Résultats de recherche pour MISC

Comment stocker un mot de passe ?

Posté le de Aucun commentaire ↓

Salut à tous, aujourd’hui on va continuer le cycle d’article sur les mots de passes, et plus particulièrement : comment stocker un mot de passe. Pour info, je me pompe sans honte sur cet article de sophos, qui est au top sur le sujet.

Comment on faisait ? ou plutôt comment ne pas stocker un mot de passe.

En clair !

La plus ancienne méthode de stockage consistait à stocker les mots de passe… en clair ! Elle pose quelques petits problèmes, assez évidents : en cas d’attaque réussie, en cas de réutilisation du mots de passe, etc. Cette méthode là, on ne la rencontre plus trop chez les professionnels. Mais parfois, on tombe encore sur un utilisateur qui garde un joli fichier Excel avec tout ses mots de passe dedans.

R1- Ne pas stocker les mots de passe en clair, donc.

Chiffré ?

Puisqu’on ne peut pas les stocker en clair, on va les chiffrer, non ? bein non plus, déjà cela signifie que les administrateurs accèdent encore au clair de vos mots de passe. En fait, en chiffrant votre base de mot de passe vous ne faites que transférer la sécurité sur le secret de la … Lire la suite

KeePass2 et la synchronisation SSH/SFTP entre Windows, Linux et Android.

Posté le de 12 commentaires ↓

Mise à jour : Salut, pour info j’ai rédigé une version beaucoup plus complète de cet article (ici). Elle adresse en détail le sujet l’authentification forte avec une Yubikey. Il s’agit d’un papier que j’avais écrit pour MISC Magazine, bref c’est de la bonne lecture et ça complète très bien ce post. Maintenant que vous êtes prévenu, vous faites ce que vous voulez ! Bonne lecture et @+

KeePass et Yubikey multiplateforme, article MISC 103

Salut à tous, je vous avait parlé, il y déjà quelques temps, de la bonne gestion des mots de passe.  J’avais ouvert l’article sur LastPass qui permet une gestion plutôt réussi et sécurisée de vos mots de passe. Aujourd’hui on va plutôt se pencher sur KeePass2 et la synchronisation SSH/SFTP de sa base. Une bonne alternative « non-cloud » à LastPass et qui a, en plus, le bon goût d’avoir une certification CSPN par l’ANSSI.

Un des problèmes de LastPass et de ses concurrents dans le Cloud pour un usage en entreprise c’est que la société mère du produit est américaine. Avec les lois du type Patriot Act qui s’appliquent autant vous dire que la NSA peut demander l’accès aux … Lire la suite

Kerberoasting, Active Directory à la rôtissoire…

Posté le de Aucun commentaire ↓

Salut a tous aujourd’hui on va voir une nouvelle technique pour récupérer puis casser des mots de passe dans une infrastructure Active Directory :  le Kerberoasting. Dans la langue de Molière ça donnerai « faire rôtir kerberos » et c’est franchement efficace si les administrateurs de l’AD n’appliquent pas des mots de passes complexes sur les comptes de services. Ça consiste en quoi ? simplement à demander et récupérer des TGS à un KDC pour ensuite casser la protection cryptographique de ces TGS et ainsi récupérer le mot de passe du service associé à ce TGS. On va voir tout ça plus en détail, après quelques rappels sur Kerberos. La technique est sortie en 2014, mais ce n’est que récemment qu’elle est devenue très (spoiler alert : trop) simple à utiliser.

Kerberos : 3 têtes, un os…

Bon alors Kerberos comment ça fonctionne ? Wikipédia explique ça très bien déjà, mais pour faire simple je vous refait un topo. Kerberos fonctionne à base de clés secrètes partagées. En simplifiant beaucoup, on a trois éléments que sont :

  • C le client ;
  • X un service kerberisé sur le serveur S ; et
  • K le serveur KDC de Kerberos.

Le serveur … Lire la suite

Comprendre et améliorer le référencement (de WordPress)

Posté le de 1 commentaire ↓

Après un peu plus d’un an de vie du site, je me pose la question de la fréquentation de geekeries.org. Qui atterri ici ? En cherchant quoi ? Quels sont les sites qui pointent vers moi ? etc. Bon derrière l’éternelle question de tous les blogueurs « Comment améliorer le référencement de mon site? »; Plusieurs objectifs plus terre à terre pour moi :

  • Savoir si le site est consulté.
  • Voir comment on peut augmenter la fréquentation d’un site, mais sans changer le format du site.
  • Et surtout : vous expliquer tous les paramètres qui entre en jeu pour passer en première page de Google ;

Accrochez vous ça va être long, parce que c’est beaucoup plus compliqué que dans les années 2000 et qu’il y a un paquet de paramètres qui entre en jeu. J’ai pris le partie de mettre des images et des résultat lié au site, ca vous donnera une idée de ce qu’on peut obtenir en 18 mois sans faire trop d’effort : c’est cadeau…

Note : Je n’aborde pas d’autres outils comme piwik ou Bing dans cet article mais il sont tout aussi valables, c’est juste que moi j’utilise ceux de Google. De même, … Lire la suite