Où vérifier les informations qui circulent à droite et à gauche ? La tâche est si complexe que même des journalistes s’y perdent et se font avoir. Voici, à titre informatif, quelques sites de vérification d’information. Quoi qu’il en soit, quoi qu’il arrive, multipliez les sources et allez voir les avis contraires pour ne pas vous enfermer dans un schéma (ni dans les statistiques des algorithmes qui vous proposeront toujours la même tendance). Je les ai tous vérifiés au 11/09/2025 mais signalez moi toute erreur ou changement d’URL !
Continuer la lectureArchives de catégorie : Outils
Contrôles et sécurisation du cloud
Quelques liens d’information ou d’outillage pour la sécurisation du cloud, au sens (très) large.
Continuer la lectureInformatique continue
Je n’avais pas envie de faire deux articles, un pour l’intégration continue, l’autre pour le déploiement continu. D’autant qu’on peut faire du continu sur un peu toutes les étapes d’un projet informatique, ça n’est qu’une question d’outillage.
Continuer la lectureCryptographie en Python
Python est un langage pratique pour différents usages, y compris la cryptographie. Voici mon aide-mémoire sur le sujet.
Installation
Il faut jouer du pip. Le module le plus important est cryptography !
Voir aussi
- Mon repository GitHub
TOTP
TOTP signifie Time-Based One-Time Password Algorithm. Bien. Les choses sont posées.
Continuer la lectureServeur VPN
Installation d’un serveur
Version Ubuntu
apt install easy-rsa
Source
Pour apprendre
Sites web pour apprendre
- https://zenk-security.com
- https://bugtraq-team.com
- https://root-me.org
- https://skillset.com
- https://dvwa.co.uk
Des sites web payants
- Pluralsight
Recensement de formations et de certifications
Anti-rootkits
Voici une petite liste d’outils permettant de lutter contre les rootkits. Il ne s’agit pas toujours d’outils spécifiques à cet usage.
Continuer la lectureChiffrement (outils)
Auth0
Outils (Sécurisation)
En dehors des outils de base (comme les antivirus), il existe des outils ayant une action plus spécifique. Ils peuvent être utilisés en complément des méthodes de protection habituelles, pour des vérifications supplémentaires.
Continuer la lectureCommandes utiles
Voici quelques commandes utiles pour openssl et la manipulation de certificats.
Continuer la lectureElasticSearch
ElasticSearch est un moteur de recherche et d’analyse RESTful distribué, d’après son site web (elastic.co). Très utilisé et même proposé sous forme de service par AWS, ce produit permet de gérer des recherches sur de grandes quantités de données.
C’est bien.
Mais cela devient moins amusant quand on le configure mal, les informaticiens pouvant être peu consciencieux ou débordés. Le résultat est alors sans appel : des moteurs de recherche internet (comme Shodan) indexent (trop) facilement les contenus mal protégés, et l’énorme quantité des données gérées par ElasticSearch deviennent purement et simplement disponibles et accessibles à la moindre requête anonyme.
Continuer la lectureScan SSL
La confiance n’exclut pas le contrôle, dit-on souvent. Il existe d’excellents outils pour évaluer la sécurité et la robustesse d’un serveur proposant une communication SSL.
Pour ma part, je recommande SSLScan, dont il existe plusieurs variantes. En fouillant un peu, celle qui me semble la plus pertinente est celle de rbsec, car elle est à peu près à jour (elle intègre les versions 1.1 et 1.2 de TLS), et ne mixe pas les technologies puisqu’il s’agit uniquement d’un programme en langage C. Ca permet d’éviter de trop nombreuses dépendances, et ça évite de cumuler les vulnérabilités de multiples technologies (bien que cet aspect puisse être débattu).
Continuer la lectureGestionnaire de mots de passe
L’utilisation d’un gestionnaire de mot de passe est une très bonne pratique, à condition de choisir un bon outil. Je ne dirai pas le bon outil, car selon ses exigences, ses usages, différents outils peuvent convenir.
Continuer la lectureRkhunter
rkhunter est un programme anti-rootkit, fonctionnant sur Linux. Il permet de vérifier l’intégrité des principaux fichiers système (dont les commandes principales) et de s’assurer qu’aucun des principaux rootkits n’est pas installé sur le système concerné.
Continuer la lectureOssec
OSSEC est un HIDS de niveau système, qui s’installe sur quasiment n’importe quelle distribution Linux du moment qu’un administrateur dispose d’un compilateur C sur la machine adéquate. Cet HIDS peut s’installer seul (il ne vérifie que ce qui se passe sur la machine) ou en tant que serveur/agent (c’est-à-dire qu’on l’installe sur une machine centrale ou serveur, qui contrôle tout un réseau de machines sur lesquelles on installe des agents ossec). Je décrirai ici l’installation dite « locale », à savoir qu’on ne surveille que son propre serveur.
Continuer la lectureShorewall
Shorewall est un excellent pare-feu simple à configurer. Pour être plus précis, cet outil permet de configurer facilement des règles iptables.
Continuer la lectureMod security
mod_security est filtre (pare-feu) applicatif se présentant sous le forme d(un module que l’on peut ajouter à son serveur web Apache. Son rôle est de filtrer les requêtes bizarroïdes. Certaines distributions récentes (comme Fedora) l’intègrent et ce module peut donc être installé très facilement.
L’installation automatique convient parfaitement, mais si vous voulez avoir la toute dernière version ou si votre distribution ne la contient pas, j’ai aussi décrit la procédure manuelle.
Continuer la lecture