compétence | Nino Sochet

Pentesting

Wed, 29 Sep 2021 00:00:00 +0000

Ou test d’intrusion en Français est un audit de sécurité d’un système d’information ou d’un réseau informatique qui est réalisé par une personne physique. Bien qu’il puisse comprendre des parties automatisées, il y aura toujours un testeur qui fera des tâches manuelles.

Les méthodes

Il y a plusieurs méthodes d’audit, la première est en black-box (en boîte noire) qui met le testeur dans la position d’un attaquant potentiel qui n’a pas de connaissance en amont de l’architecture du système et de ce qui le compose. Mais il a un point faible, le fait que le testeur a un temps limité pour réaliser les tests alors qu’un attaquant n’a pas de limite ce qui entraîne souvent qu’un test en black-box peut passer à côté de failles évidentes à la lecture du code, mais qui ne seront jamais connues lors du test étant donné que le testeur n’y a pas accès. La deuxième technique dite de la gray-box (boîte grise) permet au testeur d’avoir des connaissances sur le réseau interne du système ainsi que des accès utilisateur plus ou moins élevés en fonction du périmètre accordé au testeur, mais il n’a pas accès à toutes les documentations techniques ni au code source. La troisième est le white-box (boîte blanche) dans ce cas-là le testeur à accès à toutes les documentations techniques ainsi que l’accès au code source. Cela permet au testeur de pouvoir pratiquer des analyses statiques du code et ainsi pouvoir voir de potentielles failles qui sont difficilement visibles sans le code source. Il existe une dernière méthode qui permet de tester le niveau de sécurité d’une entreprise. Contrairement aux autres méthodes qui durent en moyenne une ou deux semaines, une red team va passer plusieurs mois sur un test en commençant avec seulement un nom d’entreprise et en ayant peu, voire, aucun périmètre. C’est la plus complète de toutes, mais elle a un coût temporel et monétaire considérable qui n’est pas accessible à toutes les entreprises.

Durant alternance

Durant mon alternance j’ai pu pratiquer des pentest en black-box et white-box pour des projets internes, mais aussi pour des projets clients. Je suis reconnaissant d’avoir pu faire des missions alors que je n’étais qu’alternant et j’ai conscience de ma chance. Mais ça ne suffit pas pour que je puisse me qualifier comme pentesteur il me reste beaucoup de choses à apprendre et des logiques à prendre. Mais je continue de m'entraîner quotidiennement afin de toujours apprendre et découvrir de nouvelles méthodes que ce soit sur Hack the box, Vuln Hub, Pentester Academy ou encore root-me.

Auourd’hui

J’ai pu passer la certification Offensive Security Certified Professional (OSCP), durant 24h j’ai dû prouver mes compétences en prenant le contrôle de 5 machines afin d’en faire un rapport professionnel en anglais. Mais je ne compte pas en rester à l’OSCP, la prochaine est l'Offensive Security Web Expert (OSWE) afin de pouvoir lier deux de mes centres d’intérêt, la programmation et l’exploitation de failles de sécurité.

Voir aussi

DevSecOps

Sat, 10 Jul 2021 00:00:00 +0000

Avant de définir le DevSecOps, il faut définir le devops. Le devops est l’unification du développement logiciel (dev) et de l’administration des infrastructures informatiques (ops). C’est l’automatisation et le monitoring de toutes les étapes de la création d’un logiciel: depuis le développement et l’intégration, les tests, la livraison jusqu’au déploiement, l’exploitation et la maintenance des infrastructures. Le DevSecOps est l’intégration de la sécurité dans le cycle devops. La sécurité est donc un enjeu du projet au même titre que le développement et cela dès le début du cycle de vie d’un projet.

Quel est son rôle au sein d’un projet ?

C’est lui qui va être responsable de la sécurité de l’environnement et des données, mais aussi de celle des pipelines continuous integration ou des continuous Delivery. Les CI/CD sont des chaînes de tâches automatisées comme l’exécution de test, le build d’une application ou encore la mise en production de l’application. Il va donc pouvoir mettre en place l’intégration d’analyseurs de sécurité comme l’analyse statique du code ou encore celle des dépendances. Il va aussi automatiser les mises à jour de sécurité, mais aussi la recherche de nouvelles failles avec des scanneurs de vulnérabilité pour trouver les plus flagrantes. Ainsi la sécurité de tout le projet est poussée par le haut tout le temps afin d’avoir un niveau de sécurité correct.

En entreprise

Durant mon alternance, j’ai eu l’occasion de découvrir le monde du devops et me former à celui du DevSecOps. J’ai accompagné un projet depuis sa naissance et ainsi pu mettre en place dès le début de celui-ci de bonnes pratiques. Mais j’ai aussi eu la chance de rentrer en cours de route dans des projets de plusieurs années et voir la dette technique accumulée et les pratiques à éviter. Je vais continuer à travailler en tant que DevSecOps et ainsi rechercher les derniers moyens afin d’avoir le meilleur niveau de sécurité de la manière la plus simple possible. Depuis la fin de mon alternance j’ai eu l’occasion d’accompagner les différentes équipes qu’elles soit techniques ou non pour l’amélioration de la sécurité à leurs niveaux.

Voir aussi

Angular

Sun, 07 Jun 2020 00:00:00 +0000

Angular est un framework client basé sur Typescript. Originellement, AngularJS Google a entrepris une refonte totale de son framework en 2016 afin de faire la transition vers Typescript. Aujourd’hui, Angular est un des grands frameworks client à côté de Vue.js et React. Avec les années qui passent, on reproche de plus en plus le côté lourd et lent face à ses frères de lance.

Angular et moi

Je ne réalise que rarement des interfaces utilisateur, mais durant mes différentes missions il m’est arrivé de devoir en réaliser. Je connais les grands aspects d’Angular et ne suis pas du tout expert en la matière. Mais quand je réalise des applications web, j’aime le fait qu’elles soient bien faites. Bien que le côté client ne soit pas mon premier amour, je trouve que c’est un savoir-faire nécessaire qui permet de mieux comprendre comment tout s’articule.

La rupture

Je ne pense pas travailler spécifiquement mes compétences sur Angular, mais plutôt reconvertir mon savoir dans un autre framework client. Ma première cible sera, je pense, React sans raison particulière à part la curiosité et le bouche-à-oreille.

Voir aussi

Go

Sun, 12 Apr 2020 00:00:00 +0000

Go for what

Go ou Golang est un langage crée par Robert Griesemer, Rob Pike et Ken Thompson et renforcé par la suite par des équipes de Google. Le projet a commencé en 2008 avec une première version du langage sorti en 2012. Il est depuis utilisé dans de nombreux logiciels open source comme Docker, Kubernetes, Ethereum ou encore Terraform. Son principal avantage est sa simplicité d’apprentissage et d’utilisation. Le langage vient avec tous les outils pour réaliser une grande majorité de projets. Mais cette simplicité a un coût: les types mutables ou plus importants encore, un gestionnaire de dépendances digne de ce nom, ce qui devrait être pris en charge dans la prochaine version majeure et ainsi rendre le langage plus puissant et attractif.

Go for it

J’ai appris en autodidacte afin de pouvoir commencer mon stage chez Neoxia dans de bonnes conditions. Depuis, je suis tombé sous le charme de l’ergonomie du langage, en dépit de ses défauts.

Lors de mes différents projets qu’ils soient professionnels ou personnels, Go est mon langage de prédilection. Sa simplicité permet d’avoir un développement rapide et des performances des plus honnêtes rivalisant avec les grands du milieu. C’est donc avec Go que j’ai développé la majorité de mes réalisations comme Stal-k ou encore Item-Manager. J’estime avoir aujourd’hui une bonne connaissance du langage.

Future is made with a bit of Go

La prochaine version majeure du langage Go 2 est encore en phase de développement, ce qui ne m’empêchera pas de continuer à utiliser la version actuelle pour mes nouveaux projets comme langage de prédilection.

Voir aussi

cowsay linux

Mon, 23 Mar 2020 00:00:00 +0000

 _____
< linux >
-----
\ ^__^
\ (oo)\_______
(__)\ )\/\
||----w |
|| ||

Je me revois sur les tutoriels de Bjornulf Frode en train de faire mes cd et ls, de découvrir ce qui sera plus tard comme une deuxième maison. Quand on commence à utiliser Linux, ça peut être déroutant. Tout change, que ce soit l’interface graphique ou l’organisation des fichiers pour une personne venant de Windows. Aujourd’hui les choses ont beaucoup changé sur cet aspect et la transition des nouveaux utilisateurs est beaucoup plus facile.

ping -c 1 127.0.0.1

Linux est devenu mon système d’exploitation du quotidien. Au fil des années, j’ai installé, testé et cassé de nombreuses distributions comme CentOS, Arch Linux, Ubuntu, mais je me suis naturellement sédentarisé sur Debian.

Mais peu importe la distribution, Linux apporte un vent de liberté. Liberté du code, chose qui depuis quelques années me tient de plus en plus à cœur. Mais surtout, liberté de faire tout ce dont on a envie avec, tant pour le personnaliser que pour supprimer le bootloader. Une fois que l’on y a goûté, utiliser un autre système d’exploitation nous paraît complètement aberrant.

Usage et évolution

J’ai passé de nombreuses heures à dompter tmux, zsh ou encore vim, enchaîné les awk et sed, le tout en domestiquant apt ou pacman. J’ai suivi la formation PWK afin de passer l’OSCP et ce fut un bon en avant dans ma maîtrise et utilisation de Linux. Même si la formation était centrée sur Kali Linux, une distribution qui regroupe des outils liés à la sécurité informatique, elle m’a apporté beaucoup de connaissances. Que ce soit une basique redirection de port avec SSH ou encore des exploits kernel afin de passer outre des groupes et utilisateurs du système. Grâce à cela je pense pouvoir dire que j’ai une connaissance plus qu’honorable sur Linux et que je ne compte pas en rester là. Il y a encore beaucoup de choses à apprendre et cela fait partie de mes buts d’en apprendre le plus possible. Je sais que je manque en connaissance en scripting avec bash et je pense que c’est la première lacune à laquelle je dois remédier afin de m’améliorer.

Voir aussi

L’autonomie

Sun, 22 Dec 2019 00:00:00 +0000

L’autonomie est la faculté qui permet de se sortir des codes et de faire ressortir sa créativité. C’est une qualité comme un défaut. Qualité, car elle permet de ranimer sa confiance en soi. Mais le revers de la médaille est le stress qui peut être fatal et ainsi se surcharger de travail. Trop d’autonomie peut nous enfermer sur nous même, mais pas assez nous enfermerait dans une pensée collective unique.

Application

Au jour le jour, ça peut être un atout majeur pour sa réussite personnelle. Lors d’une de mes missions pendant mon alternance, je devais trier plusieurs centaines de points de sécurité par catégorie (technologie, personne responsable, documentation …) en seulement 5 jours. Je n’avais pas de contraintes sur le support de rendu, de ce que fait j’ai dû réfléchir au meilleur support possible afin qu’il soit facilement transférable et lisible et qu’il soit possible de le mettre à jour aisément.

Le choix de créer une application web pour cette mission m’a permis de répondre au mieux aux besoins de la mission en gagnant une demi-journée sur le planning ainsi que les compliments de mes collègues, qui ont été surpris et ravis de mon travail.

Amélioration

Cependant, j’ai encore tendance à m’enfermer dans mon autonomie et ne pas aller demander de l’aide aux personnes qui travaillent avec moi. Je me suis persuadé qu’avec plus temps de recherche, je finirai par réussir, alors qu’il serait parfois plus rapide de poser la question et d’avoir des retours différents et des idées auxquels je n’aurais pas pensé !

Voir aussi

La curiosité

Fri, 27 Sep 2019 00:00:00 +0000

Compétence précieuse en informatique, c’est ce qui nous pousse à toujours chercher les dernières technologies. On regarde comment les autres font, comment les choses fonctionnent, cela nous permet de nous tenir à jour sur nos compétences techniques et de toujours apprendre.

Au quotidien

Je me forme au fil de mes recherches à toujours découvrir de nouveaux domaines et intérêts. C’est grâce à cela que je m’instruis au quotidien, et cela fait partie de mes atouts. Durant les différents challenge de hacking ou encore de mes projets personnels comme stal-k je me plonge dans des domaines divers et variés.

Quand on est curieux ce n’est pas seulement en informatique. C’est une façon de réfléchir, d’essayer de comprendre comment ce qui nous entoure fonctionne, comment fonctionne la moto que je conduis, comment réparer mon évier. Être curieux de l’autre ou simplement se demander ce que fait mon chat quand il est dehors.

Le retour de bâton

Mais il faut faire attention, on peut facilement s’engouffrer dans des recherches chronophages qui au fur et à mesure n’ont plus rien à voir et qui finissent par influencer notre travail. Il faut trouver le juste équilibre, entre trop et pas assez pour ainsi réussir à avoir le recul pour savoir de quel côté l’on penche.

La curiosité a été et est un atout certain à des moments où je bloquais, elle a fait en sorte de me porter plus loin, de m’accrocher pour me permettre de réussir. Mais au contraire la curiosité a aussi joué à des moments où j’étais endigué dans une idée, elle m’a fait me sentir d’autant plus coincé . J’allais chercher des informations qui n’avaient que peu de rapport en n’ayant pas assez de recul pour m’en rendre compte.

La curiosité, comme la créativité, fait partie de moi. Je ne pourrai pas l’enlever de ma personne et cela pour le mieux. Elle me pousse à toujours chercher plus loin, à agrandir mon cercle de connaissances et à m’ouvrir davantage.

Voir aussi

Créativité

Thu, 13 Jun 2019 00:00:00 +0000

La créativité est le fait d’imaginer que ce soit de faire d’une œuvre un dessin ou de trouver une nouvelle façon de résoudre un problème. C’est le pouvoir de créer de nouvelles choses avec l’aide de notre imagination.

En œuvre

La créativité fonctionne en chœur avec la curiosité, de façon toute simple, plus on a de connaissances, plus on aura de nouvelles bases pour exprimer sa créativité. Ainsi mon usage de la curiosité au quotidien me permet d’être créatif. La créativité accompagne la philosophie “think outside the box” qui est le fait de penser différemment, de façon non conventionnelle. Et pour sortir des sentiers battus, il n’y a que la créativité qui nous aide. Mais tout n’est pas technique et la créativité s’exprime aussi par l’artistique. Depuis que je suis jeune, je m’amuse à manipuler Photoshop pour réaliser des montages ou simplement quand je marche dans la rue je m’arrête quelques instants pour prendre en photo le monde qui m’entoure. J’ai pu ainsi réaliser durant mes projets d’école IN’TECH les illustrations de mes différents travaux et de continuer aujourd’hui avec les illustrations de mes différentes réalisations personnelles.

Encore et toujours

Je ne compte pas arrêter d’être créatif, comme je ne compte pas arrêter d’être curieux. Ça fait partie de ce qui définit ma personne et mes réactions face à tout ce qui se passe tous les jours. Elle me permet de m’épanouir et pour cela je vais continuer à créer que ce soient de nouveaux bugs ou des illustrations pour stal-k.

Voir aussi

L'empathie

Thu, 13 Jun 2019 00:00:00 +0000

Ce n’est pas une compétence spécifique à un développeur. Elle n’est pas spécifique à l’espèce humaine non plus, beaucoup d’animaux disposent d’empathie. Ça nous permet de nous mettre à la place d’autrui pour comprendre ses émotions et son vécu et avoir une idée de la raison des émotions qui y sont liées.

Ça ne rend pas un développeur meilleur en tant que tel, mais ça permet au quotidien de mieux comprendre ces collègues et limite les problèmes du quotidien. Au jour le jour, cela permet d’être un meilleur collègue et d’avoir un meilleur environnement de travail.

Au quotidien

Concrètement comment se répercute-t-elle dans le quotidien ? Difficile de le décrire textuellement. C’est un amas de petites actions. Voir qu’un collègue a un problème sur une partie de code que je connais mieux ? Je vais prendre de mon temps pour lui expliquer afin qu’il perde le moins de temps possible. Avec la crise du covid-19, l’empathie avec les collègues peut venir avec juste des messages qui sont écrits différemment. Voir et comprendre une baisse d’envie et de motivation, faire de son mieux pour faire que ses collègues possiblement isolés sentent qu’ils ne sont pas tout seuls. Et cela passe simplement par des messages pour prendre des nouvelles. Même si la réponse ne sera pas à 100% sincère, la simple intention du message pourra lui faire plaisir. Mais ce n’est pas tout. Lorsqu’un collègue et moi avons un avis divergent sur une question, l’empathie permet de comprendre son avis et encourage la compréhension mutuelle.

En fin de compte

Certaines personnes sont plus capables d’empathie que d’autres, on peut l’expliquer par l’inné, mais aussi par une part d'acquis. Il est important d’essayer d’améliorer sa capacité d’empathie en refusant et en questionnant tout préjugé et en étant curieux envers l’autre. Ce n’est pas une recette miracle, mais pour ma part c’est quelque chose que je fais et aime faire au quotidien.

Résolution de problèmes

Thu, 13 Jun 2019 00:00:00 +0000

La résolution de problème consiste à analyser et comprendre un problème afin de trouver une solution à celui-ci. En informatique, nous sommes très souvent confrontés à des problèmes liés à notre code. Que ce soit une mauvaise architecture ou un bug, on y fait face quotidiennement. Avec le temps, on développe des méthodes pour être plus efficace et que cela nous prenne le moins de temps possible.

Un problème ? Pas de problème

Au début c’était un supplice, des heures et des heures de souffrance. Que ce soit avec mon premier PC qui ne voulait plus démarrer et plus tard avec mon code qui ne voulait tout simplement pas fonctionner comme je le voulais. Mais avec les années qui sont passées, j’ai commencé à y prendre goût et j’en retire une réelle satisfaction. Comprendre enfin la cause du problème et pouvoir mettre en place la solution afin de résoudre ce problème est une chose que je trouve très gratifiante. Et j’ai le plaisir maintenant de le faire que ce soit durant des pentests lors de mes missions en entreprise, lors de challenges sur les divers sites ou quand je débloque mon code. Mais ces capacités de résolution de problème ne s’arrêtent pas qu’à l’informatique, durant la vie de tous les jours c’est un réel atout qui est très bénéfique. Comme un Macgyver à son âge d’or, on se retrouve à déboucher un évier avec du fil de fer ou démonter son micro afin de le réparer. À force d’être tout le temps confronté à des problèmes, on ne les voit plus comme tels. L’échec de ne pas réussir à résoudre tout de suite un problème n’est plus une peur, mais une motivation. L’échec est une étape de plus vers la réussite, réflexion qui puisse paraître simple en somme, mais qui exprime bien l’idée que je m’en fais. Les énervements et les blocages ont font ressortir d’autre capacité comme la patience et la minutie. Rencontrer régulièrement des problèmes n’est pas un problème, mais un atout qui nous permet de toujours mieux faire, d'apprendre et de progresser.

Les problèmes, c’est la vie

La résolution de problèmes est au cœur de mon système d’apprentissage et je ne pourrais pas m’en passer. Je vais continuer à me ronger les doigts sur des challenges sur Hack the Box, à me prendre la tête dans mon code, mais surtout je vais continuer à en retirer du plaisir.

Voir aussi

Stal-k