Outils

Le module Hive : automatisation du bannissement

Drupal
bots
spam
web

Comme vous le savez, sur ce site, j’ai un certain nombre de robots spammeurs qui essaient désespérément de me fourguer leurs pubs. Une fois, deux fois, trois fois. Pour ne plus avoir à m’en occuper, j’ai installé Honeypot dont j’ai déjà expliqué le fonctionnement et qui répond parfaitement à mes besoins.

Combien coûte un incident de sécurité informatique ?

statistique
coût
prévention
réponse à incident

En ces temps économiquement difficiles, on a tendance à utiliser les services les moins chers, les plus faciles et les plus rapides, afin de gagner du temps et de l’argent. La question que je me suis posée était de savoir ce que coûtait la gestion d’un incident de sécurité en France.

L’installation d’un certificat SSL sur une plateforme en Drupal hébergé en Simple Hosting chez Gandi

Web
Drupal
Gandi
SSL

Vous avez été plusieurs à me dire que pour un site qui prétend causer technique et sécurité, ce n’était pas normal qu’une connexion en HTTPS ne soit pas effective et c’est vrai. Faute de temps, je ne l’avais pas mise en place.

Récemment, j’ai eu plus de temps et je profite d’en avoir quasiment fini avec ce qui s’est avéré être un peu difficile pour moi, pour faire un retour d’expérience.

Drupal et la sécurité : niveau 4

Drupal
code
pré-production
test
Web

Dans cette partie, nous allons nous intéresser à la phase de pré-production. Idéalement, avant de propulser un site, on se doit de mettre sur pied une pré-prod qui va plus ou moins servir de brouillon et qui va nous permettre de tester, débugguer voire développer tout ce dont on aura besoin pour le futur site.

Drupal et la sécurité : niveau 3

Drupal
web
authentification
https

Dans cette partie, nous allons nous intéresser au renforcement de la sécurité des utilisateurs d’un site développé sous Drupal, plus particulièrement les sites gérant un grand nombre de comptes utilisateurs comme les forums, les blogs communautaires ou même certains sites de prestation en ligne.

Des leçons classiques pour des problématiques nouvelles

Web
sécurité
log-management
intrusions
injection

*Ce texte une traduction libre d’un article paru dans Drupal WatchDog. Bien que concernant Drupal, il peut tout à fait s’appliquer à la sécurité informatique en général. Ce sont des conseils relativement classiques mais présentés d’une façon un peu humoristique.*

L’importance de la donnée statistique en sécurité informatique

CMS
framework
javascript
statistique

Lorsque l’on parle de sécurité informatique, on pense failles sur les applications Web, attaques de serveurs, intrusion, IDS, bref, on réfléchit surtout en termes d’informatique. Mais il existe un autre domaine, qui semble sans rapport avec le premier, qu’il peut être intéressant de maitriser, à savoir, les statistiques.

Splendeurs et misères des scanners de vulnérabilités

failles
logs
pentests

Lorsque l’on fait du pentest – dans un cadre légal s’entend – on peut être amené à utiliser un scanner de vulnérabilités voire plusieurs afin d’obtenir une première couche d’informations plus ou moins pertinentes.

Concrètement, un scanner de vulnérabilités va « bombarder » un site afin de collecter le plus d’informations sur son architecture, sa structure, ses technologies, ses contenus et tester différentes faiblesses.

Les enseignements d’Octobre Rouge

anti-virus
Conficker
malware
menace
Red October
Stuxnet

En janvier dernier, Kaspersky annonce publiquement avoir découvert un malware relativement ingénieux et bien codé, sobrement baptisé Octobre Rouge. Ingénieux dans le sens où il est basé sur la faiblesse humaine et bien codé car propre et sans bug critique, fonctionnant avec 34 modules.

URLCrazy l’outil de vérification d’URL de BackTrack5 R3

BackTrack
Cyber-squatting
OSINT
URLCrazy

La sécurité informatique ne se cantonne pas à la sécurisation mais peut aussi comporter un volet juridique et marketing. A ce titre, lorsque l’on achète un nom de domaine, on a parfois une absence de réflexes, à savoir, vérifier si un nom de domaine proche est déjà acheté. Dans le cas contraire, surtout lorsque l’on est une entreprise, on doit parer aux risques de cyber-squatting, d’erreurs de typographie humaines ou même d’URL déjà légalement enregistrées, dans un secteur d’activités plus ou moins similaire.

TV connectée : premières failles, premières désillusions

objet connecté
réseau
réseau local
SmartTV
TV connectée

Il n’y avait que les naïfs pour croire que la télévision connectée, sujet sur lequel tout le monde semble vouloir gloser, échapperait aux problématiques de sécurité et de sécurisation. Mais il semblerait que certaines leçons ne puissent être apprises que dans la douleur et Samsung en fait l’amère expérience.

Le programme ASSIA de SFR : un QoS qui soulève beaucoup d’interrogations

ADSL
ARCEP
ASSIA
neutralité du Net
QoS
SFR
réseau

Dans la soirée de lundi, ayant été victime de micro-coupures de mon accès Internet, j’ai entrepris de joindre un technicien de mon FAI, à savoir SFR. Ce dernier m’a appris que les micro-coupures étaient dues à mon insertion dans un programme d’optimisation de de l’ADSL. Explications et interrogations.

Les (mauvaises) plaisanteries de Windows

clefs de registre
registre
software
Windows

*Ce texte s'adresse aux débutants, utilisateurs de Windows.* 

Lorsque l’on bricole un peu, on est amené à tester un certain nombre de logiciels, qui, la première utilisation effectuée, ne nous conviennent pas ou qui ont rempli leurs offices et dont on n’aura plus besoin par la suite.

Quelques notions autour de la stéganographie

archive
image
PHP
Python

La stéganographie relève à la fois de l’art et de la science, à savoir l’insertion et la dissimulation de messages dans une image. Le premier usage de ce terme remonterait à 1499 mais c’est au moment de la Seconde Guerre Mondiale que le procédé a recommencé à faire son apparition, tout comme les techniques de chiffrement des messages. 

Maltego, l'outil de footprinting

fingerprint
footprint
forensics
maltego

Il arrive que l’on ait besoin de faire certaines recherches sur des entités, notamment dans le cadre d’un audit de sécurité. Il existe deux façons de recueillir des informations :

·         Le fingerprinting ou reconnaissance active ;

·         Le footprinting ou reconnaissance passive.

Avec Maltego, on est dans la deuxième catégorie, à savoir la collecte d’information et de reconnaissance passive.

Le spam : un vecteur d'infection

impact économique
menace
rentabilité
spambots
spams

*Ce texte, qui s'adresse aux débutants, fait suite au dernier article concernant les emails forgés*

Tout utilisateur d’Internet y est confronté, peu importe son niveau de maîtrise de l’informatique : le spam. Il s’agit d’un courrier électronique non sollicité. Le premier spam « officiel » fut envoyé le 3 mai 1978 par un commercial sur le réseau ARPANET et toucha environ 6 000 personnes.

Les rootkits : le malware UNIXien adapté à Windows

injection DLL
malwares
menace
rootkits
smartphone

*Ce texte est au format Wiki*

On a tendance à croire que les malwares ne sévissent que sur les machines équipées du système d’exploitation Windows. Cette affirmation est fausse. Tout d’abord, aucune machine ni système n’est « free-malware » et toutes les machines peuvent être infectées.

Si effectivement, statistiquement, il y a plus de malwares sous Windows, c’est parce qu’il y a plus de personnes utilisant Windows que Linux et qu’il est donc – économiquement parlant – de s’attaquer à la première catégorie d’utilisateurs.

Emails forgés : explications, détections et corrections

emails
menace
phishing
spams

*Ce texte s'adresse aux débutants.*

Mardi, un texte sur les emails forgés a été publié, comportant certaines affirmations erronées. Les lignes qui suivent sont une version corrigée grâce à Pierre Beyssac et Bruno Tréguier qui ont eu la gentillesse et la patience de contribuer aux corrections qui suivent. Merci à eux.

Fonctionnement des anti-virus

analyse spectrale
anti-virus
menace
sandbox
signature

*Ce texte s'adresse aux débutants*

Il a été expliqué que les anti-virus pour smartphones ne fonctionnaient pas pleinement, notamment parce qu'ils ne se basaient que sur la reconnaissance de signature des différentes menaces.  Mais comment fonctionne un anti-virus ?

Sur les machines, donc ni les smartphones ni les tablettes, les anti-virus reposent sur trois méthodes de fonctionnement : la reconnaissance de signature, l'analyse spectrale et l'analyse comportementale.

Trame pour le pentest de sites Web

bruteforce
DNS
injection
méthode
pentest
XSS

*La "méthode" présentée en est une parmi tant d’autres, il n’existe pas de méthodologie unique au pentest. Ce texte étant en format Wiki, n’hésitez pas à faire part de vos remarques.*

Il existe différentes catégories de pentests : le pentest de réseau, le pentest de réseau sans fil, les tests de pénétration physique, le pentest basé sur le social engineering et bien sûr, le pentest de site Web.

Le drive-by-download : une technique valable aussi pour les devices mobiles

botnet
code malveillant
drive by download
menace
trojan

Le drive-by-download est une méthode d’infection assez connue : l’idée est de faire télécharger du code malveillant à une personne lorsque celle-ci visite un site Web. Cette attaque exploite parfois des vulnérabilités de certains navigateurs, des plug-ins additionnels ou tout simplement du manque d’attention de l’internaute.

Tracer un grand nombre d’IP : l’outil qui vous facilite la vie

identification
IP
proxy
réseau
tracer

*Ce texte s'adresse aux débutants*

Sur ce site, comme sur 99% des sites, il m’arrive d’être confrontée à du flood, du spam ou parfois à quelques petites attaques. Pour couper court au problème, j’ai installé un module qui bannit les utilisateurs en se basant sur leur adresse IP. Ce qui ne règle qu’une partie du problème. En effet, depuis que j’ai ouvert le site, j’ai banni 85 adresses IP. Mais « vraies » IP ou proxy/VPN ?

Mozilla et Microsoft ont planché sur une nouvelle norme audio

audio
interopérabilité
Opus
RFC6716
son

*Cette nouvelle ne concerne pas directement la sécurité informatique et le hacking mais est suffisamment importante pour être relayée ici. Elle provient de Bjorn Olsberg du magazine Computer Sweden.*

Lorsque l’on écoute de la musique numérique, nous avons généralement plusieurs formats disponibles, le MP3 semblant être le plus répandu. Mais les différents normes et formats audio existants souffrent de certaines lacunes. Qu’à cela ne tienne, Google et Microsoft plancheraient actuellement sur une nouvelle norme.

Monitorer un site : vitesse et poids

chargement
code
monitoring
poids
vitesse
Web

*Ce texte s'adesse aux débutants* 

Lorsque l’on administre un site ou même que l’on cherche tout simplement à s’y connecter, il peut arriver qu’on n’y arrive tout simplement pas. A partir de là, on se pose la question de la surcharge. Il existe certains outils simples à utiliser qui permettent de monitorer un site et voir si le problème vient de la machine utilisée ou du serveur hébergeant le site lui-même.

Provenance des emails : savoir lire un header

emails
en-tête
header
iptracker online
messagerie

*Ce texte s'adresse aux débutants*

Lors de la présentation faite à la Nuit Du Hack 2012, il avait été rapidement expliqué qu’un simple email envoyé depuis un téléphone portable ou une tablette, pouvait déjà comporter un certain nombre d’informations.

L’header ou en-tête est parfois traduit par certains services de messageries en « code-source ». Ainsi sur Hotmail, lorsque vous recevez un email, les options vous font apparaître une nouvelle page sur laquelle vous pouvez trouver :

Quelques outils pour webmaster

affichage
browserhot
code
copie
copyscape
w3c
web

Quand on doit créer un site Web ou que l’on passe derrière un autre webmaster, il y a certaines choses à faire. On peut tout faire à la main ou se servir de quelques outils bien pratiques qui permettent de gagner du temps.

Après avoir pris connaissance du cahier des charges et des demandes inhérentes à la prestation – dans un cadre professionnel – ou avoir dressé la liste de ce que l’on voulait faire – dans un cadre privé – on met les mains dans le cambouis, à savoir le code.

StopTheHacker : le service qui arrête les attaques à distance

injections
monitoring
pentest
vulnérabilités

Les annonces sponsorisées par Facebook réservent parfois quelques jolies surprises. Ainsi peut-on lire la publicité d’un site Web proposant un service de détection des attaques informatiques contre un site Web, faisant osciller entre rires et consternation.

Mot de passe non reconnu par Ubuntu : comment contourner le problème

invite de commande
mot de passe
raccourcis clavier
Ubuntu

*Les photos illustrant ce texte sont de mauvaises qualités, ayant été prises avec un téléphone portable.*

Suite à une série de mauvaises manipulations, il peut arriver que l’on ne puisse plus de connecter à son compte root alors que l’on détient et tape le bon mot de passe. Comment contourner le problème ?

Shockwave dans Chrome : la plaie du navigateur

Chrome
IMCE Drupal
plantage
shockwave flash

Chrome, le navigateur Web, présente de nombreux avantages : léger, rapide, traduisant instantanément les pages Web, facilitant les recherches, bref, on pouvait penser qu’il s’agissait d’un sérieux concurrent pour Firefox.

Malgré un navigateur qui se veut léger et des mises à jour régulières, le problème de plantage de Flash n’est pas réglé et les recherches sur le Web sont noyées sous des messages de personnes évoquant le même problème, sans pour autant donner la solution.

PHP 5.4, Drupal et les autres

Drupal
incompatibilité
PHP
Web
Wordpress

Dimanche après-midi, alors que je me rendais ici, j’ai eu le déplaisir de voir apparaître un très beau bloc rouge d’erreur.

Ne comprenant pas ce qui s’était passé, je consulte mes logs et constate que quelqu’un s’est amusé avec un scanner de failles sur mon site, qu’il a joyeusement bombardé pendant une heure, jusqu’à ce que j’arrive et que je coupe le robinet, si on peut dire.  En cherchant un peu, je remonte jusqu’à l’un des administrateurs du site mettant à disposition le scanner de failles. Je contacte mon hébergeur.

Tableau historique des malwares

bombe logique
menace
ransomware
Trojan
ver
virus

*Ce tableau est en mode Wiki. Si vous constatez des erreurs, que vous voyez des modifications à apporter, n'hésitez pas à les signaler en commentaires. Vous pouvez également télécharger le document au format PDF.*

Pour comprendre la différence entre le ver, le virus et les autres types de malwares, rendez-vous ici.

 

La sécurité de YahooVoice compromise ?

leak
mot de passe
Yahoo

Après LinkedIn, LastFm ou encore le Figaro, c'est au tour de Yahoo de subir une attaque. Le service de messagerie Yahoo, outre ses emails, propose un système de téléphonie, permettant d’appeler dans le monde entier à des tarifs dérisoires. Il semblerait que ce soit par ce biais qu’un leak de compte ait été fait.

VirusTotal : l’outil de vérification de malwares en ligne

analyse
malware
menace
base de données
vérification de signature

Vendredi soir, on m’a fait connaître un site Web qui permet de vérifier la présence d’un malware quelconque que ce soit dans une application, un document, un MP3, voire une URL.

La page d’accueil se présente de façon simple et claire. Une barre de recherche et quelques options. On vous propose de scanner un document, une application, une URL ou de faire une recherche dans la base de données de la communauté.

On procède à un premier test avec un document Excel simple, sans danger, en l’espèce, comme son nom l’indique, une table de jurisprudence à apprendre pour un examen.

Le diagnostic de réseau : vérifier d’où proviennent les problèmes

IP
MRT
réseau
tracert

Lorsqu’une connexion Internet devient vacillante, plutôt que de perdre trois heures au téléphone avec un technicien pas toujours agréable, il y a des vérifications que l’on peut faire soi-même.

Sur le plan matériel, il est possible d’accéder à l’interface de gestion de sa box, afin de vérifier si Internet est opérationnel, en ouvrant simplement un navigateur Web et en tapant ce qui suit :

Après LinkedIn, Twitter fait l’objet d’un leak

base de données
leak
mot de passe
TweetGif

[Message de service : le lien vers la base de données ne sera pas communiqué.]

L’information est presque passée inaperçue mais il semblerait que le groupe LulzSec ait refait surface. Hier, un leak d’environ 10 000 identifiants et mots de passe de personnes utilisant l’application TweetGif, a été publié. Dans la mesure où l'article initial ayant permis la rédaction de ce qui suit donne le lien pour se rendre vers la base de données leakée, il ne sera pas communiqué pour des raisons juridiques. 

Hacking : quelques modules de Firefox

collusion
données ExiF
HackBar
IPFuck
KGen
XSS Me

*Merci à Paul pour les corrections.*

Si Chrome a l’avantage d’être léger et rapide, il ne permet néanmoins pas les mêmes fonctionnalités que Firefox. En matière de modules utiles à l’ethical hacking, le panda roux tient la dragée haute à Google et voici quelques add-ons sympathiques à utiliser.

OSINT : Utiliser les mêmes méthodes des hackers pour se protéger sur le Web

Open Source Intelligence
OSINT
RSSIL

*Cet article est basé sur la présentation de Sebdraven aux RSSIL*

Le concept d’OSINT signifie Open Source Intelligence ou récupération de données sur sources ouvertes et implique d’arriver à connaître ses vulnérabilités Web avant qu’un pirate ne les découvre, donc être pro-actif, avoir toujours un temps d’avance sur un potentiel attaquant pour pouvoir les corriger.

Le phishing : l’autre grand classique

phishing
menace
hammeçonnage
code-source

[Message de service : ce texte n'a pas pour but de vous montrer comment créer une page de phishing mais d'apprendre à faire la différence entre une page de connexion légitime et une fausse. Il est donc inutile de chercher à copier les codes présentés qui sont tronqués.]

Parmi les méthodes les plus classiques et les plus simples qui peuvent exister pour récupérer frauduleusement des identifiants, il y a la page de phishing ou d’hammeçonnage.

Les logiciels crackeurs de mots de passe

fake Facebook
fake logiciel
fake MSN
menace
phishing

*Ecrit avec la participation de Coyotus*

Si vous cherchez le mot « hacking » dans un  moteur de recherche – au hasard Google – les résultats vous proposeront des vidéos vantant le fonctionnement de logiciels crackant tous les mots de passe possible, Facebook en tête mais on peut également citer PayPal, Yahoo, Gmail, Twitter, Steam, Dofus, les générateurs de codes Allopass, etc.

Facebook et la sécurité : un autre âge

Facebook
intrusion
menace
phishing
social engineering

En voyant ce titre, vous vous demandez sans doute ce qui peut passer par la tête de quelqu'un qui prétend parler hacking et qui se retrouve à causer du célèbre et intrusif réseau social de Mark Zuckerberg. 

Tout a commencé par la lecture de la fameuse faille de sécurité qui existait chez Hotmail, à savoir le contournement des règles de sécurité par le module complémentaire de Firefox Data Tamper. M'est alors venu l'envie de tester les règles de réinitialisation d'Hotmail et de Facebook. 

Les bonnes pratiques de sauvegarde et d’effacement

prévention
restauration
sauvegarde

Notre confiance envers les machines est telle que nous avons perdu l’habitude de conserver à titre préventif les informations qu’elles peuvent contenir que ce soit les données des ordinateurs, celles de smartphones, des appareils photo numériques ou même les informations des réseaux sociaux, sans parler des boîtes mail. C’est pourtant un geste salvateur.

Quoi faire après un "hacking" de compte ?

compte piraté
email
réseaux sociaux
restauration
sauvegarde

Parfois, malgré toutes les protections que l’on peut utiliser, il peut arriver que l’on se fasse « hacker » son compte et quand on utilise le mot « hacker » ici, il faut bien comprendre que l’on parle plutôt d’usurpation d’identité sur les réseaux et non de hacking au sens noble du terme. 

Les fake logiciels et les rogues anti-virus

fake anti-virus
fake Facebook
fake logiciel
fake MSN
menace
phishing

*Article écrit par Coyotus*

Les fake logiciels sont des malwares usurpant l’apparence de logiciels légitimes et populaires afin d’abuser l’utilisateur.

Les objectifs de ces outils sont multiples. Cela peut aller de la vente forcée en ligne à l’élévation de privilèges en passant par les classiques trojan et backdoor qui donnent un accès total à la machine d’un utilisateur et à l’ensemble de ses données personnelles. 

Les arnaques immobilières : démonstration d'une méthode de social engineering

arnaque
escroc spotted
escroquerie
social engineering

Si vous avez déjà essayé de chercher un appartement sur Paris ou en région parisienne en dehors du circuit habituel des agences, vous être sûrement déjà tombé sur des annonces vous proposant des quatre pièces, bien situé, bien aménagé, pour un loyer dérisoire. 

Typologie rapide des menaces

botnet
fake logiciel
menace
rootkit
trojan
ver
virus

Virus, vers, trojan, malware, pour le grand public, tous ces termes se mélangent et se confondent. Voici une typologie rapide des différentes menaces. 

Ce document est en mode Wiki. Si vous trouvez des erreurs, que vous voyez des améliorations à apporter, n'hésitez pas à en faire part en commentaires.