cryptomonnaie
- - CSRF
- - Cyberespace et droit
- - Cybersecurity Act
- - Darkweb
- - Datacenter
- - Datalake
- - DDoS
- - Deepfake
- - Défacement
- - Dérogation ou acceptation du risque ?
- - Développement
- - DevSecOps
- - DICP
- - Directory (path) transversal
- - .dll
- - DMZ
- - DNS
- - DNS et TLS (DoH et DoT)
- - DOM XSS
- - DORA
- - Droits, utilisateurs et répertoires (Linux)
- - Drôles de certificats
- - DSP2
- - Due care, due diligence
- - EBS
- - Echange de clé
- - Echappement
- - Effacement sécurisé
- - ElasticSearch
- - Élévation des privilèges
- - En cas d’incident
- - Erreurs de configuration
- - Espionnage
- - Éthique
- - Evolutions
- - Exploit (informatique)
- - Facebook
- - Facteur d’authentification
- - Faille
- - Fake News
- - FIDO
- - Filoutage
- - FireEye piratée
- - Fixation de session
- - Fonctions de hachage
- - Force majeure
- - Formations
- - Freak
- - Géolocalisation d’IP
- - Gestionnaire de mots de passe
- - Ghost
- - GnuPG
- - Go (lang)
- - GPG ou PGP ?
- - Hacker
- - Heartbleed
- - HIDS/HIPS
- - Homographie
- - Human error
- - IAM
- - Informatique continue
- - Informatique quantique
- - Ingénierie sociale
- - Insolite
- - Intel, des failles
- - Intel, des failles (bis)
- - Intel, des failles (ter)
- - Intelligence artificielle
- - Internet de la surveillance
- - iOS (sécurité)
- - Isolation
- - ITIL
- - JSON Web Token
- - KeePass : word ou oire ?
- - Kerberos
- - KRACK
- - Kubernetes
- - La bourse ou la vie
- - La NSA est notre amie
- - La rap de la sécurité
- - LAMP
- - Le cas du New York Times
- - Lean six sigma
- - Les 10 lois immuables de la sécurité
- - Les bons conseils de la Maison Blanche et du CISA
- - Les gestionnaires de mots de passe faillibles ?
- - Les menaces 2015-2020 selon Intel
- - L’exemple israëlien
- - L’informatique, c’est physique
- - Linux
- - Liste de toutes les pages
- - Log4shell
- - Logiciel malveillant
- - Logique et mathématique
- - Logjam
- - Logs
- - Loi de Programmation Militaire
- - Loi FISA
- - Lois acronymes
- - MacOS (sécurité)
- - Malware
- - Malwares bancaires
- - Matrice RACI
- - Mécanismes de protection des données
- - Memcached
- - Mentions légales
- - Message d’accueil
- - Microservices
- - Mise à jour du système
- - Mod security
- - Mode texte
- - Modèle d’administration Active Directory
- - Modification de fichiers (Linux)
- - MongoDB
- - Mot de passe
- - Mot de passe Windows
- - MPLS
- - MySQL
- - NFC
- - NFS
- - NFT
- - Nginx
- - Nmap
- - Nord, Sud, Est, Ouest
- - NSA
- - OAuth
- - Objets connectés
- - C’est sûr, l’open source ?
- - OpenID/OAuth 2.0
- - OpenVZ (Sauvegarde)
- - Ossec
- - Outils (Sécurisation)
- - Pare-feu
- - Patriot Act
- - Perte Estimée Unique
- - Piratage matériel
- - Plesk (Maintenance)
- - Plesk (Sauvegarde)
- - Poodle
- - Pour apprendre
- - Pourquoi il faut se méfier des clés USB
- - Pourquoi moi ?
- - Principes de base en entreprise
- - Prix de l’innovation
- - Python
- - Qui compile le compilateur ?
- - RAMPage
- - Ransomware
- - Ransomware Task Force
- - Rapports
- - RCS
- - Reconnaissance faciale
- - Reflected XSS
- - Registre distribué
- - Réponse automatique aux incidents
- - RGPD
- - Rkhunter
- - RODC
- - Rootkit
- - Rust
- - S3
- - SAML
- - Sauvegarde
- - Scan SSL
- - Sécuriser un server web
- - Sécurité des conteneurs
- - Sécurité du SI
- - Serverless functions
- - Serveur FTP
- - Serveur VPN
- - SGX
- - SHA-1
- - Shorewall
- - Signal, WhatsApp, Telegram…
- - Site web (sécurisation)
- - Smartphones
- - SolarWinds
- - Sources d’information
- - Spoiler
- - SQL Express (Sauvegarde)
- - SSH
- - SSL/TLS
- - SSRF
- - StageFright
- - Start-up
- - Stockage en ligne
- - Stored XSS
- - Stuxnet
- - SuperFish
- - Synthèse (Serveur Web)
- - Techniques logicielles
- - Technologie humaine
- - Telegram
- - Test d’intrusion
- - Threat Intelligence
- - Tor Onion Routing
- - TOTP
- - Trop triste réalité
- - TrueCrypt
- - Types d’attaquants
- - Uber
- - Vieux pots
- - Villes connectées
- - Virtualisation
- - Visualisation d’attaques
- - Vive les masques jetables !
- - VLAN
- - VM Escape
- - Vocabulaire (autre)
- - Voiture autonome
- - VPN
- - Vulnérabilité
- - Whois
- - Windows Defender
- - Windows (licence)
- - Windows (sécurité)
- - Windows vault
- - WordPress
- - Zero trust
- - ZeroFont
- - Zerologon
- - ZombieLoad, MDS, etc.
Site web (sécurisation)
Principes de base : voir AFNIC.
Anonymous
Je pourrais renvoyer directement cette page vers une page script kiddies. Les Anonymous ne représentent rien, à mon sens, et ne sont pas comparables aux hacktivistes, qui sont compétents (eux).