KeePass2 et la synchronisation SSH/SFTP entre Windows, Linux et Android.

KeePass2 et la synchronisation SSH/SFTP

Salut à tous, je vous avait parlé, il y déjà quelques temps, de la bonne gestion des mots de passe.  J’avais ouvert l’article sur LastPass qui permet une gestion plutôt réussi et sécurisée de vos mots de passe. Aujourd’hui on va plutôt se pencher sur KeePass2 et la synchronisation SSH/SFTP de sa base. Une bonne alternative « non-cloud » à LastPass et qui a, en plus, le bon goût d’avoir une certification CSPN par l’ANSSI.

Un des problèmes de LastPass et de ses concurrents dans le Cloud pour un usage en entreprise c’est que la société mère du produit est américaine. Avec les lois du type Patriot Act qui s’appliquent autant vous dire que la NSA peut demander l’accès aux mots de passe stockés par ce service dès qu’elle pense que c’est nécessaire. Donc autant pour un particulier, je ne pense pas que ça pose de gros problème : peu probable que la NSA en ai après vos photos de vacances et vos factures internet… Par contre pour une entreprise et à fortiori un organisme d’état c’est bien moins top de leur donner gratuitement tous les secrets d’authentification !

Donc aujourd’hui on va voir comment on peut installer … Lire la suite

Solution Interlude Challenge de la GreHack 2017

GreHack 2017

Bon le GreHack challenge est terminé, la conférence était sympa. Y’avait du très bon et du beaucoup moins bien pendant la journée. Les workshops étaientt impeccables par contre. Et visiblement le CTF s’est bien passé. Je vais tacher de digérer les présentations avant de vous faire un retour sur celles qui valaient la peine. J’ai un peu de temps de vous faire un débriefe de l’étape n°3 : Interlude challenge de la GreHack 2017, que n’avait pas eu le temps traiter avant l’événement. J’ai moins de scrupules à vous donner les solutions maintenant que la conférence est passée en plus, donc allons-y,

Interlude challenge de la GreHack 2017

Comme un $crIpT kIddI3

Donc on a un texte incompréhensible et une image svg en indice. De mon côté j’avais un peu gratter la source du svg pour voir s’il n’y avait pas du texte ou un indice caché dans le XML source du fichier. Ce qu’il fallait voir c’est surtout qu’il s’agit de la représentation d’une fonction affine en mathématique. Les plus cultivés d’entre vous auront alors fait le lien avec le chiffrement par fonction affine.

Interlude challenge de la GreHack 2017
Texte du challenge UBBAHKXYQUHCK

L’article Wikipédia nous indique qu’il est assez simple de casser … Lire la suite

Installer SSLYZE depuis les sources

Installer SSLYZE

Bonjour à tous, on va se faire un rapide TP aujourd’hui pour installer SSLYZE depuis les sources. En effet, je n’ai pas trouvé de doc complète sur le sujet et j’ai été obligé de grappiller des informations à droites à gauche avant d’obtenir ça. Concernant SSLYZE, je vous en ai parlé dans le dernier TP pour la mise en place d’HTTPS sur le nouveau serveur. Il s’agit d’un outil open-source qui permet de tester la configuration SSL de son site web. C’est aussi un concurrent opensource de SSL Server Test chez Qualys-SSL Labs. Pour finir, c’est développé par un français (à San Francisco, faut pas déconner): M. Alban Diquet que vous trouverez sur LinkedIn  et sur Twitter ici. Je vous laisse lire le pedigree du bonhomme.

Installer SSLYZE depuis les sources

Sans transition pour l’installation depuis les source il vous faudra  :

yum install git python2 python-dev

Lib NaSSL

Avant d’installer SSLYZE, la bilbiothèque NaSSL est une dépendance obligatoire pour SSLYZE. On va donc l’installer :

git clone https://github.com/nabla-c0d3/nassl.git
cd nassl
python2 setup.py build_ext -i
python2 sample_client.py
python2 run_tests.py # OK partout <= Tout va bien 
cd ..

SSLYZE

On peut donc maintenant cloner le dépot de … Lire la suite

Configurer HTTPS sur NGINX… correctement !

Configurer HTTPS sur NGINX

Salut à tous, dernier TP de la série qui fait suite à la réinstallation du serveur. On va voir comment configurer HTTPS sur NGINX… correctement. Car la crypto c’est pas une affaire de néophytes et on tombe facilement sur des sites plus ou moins connus ou officiels qui ont une configuration SSL à la rue. Par exemple vous regardez si votre banque, de votre boîte, association suit les bonnes pratiques pour assurer la confidentialité de vos communications ? Ça se voit de moins en moins sur des gros sites mais au détour d’une session web on tombe parfois sur une erreur comme celles qui sont très bien mises en exemple sur badssl.com. Si vous voulez vraiment du sang des exemples : il suffit de jeter un oeil à la « Recent Worst List » chez SSLLabs-Server Test.

Bref, on va voir comment configurer HTTPS avec NGINX à l’aide de Certbot pour le certificat (Let’s Encrypt) sur une Debian 8 et ajuster la configuration de NGINX pour être bibiche sur le test de SSLLabs.

Certbot, Le nouveau Let’s Encrypt.

Alors j’ai déjà parlé de Let’s Encrypt avec le serveur précédent donc on va pas revenir dessus, par contre … Lire la suite