24
Avr, 2024

Je bloque le ping de son adresse IP (ICMP)

Pour identifier les futures victimes sur le web, les pirates tentent assez naturellement de vérifier si l’IP existe et si un équipement est derrière.

Pour vérifier cela, le plus simple, c’est un ping de l’adresse IP.

J’ai une IP fixe Free et je suis une victime potentielle si je me fais repérer. Cela en fonction également des redirections de ports que je vais définir sur mon routeur (si je veux consulter mes caméras ip depuis l’extérieur, accéder à Home Assistant, Jeedom, si j’héberge mon site internet, …) Lire la suite

6
Avr, 2024

Lancer une simulation d’hameçonnage à visée pédagogique sur un Tenant Microsoft 365 avec Gophish

Mon objectif

Afin de sensibilisé les utilisateurs du tenant Microsoft 365 que j’utilise, j’ai cherché comment créer une campagne de Phishing (hameçonnage) pour les “piéger” et déclencher une formation sur ce sujet.

Les messages de prévention et les campagnes d’hygiène numérique ne suffisent pas, il faut un fait concret pour tenter de déclencher une prise de conscience. Lire la suite

14
Déc, 2023

Je mets en place mon gestionnaire de mots de passe sur tous mes ordinateurs et smartphone

J’ai choisi KeepassXC + Keepass2Android avec authentification Yubikey

Mon cahier des charges

  • Choisir un gestionnaire de mot de passe gratuit et sécurisé (encore mieux certifié ANSSI)
  • Permettre de partager une modification de mot de passe instantanément sur tous mes appareils, smartphone inclus, éviter les réplications de fichiers
  • Ne pas utiliser les solutions propriétaires (non open source) qui pourraient héberger mes données quelque part dans le monde
  • Ne pas avoir un mot de passe d’ouverture super fort de 30 caractères spéciaux à taper 5 fois par jour
  • Sécuriser l’ouverture de la base de données via une Yubikey unique sur tous les appareils
  • Si la Yubikey est perdue ou cassée, avoir une solution de secours
  • Que l’utilisateur dans le navigateur n’est aucun login ou mot de passe à saisir et encore mieux, que la double authentification à base de TOTP (mot de passe à usage unique basé sur le temps) soient calculés et complétés sur le même principe.
  • Que les nouveaux login/mot de passe soient ajoutés dans la base facilement et les mises à jour détectées et corrigées dans la base.

Lire la suite

2
Avr, 2022

Gestion des mots de passe Web

98% des utilisateurs qui ne souhaitent pas apprendre par cœur leurs centaines de mots de passe enregistrent leurs mots de passe dans leur navigateur.

En cas de perte de l’ordinateur ou d’attaque du PC, ces informations sont livrées en clair…

Il est nécessaire de répéter des évidences : Les navigateurs internet ne sont pas des outils de stockage de mot de passe sécurisés. Ils servent à naviguer sur internet et n’ont pas comme mission de sécuriser vos informations. Lire la suite