Activer l'authentification en 2 étapes pour votre serveur SSH. Je le pète et le répète assez souvent : Quand vous le pouvez, pensez à activer l’authentification en 2 étapes (2FA) sur vos sites web préférés. Petit rappel pour les nouveaux dans le game, l’authentification en 2 étapes permet d’ajouter en plus du mot de passe (quelque chose que vous connaissez), un code généré par une application spécifique sur votre téléphone portable (quelque chose que vous possédez). Ainsi, même si on vous dérobe votre mot de passe, il faudra en plus vous voler votre téléphone (et le mot de passe de celui-ci) afin de pouvoir s’authentifier à votre place sur un site web équipé de la double authentification. Et si vous êtes vous-même l’heureux administrateur de serveurs, et bien, vous tombez bien, car aujourd’hui on va apprendre à activer l’authentification en 2 étapes pour vos connexions SSH.
Pour cela, connectez-vous sur votre serveur, et installez le paquet suivant : sudo apt-get install libpam-google-authenticator Puis lancez la commande : Guide hygiene informatique anssi. Guide d'hygiène informatique pour le particulier - Korben Korben. J’ai beaucoup aimé le petit guide d’hygiène informatique édité par l’ANSSI [PDF] à destination des responsables informatiques d’entreprises. Malheureusement, il n’existait rien de tel pour les particuliers, alors j’ai décidé de m’y atteler. Wifi ouvert - Attention aux faux hotspot ! (+ une démo avec un module Arduino) Vous kiffez le hotspot wifi gratuit ?
Les FreeWifi et ce genre de trucs offerts par votre opérateur ? C'est bien, mais êtes vous certains que vous vous connectez vraiment sur un vrai spot et pas sur un truc destiné à pomper tous vos mots de passe ? C'est difficile de le savoir mais pour vous montrer à quel point de genre de chose est simple à mettre en oeuvre, je vais vous présenter le petit montage de Kevin, qui m'a envoyé la vidéo suivante. On peut y voir un faux "vrai" hotspot FreeWifi, qui est le même portail captif que celui de Free.
En s'y connectant, l'OS de l'imprudent va afficher automatiquement la page de connexion (demande de login / mot de passe) au réseau. Bénéficier des bonnes informations peut améliorer la sécurité de votre réseau. La Preuve en Cinq Points, Par Pierre Poggi, Country manager de WatchGuard. Vendredi 22 mai 2015 Les généraux les plus victorieux sont souvent ceux qui rassemblent le plus de renseignements avant et durant la bataille.
Ils réalisent que plus ils en savent sur leur adversaire, l’environnement de la bataille et sur leurs troupes, mieux ils pourront régler leurs tactiques et leur stratégie pour gagner la guerre. Sans ces renseignements ils seraient aveugles, non préparés, et potentiellement perdants. Ce même concept s’applique également à la sécurité de l’information. L’employé, la première faille de sécurité (2) Avoir conscience du danger ne suffit pas Dans mon dernier billet, je pointais du doigt les risques que pouvaient être les employés des entreprises quant aux fuites d’informations et aux vols de données personnelles.
Deux exemples réels ont ainsi servi de support, avec des vols et des pertes de données majeures chez Coca Cola et Boeing. La compagnie Blue Coat Systems, spécialiste en solutions de sécurité pour entreprises, vient justement de publier le bilan d'une enquête sur ce sujet menée auprès de 1 580 personnes dans 11 pays différents par le cabinet de recherche Vanson Bourne.
Et les résultats sont édifiants : « les employés de tous les pays consultent des sites Web non appropriés au travail, tout en étant généralement parfaitement conscients des risques pour leur entreprise » explique par exemple l’entreprise. Cyborg Hawk - Parce qu'il n'y a pas que Kali dans la vie (distrib pour faire du pentest) Dans la même veine que Kali, Cyborg Hawk est une distribution Linux basée sur Ubuntu, qui est destinée aux chercheurs en sécurité et aux pentesteurs.
Cette distribution peut être utilisée aussi bien pour faire de l'audit sur un réseau que pour de l'analyse forensique. Elle embarque plus de 750 outils de pentest (mobile, wifi...etc.), d'exploitation, de reverse engineering, de stress test...etc., le tout dans une ISO d'à peine plus de trois GB qui peut être lancée en mode live sur n'importe quelle machine. Information Gathering Vulnerability Assessment Exploitation Privilege Escalation Maintaining Access Documentation & Reporting Reverse Engineering Stress Testing Forensics Wireless Security RFID/NFC Hardware Hacking VoIP Analysis Mobile Security Malware Analysis Cyborg Hawk est présentée comme stable, ses outils sont régulièrement mis à jour grâce à un dépôt, et son kernel est patché contre les injections, mais par contre c'est beaucoup moins bien léché que Kali.
A voir chez Amazon. 0day - Korben Korben. Dossier passionnant sponsorisé par Norton by Symantec Les 0Day, vous en avez surement déjà entendu parler.
Heartbleed, Shellshock, POODLE vous disent peut-être quelque chose mais savez vous ce qu’est vraiment une faille zero day ? Comment elles sont découvertes ? Et à qui profitent-elles ? Je vous propose aujourd’hui de découvrir tout ça dans ce dossier ainsi que les bons réflexes à avoir pour limiter la casse.