Installer SSLYZE depuis les sources

Installer SSLYZE

Bonjour à tous, on va se faire un rapide TP aujourd’hui pour installer SSLYZE depuis les sources. En effet, je n’ai pas trouvé de doc complète sur le sujet et j’ai été obligé de grappiller des informations à droites à gauche avant d’obtenir ça. Concernant SSLYZE, je vous en ai parlé dans le dernier TP pour la mise en place d’HTTPS sur le nouveau serveur. Il s’agit d’un outil open-source qui permet de tester la configuration SSL de son site web. C’est aussi un concurrent opensource de SSL Server Test chez Qualys-SSL Labs. Pour finir, c’est développé par un français (à San Francisco, faut pas déconner): M. Alban Diquet que vous trouverez sur LinkedIn  et sur Twitter ici. Je vous laisse lire le pedigree du bonhomme.

Installer SSLYZE depuis les sources

Sans transition pour l’installation depuis les source il vous faudra  :

yum install git python2 python-dev

Lib NaSSL

Avant d’installer SSLYZE, la bilbiothèque NaSSL est une dépendance obligatoire pour SSLYZE. On va donc l’installer :

git clone https://github.com/nabla-c0d3/nassl.git
cd nassl
python2 setup.py build_ext -i
python2 sample_client.py
python2 run_tests.py # OK partout <= Tout va bien 
cd ..

SSLYZE

On peut donc maintenant cloner le dépot de … Lire la suite

Le point vocabulaire – La WiFi et Crypter

Le point vocabulaire - La WiFi et Crypter

Salut les gens ! Un bref article pour faire un point vocabulaire sur La WiFi et Crypter. Et plus exactement pour partager avec vous deux sites dédiés à ces mots trop souvent malmenés :

  • Doit-on dire crypter ?
  • et doit-on dire le ou la wifi ?

WiFi : il ou elle ?

WiFi et CrypterSi vous connaissez quelqu’un qui pense que encore que WiFi est un mot féminin. Ne vous crevez pas… Il y a un site pour ça :

https://www.lawifi.fr/

Bon ça c’est fait.

crypter ou chiffrer : faut choisir !!

Crypter ou chiffrer

Le second, est un peu plus sérieux, fait un point vocabulaire plus que nécessaire par les temps qui courent. Pourquoi il faut éviter de dire crypter (surtout quand vous parlez à des équipes SSI) et utiliser plutôt chiffrer et quelques autres crypto-astuces.

Ce site est a aussi le bon gout d’être fait par un amateur de crypto qui décortique quelques aspects plus ou moins sérieux en crypto. C’est pas ici donc :

https://chiffrer.info/

Bon c’est pas encore bien rempli, archive.org n’a même pas de trace du site avant mon article. Mais je ca reste un blog à surveiller si vous aimez crypter des trucs, heu pardon la CRYPTOGRAPHIE. Et par exemple, si vous … Lire la suite

RC4 en PowerShell (Merci @Harmj0y)

Taille recommandée des clés crypto

Vous connaissez RC4 ? C’est un algorithme de chiffrement symétrique « assez simple » sortie en 1987. On sait aujourd’hui qu’il est troué de partout et relativement simple à casser. Néanmoins on le retrouve assez souvent car sa simplicité lui permet de ne pas consommer trop de ressources et il fonctionne avec la plupart des systèmes anciens. Comme mes TP sur Vigenère ou DES, on va voir une implémentation de RC4 en PowerShell. A ce point, un petit tour sur Wikipédia vous en apprendra plus que moi sur le sujet.

RC4 et Malware

Notez que RC4 est également un indicateur de malware au niveau réseau car il permet de chiffrer facilement un flux de données. Les programmes moderne n’utilisent presque plus RC4, du coup beaucoup de programmes qui utilisent RC4 sont en fait des malwares : ce n’est pas parce que vous avez un ami qui utilise RC4 que tous les gens qui utilise RC4 sont gentil… Si vous ne me croyez pas, jetez donc un œil à cette étude : Deciphering Malware’s use of TLS (without Decryption).

RC4 en PowerShell (Merci @Harmj0y)

Contrairement à mes TP sur DES ou Vigenère, je suis tombé sur un article qui a déjà ré-implémenté RC4 en Lire la suite

Livres de sécurité informatique

Livres de sécurité informatique

Bonjour à tous, ce rapide post pour vous conseiller quelques livres de sécurité informatique que je trouve sympa à lire quand on fait de la SSI, de la cyber et/ou du hacking (éthique bien sur) :

Séries Windows Internals (6ème édition 1 &2) :

Un suite de plusieurs éditions s’intéressant tout particulièrement au fonctionnement du noyaux Windows. La 6ème édition (en 2 partie) s’occupe de Windows 7 et 2008R2. Ce n’est pas spécialement écrit pour la sécurité, mais une fois qu’on a une compréhension fine de l’OS, s’en servir en tant qu’attaquant ou défenseur n’est plus qu’a un pas… Un très bonne lecture (en anglais), quoiqu’un peu prise de tête parfois, hein. La 7ème édition sur Windows 8 est prévue pour fin 2016.

 

Hacking un labo virtuel pour auditer et mettre en place des contres mesures

Pas vraiment indispensable, mais un bon point de départ, en français qui plus est, pour commencer le hacking. Étonnament le livre est, à mons goût, plus axé sur la construction d’une infra d’entrainement pour le PenTest que sur le PenTest en lui même. Mais ca reste interressant à suivre comme point de départ.

 

 

Apprendre à Programmer avec Python 3

Si vous … Lire la suite