resolution | Nino Sochet

Pentesting

Wed, 29 Sep 2021 00:00:00 +0000

Ou test d’intrusion en Français est un audit de sécurité d’un système d’information ou d’un réseau informatique qui est réalisé par une personne physique. Bien qu’il puisse comprendre des parties automatisées, il y aura toujours un testeur qui fera des tâches manuelles.

Les méthodes

Il y a plusieurs méthodes d’audit, la première est en black-box (en boîte noire) qui met le testeur dans la position d’un attaquant potentiel qui n’a pas de connaissance en amont de l’architecture du système et de ce qui le compose. Mais il a un point faible, le fait que le testeur a un temps limité pour réaliser les tests alors qu’un attaquant n’a pas de limite ce qui entraîne souvent qu’un test en black-box peut passer à côté de failles évidentes à la lecture du code, mais qui ne seront jamais connues lors du test étant donné que le testeur n’y a pas accès. La deuxième technique dite de la gray-box (boîte grise) permet au testeur d’avoir des connaissances sur le réseau interne du système ainsi que des accès utilisateur plus ou moins élevés en fonction du périmètre accordé au testeur, mais il n’a pas accès à toutes les documentations techniques ni au code source. La troisième est le white-box (boîte blanche) dans ce cas-là le testeur à accès à toutes les documentations techniques ainsi que l’accès au code source. Cela permet au testeur de pouvoir pratiquer des analyses statiques du code et ainsi pouvoir voir de potentielles failles qui sont difficilement visibles sans le code source. Il existe une dernière méthode qui permet de tester le niveau de sécurité d’une entreprise. Contrairement aux autres méthodes qui durent en moyenne une ou deux semaines, une red team va passer plusieurs mois sur un test en commençant avec seulement un nom d’entreprise et en ayant peu, voire, aucun périmètre. C’est la plus complète de toutes, mais elle a un coût temporel et monétaire considérable qui n’est pas accessible à toutes les entreprises.

Durant alternance

Durant mon alternance j’ai pu pratiquer des pentest en black-box et white-box pour des projets internes, mais aussi pour des projets clients. Je suis reconnaissant d’avoir pu faire des missions alors que je n’étais qu’alternant et j’ai conscience de ma chance. Mais ça ne suffit pas pour que je puisse me qualifier comme pentesteur il me reste beaucoup de choses à apprendre et des logiques à prendre. Mais je continue de m'entraîner quotidiennement afin de toujours apprendre et découvrir de nouvelles méthodes que ce soit sur Hack the box, Vuln Hub, Pentester Academy ou encore root-me.

Auourd’hui

J’ai pu passer la certification Offensive Security Certified Professional (OSCP), durant 24h j’ai dû prouver mes compétences en prenant le contrôle de 5 machines afin d’en faire un rapport professionnel en anglais. Mais je ne compte pas en rester à l’OSCP, la prochaine est l'Offensive Security Web Expert (OSWE) afin de pouvoir lier deux de mes centres d’intérêt, la programmation et l’exploitation de failles de sécurité.

Voir aussi

DevSecOps

Sat, 10 Jul 2021 00:00:00 +0000

Avant de définir le DevSecOps, il faut définir le devops. Le devops est l’unification du développement logiciel (dev) et de l’administration des infrastructures informatiques (ops). C’est l’automatisation et le monitoring de toutes les étapes de la création d’un logiciel: depuis le développement et l’intégration, les tests, la livraison jusqu’au déploiement, l’exploitation et la maintenance des infrastructures. Le DevSecOps est l’intégration de la sécurité dans le cycle devops. La sécurité est donc un enjeu du projet au même titre que le développement et cela dès le début du cycle de vie d’un projet.

Quel est son rôle au sein d’un projet ?

C’est lui qui va être responsable de la sécurité de l’environnement et des données, mais aussi de celle des pipelines continuous integration ou des continuous Delivery. Les CI/CD sont des chaînes de tâches automatisées comme l’exécution de test, le build d’une application ou encore la mise en production de l’application. Il va donc pouvoir mettre en place l’intégration d’analyseurs de sécurité comme l’analyse statique du code ou encore celle des dépendances. Il va aussi automatiser les mises à jour de sécurité, mais aussi la recherche de nouvelles failles avec des scanneurs de vulnérabilité pour trouver les plus flagrantes. Ainsi la sécurité de tout le projet est poussée par le haut tout le temps afin d’avoir un niveau de sécurité correct.

En entreprise

Durant mon alternance, j’ai eu l’occasion de découvrir le monde du devops et me former à celui du DevSecOps. J’ai accompagné un projet depuis sa naissance et ainsi pu mettre en place dès le début de celui-ci de bonnes pratiques. Mais j’ai aussi eu la chance de rentrer en cours de route dans des projets de plusieurs années et voir la dette technique accumulée et les pratiques à éviter. Je vais continuer à travailler en tant que DevSecOps et ainsi rechercher les derniers moyens afin d’avoir le meilleur niveau de sécurité de la manière la plus simple possible. Depuis la fin de mon alternance j’ai eu l’occasion d’accompagner les différentes équipes qu’elles soit techniques ou non pour l’amélioration de la sécurité à leurs niveaux.

Voir aussi

Un clavier ?

Sat, 22 Feb 2020 00:00:00 +0000

Si vous lisez cet article, vous savez probablement ce qu’est un clavier et en avez surement un devant vous. Qu’il soit virtuel, sur votre smartphone ou physique, devant votre écran, il est là. J’ai toujours fait attention mon clavier, avec les jeux vidéos j’en avais choisi un mécanique. Mais quand celui-ci a cessé de fonctionner, je me suis retrouvé face à un dilemme. Lequel choisir ? Il existe une grande gamme de produits disponible avec tout un tas de spécificités qui sont propres à chacun. Plus je cherchais, moins je trouvais un clavier à mon goût. Les claviers gamer avec des LED à n’en plus finir, des claviers avec le double de touches, des claviers trop petits. Trop de choix tue le choix. Je me suis alors posé une question : pourquoi ne pas assembler mon propre clavier ?

Do it yourself

J’avais déjà vu des vidéos de personnes qui assemblent des claviers mécaniques et je savais qu’il était largement possible de le faire. J’ai donc fait le tour du web pour me renseigner sur ce qu’il fallait comme savoir-faire et les différents composants dont j’aurais besoin. En savoir-faire, c’est plutôt simple : il faut de la minutie et savoir prendre son temps, notamment lors du soudage. Je n’en avais jamais fait, impossible pour moi de dire si j’allais réussir, si c’était simple ou compliqué. C’était mon point noir et à part regarder des tutoriels vidéos, impossible de savoir comment j’allais m’en sortir. Malgré le doute en moi, j’ai décidé de prendre le risque et je me suis lancé : je vais faire mon clavier ! Après cette décision, de nombreuses interrogations se sont imposées à moi comme : quel PCB choisir ? qu’est-ce qu’un PCB ? Qu’est-ce qu’un clavier 60%, TKL, Full-size ? Quel switch choisir ? Quel boitier prendre ? AZERTY ou QWERTY ? Comment utilise-t-on les touches fonction sur un clavier 60% ? Et beaucoup d’autres questions, trop de questions. À de nombreuses reprises, je me suis dit que j’allais tout arrêter et juste en acheter un tout fait comme tout le monde. Mais l’idée me revenait continuellement en tête et je m’y replongeais. J’ai fini par trouver une réponse à toutes mes questions. Pour faire court et répondre à toutes ces questions mon clavier sera donc un : Clavier mécanique 60% avec switchs Box Red dans un boîtier en bois.

D’accord…

Pour ne perdre personne, je vais donc reprendre quelques points. Tout d’abord, qu’est-ce qu’un clavier mécanique ? Il existe plusieurs technologies de clavier, la première est le clavier à membranes. On les retrouve le plus souvent sur les claviers des ordinateurs portables ainsi que les claviers premier prix, ils ont l’avantage d’être peu bruyant et compact. La deuxième est le clavier à interrupteurs mécaniques, dit clavier mécanique, qui fait partie des premiers claviers sortis. Vous avez surement déjà eu un jour. Ils ont l’avantage d’avoir une meilleure durée de vie, d’être plus agréable d’utilisation, mais ont pour inconvénient d’être plus chers et de faire du bruit à chaque frappe. Pourquoi on dit qu’un clavier est mécanique ? Comme énoncé plus haut, on les nomme d’après leurs interrupteurs mécaniques, switch en anglais, c’est une pièce plastique sur un ressort. Quand on appuie sur cette pièce on fait toucher les deux branches métalliques et ainsi l’information que la touche a été appuyée est transmise.

Il existe plusieurs types de switchs en fonction de la sensation que l’on veut avoir quand on appuie sur une touche. Chaque personne a sa préférence et pour trouver la sienne il vaut mieux les tester avant de les choisir. Pour ce qui est du PCB, finalement c’est tout simple : c’est le circuit imprimé qui permet d’envoyer les informations à l’ordinateur. 60%, TKL et full-size est la taille du clavier il existe des variantes qui sont nommées en fonction du pourcentage de touche présente par rapport à un clavier full-size.

La construction

J’ai donc commandé toutes mes pièces, mon soudeur et ma pompe à dessouder. Et dès que tout était complet, je me suis mis à l’œuvre. Dans un premier temps j’ai décidé de lubrifier tous mes switchs pour être sûr que ce soit plus agréable, et cela en les démontant un par un avec un pinceau. On graisse alors au silicone toutes les pièces qui composent le switch. 68 switchs c’est long et fastidieux, mais le résultat est là et le son en est changé. Autant faire les choses bien !

L’étape d’après est le test pour savoir si le PCB fonctionne bien. Une fois testé, on peut disposer les switchs sur le PCB grâce à une plaque en métal qui va plus tard permettre de le protéger.

La dernière étape avant le soudage est l’application des touches sur les switchs afin de tester que ceux-ci sont bien mis à leur place sur le PCB.

C’est l’heure du tant attendu soudage, celui qui apeure et donne envie. On prépare le poste de soudage, fils à souder et protections et on est parti. À l’instant T, j’ai vraiment apprécié et ne voulais pas à me résoudre à arrêter, la fonte du fil devant nos yeux, le contact fait… c’est addictif. À la forme on voit si la soudure est propre ou si on doit la refaire. J’ai souvent dû la refaire, mais toujours avec plaisir.

Il ne reste plus qu’à mettre le clavier dans son boitier et profiter. Une fois branché, on peut configurer les touches afin que celles-ci correspondent à nos envies. La configuration est totale, on peut l’arranger à notre convenance et à volonté via le langage C afin de créer nos propres raccourcis clavier par exemple.

Enfin fini

Après plus de 6h d’assemblage, je peux enfin profiter de mon clavier. Assembler mon clavier est le meilleur choix que je pouvais faire. Il n’est pas le plus économique certes, mais il correspond à ce dont j’avais envie et m’a permis une parfaite modulabilité. On peut dire que c’est un objet de luxe assemblé par ma personne, made in France !

Voir aussi

Résolution de problèmes

Thu, 13 Jun 2019 00:00:00 +0000

La résolution de problème consiste à analyser et comprendre un problème afin de trouver une solution à celui-ci. En informatique, nous sommes très souvent confrontés à des problèmes liés à notre code. Que ce soit une mauvaise architecture ou un bug, on y fait face quotidiennement. Avec le temps, on développe des méthodes pour être plus efficace et que cela nous prenne le moins de temps possible.

Un problème ? Pas de problème

Au début c’était un supplice, des heures et des heures de souffrance. Que ce soit avec mon premier PC qui ne voulait plus démarrer et plus tard avec mon code qui ne voulait tout simplement pas fonctionner comme je le voulais. Mais avec les années qui sont passées, j’ai commencé à y prendre goût et j’en retire une réelle satisfaction. Comprendre enfin la cause du problème et pouvoir mettre en place la solution afin de résoudre ce problème est une chose que je trouve très gratifiante. Et j’ai le plaisir maintenant de le faire que ce soit durant des pentests lors de mes missions en entreprise, lors de challenges sur les divers sites ou quand je débloque mon code. Mais ces capacités de résolution de problème ne s’arrêtent pas qu’à l’informatique, durant la vie de tous les jours c’est un réel atout qui est très bénéfique. Comme un Macgyver à son âge d’or, on se retrouve à déboucher un évier avec du fil de fer ou démonter son micro afin de le réparer. À force d’être tout le temps confronté à des problèmes, on ne les voit plus comme tels. L’échec de ne pas réussir à résoudre tout de suite un problème n’est plus une peur, mais une motivation. L’échec est une étape de plus vers la réussite, réflexion qui puisse paraître simple en somme, mais qui exprime bien l’idée que je m’en fais. Les énervements et les blocages ont font ressortir d’autre capacité comme la patience et la minutie. Rencontrer régulièrement des problèmes n’est pas un problème, mais un atout qui nous permet de toujours mieux faire, d'apprendre et de progresser.

Les problèmes, c’est la vie

La résolution de problèmes est au cœur de mon système d’apprentissage et je ne pourrais pas m’en passer. Je vais continuer à me ronger les doigts sur des challenges sur Hack the Box, à me prendre la tête dans mon code, mais surtout je vais continuer à en retirer du plaisir.

Voir aussi

Stal-k