Je veux sensibiliser au danger des clés USB inconnues

Mon objectif

Dans le contexte de formations aux utilisateurs informatiques, il est crucial de les sensibiliser aux risques liés à l’utilisation de clés USB inconnues.

Pour marquer les esprits, une démonstration pratique est souvent plus efficace qu’un simple discours. C’est pourquoi je souhaite me procurer une clé USB capable de simuler des dommages sur un ordinateur, afin de montrer concrètement les dangers encourus.

Les Rubber Ducky sont des clés USB utilisées par les pirates informatiques, mais leur coût est souvent prohibitif. Je cherche donc une solution plus économique pour créer cet outil de sensibilisation.

En somme, je souhaite trouver une alternative abordable aux Rubber Ducky pour sensibiliser les utilisateurs aux risques liés à l’utilisation de clés USB inconnues, en utilisant une clé USB capable de simuler des dommages sur un ordinateur. Lire la suite

Je bloque le ping de son adresse IP (ICMP)

Pour identifier les futures victimes sur le web, les pirates tentent assez naturellement de vérifier si l’IP existe et si un équipement est derrière.

Pour vérifier cela, le plus simple, c’est un ping de l’adresse IP.

J’ai une IP fixe Free et je suis une victime potentielle si je me fais repérer. Cela en fonction également des redirections de ports que je vais définir sur mon routeur (si je veux consulter mes caméras ip depuis l’extérieur, accéder à Home Assistant, Jeedom, si j’héberge mon site internet, …) Lire la suite

Lancer une simulation d’hameçonnage à visée pédagogique sur un Tenant Microsoft 365 avec Gophish

Mon objectif

Afin de sensibilisé les utilisateurs du tenant Microsoft 365 que j’utilise, j’ai cherché comment créer une campagne de Phishing (hameçonnage) pour les “piéger” et déclencher une formation sur ce sujet.

Les messages de prévention et les campagnes d’hygiène numérique ne suffisent pas, il faut un fait concret pour tenter de déclencher une prise de conscience. Lire la suite

Je mets en place mon gestionnaire de mots de passe sur tous mes ordinateurs et smartphone

J’ai choisi KeepassXC + Keepass2Android avec authentification Yubikey

Mon cahier des charges

  • Choisir un gestionnaire de mot de passe gratuit et sécurisé (encore mieux certifié ANSSI)
  • Permettre de partager une modification de mot de passe instantanément sur tous mes appareils, smartphone inclus, éviter les réplications de fichiers
  • Ne pas utiliser les solutions propriétaires (non open source) qui pourraient héberger mes données quelque part dans le monde
  • Ne pas avoir un mot de passe d’ouverture super fort de 30 caractères spéciaux à taper 5 fois par jour
  • Sécuriser l’ouverture de la base de données via une Yubikey unique sur tous les appareils
  • Si la Yubikey est perdue ou cassée, avoir une solution de secours
  • Que l’utilisateur dans le navigateur n’est aucun login ou mot de passe à saisir et encore mieux, que la double authentification à base de TOTP (mot de passe à usage unique basé sur le temps) soient calculés et complétés sur le même principe.
  • Que les nouveaux login/mot de passe soient ajoutés dans la base facilement et les mises à jour détectées et corrigées dans la base.

Lire la suite

Gestion des mots de passe Web

98% des utilisateurs qui ne souhaitent pas apprendre par cœur leurs centaines de mots de passe enregistrent leurs mots de passe dans leur navigateur.

En cas de perte de l’ordinateur ou d’attaque du PC, ces informations sont livrées en clair…

Il est nécessaire de répéter des évidences : Les navigateurs internet ne sont pas des outils de stockage de mot de passe sécurisés. Ils servent à naviguer sur internet et n’ont pas comme mission de sécuriser vos informations. Lire la suite