Je teste l’indésirabilité (spam) de mes emails

Objectif

J’ai eu quelques soucis de configurations de mes serveurs de messagerie.

Evidemment, pour faire simple, je mélange tout un tas de choses, un Tenant Microsoft, des noms de domaines chez OVH et des hébergements chez Ionos, à un moment, il y a bien un paramètre de configuration qui bloque.

J’ai découvert un site génial qui en quelques secondes vérifie tout pour moi et me dit si les paramètres DNS sont conformes, si les configurations SPF, KDIM, DMARC… sont au point.

Site utilisé

Ce site est mignon, simple et particulièrement puissant.

Principe de fonctionnement

Le site me donne une adresse mail et je fais un mail à cette adresse, tout simplement puis j’appuie sur “Vérifier votre score”.

Résultat

A ce stade, j’ai tout corrigé, les soucis de déclaration de SPF ou l’activation de DMARC.

J’ai au final, 10/10

Mais il me reste un point à améliorer :

Il s’agit de la correspondance entre l’enregistrement du pointeur DNS (Type PTR) et le HELO, le site détecte bien que HELO et rDNS ne sont pas identiques :

Cela semble pouvoir poser des problèmes, par exemple avec la messagerie AOL (il reste encore des dinosaures avec AOL ??) 

J’ai évidemment fait des recherches pour savoir si cela allait poser des soucis ou pas.

Voici la réponse de Microsoft à cette disconcordance entre HELO et rDNS :

Microsoft explique en quelques lignes qu’ils utilisent plusieurs serveurs pour envoyer des mails et que cela semble être le mode de fonctionnement des grandes plateformes, ils n’apportent aucune solution à part contacter le fournisseur de messagerie qui refuserait des mails sur lesquels HELO est différent de rDNS.

Bref, visiblement rien de choquant pour eux, je vais rester ainsi configuré donc.

Fausse Rubber Ducky pour expliquer pourquoi se méfier des clés USB inconnues

Quel est mon objectif ?

Dans le contexte de formations aux utilisateurs informatiques, il est crucial de les sensibiliser aux risques liés à l’utilisation de clés USB inconnues.

Pour marquer les esprits, une démonstration pratique est souvent plus efficace qu’un simple discours. C’est pourquoi je souhaite programmer une clé USB capable de simuler des dommages sur un ordinateur, afin de montrer concrètement les dangers encourus.

Nota : A la demande de certains d’entre vous, je vous propose de réaliser pour vous la création de cette fausse clé, vous la trouverez donc toute prête, programmée et opérationnelle dans mon vide-grenier. Evidemment, elle n’est pas dangereuse !! Lisez la suite pour comprendre ce qu’elle fait.

Que sont des Rubber Ducky ?

Les Rubber Ducky sont des clés USB conçues pour simuler un clavier lorsqu’elles sont connectées à un ordinateur. Elles sont souvent utilisées par les pirates informatiques pour effectuer des attaques de type “keystroke injection” (injection de frappe), qui consistent à simuler des frappes de clavier pour exécuter des commandes malveillantes sur un ordinateur cible.

Les Rubber Ducky sont équipées d’un microcontrôleur programmable qui peut stocker des scripts préenregistrés. Lorsqu’elles sont connectées à un ordinateur, elles se comportent comme un clavier USB standard et peuvent envoyer des séquences de touches préenregistrées à une vitesse très élevée, ce qui permet d’exécuter des commandes complexes en quelques secondes seulement.

Les Rubber Ducky sont souvent utilisées pour des tests d’intrusion ou des démonstrations de sécurité informatique, mais elles peuvent également être utilisées à des fins malveillantes, comme le vol de données ou l’installation de logiciels malveillants. Il est donc important de sensibiliser les utilisateurs aux risques liés à l’utilisation de clés USB inconnues et de prendre des mesures de sécurité appropriées pour protéger les ordinateurs contre les attaques de type “keystroke injection”.

Comme expliqué dans le paragraphe précédent, mon objectif est de sensibiliser les utilisateurs d’outils informatiques et leur démontrant la dangerosité d’insérer une clé USB inconnue dans leur ordinateur.

Pourquoi je parle de fausse Rubber Ducky ?

Les Rubber Ducky sont hors de prix et je cherche une solution abordable pour que le plus grand nombre puisse acheter une clé de sensibilisation. Personne ne mettre ces prix :

Quel équipement ai-je choisi ?

Je vais utiliser un équipement beaucoup plus léger car il n’a que 6k de mémoire, mais cela est suffisant, je ne vais pas lancer de script complexe. C’est un Digispark ATTINY85.

Cet équipement est abordable et fonctionnel.

Sa configuration est un peu complexe, il faut utiliser des drivers qui sont détectés comme dangereux, j’ai documenté sa programmation sur un RetEx il y a quelques temps.

Que va faire cette clé quand on la connecte ?

Le principe de cette fausse clé USB c’est d’exécuter un script au moment où on l’insère.

Evidemment les pirates vont installer un programme malveillant ou vont exfiltrer des données et les envoyer par internet. Ce n’est pas ce que je vais faire, je veux quelque chose de graphique et visuel qui symbolise une intrusion, un piratage en cours et des messages à l’écran.

C’est réellement à cette étape qu’il a fallu que je choisisse quelle actions “classiques” allaient être assez spectaculaires pour faire flipper un utilisateur.

Voici ce que j’ai choisi, cette vidéo illustre ce qu’il se passe quand on insère la clé (plus du son qui ne s’entend pas sur cette capture d’écran) :

J’ai réalisé quelques clés, elles sont à votre disposition

Evidemment, rien de commercial dans tout cela. Dans un but pédagogique, je vous invite à réaliser la démonstration auprès de vos enfants, parents, amis, collègues. Après la démonstration, ils n’insèreront plus une clé inconnue dans leur ordinateur.

J’ai fait réaliser par une société qui fait de l’impression 3D un petit boitier pour insérer le Digispark, le protéger et lui donner l’aspect d’une clé USB. Je suis très fier du résultat :

Au bout de la clé, il y a un trou pour l’ajouter à un trousseau de clés par exemple et sur l’autre côté, il y a deux trous qui permettent de laisser passer la lumière de la LED verte et de la LED rouge.

Le Digispark coûte entre 4 et 5€, l’impression 3D, hors frais de contrôle coute entre 1 et 2€ les deux éléments. Une enveloppe papier bulles (0.20€) et un timbre à 1.29€.

Pour ceux qui me l’ont demandé, je peux arriver donc à faire un lot clé USB programmée + envoi payé à 8.50€.

J’en ai réalisé 5, j’en garde 1 donc si vous en voulez une, contactez moi.

Je les place dans le vide grenier, je suis joignable avec le pseudo Sigalou sur HACF, Jeedom community, Discord, mon mail est donné dans le premier paragraphe du vide grenier.

 

 

 

Je veux sensibiliser au danger des clés USB inconnues

Mon objectif

Dans le contexte de formations aux utilisateurs informatiques, il est crucial de les sensibiliser aux risques liés à l’utilisation de clés USB inconnues.

Pour marquer les esprits, une démonstration pratique est souvent plus efficace qu’un simple discours. C’est pourquoi je souhaite me procurer une clé USB capable de simuler des dommages sur un ordinateur, afin de montrer concrètement les dangers encourus.

Les Rubber Ducky sont des clés USB utilisées par les pirates informatiques, mais leur coût est souvent prohibitif. Je cherche donc une solution plus économique pour créer cet outil de sensibilisation.

En somme, je souhaite trouver une alternative abordable aux Rubber Ducky pour sensibiliser les utilisateurs aux risques liés à l’utilisation de clés USB inconnues, en utilisant une clé USB capable de simuler des dommages sur un ordinateur. Lire la suite

Je bloque le ping de son adresse IP (ICMP)

Pour identifier les futures victimes sur le web, les pirates tentent assez naturellement de vérifier si l’IP existe et si un équipement est derrière.

Pour vérifier cela, le plus simple, c’est un ping de l’adresse IP.

J’ai une IP fixe Free et je suis une victime potentielle si je me fais repérer. Cela en fonction également des redirections de ports que je vais définir sur mon routeur (si je veux consulter mes caméras ip depuis l’extérieur, accéder à Home Assistant, Jeedom, si j’héberge mon site internet, …) Lire la suite

Lancer une simulation d’hameçonnage à visée pédagogique sur un Tenant Microsoft 365 avec Gophish

Mon objectif

Afin de sensibilisé les utilisateurs du tenant Microsoft 365 que j’utilise, j’ai cherché comment créer une campagne de Phishing (hameçonnage) pour les “piéger” et déclencher une formation sur ce sujet.

Les messages de prévention et les campagnes d’hygiène numérique ne suffisent pas, il faut un fait concret pour tenter de déclencher une prise de conscience. Lire la suite

Je mets en place mon gestionnaire de mots de passe sur tous mes ordinateurs et smartphone

Edit : Attention, une solution différente a été écrite depuis la rédaction de cette page, mais les informations ici restent valables :

J’ai choisi KeepassXC + Keepass2Android avec authentification Yubikey

Mon cahier des charges

  • Choisir un gestionnaire de mot de passe gratuit et sécurisé (encore mieux certifié ANSSI)
  • Permettre de partager une modification de mot de passe instantanément sur tous mes appareils, smartphone inclus, éviter les réplications de fichiers
  • Ne pas utiliser les solutions propriétaires (non open source) qui pourraient héberger mes données quelque part dans le monde
  • Ne pas avoir un mot de passe d’ouverture super fort de 30 caractères spéciaux à taper 5 fois par jour
  • Sécuriser l’ouverture de la base de données via une Yubikey unique sur tous les appareils
  • Si la Yubikey est perdue ou cassée, avoir une solution de secours
  • Que l’utilisateur dans le navigateur n’est aucun login ou mot de passe à saisir et encore mieux, que la double authentification à base de TOTP (mot de passe à usage unique basé sur le temps) soient calculés et complétés sur le même principe.
  • Que les nouveaux login/mot de passe soient ajoutés dans la base facilement et les mises à jour détectées et corrigées dans la base.

Lire la suite

Gestion des mots de passe Web

98% des utilisateurs qui ne souhaitent pas apprendre par cœur leurs centaines de mots de passe enregistrent leurs mots de passe dans leur navigateur.

En cas de perte de l’ordinateur ou d’attaque du PC, ces informations sont livrées en clair…

Il est nécessaire de répéter des évidences : Les navigateurs internet ne sont pas des outils de stockage de mot de passe sécurisés. Ils servent à naviguer sur internet et n’ont pas comme mission de sécuriser vos informations. Lire la suite