Net-Security

Analyser les logs de Nextcloud avec Wazuh

Wed, 21 Jan 2026 22:05:44 +0000

Bonjour à tous ! Aujourd'hui un article pour parler de sécurité sur Nextcloud : surveiller les logs de Nextcloud en utilisant Wazuh.

Le but étant de pouvoir voir ce qu'il se passe sur un serveur Nextcloud : partage, lecture d'un fichier, authentification...

Introduction

Que ça soit pour des raisons réglementaires (bonjour ISO27001/HDS), légales, que sais-je, vous aurez probablement besoin d'analyser les logs de votre instance Nextcloud (ou tout simplement pour alimenter vos process internes).

Un serveur rsyslog avec authentification TLS

Wed, 20 Aug 2025 22:05:44 +0000

Bonjour à tous ! Aujourd'hui un article pour parler d'une chose simple : la configuration de la solution rsyslog sur un serveur GNU/Linux en utilisant les bonnes pratiques de sécurité : l'authentification par certificat TLS.

Le but étant de centraliser les logs en les chiffrant au passage pour ne pas tout faire transiter en clair sur le réseau (et oui, il faut même chiffrer les flux internes... Surtout les logs avec des DCP.).

OSINT : Contourner le floutage de Google Maps grâce aux données ouvertes

Mon, 28 Apr 2025 08:00:44 +0000

Bonjour à tous, aujourd'hui un article rapide sur des éléments que j'ai découverts récemment et que je trouvais intéressants, on va donc parler d'OSINT.

Le but aujourd'hui va être de faire un exercice simple en cherchant des informations et en utilisant plusieurs sources/outils. On va rapidement voir qu'on peut trouver une information, a priori cachée en cherchant quelques mots-clés sur le Web (bien que l'OSINT ne concerne pas seulement le Web.).

Faire sa veille avec des logiciels libres

Tue, 17 Dec 2024 08:00:44 +0000

Bonjour à tous, aujourd'hui un article après un (long) moment d'absence, c'est un article qui se veut simple et rapide car il a déjà été traité plusieurs fois par d'autres personnes, on va parler de veille technologique.

Mais plutôt que de parler essentiellement des sources, qui diffèrent selon les moments, les spécialités, on va parler des outils qui permettent de faire de la veille et plus personnellement ceux que j'utilise qui sont majoritairement libres et auto-hébergeable.

OpenSSL : Analyser les informations d'un certificat X.509

Tue, 28 May 2024 08:00:44 +0000

Bonjour à tous ! Aujourd'hui un autre article sur OpenSSL, nous allons voir ensemble comment récupérer et analyser toutes les informations d'un certificat x509 : numéro de série, DN du l'autorité, DN du certificat, etc.

Introduction

Dernièrement nous avons beaucoup parlé des certificats sur ce blog : générer des certificats/CSR avec des SANs, vérifier l'appartenance d'une clé à un certificat... Mais nous n'avons jamais abordé la partie la plus basique : quelles sont les informations contenues par un certificat et surtout, comment les lire et les comprendre.

OpenSSL : Générer une CSR avec des SAN directement en CLI

Sat, 30 Mar 2024 14:00:44 +0000

Bonjour à tous ! Aujourd'hui un rapide article sur OpenSSL (après un long moment d'absence) on va reparler CSR, SAN et OpenSSL pour voir comment créer une CSR avec des SAN directement en ligne de commande.

Introduction

Ce sujet a déjà été abordé sur le blog en 2020 et à l'époque c'était à ma connaissance la seule méthode. Depuis la version OpenSSl 1.1.1> il est possible de créer une CSR avec des SAN sans passer par un fichier spécifique. On peut directement faire ça en ajoutant simplement une option à notre commande -addext.

OpenSSL : Vérifier la correspondance entre clé privée, certificat & CSR

Thu, 16 Nov 2023 14:00:44 +0000

Bonjour à tous ! Aujourd'hui un rapide article sur OpenSSL qui va vous expliquer comment retrouver la correspondance entre les certificats, les clés privées et les CSR.

Introduction

Nous avons tous connu des erreurs du style :

Certificate and private key net-security.test:443:0 from /etc/cert/domain_name.crt and /etc/cert/domain_name.key do not match

C'est une erreur très courante et très explicite : le certificat en question ne correspond pas à la clé privée utilisée.

Clé privée ? Certificat ? CSR ?

Tous les éléments ont déjà été abordés dans plusieurs articles :

Un relais SMTP postfix avec TLS, SASL, DKIM, DMARC & SPF

Tue, 28 Mar 2023 10:05:44 +0000

Bonjour à tous ! Aujourd'hui un article qui va parler de mail et de sécurité. Nous allons voir comment installer un serveur de mail SMTP postfix avec toutes les couches de sécurité, c'est à dire :

Authentification SASL
Chiffrement TLS
DMARC, SPF & DKIM

Le but étant de pouvoir envoyer des mails qui n'arrivent pas dans les spams.

Pré-requis

Voici les pré-requis pour réaliser cette configuration :

Utiliser une machine GNU/Linux (Debian Like)
Disposer d'une IPv4 publique
Disposer d'un domaine
Avoir la possibilité de faire un enregistrement reverse sur l'IP
Ouvrir le port 25/TCP (SMTP) dans le sens sortant
Ouvrir le port 465/TCP (SMTPS) dans le sens entrant (ou faire du filtrage)

De mon côté j'ai utilisé un VPS Scaleway pour l'exemple avec Ubuntu 22.04 LTS. J'ai utilisé le domaine tzku.at et le sous domaine smtp-test.tzku.at pour faire la configuration.

Créer un Java Key Store (JKS) en ligne de commande

Mon, 06 Feb 2023 10:05:44 +0000

Bonjour à tous ! Un rapide article pour débuter 2023, comment créer facilement un Java Key Store (ou JKS) en ligne de commande & facilement sur une machine GNU/Linux.

Je sais que le sujet des certificats est toujours compliqué à aborder, encore plus dans les environnements Java. C'est très souvent une cause de problème et de blocage.

Dans cet article nous allons donc voir comment générer un Java Key Store depuis une clé et un certificat au format B64.

Un peu de forensic sous Windows

Tue, 08 Nov 2022 21:05:44 +0000

Bonjour à tous ! Aujourd'hui un article qui va parler de forensic sous Windows. C'est un retour d'expérience d'une machine Windows Server 2012 qui a été compromise. Nous verrons les éléments qui ont permis de détecter la compromission ainsi que les différents éléments relevés.

Symptômes & première analyse

Cet article fait suite à la compromission d'une machine qui a eu lieu plus tôt dans l'année. C'est une machine Windows Server 2012 qui s'est mise à avoir un comportement suspect :

Durcissement d'un système GNU/Linux : Gestion des utilisateurs & des connexions

Sun, 09 Oct 2022 23:09:00 +0000

Bonjour à tous ! Aujourd'hui nous allons voir ensemble comment durcir rapidement et simplement un système GNU/Linux ! Plusieurs autres articles s'ajouteront afin de compléter la liste des configurations à faire.

Introduction

Lorsque l'on déploie des machines GNU/Linux en entreprise il est nécessaire d'avoir des modèles standardisé et idéalement "durcis". Cela permet d'avoir une sécurité renforcée sur tous les environnements (dev, recette, production). En entreprise il n'est pas possible de simplement faire suivant -> suivant dans l'installeur et de livrer la machine.

Dump de mémoire sur VMWare

Tue, 27 Sep 2022 20:05:44 +0000

Bonjour à tous ! Aujourd'hui un article rapide qui va traiter un point simple : le dump de mémoire d'une machine virtuelle VMWare afin de l'analyser avec Volatility (ou autre) et de faire du forensic.

Introduction

Pour tout un tas de raisons, il peut être nécessaire de récupérer la mémoire vive d'une machine virtuelle, notamment en cas de compromission car cela peut entrer dans votre procédure de "gestion des preuves" que vous devrez stocker, analyser et mettre à disposition des tiers selon la gravité de l'incident ainsi que sa nature.

PrivateBin : un pastebin chiffré & libre

Wed, 14 Sep 2022 13:45:44 +0000

Bonjour à tous ! Aujourd'hui un article sur un outil que j'ai découvert il y a plusieurs années et que j'utilise maintenant quotidiennement que ça soit en pro ou en perso : PrivateBin.

Introduction

PrivateBin est un 'pastebin' libre et chiffré qui permet d'échanger à la fois du texte (texte, code source, markdown) ainsi que des fichiers si vous l'autorisez dans la configuration. L'outil est un fork de ZeroBin et est développé initialement par SebSauvage et repris par la communauté, il est développé en PHP et est proposé sous licence ZLib.

Retour sur un exercice de phishing

Wed, 29 Jun 2022 10:05:44 +0000

Bonjour à tous ! Aujourd'hui un article qui va parler de sensibilisation à la sécurité. On a beau faire de la sensibilisation et communiquer régulièrement, rien ne vaut un exercice grandeur nature lorsque l'on parle de phishing. De mon côté c'est la 1ère fois que j'ai pu en mettre un en place. Je vais essayer de vous présenter dans cet article comment j'ai fait et ce que j'ai pu apprendre.

Commandes GNU/Linux en vrac – Partie 4

Mon, 13 Jun 2022 20:05:44 +0000

Bonjour à tous ! Aujourd’hui le 3ème article de la série « Commandes GNU/Linux en vrac ». Les autres sont disponibles ici :

Le but est de présenter et de vous faire découvrir des commandes et des outils qui pourraient être utiles pour vous.

Commande time

La commande time va permettre d'évaluer la durée d'exécution d'un script ou d'une commande. Très intéressant pour voir les performances de votre dernier script par exemple.

Gérer les scans de sécurité en entreprise

Sun, 15 May 2022 10:05:44 +0000

Bonjour à tous, aujourd'hui un article un peu plus organisationnel que technique : comment gérer les scans de sécurité sur un réseau d'entreprise ?

Introduction

Dans presque toutes les entreprises qui ont pour cœur de métier l'informatique, des scans de sécurité sont réalisés. Je vais essayer dans cet article de vous présenter la manière dont je vois les choses pour gérer au mieux les différents scans et leurs résultats avec ma petite expérience sur le sujet.

Veille en vulnérabilités avec OpenCVE.io

Wed, 11 May 2022 14:05:44 +0000

Bonjour à tous ! Aujourd'hui un article rapide (et qui traîne depuis longtemps) sur un outil open-source que je suis depuis un petit moment : OpenCVE.io.

OpenCVE est un outil qui répond à un besoin que nous rencontrons tous (ou presque) dans la gestion de la sécurité et du patch-management : la gestion des failles de sécurité et la veille en vulnérabilités.

Nous utilisons tous divers systèmes, logiciels, matériels... Tous ces éléments peuvent être touchés par des failles de sécurité, OpenCVE.io permet d'être alerté en cas de vulnérabilité sur une des briques de l'infrastructure. Car il est aujourd'hui impossible sans un outil ou des filtres d'analyser toutes les vulnérabilités qui sortent chaque jour.

Application NodeJS en tant que service sur GNU/Linux

Sat, 02 Apr 2022 12:00:44 +0000

Bonjour à tous ! Aujourd'hui un article pour présenter une problématique que j'ai rencontrée récemment.

Suite à la mise en production d'une application NodeJS j'avais besoin d'une solution afin de la gérer comme un service. De pouvoir l'arrêter, la lancer, la relancer au démarrage de la machine (avec les reboot automatique pour les mises à jour c'est très pratique).

L'application était lancée de la façon la plus simple qui soit : node /chemin/main.js. Mais cela ne permettait pas de gérer l'application convenablement. N'étant ni développeur, ni expert en NodeJS, je suis parti en quête de réponse...

Commandes GNU/Linux en vrac – Partie 3

Wed, 02 Feb 2022 22:20:44 +0000

Bonjour à tous ! Aujourd’hui le 3ème article de la série « Commandes GNU/Linux en vrac ». Les autres sont disponibles ici :

Le but est de présenter et de vous faire découvrir des commandes et des outils qui pourraient être utiles pour vous.

Commande wall

La commande wall est présente dans la quasi totalité des distributions GNU/Linux, son but est très simple, afficher un message dans le terminal pour l'ensemble des utilisateurs connectés. Imaginez que vous travaillez sur une machine et qu'un redémarrage soit nécessaire. En utilisant la commande who vous remarquez que plusieurs personnes sont connectées sur la fameuse machine. Vous pouvez alors les prévenir en utilisant la commande suivante :

Installation d'un routeur Juniper depuis une clé USB

Tue, 28 Dec 2021 00:12:35 +0000

Bonjour ! Aujourd'hui un article rapide suite à la mise à jour d'un routeur. Nous avons remplacé la mémoire de la routing engine, qui est une carte flash "compact flash", une mise à jour de 2GB à 8GB.

Suite à ça, plus aucune version de JunOS n'était installée sur le routeur.

Récupérer la bonne version de JunOS

De mon côté je n'avais pas accès à la version désirée (pour coller à la production) directement sur le site de Juniper. J'ai donc récupéré ma version sur Webarchive :

Capture d'écran sous GNU/Linux avec Flameshot

Tue, 02 Nov 2021 00:19:35 +0000

Bonjour à tous, aujourd'hui un article après un long moment d'absence, comme vous pouvez le voir le blog a été migré vers Hugo, un article sera dédié à la migration. Nous allons aborder aujourd'hui l'outil de capture d'écran Flameshot sous GNU/Linux !

Pourquoi ?

On réalise tous un grand nombre de capture d'écran, pour diverses raisons : articles, documentations, etc. J'utilise un système GNU/Linux quotidiennement et ça depuis 5 ans (Arch/Manjaro/PopOS) et j'ai eu du mal à trouver un outil pour réaliser des captures d'écran correctement. Celui par défaut de KDE fait l'affaire par exemple, mais quand il faut identifier des zones, rajouter du texte... Ce n'était pas très pratique de copier/coller puis de modifier tout ça sur KolourPaint. C'est la que j'ai découvert Flameshot, que j'utilise maintenant depuis 2 ans quotidiennement.

Vérifier l'ouverture d'un port sous GNU/Linux

Sun, 11 Jul 2021 00:14:38 +0000

Aujourd'hui un article assez basique sur un sujet plutôt simple mais qui concerne tout le monde : vérifier si un port est bien ouvert sur des machines GNU/Linux.

Introduction

Ce sujet est plutôt simple mais je pense qu'il concerne tout le monde, car c'est la base pour vérifier si un service est fonctionnel ou non. Cela permet de tester vos règles de pare-feu ainsi que les différents accès réseaux, ces tâches sont le quotidien de la plupart des admninistrateurs réseau/système. On verra d'abord comment vérifier directement sur la machine si le port est en écoute, s'il existe des connexions établies et pour finir on verra comment tester les flux vers des machines distantes. Nous n'aborderons pas le filtrage des flux sur les pare-feu car ce n'est pas le sujet de l'article.

Route Based Policy sur Cisco

Tue, 25 May 2021 11:47:51 +0000

Introduction

Dans cet article nous allons aborder une notion de réseau, les route based policy, c'est-à-dire du routage en fonction d'un réseau source. De mon côté j'ai utilisé cette fonctionnalité au cours d'une migration, cela est très utile lorsque vous avez plusieurs réseaux/interfaces pour sortir. Cela permet de dire spécifiquement à un réseau d'utiliser une passerelle ou next-hop particulier.

Schéma

Vu qu'un schéma vaut mieux que 1000 explications :

Nagstamon : un client pour vos instances de supervision

Wed, 05 May 2021 17:10:43 +0000

Bonjour à tous ! Aujourd'hui (et après un long moment d'absence) une rapide présentation d'un outil que j'ai découvert il y a peu et que je trouve très pratique à utiliser tous les jours : Nagstamon.

Nagstamon ?

Pour faire simple, Nagstamon (ou Nagios Status Monitor) c'est un client que vous allez pouvoir installer sur vos PC que ça soit Mac, GNU/Linux, Unix ou encore Windows. Ce client permet tout simplement de vous alerter en cas de problème dans votre supervision.

Shaarli, un outil pour sauvegarder & organiser vos liens

Wed, 13 Jan 2021 18:59:24 +0000

Bonjour à tous ! Aujourd'hui un article sur un outil très intéressant que j'utilise tous les jours depuis maintenant 2 ans. Il me sert essentiellement pour sauvegarder et partager des liens dans le cadre de ma veille technologique, il s'agit de Shaarli.

Shaarli ?

Shaarli est un outil qui permet de sauvegarder, gérer, d'organiser et de partager ses marques pages. Il se veut minimaliste, simple et sans base de données pour fonctionner. Il est bien entendu proposé sous licence libre GPLv3 et a été créé par Seb Sauvage. Le logiciel est développé principalement en PHP/Javascript.

Créer une toile de confiance avec GnuPG

Sat, 28 Nov 2020 11:39:26 +0000

Bonjour à tous ! Aujourd'hui nous allons aborder ensemble un sujet que j'ai pu traiter dans le cadre de mon alternance, la mise en place d'une toile de confiance GnuPG.

Introduction

PI : je parle souvent de « clé » GPG, il faut comprendre biclé car il y a toujours une clé publique et une clé privée.

Le chiffrement GnuPG a déjà été abordé sur ce blog, mais moins précisément. La mise en place d'une toile de confiance peut se faire dans le cadre d'un chiffrement entre une entité A et une entité B, ce qui était mon cas.

Commandes GNU/Linux en vrac – Partie 2

Sat, 17 Oct 2020 10:05:44 +0000

Bonjour à tous ! Aujourd’hui le 2ème article de la série « Commandes GNU/Linux en vrac ». Le 1er est disponible ici :

1er : https://net-security.fr/system/commandes-gnu-linux-en-vrac-partie-1/

Le but est de présenter et de vous faire découvrir des commandes et des outils qui pourraient être utiles pour vous.

Commande wc

La commande wc ou word count va permettre au système de compter plusieurs éléments comme le nombre de lignes, de mots, de caractères, etc.

Mémoire de fin d'études : Cryptographie & Monétique

Mon, 05 Oct 2020 15:49:15 +0000

Bonjour à tous ! Aujourd'hui (encore) un article différent car je vais vous parler rapidement de mon mémoire de fin d'études.

Je viens d'arriver au bout de mes études et pour conclure j'ai dû, comme tout le monde, rédiger un mémoire. De mon côté j'ai pu réaliser ce diplôme en alternance à Aix-en-Provence au sein de la société Monext et du campus Ynov.

Les sujets abordés dans ce mémoire sont la cryptographie et la monétique, et plus précisément comment ils fonctionnent ensemble. Ces sujets sont revenus très régulièrement lors de mon alternance et de ma scolarité. Il me tenait donc à cœur de partager mes travaux.

Commandes GNU/Linux pour détecter une intrusion

Sat, 19 Sep 2020 13:29:58 +0000

Bonjour à tous ! Après un petit moment d'absence nous allons voir aujourd'hui comment essayer de détecter une intrusion sur un système GNU/Linux.

Introduction

Aujourd'hui nous sommes beaucoup à rencontrer des tentatives d'intrusion sur nos SI, et ça peu importe le cœur de métier. Les intérêts peuvent être nombreux pour les attaquants, par exemple le vol de données, récupérer de la puissance de calcul, etc.

Il est important d'avoir une procédure pour décrire comment détecter et vérifier si la machine est intègre, au moins au niveau du système et des actions des utilisateurs.

Ouverture d'une instance Mattermost pour Net-Security

Sat, 15 Aug 2020 11:31:20 +0000

Bonjour à tous ! Aujourd'hui un article très court pour vous présenter une amélioration sur le blog net-security.fr.

EDIT : l'instance a été fermée en septembre 2023.

L'idée

De mon côté je fais partie de plusieurs communautés ou groupes sur diverses applications (Slack, Discord, etc.). Les sujets peuvent être divers et variés comme l'OSINT avec la communauté très active OSINT-FR que je vous invite à rejoindre si ça vous intéresse : lien ici.

Continuous Delivery avec Argo CD

Fri, 17 Jul 2020 20:54:54 +0000

Bonjour à tous, dans cet article nous allons parler de continuous delivery, de livraison continue quoi.

Disclaimer : On va parler d'Argo CD, mais aussi de Prometheus, Helm, Grafana, HPA etc.

Avec la montée en puissance de la mouvance DevOps et de l'industrialisation des processus d'entreprise, certaines sociétés et grands groupes n'ont pas hésité à développer des solutions d'automatisation comme Amazon, Google ou encore JetBrains.

La communauté open source n'a pas hésité à développer et partager ces propres outils. Nous pensons à Gitlab CD/CD, CircleCI, Travis CI ou encore Jenkins.

Commandes GNU/Linux en vrac – Partie 1

Wed, 27 May 2020 12:59:10 +0000

Introduction

Bonjour à tous ! Aujourd'hui un article différent, il est le 1er d'une série concernant les commandes GNU/Linux que je découvre avec l'utilisation quotidienne de mon Arch Linux et de l'administration des serveurs.

Le but est de présenter et de vous faire découvrir des commandes et des outils qui pourraient être utiles pour vous.

Commandes chattr & lsattr

chattr est une commande GNU/Linux qui permet à un utilisateur de définir des attributs sur un fichier présent dans le système.

Créer une CSR avec des SAN sur OpenSSL

Fri, 08 May 2020 15:59:50 +0000

Bonjour à tous ! Aujourd'hui un article sur OpenSSL pour savoir comment créer une CSR avec des SAN.

MàJ du 30/03/2024 : il est maintenant possible de créer des CSR avec SAN directement en CLI, c'est expliqué sur le blog sur ce lien.

CSR ?

Tout d'abord une petite explication, une CSR ou Certificate Signing Request est tout simplement une demande de certificat. Ce fichier issu de votre clé privée va contenir toutes les informations nécessaires à la signature de votre certificat, le CN, les SAN, etc. C'est ce fichier que vous devez transmettre à votre autorité de certification pour demander un certificat. Une CSR contiendra donc une clé publique et les différentes informations, la clé privée n'est heureusement pas incluse et permet juste de signer ce fichier.

Activer le chiffrement TLS sur Kibana

Sun, 26 Apr 2020 11:41:52 +0000

Bonjour à tous ! Aujourd'hui un article assez court concernant l'activation du protocole TLS sur l'interface de Kibana.

Introduction

J'ai commencé il y a peu à travailler sur ELK et je pense donc proposer plusieurs articles dans ce style sur le blog.

Par défaut, lorsque vous faite une installation de Kibana, HTTP est utilisé pour les communications et aucune authentification n'est activée. Nous allons voir dans cet article comment activer rapidement le chiffrement des flux avec TLS et vérifier les configurations.

Installation d'un nœud de sortie Tor sur Debian 10

Sat, 25 Apr 2020 11:03:03 +0000

Bonjour à tous ! Aujourd'hui un article qui traîne depuis un moment dans les brouillons, l'installation d'un nœud Tor sur un VPS avec le système Debian 10. C'est également le moment de présenter rapidement le projet et de faire un retour d'expérience sur ma modeste aventure dans ce projet.

Tor ?

Ne vous inquiétez pas, je ne vais pas vous présenter Tor dans les détails, ce n'est pas le but et l'intérêt n'est pas la vu que le sujet a déjà été traité plusieurs fois, nous allons simplement revoir les basiques. Si vous voulez vraiment des détails sur le sujet je vous invite à vous rendre sur le site officiel.

Attaque des 51% sur une Blockchain Ethereum privée

Sat, 18 Apr 2020 10:11:30 +0000

Bonjour à tous ! Aujourd'hui un article un peu différent, nous allons parler de blockchain. Cet article est issu d'un projet scolaire réalisé avec les autres personnes contribuant à ce blog, Fabio et Adrien ainsi que deux autres personnes, Dorian et Clément.

Cet article est une simple retranscription de notre rendu, qui est disponible sur le repo Gitlab du projet en français et en anglais.

Nous ne sommes absolument pas des experts dans ce domaine, il est donc fortement possible que bêtises soient présentes dans l'article, n'hésitez pas à revenir vers nous si c'est le cas. Le but est avant tout de partager nos travaux et d'échanger ! Vous pouvez également ajouter des modifications directement sur le projet Gitlab.

Présentation & Installation de phpIPAM, un gestionnaire d'adresses IP libre

Sat, 21 Mar 2020 21:54:47 +0000

Bonjour à tous ! Aujourd'hui un rapide article pour vous présenter un outil que j'utilise maintenant depuis plus d'un an que ça soit sur le plan personnel ou professionnel, j'ai nommé phpIPAM.

Introduction & Présentation

PhpIPAM est une application web de gestion d'adresses IP libre et proposée sous licence GPLv3. Elle est développée en PHP et en Javascript. Elle utilise également de l'Ajax avec la bibliothèque jQuery ainsi qu'une base de données SQL.

LUKS & LVM sur Arch Linux

Mon, 02 Mar 2020 08:15:33 +0000

Bonjour à tous ! Aujourd'hui un article sur un point qui m'a fait perdre une grosse partie de mon dimanche après midi, la mise en place du chiffrement avec LUKS sur mes partitions Arch Linux.

Cette partie est un complément à mon article récent expliquant comment installer Arch Linux.

Pourquoi ?

La raison est simple, j'ai envie que mes données soient chiffrées et protégées sur mon poste. Après avoir regardé les différentes méthodes disponibles, celle présentée ici me paraît la plus adaptée à mon besoin.

Présentation & Installation de Tails

Fri, 21 Feb 2020 19:44:55 +0000

Bonjour à tous ! Aujourd'hui un rapide article sur un outil que je connais et que j'utilise depuis un petit moment, j'ai nommé Tails.

Tails ?

Pour faire simple, Tails ou The Amnesic Incognito System est un OS live utilisé généralement en USB/DVD qui a pour but de protéger la vie privée et l'anonymat de l'utilisateur.

Il est basé sur le système GNU/Linux Debian et est proposé sous la licence libre GPLv3, la dernière version de l'outil lorsque j'écris ces lignes est la 4.3 (Février 2020).

Pourquoi et comment j'ai quitté les GAFAM

Sat, 11 Jan 2020 11:20:29 +0000

Bonjour à tous, aujourd'hui un article non technique mais qui porte sur un sujet très abordé en ce moment, les GAFAM et la protection des données.

Introduction

Comme indiqué dans plusieurs articles, j'ai changé depuis à peu près un an ma façon de consommer des services sur Internet, et ça pour plusieurs raisons.

Avant ça, j'étais comme « tout le monde ». J'utilisais Google avec mon adresse Gmail, Windows 10 sur mon ordinateur de tous les jours, Facebook comme réseau principal, etc.

Arch Linux : Pourquoi et comment ?

Mon, 06 Jan 2020 08:04:24 +0000

Bonjour à tous ! Pour ce premier article de 2020 nous allons parler du très connu Arch Linux.

Introduction

J'ai entrepris depuis maintenant un an un changement sur ma manière de fonctionner et d'utiliser les différents services et systèmes informatique. J'essaie d'utiliser essentiellement des outils/ressources respectueux de la vie privée et plus généralement des logiciels libres.

Par exemple Tutanota à la place de Gmail, LibreOffice à la place d'Office, Linux à la place de Windows, etc. Je peux faire un article sur ce sujet si ça vous intéresse (même s'il en existe déjà des milliers).

Attaque sur l'authentification WPS

Sun, 15 Dec 2019 09:40:59 +0000

Bonjour à tous, aujourd'hui nous allons voir comment attaquer l'authentification WPS qui est généralement activé sur les box opérateur et bornes WIFI.

Avant de commencer, j'insiste sur le fait que cet article a pour but de sensibiliser sur l'authentification WPS et non à inciter à utiliser la faiblesse de la technologie sur des réseaux où vous n'avez pas l'autorisation.

Presentation

Tout d’abord, le WPS (Wi-Fi Protected Setup) est une technologie qui simplifie le processus de connexion d’un équipement Wi-Fi au réseau. En effet, il faut l’intervention physique de la personne pour qu’elle s’authentifie.

Lancement de tests de performance avec Apache JMeter

Thu, 12 Dec 2019 08:19:04 +0000

Bonjour à tous, aujourd'hui nous allons vous parler de la mise en œuvre de test de performance, en s'appuyant sur l'outil open source Apache JMeter.

Que vous ayez mis en place une chaîne d'intégration continue ou même de déploiement continu, il est nécessaire d'intégrer la phase de test de performance dans votre chaîne afin d'assurer un niveau de qualité et de performance toujours acceptable vis-à-vis de vos SLAs.

Déploiement automatique d'Hugo avec Gitlab & Docker

Tue, 10 Dec 2019 19:39:18 +0000

Bonjour à tous ! Aujourd'hui un article un peu différent, nous allons voir ensemble comment déployer un site Hugo (https//rm-it.fr) automatiquement avec Gitlab, Gitlab Runner et Docker.

Tout d'abord je tiens à remercier Adrien Pavone qui m'a beaucoup (trop?) aidé dans la mise en place de ce système.

Hugo ?

Tout d'abord, voyons un peu ce qu'est Hugo. C'est un générateur de site statique HTML/CSS écrit en Go. En gros, ça permet de créer facilement et très rapidement des sites Web sans avoir à faire de developpement. De mon côté j'ai utilisé un thème trouvé sur Github, il m'a suffit de l'installer, de modifier les quelques variables du fichier fourni avec le thème et mon site était prêt.

Convertir un disque VMWARE vers HYPERV

Wed, 04 Dec 2019 08:45:00 +0000

Bonjour à tous, aujourd'hui nous allons voir les différentes étapes pour convertir un disque Vmware vers Hyper-V.

Le besoin

Je travaille avec Vmware sur mon LAB. Or, un client m'a demandé de préparer une machine virtuelle pour son infra, et le prérequis est qu'elle soit compatible avec leur système de virtualisation : Hyper-V.

Pour éviter d'installer Hyper-V sur mon poste, j'ai donc créé la VM sur VMware, puis converti le disque.

Gérer les règles sur Suricata

Thu, 21 Nov 2019 16:23:10 +0000

Bonjour à tous ! Aujourd'hui nous allons aborder la gestion des règles sur l'IDS/IPS Suricata.

Je ne vais pas revenir sur la présentation de l'outil et son intérêt dans cet article car cela a déjà été fait sur ce blog par mon collaborateur Fabio Pace.

Pour information, Suricata est disponible depuis peu en version 5.0.

La problématique

Suricata c'est très bien, mais par défaut l'ensemble des règles sont activées, et cela engendre un nombre d'alerte important. Elles sont dans mon cas (plus de 1000 serveurs avec beaucoup de flux) :

Migration vers Tutanota Mail

Wed, 30 Oct 2019 15:05:39 +0000

Bonjour à tous ! Aujourd'hui un rapide article vers la nouvelle solution de mail que j'ai choisie pour remplacer mon Mail Pro de chez OVH, Tutanota.

Introduction

Avant de présenter la solution je vais présenter mes besoins. Depuis un petit moment maintenant, j'essaie de m'affranchir des solutions grand public et propriétaire dans un but purement éthique. Par exemple, j'utilise Ubuntu à la place de Windows sur mon poste, LibreOffice à la place d'Office, Qwant à la place de Google, etc. Je peux vous faire un article sur ce sujet si ça vous intéresse.

ESET Endpoint Encryption

Thu, 17 Oct 2019 13:00:41 +0000

Bonjour à tous, après plusieurs mois d'absence, nous allons voir dans cet article l'installation et le fonctionement d'un produit que j'utilise dans le cadre professionnel : ESET Endpoint Encryption.

Introduction

L’utilitaire ESET Endpoint Encryption permet de chiffrer un (ou plusieurs) disque(s).

Vous pouvez donc chiffrer :

Une partition (ce que nous allons faire)
Un disque entier (non recommandé pour les dualboot)
Une clé USB
Un CD / DVD
Un dossier
Un texte
Un mail…

Préparation

Tout d’abord, il faut récupérer l’utilitaire sur la page officiel d’ESET :

Copier un badge NFC avec Kali Linux & Android

Sun, 13 Oct 2019 19:05:52 +0000

Bonjour à tous ! Aujourd'hui nous allons voir ensemble comment copier un badge NFC avec un ARC122U sur Kali Linux ou avec un téléphone Android.

Introduction

Depuis maintenant quelques années la radio-identification (RFID) est utilisée dans beaucoup de domaine comme les titres de transport où encore pour l'accès à des bâtiments. Ces systèmes sont très pratiques et facile à mettre en œuvre mais sont bien souvent peu sécurisé. Cela peut-être dû à une mauvaise implémentation ou tout simplement à des faiblesses connues dans le système.

Présentation & Installation d'Harbor, une registry sécurisée pour vos conteneurs

Sun, 29 Sep 2019 18:52:56 +0000

Bonjour à tous, aujourd'hui nous allons aborder un point et un outil important concernant la sécurité des conteneurs.

Introduction

En effet, dans le monde des conteneurs avec Docker, Kubernetes ou autres, un point primordial et très compliqué est la sécurité. Que ça soit au niveau de la gestion des flux, des traces, de la détection des attaques ou dans notre cas du niveau de sécurité du conteneur directement.

Harbor

Harbor est une registry privée qui permet de scanner les images poussées sur cette dernière. C'est un logiciel Open Source avec un licence Apache 2.0 créé et maintenu par VMWare, ce projet est aussi soutenu par la Cloud Native Computing Foundation.

BlueKeep (CVE-2019-0708) & Metasploit

Tue, 10 Sep 2019 09:17:16 +0000

Bonjour à tous, aujourd'hui nous allons aborder un sujet dont vous avez sûrement entendu parler ces dernières semaines, la CVE-2019-0708 également appelée BlueKeep.

BlueKeep ?

BlueKeep est une vulnérabilité découverte en mai 2019 par le National Cyber Security Centre du Royaume-Uni et qui touche le protocole RDP (Remote Desktop Protocol) principalement utilisé dans les environnements Windows. Le protocole RDP utilise par défaut le port 3389.

Les versions de Windows vulnérables sont les suivantes :

Raspberry – Thermomètre connecté avec une sonde DHT22

Sat, 31 Aug 2019 16:04:02 +0000

Bonjour à tous ! Aujourd'hui nous allons aborder un projet qui traîne depuis un certain temps pour moi, la réalisation d'un thermomètre connecté avec un Raspberry Pi et une sonde DHT22.

Cette sonde nous permettra de récupérer la température et l'humidité

Ce type de thermomètre peut-être utile si vous voulez monitorer la température de votre maison par exemple et exécuter des actions en cas de température élevée ou faible pour allumer le chauffage ou la climatisation.

GnuPG – Introduction & Cheat-Sheet

Thu, 22 Aug 2019 12:41:08 +0000

Bonjour à tous, aujourd'hui nous allons voir ensemble un outil très utilisé dans le monde de la cryptographie, GnuPG (Gnu Privacy Guard). Ce dernier est l’implémentation sous licence GNU du standard OpenPGP.

EDIT : vous trouverez une version plus à jour des commandes sur ce lien.

A quoi ça sert ?

GPG comme PGP, qui fonctionnent de la même façon et sont compatibles servent à échanger des messages/fichiers chiffrés et signés afin d'assurer l'authenticité, l'intégrité et la confidentialité des données.

Gestionnaire de mots de passe auto-hébergé avec Bitwarden

Wed, 10 Jul 2019 08:43:11 +0000

Bonjour à tous, aujourd'hui nous allons aborder ensemble le gestionnaire de mots de passe que j'utilise maintenant depuis plus d'un an et voir comment le déployer sur votre infrastructure.

Bitwarden ?

Présentation

Je ne vais pas revenir sur pourquoi utiliser un gestionnaire de mots de passe, ce sujet a déjà été traité plusieurs fois sur différents blogs comme celui de Korben. Lien ici.

J'imagine donc que si vous êtes ici c'est que vous comprenez l'intérêt d'un tel outil !

OpenSSL – Formats & Cheat-Sheet

Wed, 12 Jun 2019 13:58:37 +0000

Bonjour à tous ! Aujourd'hui nous allons voir ensemble les principales commandes OpenSSL sur la manipulation des certificats X509, que ça soit générer, convertir, signer, etc.

EDIT : vous trouverez une version plus à jour des commandes sur ce lien.

Les principaux formats

Tout d'abord nous allons aborder les formats les plus utilisés dans le monde des certificats, c'est à dire :

PEM Format

Le format le plus commun, il est utilisé dans la plupart des cas. Les certificats PEM sont en B64 et les extensions sont généralements .crt, .cer, .pem, .key

OpenSSL & ECC

Fri, 17 May 2019 10:04:33 +0000

Bonjour à tous ! Aujourd'hui nous allons aborder ensemble un sujet assez spécifique, les certificats avec le système de clés ECC (Elliptic Curve Cryptography). Il est notamment utilisé dans le cadre d'SSL/TLS avec les algorithmes ECDSA & ECDH.

Introduction

J'imagine que vous avez déjà tous manipulé des certificats générés avec le protocole RSA, c'est actuellement le plus répandu dans le monde SSL/TLS. Mais personnellement, je vois passer de plus en plus de demande concernant ECC.

Installation et configuration d'Observium

Tue, 14 May 2019 09:45:17 +0000

Bonjour à tous, dans cet article nous allons voir comment installer Observium et comment le configurer.

Tout d'abord, qu'est-ce que Observium ?

Observium est un logiciel de supervision réseau permettant de monitorer son infrastructure en partant du serveur (ou client) avec sa consommation (CPU, Disques, etc.) jusqu'au débit de chaque des ports d'un switch.

Observium utilise la remonté d'information via le protocole SNMP.

Pour la mise place d'Observium, nous utiliserons la distribution CentOS7 (serveur et client).

VPN OpenVPN & SSL – Site to Site

Thu, 04 Apr 2019 20:42:09 +0000

Bonjour à tous, aujourd'hui nous allons voir comment monter un VPN OpenVPN Site to Site basé sur SSL.

Utiliser un VPN SSL permet d'alléger les flux réseau et gagner en performance (contrairement à IPSec). De plus, SSL est omniprésent dans le monde d'Internet. Nous l'utilisons au quotidien sans se rendre compte de son efficacité.

NB : Attention, dans un monde d'entreprise, il est judicieux de couplé l'utilisation d'un VPN avec des politiques de sécurité comme une analyse virale du poste de travail avant d'initier la connexion au site distant.

OpenVPN & PFSense – Part. 4 : OpenVPN Client to Site

Sat, 30 Mar 2019 14:45:41 +0000

Bonjour à tous, pour finaliser l'article sur OpenVPN et PFSense, nous allons désormais voir la configuration d'OpenVPN en « Client to Site ».

OpenVPN est un logiciel qui permet de créer un réseau privé virtuel (VPN). Le package OpenVPN est installé de base dans Pfsense.

L'utilisation d'OpenVPN repose sur des certificats, veuillez bien respecter les différentes étapes de la Partie 3 - Les certificats.

Configuration coté serveur

Tout d'abord, veuillez vous rendre dans la partie VPN, puis choisir OpenVPN. Nous allons commencer par configurer la partie serveur :

OpenVPN & PFSense – Part. 3 : Les Certificats

Fri, 29 Mar 2019 07:00:28 +0000

Bonjour à tous, pour continuer l'article sur OpenVPN & PFSense - Authentification LDAP, nous allons voir comment créer sa propre CA (Certificate Authority) et le certificat serveur pour OpenVPN.

Le certificat racine

Le certificat racine, appelé également CA (ou AC en français « Autorité de Certification ») permet de générer des certificats. L'autorité certifiera les certificats.

A savoir qu'il existe deux types d'autorité de certification :

Externe : les CA qui se trouvent sur vos navigateurs (ceux de Google, Firefox…) qui permet de certifier tous les sites web publics (par exemple « DST Root CA X3 » pour la CA de Let's Encrypt Authority X3 afin de certifier le site https://net-security.fr)
Interne : les CA de votre entreprise qui permet de ceritfier les sites interne de l'entreprise, qui n'ont pas la vocation d'être publiés sur internet.

Mais pourquoi n'utilises-t'on pas de CA externe directement ?

VPN IPSec avec certificats sur PFSense

Thu, 28 Mar 2019 23:36:05 +0000

Bonjour à tous ! Aujourd'hui nous allons découvrir ensemble comment installer un VPN IPSec avec des certificats entre deux routeurs PFSense !

Présentation

Tout d'abord une rapide présentation de PFSense, c'est un routeur/firewall Open Source (licence Apache 2.0) développé par la société Netgate. Ce dernier est basé sur FreeBSD & est un fork du logiciel m0n0wall. Plus d'informations ici.

Présentons maintenant rapidement le VPN ou Virtual Private Network. C'est un système permettant de créer un lien direct entre deux réseaux ou deux équipements sur le Internet. Plus concrètement, cela permet de créer un « tunnel » entre deux réseaux privés en passant par Internet, il doit donc assurer plusieurs fonctions comme la confidentialité, l'intégrité et l'authentification. Voici un schéma :

OpenVPN & PFSense – Part. 2 : L'authentification LDAP

Thu, 28 Mar 2019 08:30:00 +0000

Bonjour à tous, pour continuer l'article sur OpenVPN & PFSense qui traite la partie Haute Disponibilité, nous allons maintenant parler de l'authentification LDAP.

Nous gardons bien évidement la même architecture à savoir :

Qu'est-ce que LDAP ?

LDAP (Lightweight Directory Access Protocol) est un protocole utilisant l'annuaire qui regroupe toutes les informations nécessaires de l'entreprise.

Il est beaucoup utilisé dans les entreprises pour permettre l'accès et la communication des employés aux services de l'entreprise.

OpenVPN & PFSense – Part. 1 : Haute Disponibilité

Wed, 27 Mar 2019 09:00:10 +0000

Bonjour à tous, aujourd'hui nous allons voir comment mettre en place rapidement une infrastructure redondante offrant le service VPN (client to site) avec une authentification via l'Active Directory.

Pour cela, nous allons découper l'article en 4 parties :

La mise en place de la Haute Disponibilité
L'authentification LDAP (via Active Directory)
La gestion des certificats (pour le serveur VPN)
La mise en place d'OpenVPN comme serveur VPN

Introduction

Pfsense est un OS tournant sur FreeBSD, et a la particularité d’être léger et très performant.

Bloquez les publicités avec Pi-Hole

Thu, 21 Mar 2019 20:25:33 +0000

Bonjour à tous ! Après un petit moment d'absence je vais vous présenter aujourd'hui un petit outil très pratique ! Je l'ai installé personnellement il y a plusieurs semaines chez moi, Pi-Hole.

Présentation

Pi-Hole qu'est-ce que c'est ? C'est un logiciel Open-Source développé par Jacob Selma qui permet de bloquer les publicités comme AdBlock par exemple. Le fonctionnement est par contre fondamentalement différent, car AdBlock lui charge quand même les publicités et utilise donc quand même votre bande passante. Alors que Pi-Hole lui permet de ne pas utiliser cette bande passante car il est basé sur le DNS. Ce qui permet grâce à des listes de noms définis de bloquer les publicités en filtrant les URLs.

Installation d'un NIDS : Suricata

Wed, 13 Feb 2019 14:00:05 +0000

Bonjour à tous, dans cet article nous allons voir comment installer et configurer l'IDS Suricata (qui est pour un être plus précis un NIDS).

Tout d'abord, qu'est ce qu'un IDS (Intrusion Detection System) ?
C'est un outil qui permet d'analyser les flux (provenant du réseau ou d'une machine (système d'exploitation par exemple)), et va permettre de faire une remonter d'alerte en fonction de son fichier de signature.
Suricata est un NIDS (Network Intrusion Detection System) : un IDS qui est basé sur le réseau.

CVE 2019-5736 dans runC

Tue, 12 Feb 2019 11:13:53 +0000

Bonjour à tous ! Aujourd'hui nous allons voir ensemble la faille trouvée hier dans l'outil runC qui permet une évasion du conteneur et donc de pouvoir exécuter des commandes sur l'hôte avec des droits élevés. La CVE est la 2019-5736.

Présentation rapide de runC

Rapidement runC est un outil bas niveau qui permet de créer et de lancer un conteneur Linux. Il est utilisé par de nombreux outils comme Docker, Containerd, CRI-O et même LXC.

Proxy Tor sur Kali Linux

Thu, 17 Jan 2019 15:39:34 +0000

Bonjour à tous !

Aujourd'hui nous allons découvrir un outil que j'ai découvert récemment, Kalitorify. Ce dernier permet de rediriger l'ensemble du traffic de votre machine Kali Linux vers Tor en créant un proxy. Ce dernier utilise donc directement Tor et iptables pour fonctionner.

Pour ceux qui ne connaissent pas Tor, c'est un réseau décentralisé. Il est composé de plusieurs noeuds et permet d'anonymiser l'origine de connexions. Je vous invite à vous rendre ici pour plus d'informations.

Les commandes LVM

Mon, 14 Jan 2019 14:15:29 +0000

Bonjour à tous, aujourd'hui nous allons voir ensemble brièvement ce qu'est LVM (avec ses avantages et ses inconvénients) et également la liste des commandes nécessaires pour gérer les volumes LVM.

Définition

Tout d'abord, il faut savoir que LVM (Logical Volume Manager) permet de remplacer le partitionnement que l'on a l'habitude d'utiliser. La différence majeur par rapport au partitionnement simple, c'est que nous nous préoccupons pas de l’emplacement de ces volumes. Comme son nom l'indique, nous créons des volumes logiques.

Prise en main de Bettercap sur Kali Linux

Tue, 08 Jan 2019 13:30:13 +0000

Bonjour à tous, aujourd'hui nous allons prendre en main l'utilitaire Bettercap (version actuelle : 2.X) qui est le couteau suisse pour la supervision et les attaques réseaux.

Pour l'installation, je vous invite à suivre leur github, qui est très bien documentée : https://github.com/bettercap/bettercap

Tout d'abord, pour lancer bettercap, il suffit de lancer la commande suivante :

1sudo bettercap

Avant de commencer à voir les différentes attaques, il faut savoir que nous allons utiliser des « modules », et ces derniers peuvent se configurer en utilisant la commande « set » :

Commencez le Pentest avec Docker

Sat, 05 Jan 2019 14:02:48 +0000

Bonjour à tous,

Aujourd’hui nous allons voir ensemble comment monter une plateforme pour débuter le pentest Web dans un environnement Docker avec 2 images, DVWA (Damn Vulnerable Web Application) de Ryan Dewhurstet Mutillidae de l’OWASPOWASP. Ces 2 images vont chacune héberger une instance Web vulnérable à plusieurs niveaux (XSS, CSRF, SQL Injection, etc.).

Les images en question sont disponibles sur Docker-Hub :

Pour mon exemple je vais utiliser une machine sous Centos 7 avec docker.

Installation des Drivers Nvidia sur Kali Linux

Thu, 03 Jan 2019 17:00:09 +0000

Bonjour à tous, pour ce début d'année, nous allons voir comment installer sa carte graphique NVIDIA sur la distrib de Kali Linux.

Attention, en installant les pilotes NVIDIA, il se peut que vous n'ayez plus d'interface graphique (seul le mode sans echec), Net-Security ne sera pas tenu responsable en cas de dommage matériel.

La plupart des commandes doivent être éxécutées en root. Je n'ai pas rajouté le « sudo » pour éviter des erreurs de copier-coller si vous êtes déjà en root.

Kali Linux sur Windows 10

Wed, 19 Dec 2018 12:57:46 +0000

Bonjour à tous ! Aujourd’hui nous allons voir ensemble comment installer Kali Linux sur son poste Windows 10 avec WSL !

Vous le savez surement, depuis un petit moment maintenant il est possible d’installer des sous-systèmes Linux sur sa machine Windows 10. La fonctionnalité qui permet cela est WSL (Windows Subsystem Linux) et est proposée depuis Windows 10 Redstone (1607).

Différents systèmes sont disponibles, comme Debian, Ubuntu, Suse ou encore celle qui nous intéresse dans cet article, Kali Linux. Pour moi l’avantage est que je n’ai plus besoin de machines virtuelle pour réaliser des tests ou autres. Attention par contre les OS proposés sont « light », ils ne comprennent généralement pas les outils et paquets de base.

Apprenez facilement Docker et Kubernetes avec Katacoda !

Mon, 17 Dec 2018 15:41:40 +0000

Bonjour à tous, aujourd’hui un très rapide article sur Katacoda, une plateforme interactive qui permet d’apprendre et de tester facilement des outils comme Docker Swarm ou Kubernetes directement depuis votre navigateur. Ce site a été créé par Ben Hall.

Ce site Web propose différents tutoriels sur des technologies comme Docker Swarm, Kubernetes, CoreOS avec en supplément des environnements en ligne de commande pour les tester. Ils fournissent donc un ensemble complet pour apprendre même si vous n’avez pas de ressource sous la main.