Voici une petite liste d’outils permettant de lutter contre les rootkits. Il ne s’agit pas toujours d’outils spécifiques à cet usage.
Continuer la lectureArchives de catégorie : Sécurisation
Chiffrement (outils)
Bastion
Le bastionnage (pas sûr que le terme existe) consiste à créer un bastion pour accéder à vos ressources (informatiques). On les utiliser sur des ressources sensibles par leur positionnement (ex : production), par leur nature (ex : outil de gestion de droits), leur contenu, etc.
Ainsi, personne ne peut (en théorie) accéder à vos ressources sans montrer patte blanche et sans passer par ce bastion, qui peut surveiller et mettre en historique les actions effectuées, filtrer les éléments indésirables, gérer des droits d’accès différenciés, etc.
Continuer la lectureAuth0
Antivirus
Un logiciel antivirus combat les virus. Après ça on est bien avancé, non ? Le nom antivirus est un nom générique donné aux programmes de sécurité, dont le but est de détecter et supprimer les virus (ce qui est un abus de langage pour désigner les programmes malveillants).
La question mérite d’être posée : a-t-on besoin d’un anti-virus ? Sur un serveur web ? Sur un poste client ? Sur un smartphone ?
Continuer la lectureAWS
Principes de base en entreprise
On ne peut pas gérer la sécurité informatique d’une entreprise de la même façon qu’un particulier, de façon évidente. Difficile également de faire le tour du sujet en une seule rubrique, mais certains grands principes et grandes questions reviendront dans tous les services ayant à traiter de SSI.
Continuer la lectureOutils (Sécurisation)
En dehors des outils de base (comme les antivirus), il existe des outils ayant une action plus spécifique. Ils peuvent être utilisés en complément des méthodes de protection habituelles, pour des vérifications supplémentaires.
Continuer la lectureCommandes utiles
Voici quelques commandes utiles pour openssl et la manipulation de certificats.
Continuer la lectureMongoDB
mongoDB est une base de données utilisée dans les développements à Gilles de style djeun’s. La sécurité n’étant pas le fort des générations Y ou Z, de nombreuses fuites de données ont été relatées dans la presse plus ou moins spécialisée.
Fort de ce constat, je me suis demandé si c’était si difficile que ça de sécuriser cette base de données, sachant que la plupart du temps les fuites de données constatées ne sont dues qu’à la méconnaissance et de la paresse du développeur. En 2017, on dénombrait 60 000 bases MongoDB accessibles sur Internet1, dont 70 % sans authentification ! Le résultat va de la fuite de données à l’extorsion1.
Continuer la lectureS3
S3 (Amazon Simple Storage Service) est un service de stockage d’objets en ligne d’Amazon Web Services (AWS). Bien que très pratique, il peut être très mal utilisé. Résultat : on assiste en ce moment à un florilège de divulgation de données via des S3 fonctionnant très bien mais mal paramétrés.
Il existe des variantes avec d’autres produits mal configurés, comme le service ElasticSearch, qui peut se révéler tout aussi fatal aux informaticiens peu consciencieux (ou débordés), ou la base MongoDB mal sécurisée par défaut.
Continuer la lectureElasticSearch
ElasticSearch est un moteur de recherche et d’analyse RESTful distribué, d’après son site web (elastic.co). Très utilisé et même proposé sous forme de service par AWS, ce produit permet de gérer des recherches sur de grandes quantités de données.
C’est bien.
Mais cela devient moins amusant quand on le configure mal, les informaticiens pouvant être peu consciencieux ou débordés. Le résultat est alors sans appel : des moteurs de recherche internet (comme Shodan) indexent (trop) facilement les contenus mal protégés, et l’énorme quantité des données gérées par ElasticSearch deviennent purement et simplement disponibles et accessibles à la moindre requête anonyme.
Continuer la lectureMot de passe
Le mot de passe est un élément extrêmement sensible dans la chaîne de la sécurité. C’est le point faible le plus souvent rencontré et, forcément, le plus souvent utilisé pour les piratages et les actes malveillants. Il ne sert à rien de sécuriser sa connexion SSH si vous laissez un mot de passe faible…
Continuer la lectureLinux
Linux is not Unix. Or Linux tend à se répandre un peu partout alors que, n’en déplaise à son créateur, il n’a pas forcément été conçu sur des bases suffisamment sûres pour les entreprises1.
Sources
Publications
Windows (sécurité)
A la question « Windows est-il sûr », je ne saurais pas répondre, désolé. Pour autant, est-il plus sûr qu’avant, là d’autres ont répondu oui. Il faut reconnaître que la plupart des grandes sociétés et éditeurs informatiques font des efforts, et Windows 101 est beaucoup moins sensible (c’est-à-dire moins infecté par des programmes malveillants) que Windows 7.
Continuer la lectureVieux pots
C’est dans les vieux pots1 qu’on fait les meilleures confitures. En 2016, la vulnérabilité la plus utilisée sur Windows date de 20102 ! Pour la petite histoire, à l’époque, il s’agissait d’une faille Windows inconnue du public et des spécialistes, sans correctif, et qui a servi à l’opération contre les centrifugeuses nucléaires iraniennes. Probablement utilisée par des équipes de très haut niveau, ayant des moyens considérables, soit pour découvrir cette faille soit pour l’acheter (puisqu’il existe un marché pour cela).
Continuer la lectureMySQL
Quoiqu’on dise sur le rachat de MySQL par Oracle, cela reste un des systèmes de gestion de bases de données les plus courants dans le monde web.
Sécurisation de l’installation
Il faut lancer l’utilitaire installé par défaut, qui permet déjà de corriger certains points.
sudo mysql_secure_installationContinuer la lecture
Scan SSL
La confiance n’exclut pas le contrôle, dit-on souvent. Il existe d’excellents outils pour évaluer la sécurité et la robustesse d’un serveur proposant une communication SSL.
Pour ma part, je recommande SSLScan, dont il existe plusieurs variantes. En fouillant un peu, celle qui me semble la plus pertinente est celle de rbsec, car elle est à peu près à jour (elle intègre les versions 1.1 et 1.2 de TLS), et ne mixe pas les technologies puisqu’il s’agit uniquement d’un programme en langage C. Ca permet d’éviter de trop nombreuses dépendances, et ça évite de cumuler les vulnérabilités de multiples technologies (bien que cet aspect puisse être débattu).
Continuer la lectureKubernetes
Kubernetes, ou k8s pour les intimes, est un orchestrateur. On pourrait dire parmi tant d’autres, vus qu’ils fleurissent pour nous aider à tout faire, mais pas tant que ça : il tend de facto à devenir un standard, ou tout du moins l’outil le plus utilisé dans son genre.
Continuer la lectureMise à jour du système
La mise-à-jour du système d’exploitation est, me semble-t-il, une des précautions essentielles à prendre sur toute machine connectée à internet, qu’il s’agisse d’un serveur web ou d’un PC.
Il existe plusieurs écoles sur le sujet. Certains recommandent de mettre-à-jour son système automatiquement (dès la parution des correctifs), d’autres préfèrent choisir manuellement les correctifs à installer. Alors que choisir ?
Continuer la lecture