Parmi les grandes innovations de ces dernières années, l'IPv6 est enfin arrivée sur nos box Internet. L'IPv6 permet de répondre au déficit d'adresses IPv4 pour permettre de raccorder l'ensemble des objets à Internet et d'améliorer les performances du protocole d'adressage.

Petite anecdote, l'IPv6 a été imaginée pendant dans les années 1990 et finalisée par le RFC 2460 en décembre 1998. On savait déjà à l'époque que l'IPv4 n'allait pas être suffisante alors que la majorité d'entre nous n'était pas encore connectée.

À quoi sert l'IPv6 ?

L'IPv6 permet à chaque objet de posséder sa propre adresse IP visible sur Internet et met fin au NAT. Ainsi, vos objets connectés, votre smartphone, votre TV connectée peuvent être accessibles directement sur Internet sans être masqués par votre Freebox.

C'est très pratique, sauf si votre périphérique contient des vulnérabilités exploitables. Dans la mesure où votre Freebox ne joue plus le rôle de pare-feu, vos périphériques connectés en IPv6 se trouvent dénudés sur Internet et potentiellement vulnérables.

Un Firewall IPv6 sur la Freebox ?

La Freebox possède depuis 2019 une option que très peu de personnes connait et qui n'est pas activée par défaut : il s'agit du firewall IPv6.

Cette option est disponible depuis le portail d'administration de votre Freebox et permet à vos périphériques connectés en IPv6 sur votre réseau domestique de ne pas être joignables d'Internet.

Cette option est selon moi indispensable, d'autant plus si vous utilisez des périphériques avec des systèmes obsolètes non mis à jour par leurs constructeurs : caméra, objets connectés, etc. Ces périphériques peuvent être attaqués via l'exploitation de vulnérabilités.

Cela me rappelle les débuts d'Internet où les ordinateurs étaient directement connectés sur Internet avec un modem ADSL en USB sans aucun filtrage. Les ports de partage de fichier étaient disponibles, les ordinateurs étaient fortement vulnérables.

Testons l'efficacité du firewall IPV6 de la Freebox

Pour se faire une idée du risque, le mieux c'est de tester de simuler une attaque depuis Internet.

Dans un premier temps je m'assure que mon PC possède une adresse IPv6 et je lance un service Web sur le port 9001 de l'interface Ethernet. Netcat est un outil très pratique pour ouvrir un port serveur.

Ensuite, je me rends sur ce portail en ligne qui permet de vérifier l'accessibilité d'un port réseau depuis Internet :

https://port.tools/port-checker-ipv6/

Je saisis mon adresse IPv6 affichée juste au dessus du formulaire dans le champ adresse et je positionne 9001 dans le champ port. Le nombre 9001 correspondant au service que j'ai volontairement exposé depuis mon ordinateur.

Bingo ! Le service que j'expose sur mon PC est bien accessible depuis Internet sans aucun filtrage de ma Freebox. C'est aussi le cas de l'ensemble des autres ports que ma machine expose depuis son interface réseau.

Seconde étape, j'active le firewall IPv6 de ma Freebox et je relance le test. Le port 9001 de mon PC n'est plus accessible d'Internet, ma Freebox filtre donc bien les flux entrants et mon PC est correctement protégé par ma Freebox.

Pourquoi l'option Firewall IPv6 n'est-elle pas activée par défaut sur la Freebox ?

Des échanges que j'ai pu voir sur Internet sur ce sujet, ce type de fonctionnalité irait à l'encontre de l'IPv6 selon les puristes. Un ticket dédié à ce sujet existe sur l'outil de ticketing de Free.

Dans tous les cas, je vous conseille fortement d'activer le firewall IPv6 et j'ai du mal à comprendre pourquoi Free n'active pas cette option par défaut pour améliorer la sécurité de ses abonnés. C'est très étrange, si vous avez la raison exacte, n'hésitez pas à la partager sur le serveur Discord Geeek.

De plus en plus je me dis qu'il faudrait que j'installe un vrai firewall Pfsense derrière ma Freebox pour maitriser les flux sortants de mon réseau domestique.
Cela ferait un équipement de plus dans ma baie de brassage qui est déjà bien remplie, mais cela permettrait d'avoir une complète maitrise des flux réseau entrants et sortants sur mon réseau local.

Comme d'habitude, n'hésitez pas à passer faire un tour sur le serveur Discord Geeek et surtout, n'oubliez pas de sortir couvert en IPv6 sur Internet.

Nous recevons de plus en plus de SMS contenant des liens vers des sites Web de Scamming (escroquerie).

Les SMS étant de plus en plus utilisés par les livreurs de colis, l'arnaque aux frais de douane est devenue monnaie courante sur nos Smartphones.

Comment cette arnaque fonctionne-t-elle ?

Vous recevez un SMS vous indiquant que votre colis est bloqué et que vous devez payer des frais de douanes pour le recevoir.

Le lien vous semble officiel, vous cliquez dessus, le site qui s'affiche ressemble comme deux gouttes d'eau à celui de La Poste ou d'un autre site de livraison de colis.

En réalité, il s'agit d'un faux site qui n'a comme seul objectif : vous voler vos données personnelles et votre carte bleue en vous faisant croire qu'un de vos colis est soumis au paiement d'une taxe de douane.

Comment connaitre la localisation de ce site Web ?

Le service NSlookup vous permettra d'obtenir l'adresse IP du serveur qui héberge ce faux site Internet.

https://www.nslookup.io/domains/colis-pickup.info/dns-records/

Dans le cas de 'Colis-pickup.info', voici l'adresse IP du serveur qui héberge ces fausses pages Web de scamming :

213.226.123.172

Pour savoir où il est localisé dans le monde, on peut s'appuyer sur Shodan.io :

https://www.shodan.io/host/213.226.123.172

Le site semble se situer du coté de Saint-Pétersbourg d'après Shodan, bien loin de la France ...

Ce qui est aussi intéressant d'analyser, c'est les nombreux ports que ce serveur expose sur Internet :

Bref, le serveur semble contenir un grand nombre de services. Le pirate doit probablement l'administrer au travers de l'outil d'administration Plesk.

L'obsolescence du serveur SSH est douteuse, il semble contenir de nombreuses vulnérabilités connues. Ce service est probablement utilisé par le pirate pour fermer boutique quand des personnes commencent de tenter de pénétrer le serveur ...

Les activités malveillantes de ce serveur sont-elles déjà connues ?

L'un des services que j'aime bien utiliser est IPAbuseDB qui centralise pour chaque adresse IP sur le Web, un journal des attaques détectées.

Dans notre cas, nous allons voir le passif de cette adresse IP sur le Web :

https://www.abuseipdb.com/check/213.226.123.172

Cette adresse semble assez récente sur Internet, nous avons quelques rapports de phishing mais pas beaucoup plus. Le serveur doit donc être uniquement utilisé pour du scam.

Quels sont les autres sites derrière ce serveur malveillant ?

Pour découvrir les autres noms de domaine utilisés par ce serveur malveillant, vous pouvez vous rendre sur le site AlienVault :

https://otx.alienvault.com/indicator/ip/213.226.123.172

On est sur quelqu'un qui ne fait pas les choses à moitié ... Plusieurs centaines de domaines sont exploités par ce serveur. L'attaque et le mode opératoire doivent donc être industriels.

Ce qui est intéressant, c'est que chaque site derrière ces entrées DNS semble être structurellement différent. C'est un peu comme si chaque site avait été construit par des auteurs différents sur la base d'un SDK commun.

Le serveur ressemble à un site de "Scammer as a service". Vous lui envoyez des utilisateurs et il vous reverse l'argent récupéré en se gardant une petite marge sur chacune des transactions.

Je vais ne pas aller plus loin dans mes analyses. L'arnaque est déjà déclarée sur le site Signal Arnaques :

https://www.signal-arnaques.com/scam/view/738061

J'espère que vous avez apprécié le contenu de cet article.
N'hésitez pas à rejoindre les 1500 membres du serveur Discord Geeek pour continuer la discussion.

Le nouveau malware Ov3r_Stealer opère par une méthode de diffusion particulièrement vicieuse : des publicités pour des offres d'emploi sur Facebook. Ce virus est capable de siphonner les cryptomonnaies et des informations sensibles comme les mots de passe.

L’article Attention aux fausses offres d’emploi sur Facebook : elles cachent un malware voleur de mots de passe est apparu en premier sur Toms Guide.

Nombreux sont les sites d'information à avoir rapporté qu'une attaque par déni de service (DDoS) avait été menée contre une entreprise suisse, à l'aide de trois millions de brosses à dents électriques connectées. C'est faux.

L’article Non, 3 millions de brosses à dents électriques n’ont pas mené une attaque DDoS est apparu en premier sur Toms Guide.

Vous avez une imprimante Canon ? Méfiance : la firme a corrigé sept failles de sécurité critiques dans ses imprimantes de bureau. Les failles permettaient des attaques à distance sur les imprimantes connectées à Internet. Canon a publié un correctif après des mois de retard.

L’article Canon : 7 failles critiques menacent vos imprimantes de bureau, mettez-les vite à jour est apparu en premier sur Toms Guide.

Depuis maintenant plusieurs années, les utilisateurs de Windows ont la possibilité de sécuriser leurs données avec Bitlocker, l’outil de chiffrement de Microsoft. C’est hyper simple à mettre en place et les constructeurs l’ont adopté depuis longtemps en intégrant à leurs ordinateurs la fameuse puce TPM (Trusted Platform Module).

Ce qui permet à Bitlocker d’y stocker toutes les informations critiques relatives à la configuration de l’ordinateur, mais surtout la Master Key, c’est-à-dire la clé qui permet de déchiffrer tout le contenu.

C’est là qu’entre en scène le chercheur en sécurité StackSmashing qui a mis au point un moyen d’extraire physiquement cette clé à l’air d’un Raspberry Pi Pico à moins de 10 balles, d’un peu de soft, et d’un petit PCB maison. Grâce aux pins de son PCB, il peut alors se brancher directement au bus LPC de la puce TPM qui se trouve au dos de la carte mère, ce qui permet d’intercepter les messages transmis (donc la master key) entre la puce TPM et le CPU de l’ordinateur.

Comme vous pouvez le voir sur la vidéo, son bricolage est spécifique à certains modèles de laptop Lenovo (Thinkpad), mais ça peut-être facilement adapté (ou alors en soudant des fils) à tout type d’ordinateur comme il le montre à la fin, avec la Surface Pro (et un petit trou dans sa carlingue)

Toutefois, n’allez pas croire que votre ordinateur est forcément sensible à cette attaque surtout s’il est récent puisqu’à présent, les fabricants de processeurs comme Intel ou AMD ont directement intégré le TPM au CPU, donc c’est plus la même partie de plaisir.

Source

Trafiquer son propre compteur Linky peut déjà coûter cher et c'est encore pire si vous proposez vos services à des particuliers. Un fraudeur vient de se faire arrêter par la justice après avoir gagné des dizaines de milliers d'euros et s'être offert une Audi Q7 grâce à sa petite entreprise.

L’article Linky : il trafique les compteurs de particuliers et s’offre une Audi Q7 est apparu en premier sur Toms Guide.

Comment protéger ses cryptos des cybercriminels.

Cryptos 1er épisode https://spotifyanchor-web.app.link/e/SQREgxJUMGb 

Mots de passe

Discussion avec Emmanuel Nicaise https://spotifyanchor-web.app.link/e/VyUIHuJUMGb 

Le vol de mot de passe https://spotifyanchor-web.app.link/e/ZhXXQdXVMGb 

Les mots de passe et second facteur https://spotifyanchor-web.app.link/e/ZILk2afWMGb 

Les gestionnaires de mots de passe https://spotifyanchor-web.app.link/e/9s9i79eWMGb 

Phishing

Comment se protéger contre le phishing https://spotifyanchor-web.app.link/e/LNbOqc4VMGb 

www.surfersanssoucis.safeonweb.be

Une nouvelle arnaque par mail vous fait croire qu'un assassin qui connaît tout de votre vie veut vous éliminer. Dans le courrier électronique, ce faux tueur à gages vous demande de lui verser une importante somme d'argent pour ne pas vous éliminer comme un certain client le lui demande.

L’article L’arnaque au faux tueur à gages : un phénomène qui inquiète les autorités est apparu en premier sur Toms Guide.

Un faux pop-up McAfee peut s'afficher sur votre ordinateur. Ne cliquez surtout pas dessus. Il s'agit d'une arnaque mise au point par des pirates informatiques qui peut coûter cher à ceux qui tombent dans ce piège bien élaboré.

L’article McAfee : ne cliquez surtout pas sur ce faux pop-up anti-virus , c’est un piège est apparu en premier sur Toms Guide.

Vous connaissez les Hotlinks ou "Liens chauds" en français ? Il s'agit d'une technique qui consiste à intégrer des images provenant d'un autre site Web dans un site Web.

C'est un peu comme si les images de cet article étaient hébergées par des sites tiers sans leur avoir demandé leur accord préalable.

Après mon précédent article concernant le désaveu de sites poubelles sur la Google Search Console, voici un article dédié à l'analyse des Hotlinks mis en place par des Black Hat SEO pour dégrader le référencement de ce blog.

À quoi servent les Hotlinks dans le SEO ?

Les Hotlinks permettent à des Black Hat SEO, ou pirates du SEO, de créer des pages de contenu de faible qualité pointant sur vos contenus multimédias.

Au-delà de la consommation inutile de bande passante et d'une sollicitation des disques sur le serveur hôte, les hotlinks semblent aussi permettre de pénaliser le référencement de contenus sur le Web.

C'est ce que j'ai pu découvrir sur certains de mes articles qui étaient très bien référencés et qui ont perdu en référencement sur Google Search depuis que des dizaines de sites fictifs s'amusent à référencer certaines des images de mes articles.

D'où viennent ces Hotlinks ?

Dans mon cas, les attaques semblent provenir majoritairement de sites hébergés par Blogspot générés par des robots. Mais pas seulement, sur d'autres contenus visés, l'attaque semble provenir de sites piratés avec des pages en mode "cloacking", c'est-à-dire que les liens sur les pages ne sont visibles que par les spiders Web qui les analysent.

https://sears551.blogspot.com/2021/10/download-37-antenne-tv-interieur-tnt.html
https://circu703.blogspot.com/2021/11/get-25-fabriquer-une-antenne-tv-avec.html
https://fabri441.blogspot.com/2021/10/view-28-antenne-radio-fm-interieur.html
http://shubhamstrick.blogspot.com/2021/11/get-33-antenne-tv-numerique-interieure.html
https://anime-iphone.blogspot.com/2021/11/view-20-fabriquer-une-antenne-tv.html
metaylorswiftlyrics.blogspot.com/2021/11/get-19-regler-une-antenne-tv-interieur.html
https://babya930.blogspot.com/2021/06/download-23-faire-une-antenne-tv.html
https://30daylan65.blogspot.com/2021/11/get-31-fabrication-antenne-tv-hd.html
https://manda593.blogspot.com/2021/10/get-19-fabriquer-une-antenne-tv-avec-un.html
https://cuualq992.blogspot.com/2021/11/download-36-comment-fabriquer-une.html
https://ipiemspusat.blogspot.com/2021/10/get-39-fabrication-antenne-tv-hd.html

Ces sites se dénombrent en centaine. J'ai pu les découvrir au travers de la plateforme Ahrefs.

La faible qualité de ces sites semble avoir un impact négatif sur le niveau de référencement de certains de mes contenus qui autrefois étaient bien référencés.

Dans l'exemple des sites ci-dessus, l'article visé concerne mon article concernant la construction d'antenne TNT publié sur ce blog il y a quelques années.

Qui sont les attaquants ?

Les personnes qui sont les commanditaires de cette ces attaques SEO ont probablement des sites Web listés dans les 10 premiers résultats des mots clefs sur lesquels les pages Web ciblées étaient bien référencées.

Les pages fictives créées ciblent à la fois des contenus de mon blog, mais aussi des contenus de sites ayant des contenus bien référencés sur les mêmes mots clefs.

L'attaquant doit pour le coup être celui qui est bien référencé et dont son contenu ne se trouve pas sur ces sites de faible qualité.

Ou alors le contraire ... L'attaquant via son attaque augmente le référencement de mon article et de ses articles en même temps, noyant ainsi les spiders Google sur le côté non naturels des liens générés.

Comment se protéger des Hotlinks ?

La solution la plus simple est d'activer la protection native contre les Hotlinks si votre site est derrière un CDN comme Cloudflare. Cette fonction est disponible directement depuis la rubrique "Scrape Shield" du portail d'administration de Cloudflare.

Cette option bloquera les Hotlinks et vous affichera toutes les tentatives de Hotlinks dans le journal des événements de sécurité de Cloudflare.

Vous avez aussi la possibilité de bloquer les Hotlinks depuis votre CMS, c'est par exemple le cas de Wordpress qui dispose de plugins de protection contre les Hotlinks.

Vous pouvez aussi mettre une règle au niveau de votre serveur Web pour bloquer les Hotlinks. Pour cela, il suffit de contrôler que l'entête HTTP "Referer" contient bien le domaine de votre site Web. Voici un exemple de configuration NGINX permettant de bloquer des requêtes vers des images ne provenant pas de votre site Web.

location ~ .(gif|png|jpe?g)$ {
valid_referers none blocked www.mondomaine.com;
if ($invalid_referer) {return 403;}}

Quels sont les risques de bloquer les Hotlinks ?

En bloquant les Hotlinks, certains agrégateurs de flux RSS ou réseaux sociaux qui ne cachent pas les médias auront un problème d'affichage des images intégrées aux contenus publiés.

Ce filtrage des Hotlinks vous permet d'un côté vous assurer que votre serveur n'est pas détourné par des Black Hat SEO pour fabriquer de faux sites de contenus, mais en même temps ce filtrage peut potentiellement filtrer l'affichage de vos contenus sur certains médias sociaux. C'est donc un paramètre à utiliser avec précaution.

Dans mon cas, j'ai pris la décision de bloquer les Hotlinks pour me protéger du trafic anormal généré sur mon site à cause des ces centaines de sites fictifs.
J'attends quelques semaines pour mesurer l'impact de ce blocage et vous partager une synthèse des gains obtenus. Wait and see ...

Si tu souhaites discuter Cybersécurité, SEO, Web et informatique, n'hésites pas à rejoindre le serveur Discord Geeek.

La sécurité sur Internet concerne tout le monde et un mot de passe fort représente l'une des meilleures défenses contre le piratage. Cependant, les fuites de données restent un risque et l'une d'entre elles, récemment révélée, est particulièrement préoccupante.

L’article 100 millions de mots de passe compromis : comment vérifier si vous êtes concernés est apparu en premier sur Toms Guide.

Une discussion avec 3 experts en lutte anti-fraude et en cybersécurité autour de l’évolution des cas de fraude et de piratage informatique.

Ils vont essayer de répondre à une question : doit-on, comme on l’a fait avec la sécurité routière, rendre la sécurité informatique obligatoire ?

Les internautes sont confrontés à une nouvelle menace sur internet : des sites malveillants qui utilisent des noms de domaine à bas prix, vendent des produits de santé aux promesses mensongères, en se faisant passer pour des médias populaires ou en utilisant de fausses recommandations de célébrités.

L’article Alerte : faux médicaments, faux sites d’actualités, les arnaques santé explosent en ligne est apparu en premier sur Toms Guide.

Une faille de sécurité nommée LeftoverLocals expose les données traitées dans le GPU des anciens appareils Apple. Trail of Bits a révélé cette vulnérabilité, qui touche les iPhone, les Mac et les iPad. Apple a corrigé certains modèles, mais pas tous.

L’article iPhone, Mac, iPad : attention, une inquiétante faille de sécurité menace vos appareils est apparu en premier sur Toms Guide.

Il est parfois complexe de bien référencer un site face à des experts en Dark SEO équipés d'outils capables de perturber le référencement de votre site en quelques heures ...

C'est l'expérience que j'ai vécue au cours de ces 24 dernières heures, des dizaines de domaines sont venus référencer mes meilleurs articles avec des URL erronées contenant la chaine '//1000' tout à la fin.

ex: https://www.geeek.org/dark-seo-google-search//1000

Qu'est-ce que le Dark SEO ?

Le Dark SEO est un ensemble de techniques aux frontières de la légalité, visant à améliorer le réfencement de contenus sur le Web.

Dans le cadre de cette attaque visant mon site Geeek.org, l'objectif de l'attaquant est simple: Augmenter artificiellement le nombre de liens entrant en erreur 404 vers mon site pour baisser son niveau de référencement sur les moteurs de recherche.

Quel est l'impact immédiat de l'attaque sur le SEO ?

L'impact constaté au niveau de la Google Search Console est immédiat et se traduit par une baisse directe du nombre d'impressions de 25% environ de mes contenus dans les résultats du moteur de recherche de Google.

Pour couronner le tout, l'attaquant n'a pas utilisé un seul domaine mais des dizaines pour complexifier le blocage et augmenter l'impact négatif de l'attaque de type Dark SEO :

domain:hannahh.at
domain:histiofromfro.com
domain:besalzer.me
domain:amjad-tech.com
domain:lessaneewaldemar.com
domain:wisconsinpiper.com
domain:creativesamplingsolutions.ca
domain:mcmxworld.co.uk
domain:punned-it.ca
domain:evelynholoch.com
domain:planetfitzsimmons.com
domain:laradoro.com
domain:brandarc.biz
domain:loodz88.nl
domain:cnvas.ca
domain:swedco.ca
domain:scotsbarszcz.com
domain:kwsfoto.at
domain:bux-natur.at
domain:outsidetheboat.org
domain:allstarrfcs.com
domain:histiobothbot.com
domain:tfs16metalplating.co.uk
domain:salonbabyline.com
domain:iphimsieunhan.com
domain:dimasoluzionifinanziarie.it
domain:4-d.ca

Comment se protéger de ce type d'attaque ?

Heureusement, pour palier à ces attaques, Google propose un formulaire de désaveu de liens entrants pour indiquer que ces liens ne sont pas de qualité et qu'ils ne doivent pas être pris par Google comme éléments de mesure.

Ce désaveu de liens se fait via la transmission d'un simple fichier texte indiquant les pages Web ou les domaines à désavouer. L'enregistrement de domaines dans cet outil doit se faire avec minutie car il peut dans certains cas être très pénalisant.

D'où viennent ces domaines "poubelles" ?

En analysant l'origine de ces domaines, je n'ai pas vraiment trouvé de points communs au-delà qu'ils sont pour la majorité protégés par le CDN Cloudflare.

Bref, à part ajouter ces domaines à ma liste de 169 domaines désavoués sur la Google Search Console, il n'existe pas vraiment de solution automatisée pour combattre des contenus qui ont comme but de déréférencer certains contenus de votre site Web.

Le Dark SEO est donc assez complexe à combattre et peut être très efficace pour pénaliser des sites entiers sur des mots clefs bien classés sur Google Search. Cette activité n'est malheureusement pas juridiquement répréhensible...

Une veille régulière des liens en erreur 404 pointant vers votre site Web est donc un prérequis au bon référencement de celui-ci. Des outils comme Ahrefs ou SemRush peuvent vous y aider en complément de la Search Console de Google, mais il est nécessaire d'y attribuer un budget non négligeable si il s'agit comme moi d'un site personnel.

Je vous avais précédemment présenté une manière de valider facilement la sécurité du SSL de votre site via SSL Labs, voici SecurityHeaders.com un autre outil en ligne complémentaire permettant de valider le bon usage des entêtes HTTP afin de garantir le bon niveau de sécurité de votre site Web.

Les entêtes HTTP permettant de renforcer la sécurité de votre site Internet sont souvent omises car assez peu connues des développeurs. Elles sont pourtant indispensables pour garantir un bon niveau de sécurité de votre site Web.

Le portail SecurityHeaders.io est libre d'utilisation, sans pub et s'inspire fortement du mécanisme de notation de SSL Labs de Qualys.

Il offre une note entre A+ et R en fonction du respect de l'usage des entêtes liés à la sécurité de la norme HTTP.

La note A+ n'est pas simple à obtenir et nécessite un renforcement de tous les aspects de la sécurité.

Les 6 entêtes HTTP les plus simples à positionner et accessibles tous sont les suivantes :

• Strict-Transport-Security
• X-Frame-Options
• X-Content-Type-Options
• X-XSS-Protection
• Referrer-Policy
• Permissions-Policy

Comment configurer des entêtes HTTP sécurisées ?

Ces entêtes HTTP peuvent se configurer tout simplement au travers d'un fichier de configuration sur votre serveur Web.

Dans mon cas j'utilise NGINX comme serveur Web, il dispose de l'instruction "add_header" pour ajouter des entêtes aux réponses HTTP réalisées par mon serveur.

J'ai créé un fichier "/etc/nginx/snippets/security.conf" dans lequel j'ai positionné toutes les optimisations de sécurité pour mes sites Web.
J'ai ensuite réalisé un "include" de ce fichier sur la configuration de mes sites dans le répertoire "site-enabled".

Voici un exemple de configuration simple pour NGINX :

add_header Content-Security-Policy "default-src 'self' 'unsafe-inline';" always;
add_header Strict-Transport-Security 'max-age=31536000; includeSubDomains; preload' always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-Xss-Protection "1; mode=block" always;
add_header X-Content-Type-Options "nosniff" always;
add_header Referrer-Policy "strict-origin" always;
add_header Permissions-Policy "geolocation=(),midi=(),sync-xhr=(),microphone=(),camera=(),magnetometer=(),gyroscope=(),fullscreen=(self),payment=()";

Ce paramétrage est le paramétrage le plus mimimal qui vous permettra de passer les premiers niveaux de tests de sécurité.

Content Security Policy et Public Key Pinning : Deux entêtes plus complexes à configurer

Les entêtes de Content-Security-Policy et de Public-Key-Pins, recommandés par Securityheaders.io, sont les plus complexes à configurer.

D'une part parce que les CSP nécessitent une excellente maîtrise des ressources embarquées sur les pages de votre site, vous devrez détailler méticuleusement tous les domaines Internet qui seront autorisés à intégrer du contenu sur votre site Web. Cela nécessite une phase de test importante des pages de votre site Web car une mauvaise entête CSP pourrait rendre le contenu de votre site illisible et produire des erreurs de sécurité sur les navigateurs de vos visiteurs. Pour vous aider à construire votre règle de CSP, vous pouvez utiliser le plugin "Policy Generator" de csper.io.

Enfin, l'entête "public key pinning", qui permet de se protéger d'attaques via l'utilisation certificats frauduleux émis par des autorités de certification nécessite de bonnes compétences techniques afin de ne pas bloquer le trafic sur votre site. D'autant plus si vous utilisez des certificats Letsencrypt qui sont renouvelés tous les 3 mois ... Enfin, Si comme moi vous utilisez un CDN comme Cloudflare, cette entête HTTP ne peux pas être mise en oeuvre comme l'indique la documentation du produit.

En conclusion

Si vous souhaitez vérifier dès maintenant la sécurité de votre site, l'outil est disponible en ligne à cette adresse : SecurityHeaders.com

N'oubliez pas de décocher la case "Hide result" pour éviter que le résultat de l'audit de votre site soit affiché à l'ensemble des visiteurs de cette plateforme.

Si vous souhaitez aller plus loin dans la sécurisation de votre serveur Web, je vous invite à lire mon article sur le déploiement de Portsentry et Fail2ban.

Les faux investissements, ce n'est pas nouveau. Nous en parlons depuis des mois. Mais un nom ressort de plus en plus sur internet : QuantumAI.C'est investissements ne fonctionnent que pour le fraudeur. Faites attention, à moins que vous ayez réellement l'intention de donner votre argent à un inconnu ... 🤐

Si comme moi, vous recevez une grosse quantité de spams et que ça commence à vous saouler, il est temps de leur déclarer la guerre.

Mais comment ?

Et bien grâce à Signal Spam ! Il s’agit d’une application et d’extensions pour navigateurs / clients mail qui vous permet de lutter contre les courriers indésirables en les signalant.

Vous l’aurez compris, ce n’est pas un filtre qui va vous protéger des spams, mais c’est un outil de signalement qui vous permettra de balancer les spammeurs comme votre grand papy balançait ses voisins pendant la Seconde Guerre mondiale. Cela permet mail après mail de réguler le marché de l’emailing et d’encourager des pratiques responsables.

L’outil est dispo pour Mac, iOS et dans tous les navigateurs et clients mails les plus courants. Ça permet de faire des signalements hyper rapidement d’un seul clic.

Et si vous ne voulez pas installer cet outil, mais quand même dénoncer un spammeur, vous pouvez utiliser le formulaire du site Signal Spam en suivant ces instructions :

La lutte continue 🙂

Signal Spam, c’est par ici.

Twitter, ou devrais-je dire X est un réseau social qui permet d’en apprendre beaucoup sur les gens qui l’utilisent. Mais avec autant de données, c’est difficile de faire des analyses correctes sans aucun outil.

Heureusement, il y a Tinfoleak, un outil d’OSINT / SOCMINT open source capable d’automatiser l’extraction d’informations à partir de X et de faciliter l’analyse qui en découle.

Ainsi, à partir d’un identifiant utilisation, de coordonnées géographiques ou d’un simple mot clé, Tinfoleak est capable d’extraire l’ensemble des informations depuis Twitter (pour peu que vous ayez une clé Oauth) et de vous cracher de la donnée structurée.

Tinfoleak excelle donc dans l’extraction d’une large gamme d’informations de Twitter, notamment :

• Informations sur le compte : ID utilisateur, nom d’utilisateur, description du profil, emplacement et date de création
• Activité des utilisateurs : Tweets, retweets, likes, abonnements et abonnés
• Mesures de protection : Tweets protégés, comptes vérifiés et paramètres de géolocalisation
• Relations entre utilisateurs : Abonnés, amis, mentions et réseaux de retweets
• Applications sources : Dispositifs et plateformes utilisés pour accéder à Twitter
• Fréquence d’utilisation : Fréquence de publication de tweets, modèles d’activité quotidienne et tendances d’utilisation
• Hashtags et mentions : Analyse des sujets tendance, des hashtags pertinents et des utilisateurs engagés
• Analyse du texte : Analyse du sentiment, fréquence des mots et thèmes clés
• Médias et métadonnées : Analyse des médias intégrés, des images et du contenu vidéo
• Emplacements des utilisateurs : Lieux visités, itinéraires et principaux emplacements
• Réseaux sociaux et identités numériques : Liens vers d’autres profils de médias sociaux et présence en ligne
• Utilisateurs géolocalisés et utilisateurs tagués : Identification des utilisateurs par emplacement et des individus tagués
• Abonnés et amis : Analyse des réseaux d’abonnés et d’amis, des relations et du comportement
• Listes et collections : Enquête sur les listes et collections sélectionnées et l’adhésion
• Conversations : Compréhension des discussions en cours, des interactions et des dynamiques de groupe

Si vous utilisez Kali ou ce genre de distrib Linux spécialisée en sécurité, vous le connaissez peut-être puisque c’est inclu dedans.

Sinon, pour l’installer, ouvrez un terminal et installez tout ce qu’il faut :

sudo apt install python-pip python-dev build-essential python2.7-dev python-pyexiv2 python-openssl
sudo pip install --upgrade pip 
sudo pip install --upgrade virtualenv 
sudo pip install --upgrade tweepy
sudo pip install --upgrade pillow
sudo pip install --upgrade exifread
sudo pip install --upgrade jinja2 
sudo pip install --upgrade oauth2

Ainsi, vous pourrez mieux comprendre les tendances sociales et l’opinion publique en analysant les hashtags populaires, les mentions…etc. Vous pourrez également identifier les influenceurs cl&s dans les domaines que vous ciblez, voire évaluer les menaces en fonction des mentions de sujets sensibles. Et si c’est plutôt la guerre commerciale qui vous intéresse, vous pourrez analyser la concurrence.

Bref, plein d’usages très cool pour peu que vous preniez le temps de vous y intéresser…

Vous connaissez Google, connaissez-vous Shodan ?

Shodan n'est certes pas tout jeune sur le Web, créé en 2009 par John Matherly, Shodan scanne en permanence l'ensemble des systèmes connectés sur Internet (serveurs, box internet, routeurs ...) et catalogue l'ensemble des services exposés par ces systèmes dans son moteur de recherche : serveur Web, SSH, RTSP .. etc.

Les résultats collectés par Shodan sont disponibles sur son site Internet et au travers d'API utilisables par des développeurs.

La complétude et la fraicheur des données de Shodan font de lui un acteur clef dans la recherche de vulnérabilités sur Internet.

Quelles sont les informations disponibles sur Shodan ?

Parmi les recherches phares réalisées sur Shodan par la majorité des visiteurs vagabonds, on retrouve deux types de recherche :

• La recherche de caméras sans mot de passe
• La recherche de services avec des mots de passe par défaut

Shodan dispose de nombreux filtres de recherche permettant de rechercher précisément un service, un port au sein d'une ville, d'une organisation ...

La puissance de ces filtres de recherche permet de rechercher n'importe quel type de service sur Internet même pour quelqu'un de néophyte.

Le service qui m'a probablement le plus surpris est la fonctionnalité "Shodan Images" qui permet de visualiser des centaines de milliers d'écrans d'authentification Windows et de caméras pas suffisamment sécurisées.

Des informations accessibles directement depuis son navigateur Web

Son plugin pour Chrome et Firefox permet d'avoir une synthèse des services exposés par le serveur Web sollicité sans quitter son navigateur.

Ce plugin permet d'avoir une synthèse des ports ouverts sur un serveur distant sans lancer un scan de port de type nmap sur le serveur, la donnée est déjà disponible et mise à disposition par Shodan.

Pour les utilisateurs les plus avancés, Shodan est appelable en ligne de commande via Shodan Cli depuis un terminal. Vous trouvez aussi au sein de Metasploit un plugin de recherche Shodan directement intégré.

Comment créer un rapport d'analyse de sécurité avec Shodan ?

Les paramètres de recherche fournis par Shodan permettent de créer des rapports assez poussés comme par exemple le classement des groupes de pirates qui font du defacing de sites Internet :

Comment se protéger de Shodan ?

Si vous avez des serveurs exposés sur Internet, la solution la plus simple consiste à utiliser un outil comme Portsentry pour permettre de blocker dynamiquement les adresses IP qui scannent vos ports.

Sachant que Shodan ne scanne qu'un sous-ensemble de ports, il faudra que Portsentry écoute sur quelques-uns d'entre eux pour pouvoir détecter et bloquer Shodan.

Shodan collects data mostly on web servers (HTTP/HTTPS – ports 80, 8080, 443, 8443), as well as FTP (port 21), SSH (port 22), Telnet (port 23), SNMP (port 161), IMAP (ports 143, or (encrypted) 993), SMTP (port 25), SIP (port 5060), and Real Time Streaming Protocol (RTSP, port 554).

Comment utiliser Shodan comme outil de supervision ?

Si vous êtes une entreprise et que vous souhaitez être alerté à la moindre exposition d'un nouveau service sur vos serveurs, vous pouvez souscrire au service Shodan Monitor qui vous notifiera dès lors qu'un nouveau service est exposé sur un ensemble de plages IP configurables.

Au-delà de la détection du service, Shodan est capable aussi de vous informer des failles connues exposées par les services identifiés, si un certificat SSL est expiré ...

Si vous êtes un particulier, vous pouvez devenir membre pour 49$ seulement. Ce qui vous offre une surveillance gratuite de 20 adresses IP sans coût récurrent.

En conclusion

Vous l'aurez compris, Shodan est un outil à double tranchant, il permet à la fois à des cybercriminels de trouver facilement de cibles sensibles et permet à des équipes de sécurité de faire de la veille et de l'analyse.

Shodan n'est pas un outil gratuit, même si vous pouvez créer un compte et utilisez les API de Shodan gratuitement vous serez très vite bloqués par un mécanisme de quota. Pour augmenter ce quota d'utilisation, vous devrez souscrire à un abonnement.

Si vous êtes bricoleur dans l'âme et si vous possédez une très bonne fibre optique, il est possible de construire son propre Shodan maison avec deux outils tels que Masscan et ElasticSearch. L'outil Scantastic propose d'intégrer les résultats de Masscan directement dans le moteur de recherche Elastic Search pour pouvoir ensuite les exploiter de la même manière que Shodan, adossé au logiciel ElastAlert, vous devriez pouvoir mettre en place une solution de surveillance avancée.

Pour aller plus loin dans la découverte de services sur Internet, je vous recommande la lecture de mon article sur DNSDumpster.

À cause d'une mauvaise configuration d'un Google Drive, ce sont près d'un millions de personnes dont les données sont restées exposées pendant six ans et huit mois. Le développeur de jeux vidéo mobile Ateam est à blâmer pour cette bourde monumentale.

L’article Google Drive : une simple erreur expose les données de près d’un million d’utilisateurs est apparu en premier sur Toms Guide.

En cette période de fêtes, gare aux arnaques sur Facebook Marketplace. Les escrocs mettent en place des stratégies élaborées pour vous subtiliser des données personnelles ou directement de l'argent.

L’article Facebook Marketplace : les astuces des escrocs pour voler votre argent et vos coordonnées est apparu en premier sur Toms Guide.

Dans cet épisode, nous traitons des points suivants (dans le désordre 🤓): - l'histoire des mots de passe - les mots de passe sont la pire protection possible pour nos comptes en ligne- cette sécurité n’a jamais évolué depuis leur création - leur essence même nous pousse à les rendre moins sûrs - Comment on les vole- La phrase de passe- les alternatives- les gestionnaires de mots de passe- Passkey (l’identification sans mots de passe)- l’idenfication à deux facteurs- les comptes les plus importants à bien protéger

On est en plein hiver et tous les petits vieux normalement constitués sont maintenant vaccinés contre la grippe. C’est cool, Raoult Raoul !

Mais avez-vous pensé à la santé de vos images Docker ? Et bien oui, parce qu’à force de télécharger tout un tas de conteneurs anciens et pas maintenus, vous avez sans le savoir des vulnérabilités dans vos conteneurs.

Mais alors, comment savoir ? Et bien grâce à Grype qui n’est pas un virus, mais un incroyable scanner de vulnérabilités qui peut analyser les images de conteneurs Docker, OCI et Singularity et les systèmes de fichiers.

Cet outil est ainsi capable de débusquer des vulns sur les systèmes d’exploitation containérisés tels que Alpine, Amazon Linux, BusyBox, CentOS, Debian, Ubuntu, mais également tout ce qui est vulnérabilités relatives à des langages de dev tels que Ruby, Java, JavaScript, Python, Dotnet, Golang, sans oublier PHP !

Pour l’installer, vous pouvez récupérer le binaire sur Github ou lancer la commande Curl suivante :

curl -sSfL https://raw.githubusercontent.com/anchore/grype/main/install.sh | sh -s -- -b /usr/local/bin

Si vous êtes sous Mac, en plus d’être un beau gosse, vous pouvez aussi l’installer avec Brew :

brew tap anchore/grype
brew install grype

Ensuite, pour le lancer, rien de plus simple, vous appelez la commande, suivi du nom de l’image Docker telle qu’on la trouve sur le hub.docker.com par exemple. Voici un exemple de scan avec cette image de l’éditeur Balena :

./grype balena/open-balena-vpn

Et pour ne voir que les vulnérabilité existantes pour lesquelles il existe un fix, vous pouvez également ajouter le paramètre suivant :

./grype balena/open-balena-vpn --only-fixed

Par défaut Grype scanne uniquement les vulnbérabilités visibles du conteneur, mais si vous voulez faire un truc plus en profondeur et scanner toutes les couches de ce même conteneur, ajoutez le paramètre suivant :

./grype balena/open-balena-vpn --scope all-layers

Au niveau des exports, vous pouvez sortir tout ça sous la forme d’un tableau dans le terminal, ou d’un rapport JSON ou XML pour ensuite l’interroger avec des outils comme jq.

L’utilisation de Grype vous permet également un niveau élevé de personnalisation. Vous pouvez ainsi définir la portée de la recherche avec des expressions permettant d’inclure ou exclure certains fichiers ou répertoires.

Un autre atout majeur de Grype est sa capacité à intégrer des sources de données externes pour une meilleure correspondance des vulnérabilités. Ainsi, il peut analyser les données provenant de bases telles que Alpine Linux SecDB ou Debian Linux CVE Tracker pour vous fournir des informations encore plus précises sur les failles potentielles que votre image pourrait présenter.

En parlant d’intégration, si vous travaillez avec GitHub et utilisez les Actions GitHub, Grype s’intègre parfaitement pour exécuter des analyses de vulnérabilités lors de vos workflows CI, assurant ainsi la sécurité de votre code et de vos conteneurs à chaque étape du processus.

Bref, dans l’ensemble, Grype est un outil essentiel pour tous ceux qui souhaitent garantir la sécurité et l’intégrité de leurs images Docker et pas que. Que ce soit pour identifier les vulnérabilités ou tirer parti des fonctionnalités avancées telles que les sources externes et l’intégration des actions GitHub, Grype est un allié de taille dans la lutte continuelle contre les failles potentielles qui peuvent compromettre votre infrastructure.

À découvrir ici

Tous nos voeux de bonheur pour 2024, profitez bien de vos fêtes et surtout prenez soin de vous et de vos proches.

On a tous des secrets à cacher… Mais ça n’empêche pas certains développeurs un poil tête en l’air de placer ces secrets sur leurs dépôts Git. Vous l’aurez compris, quand je parle de « secrets » je parle surtout d’identifiants et de clés API qui pourraient malencontreusement se retrouver en clair dans des fichiers de code ou des textes qui seraient embarqués sur Github lors d’un git push.

Alors que faire pour éviter cela ?

Et bien que ce soit sous un aspect défensif ou offensif, Nosey Parker est l’outil qui vous faut pour dénicher les petits secrets cachés dans les coins sombres des codes et des fichiers textes de Github.

L’outil est capable de scanner des fichiers, des répertoires et l’historique entier de dépôts Git et de les passer au peigne fin à l’aide d’expressions régulières et quand il trouve quelque chose, hop l le mets de côté dans un datastore.

Cela va donc vous permettre de faire des audits de code ou tout simplement de vérifier que vous n’êtes pas ce développeur distrait dont je parlais en introduction d’article.

Pour utiliser Nosey Parker, vous pouvez le lancer via Docker ou récupérer l’outil pour macOS ou Linux ici.

Ensuite, pour scanner un dépôt git local, et mettre les résultats dans un datastore, il faut faire comme ceci :

noseyparker scan --datastore cpython cpython.git

Si vous voulez carrément scanner un dépôt Git, rien de plus simple :

noseyparker scan --datastore noseyparker --git-url https://github.com/praetorian-inc/noseyparker

Pour afficher à nouveau les trouvailles d’un Scan depuis son datastore :

noseyparker summarize --datastore noseyparker

Et pour avoir le rapport détaillé :

noseyparker report --datastore noseyparker

Et voilà, vous connaitrez en détail toutes vos fuites de données. Évidemment, c’est à utiliser avec intelligence pour sécuriser votre propre code, ou dans des missions d’audit sur lesquelles vous avez été validé.

Nosey Parker est à découvrir ici.

50 000 clients de banques ont été ciblés par une campagne de piratage. L'attaque s'appuie sur un malware, qui procède en injectant du code JavaScript. Ce script permet de voler les identifiants bancaires et surtout les codes à usage unique des banques.

L’article Ce malware intercepte les codes à usage unique de votre banque, déjà 50000 victimes signalées est apparu en premier sur Toms Guide.

Les escrocs tentent de tirer profit des fêtes de fin d'année. A quelques jours de Noël, les arnaques au colis se multiplient. Les victimes reçoivent des messages les exhortant à s'acquitter de frais d'expédition ou de douane en cliquant sur un lien malveillant.

L’article Attention, l’arnaque au colis revient en force à l’approche de Noël est apparu en premier sur Toms Guide.

Toyota était victime le mois dernier d'une cyberattaque des pirates du groupe Medusa. Devant le refus du constructeur de payer une rançon de 8 millions de dollars, les criminels ont diffusé des données extrêmement sensibles des clients.

L’article Toyota alerte ses clients : les pirates de Medusa ont volé des données extrêmement sensibles est apparu en premier sur Toms Guide.

Les codes QR sont de plus en plus employés par les pirates pour tenter d'arnaquer des victimes, mises en confiance par l'origine du lien obtenu. Rien que sur le troisième trimestre 2024, 60 000 attaques ont été rapportées par l'entreprise de cybersécurité Trellix.

L’article Les codes QR, un danger ? 60 000 attaques rapportées en seulement trois mois est apparu en premier sur Toms Guide.

Une nouvelle arnaque particulièrement bien rodée vise les internautes français en leur envoyant de faux courriers recommandés qui leur demandent de payer une amende routière sur un site web frauduleux. Le pirate utilise le service de la poste AR24 pour donner l'illusion d'un message officiel.

L’article Fausses amendes par courrier recommandé : attention à cette arnaque sophistiquée est apparu en premier sur Toms Guide.

Les VPN sont légion sur le marché, mais certains ont tendance à sortir du lot. C'est le cas de NordVPN, dont la renommée n'est plus à faire. Comme tous ses concurrents, le fournisseur met en avant la qualité de ses services, ainsi que sa vitesse. Mais qu'en est-il concrètement ? Voici ce que l'on a pensé de ce VPN après l'avoir testé.

L’article Test NordVPN : notre avis sur le VPN le plus populaire du marché est apparu en premier sur Toms Guide.

Une nouvelle faille du Bluetooth fait que n'importe quel pirate peut prendre le contrôle d'un appareil en se faisant passer pour un clavier sans fil. Cette vulnérabilité, nommée CVE-2023-45866, affecte Android, Linux, macOS et iOS. Elle permet d'exécuter des commandes à distance, y compris des logiciels malveillants.

L’article Bluetooth : attention, une faille de sécurité a été détectée sur Android, iPhone, Mac et Linux est apparu en premier sur Toms Guide.

Les cybermenaces sont en constante évolution et deviennent de plus en plus dangereuses. En 2023, les systèmes de détection de Kaspersky ont identifié en moyenne 411 000 fichiers malveillants par jour, soit une augmentation de près de 3 % par rapport à 2022.

L’article Cybermenaces : 411 000 fichiers malveillants diffusés chaque jour, Kaspersky sonne l’alerte est apparu en premier sur Toms Guide.