Réalisez votre premier pentest pour sécuriser votre système

Il y a une dizaine d’années, on aurait pu imaginer qu’à l’aube des années 2020 la fracture numérique ne serait plus qu’un lointain problème. Hélas, c’est loin d’être le cas. 2021 au compteur et la crise sanitaire qui a marqué ces derniers mois n’a fait qu’accentuer le problème. Elle a tout d’abord eu pour conséquence de démontrer à tous à quel point nous étions dépendants des outils numériques et encouragé les organisations qui n’avaient jusque-là pas sauté le pas, à s’engager dans la voie de la transformation numérique, devenue une nécessité pour « survivre » dans un contexte si particulier.

Naissance d’une Agence du numérique de défense / Des icônes open source pour vos projets / S’exercer à la gestion de crise / Un guide d’achat « confidentialité non incluse » / Une alternative libre pour organiser ses événements / Octoverse 2020 : l’état des lieux de GitHub sur l’année écoulée / Les menaces cyber les plus rencontrées par les internautes

Les protocoles de chiffrement de données, tels que SSL et son successeur TLS, sont au cœur des problématiques de la sécurisation des échanges sur les réseaux informatiques (dont Internet est le plus vaste représentant). Pour un développeur, comme pour un administrateur système, il est donc essentiel de bien comprendre à quoi ils servent, ce qu’ils font, et aussi quand s’en servir. Dans cet article, nous nous proposons de revenir sur toutes ces notions afin de s’assurer de leur bonne compréhension.

Il n’y a plus une semaine sans qu’une grande entreprise ne révèle publiquement qu’elle a été victime d’un piratage informatique. Entreprises privées, institutions publiques, et même sociétés de services spécialisées dans la cybersécurité, aucun secteur n’est épargné. Des technologies en évolution et en augmentation perpétuelles, et la prolifération incessante d’équipements connectés (IoT) ne vont pas inverser la tendance, mais bien au contraire élargir la surface d’attaque et donc augmenter les piratages.

Dans cet article, nous allons mettre en place un virtual lab, un environnement de travail virtuel. Cet environnement vous permettra de créer, exécuter et détruire à volonté des VM vulnérables. Tout ceci sera fait dans un réseau virtuel, que nous allons créer, afin que ces machines vulnérables ne soient pas exposées sur Internet ni même sur votre réseau LAN, et éviter qu’un pirate puisse les retourner contre vous. Votre machine d’attaque sera également une machine virtuelle, sous Kali Linux, afin de ne pas utiliser votre machine de tous les jours pour vous connecter aux machines vulnérables, pour les mêmes raisons de sécurité. Kali Linux sera dans le réseau virtuel protégé pour pouvoir communiquer avec les VM vulnérables, et aura une carte réseau supplémentaire pour pouvoir accéder à Internet, être mise à jour, etc.

La lecture des articles précédents vous a donné envie de vous essayer au pentesting, envie que vous aviez même peut-être déjà. Nous allons désormais passer à la pratique, en mettant en application les concepts théoriques abordés dans le premier article.

Le shell standard de Linux, Bash, dispose de possibilités de gestion d'un historique des commandes qui sont fréquemment sous-exploitées. Nous allons voir dans cet article comment les utiliser de façon un peu plus poussée, grâce à la puissance de quelques outils dont nous expliquerons au passage certaines fonctionnalités.

Beaucoup de métiers consistent en des tâches floues et changeantes. Cette situation génère du stress et favorise la procrastination. Getting Things Done répond à ce problème. C’est une méthodologie simple, générique et efficace pour gérer son travail et ses projets personnels.