Posts

Quelles sont les menaces qui rodent autour des ports USB, et comment s’en prémunir ? Découvrez mon approche

Partez à la capture de drapeaux lors de challengés liés à la sécurité, comme ceux organisés lors de la Nuit Du Hack !

PGP, GPG, Chiffrement, Signatures … C’est compliqué. Et si on faisait le point ?

Hello, Ce 1er Avril 2016, à 23H59 (Europe/Paris), a commencé le Capture The Flag Qualifications de la Nuit Du Hack. Il dure 24 heures, et permet de tester ses compétences en hacking dans 6 catégories : Web App, Exploit Me, Crack Me, Cryptography, Inforensic, Steganalysis. La particularité de ce CTF, et la raison pour laquelle j’y participe : il est français ! Et oui, ça existe. Les règles : ...

Si vous recevez une attaque, que ce soit du bruteforce ou un DDOS, pensez à remonter l’information aux hébergeurs ! Eux seuls peuvent prendre des décisions.

Fail2ban permet de protéger votre serveur SSH, mais il peut aussi protéger votre site web. Découvrez comment !

La sécurité informatique est un sujet délicat, d’autant plus qu’il n’existe pas encore de recette miracle permettant de s’assurer qu’un système est protégé correctement. Il est cependant assez facile d’évaluer la surface d’attaque, c’est à dire les zones visibles de votre service. Cette méthode s’applique aussi bien à une infrastructure complexe qu’à un site Web basique : seule l’échelle change. Dans le cas d’une infrastructure, on s’intéressera principalement aux relations qui existent entre les services, et en particulier entre le monde extérieur et nous. ...

LetsEncrypt c’est le bien. C’est tellement bien qu’on l’utilise même pour le site que vous visitez actuellement. Si si, la preuve : Le soucis avec LetsEncrypt, c’est que les certificats sont valides 90 jours (environ 3 mois). C’est assez long pour ne pas être un problème, mais la tâche est assez fastidieuse : il faut créer des fichiers/dossiers, et si le certificat comporte plusieurs domaines, voire plusieurs dizaines (coucou Epicube et ses 60 noms), c’est vite énervant. ...

Pour protéger un site, il est facile de mettre en place un formulaire d’authentification basique, qui ressemble à ça (sans contenu en fond, en théorie) : C’est pas beau, et sur le long terme c’est assez énervant : le navigateur ne supporte pas toujours l’autocomplétion. Cela dit, l’apport en sécurité est assez bon: un bruteforce se détecte (et se bloque) facilement, par exemple avec Fail2ban. Mais ne peut-on pas faire mieux ? ...

SSH c’est cool. Le premier S correspond à Secure. Mais certains vous affirmeront que ce n’est pas assez sécurisé et qu’il faut en plus rajouter de la double auth, avec Google Authenticator, Authy, Duo … Pas moi. Mais pourquoi pas, si tout le monde le fait ? Le but même de la double auth’, c’est d’avoir Quelque chose que vous connaissez (un indice ? votre mot de passe, la passphrase de votre clé privée…) et Quelque chose que vous possédez (votre empreinte, un téléphone, une boîte mail, une clé de sécurité…). ...