Introduction

Dans cet article, nous allons aborder les ransomwares qui sont en constante augmentation.

Qui est visée ?

Les entreprises ainsi que les administrations publiques (hôpitaux, mairies) sont les plus couramment visées, mais les particuliers peuvent eux aussi être touché par les ransomwares.

Le fonctionnement d'une attaque par ransomware

Il faut différencier dans un premier temps, les types de ransomwares, ceux qui bloquent les écrans d’ordinateur, ceux qui chiffrent les données, ceux qui bloquent le démarrage du système et ceux qui visent les mobiles.

L’image ci-dessous montre le fonctionnement d’un ransomware en 3 étapes.

Les dégâts que peuvent causer les ransomwares

La vidéo suivante de tech2tech explique le fonctionnement d'un ransomware au travers d'une démonstration et l'analyse d'un rançongiciel.

Solution pour le déchiffrement

Qui contacter en cas d'attaque par ransomware ?

Quelques conseils pour lutter contre les ransomwares

Ne pas payer, la rançon, car le pirate ne vous donnera pas forcément la clé de déchiffrement (pour récupérer les fichier intact) et cela pourrai donner envie au pirate de recommencer.

Utiliser un antivirus permettra de détecter certain ransomware plus classique, celui intégrée par défaut à partir de Windows 10 (Windows defender) fonctionne très bien.

Ne pas brancher les clés USB ou disque dur externe trouvée au hasard, car nous ne savons ce qu'elle contient, elle pourrait contenir un ransomware ou un virus.

Couper l'ordinateur ou autre équipement du réseau, dès les moindres soupçons pour éviter que les autres équipements soient infectés par ce ransomware.

La vidéo suivante de Microsoft donne des conseils semblables pour lutter contre les ransomwares.

Autre recommandation concernant le Phishing

Vérifier l'expéditeur du mail

Ne pas cliquer sur les liens contenus dans les mails ou bien diffuser sur les réseaux sociaux, car ces liens peuvent amener vers de faux sites.

Vérifier l'orthographe, car les mails d'hameçonnage contiennent généralement de nombreuses fautes d'orthographe.

Qu'est-ce que l'hameçonnage ?

Lorsque vous faites face à une situation douteuse, plusieurs méthodes s’offrent à vous pour identifier le risque :

1. Posez-vous les bonnes questions :

   Si vous recevez un mail concernant une chose auquel vous n'avez pas souscrit. Par exemple un abonnement chez le concurrent de votre fournisseur d'accès à internet actuel, vous pouvez être certain qu'il s'agit d'une arnaque.

2. Regardez l'objet du mail :

   Certains courriels contient des fautes en tout genre : syntaxiques, orthographiques, grammaticales, etc. Si c’est votre cas, il est possible que le courriel que vous avez reçu soit une arnaque.

3. Regardez l'adresse mail de l'expéditeur :

   Lorsque vous recevez un courriel, vous devez toujours regarder l'e-mail de l'expéditeur. Mais il faut tout de même rester vigilant, car certaines fausses e-mail, ressemblent beaucoup aux e-mail officielles.

   Pour avoir confirmation qu'une e-mail soit bien officiel, vous pouvez vous référer à vos factures ou contrats s'il s'agit d'un service, ou en allant sur le site internet des diverses entreprises dont vous recevez des courriels.

4. Regardez l'extension des fichiers joints :

   Si dans le courriel que vous avez reçu, il y a un fichier, soyez vigilant sur l'extension de ce dernier. Si un fichier a pour extension ".bat", ".exe" ou une extension qui ne vous est pas familière, il est très probable que ce soit un programme malveillant (spyware, malware, keylogger, etc).

5. Inspectez les adresses URI sans cliquer dessus :

   Dans n'importe quel courriel frauduleux, vous y trouverez des adresses URI (anciennement URL). Pour pouvoir analyser le lien, glissez votre sourie sans cliquer sur le lien, puis dans un petit encadré blanc en bas à gauche de votre écran ou dans une petite fenêtre attachée à votre curseur, vous y retrouverez le lien complet du site internet. S'il s'agit d'une adresse URI qui ne vous est pas familière, il est très probable que ce soit une arnaque, de plus si elle commence par http:// et pas par https://.

   Attention, restez tout de même vigilant avec les adresses commençantes par https://, car bien que ce soit un indicateur qu'un site soit sécurisé, derrière peu se cacher une véritable arnaque.

6. Regardez si le mail contient des fautes de français :

   Comme nous l'avons énoncé précédemment pour l'objet du courriel, regardez son contenu pour détecter les erreurs de syntaxes, d'orthographes ou de grammaires.

Penser à :

• Un bon mot de passe doit contenir au minimum 12 caractères avec des minuscules, majuscules, chiffres et caractères spéciaux ;

• Ne jamais le noter, trouver un moyen autre ;

• Si vous avez la possibilité d'activer l'authentification à deux facteurs, faites-le cela permet d'avoir un code temporaire à chaque connexion, comme ça l'attaquant qui possède votre identifiant et mot de passe ne pourra jamais ce que connecter sans le code complémentaire ;

• Maintenez vos programmes à jour ;

• Possédez un outil pour scanner les fichiers ;

Temps estimé pour déchiffrer votre mot de passe en 2021 :

Un journaliste humoristique explique en 2 minutes

Vous le connaissez surement il s'agit de David Castello Lopes, notamment connu avec le buz de la vidéo "Je possède des thunes", il explique très bien comment avoir un bon mot de passe

Hello bank en parle :

Auteur de l'article

Valentin étudiant en étude supérieur en informatique à retrouver sur Linkedin

1.Qu’est-ce qu’un réseau social.

Un réseau social est une plateforme web (voir logiciel web) et/ou une application mobile permettant l’échange, partage, mise en contact et découverte de contenu.

2. Les réseaux sociaux les plus utilisées

3. Les dangers des réseaux sociaux

Dans nos échanges du plus jeune âge à plus, il est nécessaire d'avoir un smartphone et un profil de réseau social, nous sommes exclus d'un groupe dans le cas inverse si nous ne pouvons satisfaire cet aspect social numérique.

Beaucoup de jeune personne sont très mal équipé face à cette façon de consommer le numérique et d'échanger, il arrive très souvent que la malveillance de la sphère public arrive à atteindre la sphère privée beaucoup plus facilement qu'a une autre époque.

La plateforme cybermalveillance.gouv.fr à enregistré 2,5 millions de visiteurs, une fréquentation record principalement centrée sur l’assistance, qui traduit un besoin en cybersécurité grandissant des populations.

Parmi les actes de cybermalveillance les plus fréquemment rencontrés par les différents publics :

• L’hameçonnage ou phishing en anglais (voir article c'est quoi le phising);

• Le piratage de compte en ligne ;

• Les rançongiciels ou ransomwares en anglais (rédaction d'un article ransomware ) ;

• Le piratage de compte en ligne.

Il y a plusieurs facteurs néfaste pour les usagés des réseaux différents tels que :

• Le contenu insultant, homophobe, raciste et malveillant ;

• Contenu pornographique ;

• Fausses informations ( ex : fausse annonce de décès,...)

• La liste est plutôt longue ...

Un autre danger des réseaux sociaux concerne l’utilisation de nos données personnelles, en effet, vous avez tous reçu à une période un mail pour dire que les plateformes faisaient une mise à jour des conditions d'utilisations, ils vendent nos données personnelles, où s'en servent pour afficher des publicités pertinentes à l’utilisateur et tant d'autres choses que nous ne détaillerons pas ici.

4. Quelques scandales mêlant les réseaux sociaux :

De nombreux scandale mêlant les réseaux sociaux sont apparus ces 5 dernières années. L'un des scandale les plus important est l'affaire Facebook-cambridge Analytica.

Cambridge Analytica a utilisé nos données personnelles que Facebook à données (ou vendu) a la société pour influencer les votes en faveur des personnalités politiques, et principalement l'élection présidentielle américaine de novembre 2016 qui a permis l'élection de Donald Trump aux états-unis.

Comme on l'as vu dans l'article nous passons énormément de temps sur les réseaux sociaux tant par nos usage personnel que professionnel, mais de nombreuse activités malveillantes ont lieux aux travers des réseaux sociaux.

5. Quelle solutions pour se protéger des réseaux sociaux.

Pourquoi se protéger

Avec l’avènement des réseaux sociaux, il devient très facile de nous stalker, c'est-à-dire quelqu'un pratiquant la traque furtive. Le stalking est une forme de harcèlement cela peut être n'importe qui pour nous espionner, nous surveiller au travers des réseaux sociaux. Il y'as justement une série sur le stalk qui est actuellement diffusée sur france tv.

C'est pourquoi pour lutter contre ses espions d'un nouveau genre, je vous recommande de mettre vos comptes en privées en utilisant les fonctionnalités disponibles sur toutes les plateformes et application tablette/mobile (paramètre et confidentialité), cela permettra que toute personne ne faisant pas partie de vos amis ne voie pas ce que vous postez ou vous chercher avec votre numéro de téléphone.

Mettre en privé ses comptes

Il faut bien sûr faire attention à ce que le poste sur les réseaux sociaux ne donne pas trop d'informations sur vos photos, vidéos et autres informations.

Pour lutter contre la fausse information aussi appelée hoax, je vous recommande de vérifier sur le web sur les nombreuses plateformes qui lutte contre la désinformation notamment :

Où trouver d'autres conseils

Vous pourrez trouver de nombreux conseils pour vous prôteger des réseaux sociaux sur différentes plateforme comme :

Lutter contre la fausse information

Lutter contre le piratage

Pour lutter contre le piratage de compte en ligne, je vous conseille d'activer la double authentifications ( code reçu par sms le plus souvent ou avec une applications tierce comme microsoft authentificator).

Le pirate même avec votre identifiant et mot de passe ne pourra pas se connecter tant qu'il n'a pas le code temporaire de la double authentification.

6. Conclusion

Comme on l’a vu, dans cet article, les réseaux sociaux sont un vrai danger tant au niveau de donnée personnelles et de tout ce que on peut y trouver, il vous appartient de savoir mieux les utilisés. C’est pourquoi, Avec bluekeys nous allons vous proposer des temps d’écoute sur ces dangers et essayer de vous apporter des solutions.

Sources

Vous êtes nombreux·euses à demander ce qu'on peut faire avec une adresse IP, souvent, il arrive que le sujet ne soit pas du tout rassurant, voire inquiétant, inspirant quelques fois carrément la peur.

L'adresse donnée par votre FAI (Fournisseur d'Accès à Internet) peut être fixe ou dynamique. Cela signifie que vous aurez toujours la même adresse IP si elle est fixe (vous serez donc plus facilement traçable). Par contre, si elle est dynamique (le plus souvent c'est le cas), vous aurez une nouvelle adresse IP attribuée par votre FAI à chaque connexion de votre box.

Soyez rassuré·e·s ce n'est pas comme dans les séries; une personne mal intentionnée qui récupère cette information ne peut pas faire n'importe quoi :

• Spammer avec des annonces “personnalisées” (plus avancé et moins fréquent) ;

• Restreindre l'accès à certains services ;

• Localiser l'emplacement à un endroit approximatif – un pays, une ville ou même un quartier ;

• Suivre tes actions en ligne pour trouver plus de renseignements personnels ;

• Il existe des services en ligne permettant, à partir d'une adresse IP, de trouver les informations liées à cette dernière ;

• S'il a des contacts chez un FAI, il peut avoir le téléphone de l'abonné, mais bon ... c'est rare qu'un salarié le fasse pour ensuite perdre son travail.

En résumé :

La personne peut faire des choses, trouver des détails approximatifs sur votre (pays, ville, code postal, FAI), restreindre des accès (sites Web ou serveurs de jeux..), et vous cibler avec des annonces. C'est souvent plus un moyen de pression psychologique qu'autre chose.

Informations et numéros

• 17 : Police, Gendarmerie

• 15 : SAMU

• 18 : Sapeurs-Pompiers

• 112 : Numéro d’Urgences accessibles dans toute l’Union Européenne même sans réseau

• 114 : Numéro d’Urgences, Accessible par fax, ou SMS uniquement toutes urgences (pour personnes malentendantes ou sourdes ou en cas de terrorisme à proximité)

• 115 : SAMU social, se trouver un endroit où dormir la nuit, gratuit, 24h/24

• 119: Service national d'accueil téléphonique pour l'enfance en danger 24h/24 : 7j/7, gratuit

• 197 : Alerte Enlèvement

• 3624 : SOS Médecin, 24h/24, 7j/7, gratuit

• Pharmacie de garde : 3237

• Centre antipoison : 0800 59 59 59, 24h/24, 7j/7, gratuit,

• Violences Conjugales : 3919 , 24h/24, 7j/7, Anonyme et gratuit,

Suicide et écoute

• SOS Amitiés : 01 42 96 26 26 Anonyme et gratuit, 24h/24

• SOS Suicide Phénix : 01 40 44 46 45 Anonyme et gratuit, de 13h à 23h, 7j/7

• Suicide écoute : 01 45 39 49 00, Anonyme et gratuit, 24h/24, 7j/7

• Fil Santé Jeune (12/25 ans) : 01 44 93 30 74 Anonyme et gratuit, de 9h/23h, 7j/7

• SOS homophobie : 01 48 06 42 41,

• Alcool Info service : 0980 980 930, Anonyme et cgratuit, 7j/7, 8h/2h,

• Drogues Info Service : 0800 23 13 13, Anonyme et gratuit, 7j/7, 8h/2h,

• Fondation Le Refuge: 06 31 59 69 50, Anonyme et gratuit, 7j/7, 24h/24

• Autisme Info Service : 0 800 71 40 40, Anonyme et gratuit,

• Surdi Info : Contact sur le site :

Le site est réalisé par Ola et Markus en Suède, avec l'aide de nos amis et collègues en Italie, Finlande, USA, Colombie, Philippines, France et des contributeurs du monde entier. C'est vrai, toutes les listes de produits de substitution proviennent d'un grand nombre de sources, et c'est ce qui rend les données puissantes et pertinentes.

Par contre, il faut quand même prendre du recul cela reste à votre appréciation, il arrive que vous tombiez sur de mauvaise proposition, c'est comme tout faut voir, mais ça reste un service plutôt intéressant.

WSA :

Orientations :

Merci à @0xTimD pour la roadmap pentest de HackTheBox ! Elle présente un peut pour avoir une idée non par quoi commencer et par quoi continuer.

@!comores11 : C'est vraiment une roadmap pour le "Pentest", juste le CEH à la fin c'est à discuter.

Voici une des meilleures plateformes d'apprentissage dans le domaine du hacking ( sans doute la meilleure parmi celles gratuites ) concernant les vulnérabilités liées au monde du web :

• Elle est en anglais (oui, dans le monde du hacking, l'anglais est indispensable )

• Créée par les fondateurs du célèbre logiciel Burp Suite

• Correspond à tous types de personnes, qu'elle soit débutante ou expérimentée

• Très souvent mise à jour ( nouvelles catégories de challenges, articles d'experts en sécurité,...)

• Plus de 185 challenges de tous les niveaux sur le domaine du web avec les corrections disponibles

  • Des cours et challenges dans chacun des domaines suivants :

  • SQL injection

  • Cross-site scripting ( XSS)

  • Cross-site request forgery (CSRF)

  • Clickjacking

  • DOM-based vulnerabilities

  • Cross-origin resource sharing (CORS)

  • XML external entity (XXE) injection

  • Server-side request forgery (SSRF)

  • HTTP request smuggling

  • OS command injection

  • Server-side template injection

  • Access control vulnerabilities

  • Authentication

  • WebSockets

  • Web cache poisoning

  • Insecure deserialization

  • Information disclosure

  • Business logic vulnerabilities

Plusieurs chaines / sites lié principalement (mais pas que) au bug bounty (tout est en anglais)

• Posts from Hacker101 members on how to get started hacking

Comprendre et utilisé les SSHA sous LDPA Type de fichier joint :

Je viens de recevoir mon exemplaire gratuit durant la promotion, du pdf : Mastering Linux Security and Hardening - Second Edition je le partage pour la communauté :

Cet article va vous permettre d'apprendre la cybersécurité en vous donnant des ressources, conseils et différentes informations. Cependant cet article n'est pas la Bible de la cybersécurité ! Vous n'êtes en aucun cas obligé de suivre ce que l'on vous conseille. Si vous avez des recommendations d'ajouts ou d'éléments à retirer, n'hésitez pas à nous contacter sur notre Discord ! Bonne lecture, et bon apprentissage ! :-)

1. Veille technologique

Suivez les experts influents de la cybersécurité sur Twitter. Ceux qui ont le plus de succès ne se font probablement pas appeler experts de la cybersécurité. Ils se contentent de lâcher constamment des bombes de connaissances, des conseils et des astuces qui peuvent aider votre carrière. Voici une courte liste pour vous aider :

2. Combinez lecture et pratique

Il existe plusieurs entreprises qui produisent régulièrement du contenu de qualité sur la sécurité. En tête de liste, nous trouvons CrowdStrike, Endgame, FireEye, Kaspersky, Palo Alto's Unit 42 et TrendLabs. Au fil de votre lecture, essayez de comprendre comment vous détecteriez l'activité décrite, puis comment vous enquêteriez.

Il existe aussi des CTF, il s'agit de compétitions en solo ou en équipe, généralement des challenges lié à la sécurité où il est nécessaire de retrouver un mot de passe qu'on appel le flag, plus d'info sur les CTF:

Ce qui est génial, c'est qu'après, les compétiteurs font ce qu'on appelle des write up. Il s'agit de documents qui expliquent pas à pas comment un challenge a été réussi. C'est une vraie mine d'or d'informations ! Nous recommandons vivement que vous en lisiez ou regardiez, car oui, il y en a même sur YouTube!

Cherchez-vous à développer vos connaissances techniques en vue d'un poste d'analyste ? L'étendue de ce que vous devez savoir peut paraître décourageant. Les connaissances les plus fondamentales à acquérir concernent peut-être la suite de protocoles TCP/IP. Préparez-vous à répondre en toute confiance à la question "que se passe-t-il quand...".

Pour l'apprentissage du Forensic, vous ne pouvez probablement pas obtenir de meilleures bases que la 3e édition de "Incident Response and Computer Forensics". Le chapitre sur l'investigation de Windows est un véritable trésor. Plongez dans Powershell, les cadres d'attaque associés, et apprenez à accroître la visibilité de l'activité PowerShell grâce à la journalisation. Associez ces connaissances à l'une des meilleures formations gratuites disponibles sur Cobalt Strike et d'autres vidéos, regardez-les et appliquez les concepts que vous avez appris dans le cadre de l'essai de 21 jours de Cobalt Strike.

Vous n'avez pas assez de temps ?

Envisagez d'investir. Le "Blue Team Field Manual" et le "Red Team Field Manual" complètent nos recommandations à ce sujet. En parallèle, mettez en place un laboratoire avec des postes de travail Windows 7 (ou ultérieur) reliés à un domaine. Compromettez le poste de travail en utilisant certaines des techniques les plus simples, puis explorez l'activité post-exploitation. Votre objectif est de vous faire une idée aussi bien du côté de l'attaque que de la défense.

En ce qui concerne le réseau, pensez à :

• "The Practice of Network Security Monitoring" ;

• "Practical Packet Analysis" ;

• "Applied Network Security Monitoring".

Lorsque le moment est venu de mettre en pratique ce que vous avez appris dans les livres, utilisez des ressources telles que le blog sur l'analyse du trafic des logiciels malveillants et la consultation de PacketTotal pour vous faire une idée de ce qui est "normal" et de ce qui ne l'est pas. Votre objectif ici devrait être de comprendre les sources de données (preuves réseau) qui peuvent être utilisées pour détecter et expliquer l'activité. Pour affiner vos processus d'investigation sur le réseau, pensez à Security Onion. Installez quelques capteurs réseau, surveillez le trafic et créez des signatures Snort/Suricata pour signaler le trafic illicite. Votre objectif est d'établir un processus d'enquête de base et, comme pour les points d'accès, de comprendre les côtés attaque et défense de l'équation.

3. Cherchez à pratiquer plus qu'à lire

Avez-vous déjà suivi un cours et, des mois plus tard, essayé d'utiliser les connaissances que vous aviez prétendument acquises pour découvrir que vous aviez oublié tous les éléments importants ? Oui, si vous déconnectez l'apprentissage de l'utilisation des connaissances, vous allez être dans une situation difficile. C'est peut-être l'un des plus grands défis à relever lorsqu'on se lance dans un rôle de sécurité plus technique.

Pour y remédier, en plus de combiner lecture et pratique, pensez à la technique de Feynman. Vous n'en avez jamais entendu parler ? Eh bien, il est facile de survoler les éléments que l'on ne comprend pas... mais si vous parvenez à les traduire dans un langage simple de façon à ce que les autres puissent les comprendre, vous les aurez mieux compris par la même occasion.

4. Développer un état d'esprit malveillant

Il y a quelques années, un spécialiste de la sécurité expliquait comment devenir un meilleur défenseur en pensant comme un adversaire. L'histoire s'accompagnait d'échanges maladroits (et humoristiques). Il est entré dans une chambre d'hôtel avec sa famille pendant ses vacances, a vu le distributeur de savon non sécurisé installé dans le mur de la douche et a dit à haute voix : "Wow, ce serait si facile de remplacer le shampoing par du Nair ! (produit d'épilation)" Sa famille était horrifiée.

Soyons clairs : nous ne préconisons pas que vous remplaciez le shampoing par du Nair, ou tout autre produit anti-capillaire. Et le concept de penser comme un agresseur n'est pas nouveau. Il y a huit ans, lorsqu'on a demandé à Lance Cottrell ce qui faisait un bon professionnel de la cybersécurité, il a répondu qu'il se mettait "à la place de l'attaquant et regardait le réseau comme l'ennemi le regarderait, puis réfléchissait à la manière de le protéger".

La meilleure façon d'y parvenir aujourd'hui est de se familiariser avec le cadre ATTACK de MITRE. Il devient rapidement le modèle de référence pour structurer le développement d'un processus d'investigation et comprendre où (et comment) vous pouvez appliquer la détection et l'investigation. Vous pouvez vous familiariser avec ce cadre avant d'entreprendre des lectures approfondies, puis y revenir de temps en temps si nécessaire.

5. Soyez intrépide

Ne laissez pas votre manque de connaissances vous arrêter. Il existe des organisations prêtes à investir dans des personnes ayant les bonnes caractéristiques et le désir d'apprendre. Postulez pour le poste, même si vous ne pensez pas être qualifié. Vous recevrez peut-être un refus. Et alors ? Essayez à nouveau dans une autre entreprise. Ou essayez à nouveau dans cette même entreprise plus tard. La lecture ne vous mènera pas loin... c'est en appliquant vos connaissances que vous passerez au niveau supérieur. Et devinez quoi, vous vous souvenez de la technique de Feynman ? Oui, en enseignant aux autres les connaissances que vous avez acquises, vous passerez au niveau supérieur.

Bonne chance, bonne chasse ! Enfin... à ceux qui disent "une formation en informatique et des compétences techniques approfondies vous aideront à trouver un emploi dans la sécurité", nous répondons : "Nous sommes d'accord !" Et à ceux qui disent que "les rôles dans la sécurité peuvent être larges et que vous pouvez les utiliser pour développer une expertise technique au fil du temps", nous répondons : "Nous sommes également d'accord !"

Ce que nous ne croyons pas, c'est de dire à des gens que nous ne connaissons pas qu'ils ne peuvent pas faire quelque chose sans comprendre leur situation unique. Il peut y avoir des chemins qui sont généralement plus faciles, ou généralement plus difficiles. Mais supposer que vous ne pouvez pas faire quelque chose est un vent contraire dont vous n'avez pas besoin. Nous espérons que vous avez trouvé ici des conseils qui vous donneront l'impulsion nécessaire pour envisager un emploi de sécurité de premier échelon (ou plus) et que vous postulerez. À cette fin, nous vous souhaitons... bonne chance !

6. Un diplôme universitaire est-il nécessaire pour faire carrière dans la cybersécurité ?

La réponse est courte : pas nécessairement. "Notre industrie a été inaugurée par des personnes sans diplôme universitaire", affirme Josh Feinblum. Travaillez dur pour vous impliquer dans la communauté, contribuez à des projets open source, essayez de parler de recherches cool lors de conférences - ce sont toutes des choses que les pionniers originaux ont faites et qui peuvent offrir des opportunités aux personnes intelligentes et travailleuses d'entrer dans l'industrie.

7. Prérequis en matière de cybersécurité

Comme dans tout domaine technologique, il est utile de commencer par acquérir les bases de la programmation. "Être capable de comprendre un langage de programmation vous donnera un bon départ dans la cybersécurité", déclare Kristen Kozinski. Vous n'avez pas besoin d'être un expert, mais être capable de lire et de comprendre un langage est une bonne compétence à avoir. Il ne s'agit pas d'un prérequis indispensable en matière de cybersécurité, mais c'est définitivement agréable à avoir.

8. Déterminez ce que vous voulez apprendre.

Le domaine de la cybersécurité est très vaste et comporte de nombreuses spécialités, qui changent et évoluent en permanence. La première étape de votre apprentissage autonome de la cybersécurité consiste à définir les domaines sur lesquels vous souhaitez vous concentrer et de vous faire une bonne image mentale de l'ensemble. Vous avez la possibilité de changer d'avis plus tard ou de pivoter, il est essentiel de savoir quel domaine vous intéresse. Demandez-vous si vous voulez vous concentrer sur la programmation, les tests de pénétration, la sécurité des réseaux, la criminalistique ou un autre domaine. En décidant maintenant, vous pourrez déterminer la meilleure voie à suivre.

9. Puis-je apprendre gratuitement ?

Il existe de nombreuses ressources gratuites disponibles en ligne et dans les bibliothèques locales, qui peuvent fournir une grande quantité d'informations sur la cybersécurité. À un moment donné dans tout parcours d'apprentissage, il sera probablement nécessaire d'investir dans des connaissances supplémentaires. Cependant, si vous souhaitez vous entrainer sans avoir à payer des serveurs, nous pouvons vous conseiller différents sites gratuits.

10. Parler anglais

Bien qu'il existe de nombreuses ressources en français, il en existe encore plus en anglais. Quand vous rencontrerez un problème, vous trouverez d'avantage de résultats et de réponses en anglais. De plus, vous aurez bien plus d'opportunité d'emploi si vous parlez anglais. En clair, pour faire de la sécurité, il est plus que recommandé de parler anglais, ou d'apprendre l'anglais.

11. Linux et les VM

Une machine virtuelle ou VM est un environnement entièrement virtualisé qui fonctionne sur une machine physique. Elle exécute son propre système d’exploitation (OS) et bénéficie des mêmes équipement qu’une machine physique : CPU, mémoire RAM, disque dur et carte réseau. Plusieurs machines virtuelles avec des OS différents peuvent coexister sur le même serveur physique : Linux, MacOS, Windows… Ce qui est important, c'est Linux! Si vous ne connaissez pas, nous vous conseillons vivement de rechercher comment créer une VM Linux et comment utiliser Linux. Il s'agit d'un puissant outil, mais il peut paraître compliqué quand vous débutez. Pas besoin de s'inquiéter : vous y arriverez vite !

12. Ressources

Il est important d'apprendre en utilisant de bonnes bases, pour cela nous vous avons fait une liste de ressources intéressantes !

13. Sources

14. Une suite par Bluekeys ?

Est un programme en ligne de commande pour gérer les fichiers sur le stockage en Cloud, avec une très bonne documentation. C'est une alternative riche en fonctionnalités aux interfaces de stockage web des fournisseurs de cloud computing. Plus de 40 produits de stockage dans le cloud prennent en charge Rclone, notamment les magasins d'objets S3, les services de stockage de fichiers pour les entreprises et les particuliers, ainsi que les protocoles de transfert standard.

Rclone dispose de puissants équivalents de cloud aux commandes unix rsync, cp, mv, mount, ls, ncdu, tree, rm et cat. La syntaxe de l'outil familière inclut le support du pipeline shell et la protection contre les exécutions à sec. Il est utilisé en ligne de commande, dans des scripts ou via son API.

Nous sommes dessus en ce moment pour Blue-Keys

Pour les personnes moins avancé, il existe le logiciel Veeam Agent pour Microsoft Windows FREE. Notez qu'il existe également une version Linux (avec une interface en ligne de commande uniquement)

Quark est un langage de programmation interprété en Typescript dont la syntaxe se base sur Lisp. Le langage fonctionne dans sa globalité de manière récursive se basant sur un système de registre et CallStack.

Exemple

Comme indiqué, il s'agit d'un Lisp like, en voici quelques démonstrations à travers de simples exemples :

(print "Hello world")

(let username "Thomas")
(print "Hello" username)

(let welcome (fn (username) {
  (print "Hello" username)
}))

En Lisp, tout réside dans l'habitude et l'organisation. Bien que le langage puisse paraître assez désordonné, ça n'est simplement qu'une question d'habitude. Pratiquer vous permettra de développer une certaine aptitude dans l'organisation de votre code en contrepartie. En plus de cela, le Lisp vous permettra d'accroître votre productivité de par sa liberté et sa simplicité à écrire.

Installation

L'installation de Quark est assez simple, il faut cependant plusieurs dépendances au préalable :

• Deno

• Git

# On clone le repôt et on se déplace dedans
$ git clone https://github.com/quark-lang/quark
$ cd quark

# On installe ensuite au path le projet
$ deno install --no-check -n quark --allow-all src/main.ts

$ quark

Fonctionnement

Formatage

Dans un premier temps, le code va être formaté afin que tous les commentaires soient supprimés de ce dernier : le fait que le langage soit simplement interprété supprime toute utilité aux commentaires pour le moment.

Ce code ne retourne donc qu'une simple copie du code brut modifié.

Tokenisation

Ensuite, le code, une fois formaté, va être analysé de manière à retourner une liste de ce qu'on appelle Token : La définition est assez simple :

export enum Tokens {
  Node = 'Node',
  String = 'String',
  Word = 'Word',
}

export type Node = 
  | '(' 
  | ')' 
  | '{' 
  | '}';

export interface Token {
  token: Tokens,
  value: Node | string,
}

Voici le résultat de l'analyse du code ci-dessous :

(print "Hello world")

[
  { token: "Node", value: "(" },
  { token: "Word", value: "print" },
  { token: "String", value: '"Hello world"' },
  { token: "Node", value: ")" }
]

Analyse syntaxique

Par la suite, vient l'étape d'analyse syntaxique qui consiste à créer une représentation du code pouvant être plus simplement ensuite manipulée par l'interpréteur. C'est sans-doute l'un des étapes les plus importantes au bon fonctionnement du langage. Dans le cas de Quark, il s'agit d'une array dite multidepth, voici sa définition :

export type Block = (Element | Block)[];

export type ElementTypes =
  | 'String'
  | 'Number'
  | 'Word'
  | 'Node';

export interface Element {
  type: ElementTypes,
  value: string | number,
}

Pour le code suivant :

(print "4 + 2 =" (+ 4 2))

La représentation sera :

[
  [
    { type: "Word", value: "print" },
    { type: "String", value: "4 + 2 =" },
    [
      { type: "Word", value: "+" },
      { type: "Number", value: 4 },
      { type: "Number", value: 2 }
    ]
  ]
]

Interprétation

L'interprétation est la dernière étape du processus du langage de programmation. Elle consiste en l'exécution de notre arbre syntaxique (ou AST) généré à l'étape précédente. Cette étape bien que plus complexe demeure toujours réalisable et assez simple avec un peu de motivation. Nous ne survolerons cependant que la partie simple de l'interpréteur. Avant de partir dans les profondeurs du fonctionnement d'un langage interprété, il est déjà important de définir plusieurs termes :

• La stack : l'intégralité de votre code est régis par la Stack. Pour faire simple, c'est un conteneur qui contient lui-même des conteneurs appelés Function Frame. Ce dernier vous permet donc de maintenir la structure des différentes variables du code. C'est cette organisation en conteneurs qui permet de délimiter le scoping de ces dernières.

• La Function Frame : il s'agit simplement d'un conteneur, cette fois-ci encore, permettant contrairement à la Stack, d'organiser bien plus précisément les variables et leur utilisation. En effet, la function frame contient ce qu'on appelle des Local Frame. La function frame est créée dès lors l'appel d'une fonction. Les function frames ne peuvent pas intéragir entre-elles.

• La Local Frame : c'est le conteneur le plus profond, celui qui contient quant à lui, l'intégralité de vos variables, du scope global au scope local, il est omniprésent. Chaque local frame représente un niveau de scope bien précis et propre à la function frame en question. Les local frames peuvent intéragir entre-elles.

• Le scoping : Le scoping n'est ni plus ni moins qu'un terme pour désigner la délimitation de code via des blocs. Cette dite délimitation permet notamment la création de nouvelles Local Frames, ce pouvant être utile à la création de variables "privées".

Définition d'une variable

Dès à présent, commençons par la définition d'une variable et sa modification. Lors de la création d'une variable, cette dernière est stockée sur la dernière frame contenue dans la local frame en cours d'utilisation, ce qui fait qu'elle est constamment créée de manière locale à moins d'être dans la racine du programme, où elle sera alors considérée comme faisant parti intégrante de la frame globale. La modification de variable, quant à elle, récupère modifie la variable en question dans le scope dans lequel elle est trouvée en dernier. De ce fait, une variable dans un scope antérieur peut être modifiée. Mais ne peut pas être modifié, les variables d'une function frame.

Appel d'une fonction

L'appel d'une fonction déclenche la création d'une nouvelle frame : Les arguments sont définis dans cette nouvelle frame afin qu'ils puissent être accessibles dans la fonction, et le corps de la fonction est ensuite exécuté. La frame est enfin retirée et le résultat de la fonction, retourné.

Valeur de retour

Le système de retour peut paraître assez innocent mais est en réalité une réelle peine si attention n'est pas prise : dans un système où toute fonction retourne constamment une valeur, il est compliqué de différencier une valeur de retour d'une fonction de notre code Quark que d'une simple valeur de retour de notre interpréteur. C'est pour cela, qu'il a été mis en place dans Quark un système assez simple en définition et en application permettant de gérer simplement et à un seul endroit le retour : ce système consiste en retourner une liste dont le premier élément est la valeur de retour et le second élément est un booléen indiquant s'il s'agit d'une valeur de retour d'une fonction dans Quark ou pas. A partir de là, s'il s'agit bel et bien d'une valeur de retour, nous pouvons retourner la valeur en question de la fonction et donc arrêter la boucle de noeud, sinon on continue simplement la boucle.

Si vous écrivez avec un logiciel de traitement de texte, vous utilisez certainement les listes à puces. Et vous avez raison car une liste à puces peut être très utile pour améliorer la lisibilité et la compréhension d’un texte. C’est d’ailleurs ça la vraie valeur ajoutée d’une liste à puce. Ainsi, quand le paragraphe d’un texte est particulièrement long à lire ou trop complexe pour être très vite compris par le lecteur, mieux vaut utiliser une puce pour marquer chaque point important.

Une fois qu’on a dit ça, reste à savoir comment bien écrire une liste à puces. Toutes les réponses dans ce billet… avec une carte de synthèse en cadeau !

Qu’est-ce qu’une puce ?

Les puces sont ces petits symboles qui servent à lister un ensemble d’éléments. On trouve des puces numérotées (ou ordonnées) et des puces non ordonnées.

Dans une liste à puces non ordonnée, chaque paragraphe commence par une puce. Avant le traitement de texte, la puce se résumait à un tiret (les typographistes garants de leur art préconiseraient un cadratin ou de demi-cadratin). Mais aujourd’hui, une puce peut revêtir moult designs. Exemple des puces du logiciel Word :

Dans une liste numérotée, chaque paragraphe commence par une expression constituée d’un numéro ou d’une lettre et d’un séparateur tel qu’un point ou une parenthèse. Exemple des puces numérotées du logiciel Word :

Dans une liste numérotée, l’ordre des éléments est important soit dans l’esprit du rédacteur, soit dans un souci de compréhension du lecteur. Dans ce cas, l’information est mieux comprise parce que les éléments sont placés dans un ordre logique. Elle permet de discriminer les étapes d’un processus.

Lorsque l’ordre des éléments énoncés n’a pas d’importance, mais qu’il s’agit de mettre en valeur certains éléments, on utilise une liste à puces sans numéros.

Veuillez vous assurer que vous disposez :

• d’une connexion internet ;

• d’une adresse mail ;

• du logiciel Skype ;

• d’un micro-casque ;

• d’un endroit calme et éclairé.

À quoi faut-il faire attention dans une liste à puces ?

Une liste à puces dans un texte écrit pour une impression papier ou pour une lecture à l’écran est avant tout une énumération visuelle. Cette énumération doit être cohérente.

La cohérence porte sur quatre éléments principaux :

• annoncer l’énumération avec une phrase d’introduction (laquelle finit par « :« ) ;

• utiliser la même puce au sein d’une même énumération ;

• utiliser la même ponctuation(virgule ou point-virgule) ;

• choisir des énoncés de même nature.

Petit focus sur ce dernier point. À votre avis, qu’est ce qui ne fonctionne pas dans l’exemple suivant :

Vous l’aurez compris : ce qui ne fonctionne pas, c’est le mélange de substantifs (« finalisation », « recrutement« ) et de verbes à l’infinitif (« étudier« , « valider« ). Il faut choisir, le mieux étant toujours de privilégier les verbes d’action.

Autre incohérence, la ponctuation. Il faut ponctuer la fin de chaque élément d’énumération par un point-virgule ou une (simple) virgule, mais ne pas mélanger les deux. Ce qui pourrait donner :

Quelle ponctuation pour les listes à puces ? Et on met une majuscule au début ou pas ?

Une phrase se terminant par deux-points est le plus souvent suivi énumération (derrière » 1° « , » a) » ou tout autre symbole de puce) dont le premier mot commence par une minuscule.

En revanche, on met une majuscule au début de ces parties de liste lorsqu’elles sont précédées d’une lettre ou d’un numéro suivi d’un point (« A.« , « 1.« , etc.).

Pour se repérer en un clin d’œil dans les règles de ponctuation d’une liste à puces, je vous ai préparé une carte conceptuelle de synthèse de l’essentiel à retenir.

En conclusion

Une liste à puce est une énumération qu’il faut utiliser comme une aide à la lecture : elle permet au lecteur de se repérer facilement dans le texte. Ce qui signifie qu’une énumération ne requiert pas systématiquement l’utilisation d’une liste à puces. Ainsi, une liste à puces peut tout à fait être remplacée par une énumération horizontale. Soit une phrase qui contient une succession de mots, séparés par des virgules ou des points-virgules.

Exemple : Pour remplir ce formulaire : 1) vérifier vos nom et prénom ; 2) indiquer votre adresse ; 3) dater et signer.

Et surtout, noter bien qu’une liste à puces est inutile en deçà de trois éléments (trois puces) dans la liste et au-delà d’une quinzaine de mots par élément.

Source :

1. Qu’est-ce que le « reverse engineering »

Le « reverse » n’est pas une activité strictement informatique : on peut penser à la formule du Coca-Cola qui a été analysée au spectrographe de masse, aux capsules de café dites « compatibles », à la fabrication d’accessoires pour l’iPhone 5 (dont Apple n’a pas publié les spécifications), etc.

À la limite de l’informatique, il existe également une forte activité autour du « reverse » de cartes électroniques, de bitstreams FPGA, voire de composants électroniques. Cette activité existe depuis fort longtemps, par exemple dans le domaine de la télévision sur abonnement (Pay TV), mais elle devient de plus en plus présente dans les conférences de sécurité, à mesure que la sécurité descend dans les couches matérielles via des TPM et autres processeurs « ad-hoc ». Portes d’hôtel, bus automobiles, microcode des cartes Wi-Fi, téléphones par satellite, femtocells, routeurs et autres équipements embarqués deviennent des objets d’étude pour les « hackers ». À titre anecdotique, on peut par exemple citer le projet 3DBrew [1] qui compte « libérer » la console Nintendo 3DS en décapsulant le processeur Nintendo pour en extraire les clés privées par microscopie électronique.

Dans le domaine de la sécurité informatique, le « reverse » est souvent considéré comme le « Graal » des compétences, à la limite de la sorcellerie. Pénétrons donc dans le territoire des arts obscurs.

2. L’épine législative

La question récurrente liée à la pratique du « reverse » en France est légale : que risque-t-on à s’afficher publiquement « reverser » ? Le Malleus Maleficarum nous indique qu’il faut transpercer chaque grain de beauté du suspect à l’aide d’une aiguille : si la plaie ne saigne pas, nous sommes en présence d’un sorcier. Et je ne vous parle pas des techniques déployées par l’ANSSI …

« Je ne suis pas juriste », mais il me semble que la réponse à la question législative n’a aucune importance. Si vous êtes du côté lumineux de la Force – par exemple, que vous analysez des virus pour désinfecter un parc d’entreprise (voire que vous éditez un antivirus français) – ni l’auteur du virus, ni le procureur de la République ne vous inquiéteront pour ce fait.

Si par mégarde vous cheminez sur les sentiers obscurs du cracking et de keygening, vous passerez sous les fourches caudines de l’autorité publique pour un motif quelconque. N’oublions pas que dans la plus célèbre affaire judiciaire de « reverse » française – la société Tegam contre Guillermito – ce dernier a été condamné du fait qu’il n’avait pas acquis de licence pour le logiciel objet de son étude…

Le point juridique étant évacué, entrons désormais dans le vif du sujet.

3. « Reverse engineering » vs. « cracking »

Le vrai « reverse » est une discipline noble et exigeante. Elle consiste à comprendre entièrement un logiciel au point d’en produire une copie interopérable. Les exemples sont nombreux : projet Samba (dont la version 4 peut se substituer à un contrôleur de domaine Microsoft Active Directory), nombreux pilotes Linux et codecs, algorithme RC4 (republié en 1994 sous le nom de ARC4 pour « Alleged RC4 »), etc.

Il s’agit d’une activité très différente de la recherche et de l’exploitation de failles logicielles, ou du « déplombage » de logiciels commerciaux. Il est regrettable de recevoir de nombreux CV mentionnant la compétence « reverse engineering », alors que le candidat ne sait que suivre un flot d’exécution à la main dans son débogueur (technique dite du « F8 »), jusqu’à trouver l’instruction « JNZ » qui va contourner la quasi-totalité des systèmes de licence écrits « à la main ».

4. Bestiaire Monstrueux

Même en se limitant au logiciel informatique, la notion de « reverse » couvre un périmètre excessivement large : du code embarqué dans un microcontrôleur à une application Java, en passant par les « bonnes vieilles » applications en C.

Avant de traiter du cœur du sujet – à savoir les langages compilés (C/C++/Objective-C/…), feuilletons le reste du bestiaire que tout apprenti doit connaître.

4.1 Assembleur

Les applications les plus bas niveaux (BIOS, firmwares, systèmes d’exploitation, jeux pour consoles archaïques, applications MS-DOS, etc.) sont généralement largement écrites en assembleur. Dans ce cas, il n’y a guère d’alternatives : il est strictement nécessaire de connaître très finement l’architecture de la plateforme matérielle cible, ainsi que les instructions du processeur réservées aux opérations bas niveau (initialisation matérielle, etc.).

Ce cas est généralement réservé à des spécialistes et ne sera pas couvert dans la suite de l’article.

4.2 Bytecode

Plutôt que de livrer des applications compilées pour un processeur existant, certains environnements de développement compilent dans un langage intermédiaire de haut niveau, appelé « bytecode ». Un environnement d’exécution (la « machine virtuelle ») doit être fourni pour chaque plateforme matérielle sur laquelle doit s’exécuter ce langage intermédiaire.

Le lecteur éveillé pense immédiatement aux environnements Java et .NET, mais l’utilisation de « bytecode » est beaucoup plus répandue : on peut citer Flash ActionScript, Visual Basic 6 et son P-Code, les langages de script comme Python (fichiers PYC/PYO), mais aussi … les protections logicielles.

On peut disserter sans fin des avantages et des inconvénients d’un « bytecode » par rapport à du code « natif » d’un point de vue génie logiciel. Ce qui est sûr, c’est que la quasi-totalité des « bytecodes » qui n’ont pas été conçus dans une optique de protection logicielle se décompilent sans aucune difficulté sous forme de code source original. Je vous renvoie à vos outils favoris pour cette opération (JD-GUI pour Java, Reflector pour .NET, Uncompyle2 pour Python, etc.).

4.3 Cas des protections logicielles

La protection logicielle est au reverse engineering ce que la nécromancie est à la divination : ce sont deux écoles qui procèdent selon les mêmes principes, mais que tout oppose. Et tandis que tout le monde consulte son voyant, peu nombreux sont ceux qui admettent lever les morts.

Néanmoins, il ne faut pas se mentir : l’étude des protections logicielles constitue la meilleure école pour apprendre rapidement le reverse engineering. Sites de « crackmes », tutoriels, outils, tout est là pour qui veut brûler les étapes. Plus rapide, plus séduisant, mais pas plus puissant est le « cracking ». Seule la maîtrise de l’algorithmique et de la théorie de la compilation permettra d’atteindre la transcendance.

Les protections logicielles sont généralement mises en œuvre pour protéger la gestion des licences logicielles, d’où le caractère sulfureux de leur analyse. Il faut noter toutefois qu’il existe d’autres cas d’usage, comme par exemple :

• La protection d’algorithmes contre l’analyse par des clients légitimes du logiciel (ex. Skype) ;

• La protection de codes malveillants contre l’analyse par les éditeurs antivirus (ex. rootkit TDL-4) ;

• La protection de « cracks » contre l’analyse par les éditeurs (ex. crack pour Windows Vista simulant un BIOS OEM [2]).

Ces derniers cas légitiment grandement l’activité de reverse engineering des protections logicielles. Vous pouvez donc poursuivre la lecture de cet article sans craindre pour votre âme.

Une « bonne » protection doit résister aussi bien à l’analyse statique qu’à l’analyse dynamique de la cible. L’objet de cet article introductif n’est pas d’énumérer toutes les techniques mises au point dans le jeu du chat et de la souris entre « crackers » et éditeurs de protection, mais il existe grosso modo deux grandes classes de protections logicielles utilisées actuellement :

• Les protections externes (dites « packers »). Ces protections visent à « enrober » le logiciel original dans une couche de protection. Le logiciel est chiffré contre l’analyse statique. Il est déchiffré en mémoire à l’exécution, mais des protections anti-débogage et anti-dump permettent d’éviter une récupération trop facile du code.

• Les protections internes (dites « obfuscateurs »). Le principe est de réécrire le code assembleur du logiciel afin de le rendre inintelligible aux Moldus. Plusieurs techniques ont été expérimentées : transformation du code assembleur en bytecode (vulnérable à un « class break » si la machine virtuelle est analysée), insertion de code mort ou complexe à évaluer statiquement, réécriture du graphe de contrôle (« code flattening »), etc. Il s’agit d’un domaine de recherche très actif, y compris dans le monde académique.

À titre anecdotique, les systèmes de contrôle de licence sont à classer dans plusieurs catégories :

• Les protections matérielles (dongles) : très puissantes, mais assez rares aujourd’hui, sauf pour du logiciel très haut de gamme. Le principe consiste à déporter une partie des traitements dans un composant électronique (clé USB « intelligente ») supposé inviolable. Plus le traitement déporté est complexe, plus il sera difficile à comprendre en boîte noire. Un logiciel qui se contenterait de vérifier la présence du susdit dongle sans jamais s’en servir serait bien sûr condamné à finir sur Astalavista.

• Numéro de série ou fichier de licence : la cryptographie moderne autorise des schémas théoriquement inviolables, si l’implémentation est correcte. Mais même un système inviolable peut être piraté… en remplaçant la clé publique de l’éditeur dans le binaire !

• Activation en ligne : le logiciel vérifie qu’il dispose du droit de s’exécuter auprès d’un serveur tiers. Dans les cas les plus élaborés, une partie des traitements est effectuée en ligne – mais cette situation n’est pas toujours acceptable par le client.

5. Les Piliers du Temple

Entrons maintenant dans le vif du sujet : quelles sont les compétences requises pour s’attaquer à une application « native », compilée depuis un langage relativement courant (tel que le C) ?

De mon expérience, elles sont au nombre de quatre.

5.1 Connaître l’assembleur cible

Il n’est absolument pas nécessaire de connaître par cœur le manuel de référence du processeur ! À titre d’exemple, le jeu d’instructions des processeurs x86 et x64 contient une majorité d’instructions en virgule flottante, rarement rencontrées et dont la sémantique est impossible à mémoriser.

Par ailleurs, les compilateurs n’utilisent qu’un sous-ensemble réduit du jeu d’instructions, comme on le verra plus tard.

Il est par contre de bon ton de connaître les spécifiés du processeur cible. Sur architectures x86 et x64, ce sont par exemple la segmentation et les registres implicites. Sur architecture SPARC ce sont les registres glissants et les « delay slots » (qu’on retrouve également sur MIPS). Il existe des architectures encore plus exotiques telles que les processeurs VLIW (Very Long Instruction Word).

5.2 Savoir développer

N’oublions pas que le reverse engineering logiciel consiste à comprendre ce qu’a écrit le développeur d’origine. Il est donc fortement recommandé de savoir soi-même développer dans le langage cible…

Il est amusant de constater qu’il existe des modes dans les « design patterns ». Si le code Sendmail est truffé de constructions setjmp/longjmp/goto désormais obsolètes, le tout nouveau C++11 autorise bien d’autres acrobaties…

Par ailleurs, chaque développeur a ses lubies. Il ne s’agit donc pas de savoir programmer, mais d’avoir une idée de comment programment les autres… La lecture régulière de code issu de projets open source – ou la consultation de forums d’aide aux développeurs – permet de se faire une idée de l’extrême liberté que confère le code.

5.3 Connaissance du compilateur

N’oublions pas que le code assembleur n’est qu’une libre interprétation du code de haut niveau écrit par l’humain. Le compilateur a la charge de produire un code fonctionnellement identique, mais qui peut être structurellement très différent. Nous reviendrons plus tard sur les optimisations proposées par les compilateurs, mais si vous êtes du genre à encore penser que vous pouvez faire mieux qu’un compilateur moderne « à la main », arrêtez-vous et lisez immédiatement la formation de Rolf Rolles intitulée « Binary Literacy – Optimizations and OOP » [3].

La diversité des compilateurs s’est considérablement réduite ces derniers temps (il devient rare de rencontrer les compilateurs de Borland, Watcom ou Metrowerks). Les deux survivants sont GCC et Visual Studio – avec LLVM en challenger, et une mention spéciale pour le compilateur Intel (ICC), qui est capable de produire du code incroyablement optimisé – et donc totalement illisible.

Même s’il ne reste que deux compilateurs, il n’en reste pas moins que la liste des options de compilation proposées par GCC laisse rêveur [4]. Or, le niveau d’optimisation, les options finline*, funroll* ou fomit-frame-pointer vont avoir des effets considérables sur le code généré.

5.4 Reconnaissance de forme

C’est probablement la qualité essentielle du bon reverser. Après des milliers d’heures d’apprentissage, son cerveau reconnaît immédiatement toutes les structures « classiques », de la boucle « for »… à l’implémentation DES en boîte blanche.

Je ne prétends absolument pas jouer dans cette catégorie – c’est d’ailleurs pour cela qu’on ne m’a confié que l’introduction – mais je crois qu’il m’a été donné d’approcher des gens réellement hors du commun dans le domaine. Et je peux vous dire que c’est beau comme un concert de Rammstein.

6. Another World

6.1 Analyse statique ou analyse dynamique ?

Les puristes vous diront que le vrai « reverser » ne fait que de l’analyse statique, c’est-à-dire de la lecture de code mort (éventuellement couplée à un peu d’exécution symbolique). Il est vrai que cette approche est parfois la seule envisageable, par exemple lorsque la plateforme matérielle n’est pas disponible ou débogable (ex. systèmes SCADA).

Néanmoins, je ne serai pas aussi intransigeant et je vous présenterai l’autre approche moins élégante, mais plus « quick win » : il s’agit de l’analyse dynamique.

En effet, l’observation du logiciel en cours d’exécution permet d’identifier rapidement ses fonctions essentielles en « boîte noire ». Des outils comme Process Monitor, APIMonitor ou WinAPIOverride32 s’avèrent indispensables.

6.2 Démarche pour l’analyse statique

Une démarche de reverse efficace ne commence pas bille en tête par la lecture du code assembleur. D’autres éléments plus facilement observables donnent rapidement des pistes essentielles.

• Sections

Cela peut sembler une évidence, mais si votre cible contient 3 sections nommées UPX0, UPX1 et UPX2, vous gagnerez un temps précieux à utiliser la commande upx -d plutôt que d’exécuter pas-à-pas le programme depuis le point d’entrée [5]…

Il faut également prêter attention au développeur malicieux, qui utilise une version modifiée du logiciel UPX pour induire en erreur l’analyste. C’est pourquoi des outils d’identification (tels que PEiD) proposent de rechercher les signatures applicatives des « packers » les plus courants.

• Imports/exports

La liste des fonctions importées – lorsqu’elle est disponible – permet rapidement de se faire une idée des parties essentielles du programme : cryptographie, génération d’aléa, accès au réseau, etc.

Dans l’hypothèse où l’application cible prend une « empreinte » de la plateforme matérielle pour générer un numéro d’installation unique par exemple, identifier les fonctions GetAdaptersAddresses() ou GetVolumeInformation() dans les imports donne des points d’entrée intéressants…

• Constantes

La plupart des algorithmes reposent sur des constantes « bien connues » : la chaîne de caractères KGS!@#$% pour la génération des hashes LM, les constantes 0x67452301 0xEFCDAB89 0x98BADCFE 0x10325476 pour MD5, etc.

D’autre part, de nombreuses implémentations « optimisées » reposent également sur des tableaux pré-calculés : c’est le cas pour DES, tous les algorithmes de CRC, etc.

Enfin, la plupart des algorithmes disposent d’une structure identifiable (nombre de tours, ordre des décalages, etc.).

• Chaînes de caractères

Les chaînes de caractères sont des constantes particulières. Il n’existe pas de méthode scientifique pour explorer les chaînes de caractères, mais l’œil humain repère rapidement les chaînes « intéressantes » : chaînes encodées en Base64 ou en ROT13, chaînes donnant des indications d’usage (comme User-Agent : Mozilla/4.0 ou BEGIN RSA PRIVATE KEY), copyrights, références au code source, messages de débogage, etc.

• Bibliothèques et code open source

Force est de constater que les développeurs adorent la réutilisation de code, comme l’a encore démontré la récente faille dans libupnp. OpenSSL, Boost, ZLib et LibPNG font également partie des suspects habituels. La présentation d’Antony Desnos sur les applications Android laisse rêveur, sachant que certaines applications se composent à 95% de code publicitaire !

Il est donc strictement indispensable d’élaguer tout le code provenant des librairies standards fournies avec le compilateur, et tout le code issu des projets open source, avant de se concentrer sur la partie essentielle du code.

Il n’existe pas d’approche universelle dans le domaine, mais il existe au moins deux pistes intéressantes : la génération de signatures pour IDA avec l’outil FLAIR [6], et l’outil BinDiff [7]. Ce dernier étant basé sur la comparaison de graphes, il est indépendant du langage assembleur : il est donc théoriquement possible de compiler OpenSSL sur Linux/x86, puis d’identifier les fonctions correspondantes dans un binaire Android/ARM par exemple.

Il existe des projets visant à mutualiser l’échange de signatures entre « reversers », comme par exemple CrowdRE [8].

• Métadonnées

Selon les technologies utilisées, le compilateur peut intégrer dans le binaire des métadonnées parfois très intéressantes : informations de débogage, données RTTI pour le C++ (voire à ce sujet l’article de Jean-Philippe LUYTEN dans MISC n°61), stubs des interfaces MS-RPC (cf. plugin mIDA), etc.

• Traces et modes de débogage

De (trop) nombreux logiciels disposent de fonctions de journalisation qui peuvent être réactivées par une configuration spécifique (clé de base de registre, variable d’environnement, conjonction astrale, etc.). La sortie de cette journalisation peut s’effectuer dans un fichier texte, un fichier au format Windows ETL, un débogueur attaché au processus, etc.

Non seulement les chaînes de caractères associées à ces fonctions vont livrer des informations précieuses pour l’analyse statique (comme les types ou les noms des champs dans les structures de données), mais ces traces vont également considérablement accélérer l’analyse dynamique.

Je crois qu’on sous-estime grandement la valeur des versions « Checked Build » de Windows disponibles aux abonnés MSDN…

6.3 Théorie de la compilation

Passons en revue quelques techniques « classiques » d’optimisation qu’il est de bon ton de connaître.

• Alimentation du « pipeline » et prédiction de branchement

Les processeurs modernes pratiquent la divination : ils exécutent des instructions au-delà de la valeur courante du pointeur d’instruction (exécution spéculative), dans l’ordre qui leur paraît le plus efficace (ré-ordonnancement). Cette optimisation est très efficace sur des instructions arithmétiques indépendantes - d’autant que le compilateur va entremêler les instructions (scheduling) et allouer les registres en conséquence - mais se heurte au problème des sauts conditionnels.

La majorité des sauts conditionnels étant corrélés à l’implémentation d’une boucle, le processeur applique l’heuristique suivante : les sauts en arrière sont généralement pris, tandis que les sauts en avant ne sont généralement pas pris. Si le processeur s’est trompé dans sa prédiction, il doit annuler le commencement d’exécution de toutes les instructions qui ne seront finalement pas exécutées, ce qui est très coûteux.

Le compilateur connaît cette heuristique, ce qui lui permet d’optimiser les boucles et les tests conditionnels.

Sur architectures Intel x86 et x64, il est possible de contrôler la prédiction de branchement via des registres de configuration, voire d’enregistrer tous les branchements dans un buffer circulaire (Branch Trace Store) à des fins de profiling.

Sur architecture ARM, toutes les instructions sont conditionnelles, ce qui permet des optimisations intéressantes, comme la suppression des sauts conditionnels pour les assignations simples (de type opérateur ternaire).

Le Pentium Pro (architecture P6) a introduit l’instruction d’assignation conditionnelle CMOV, qui permet le même type d’optimisation. Il faut toutefois noter que le gain en performance n’est pas automatique, et que d’autres astuces (comme l’instruction SBB, qui prend en compte la valeur du « Carry Flag ») permettaient déjà des optimisations.

• Le déroulement de boucle

La meilleure solution pour éviter le coût des sauts conditionnels… c’est de les supprimer purement et simplement !

Si le compilateur connaît à l’avance le nombre d’itérations dans une boucle, et que le code généré peut tenir entièrement dans une page de code (soit 4 Ko sur architectures x86/x64), alors le compilateur copie/colle le code de la boucle autant de fois que nécessaire.

Cette construction est très courante dans les séquences d’initialisation d’algorithmes cryptographiques. Le code généré semble anormalement long de prime abord, mais s’analyse très rapidement.

• L’alignement

Par conception des microcircuits, il est beaucoup plus efficace de travailler à la taille native des mots du processeur. Par exemple, une implémentation naïve de memcpy() pourrait être :

for (i=0 ; i < len ; i++) dst[i] = src[i] ;

Aucune librairie C ne propose une implémentation aussi médiocre : travailler octet par octet sur un bus de 32 bits, c’est diviser par 4 la performance. Une meilleure implémentation de memcpy() serait la suivante :

1. En amont, s’assurer que dst et src sont alloués à des adresses multiples de 4. Si les deux tableaux sont alignés sur 4 Ko et occupent donc un nombre minimal de pages en mémoire, c’est encore mieux.

2. Copier len / 4 mots de 32 bits.

3. Copier les len % 4 octets restants.

C’est en substance l’implémentation qu’on trouve dans la librairie C de Windows XP (MSVCRT.DLL).

Bien entendu, des algorithmes plus complexes s’optimisent encore mieux. Je vous invite par exemple à consulter l’implémentation de la fonction strlen() dans la librairie C du projet GNU (mais pas celle de BSD, qui est naïve).

Si vous êtes sensible à la beauté du code, voici l’implémentation réelle de strlen() sur Mac OS 10.7 (64 bits), telle que représentée par l’outil otool :

_strlen:

pxor %xmm0,%xmm0

movl %edi,%ecx

movq %rdi,%rdx

andq $0xf0,%rdi

orl $0xff,%eax

pcmpeqb (%rdi),%xmm0

andl $0x0f,%ecx

shll %cl,%eax

pmovmskb %xmm0,%ecx

andl %eax,%ecx

je 0x000a250b

00000000000a2501:

bsfl %ecx,%eax

subq %rdx,%rdi

addq %rdi,%rax

ret

00000000000a250b:

pxor %xmm0,%xmm0

addq $0x10,%rdi

00000000000a2513:

movdqa (%rdi),%xmm1

addq $0x10,%rdi

pcmpeqb %xmm0,%xmm1

pmovmskb %xmm1,%ecx

testl %ecx,%ecx

je 0x000a2513

subq $0x10,%rdi

jmp 0x000a2501

• « Inlining »

Comme les sauts conditionnels, l’appel de fonction est une opération excessivement coûteuse, surtout si la destination ne se trouve pas dans la même page de code.

On notera au passage que le noyau Windows – ainsi que le logiciel Chrome [9] – font l’objet d’une optimisation post-compilation, qui consiste à regrouper le code le plus souvent exécuté dans quelques pages mémoire, plutôt que de le répartir dans tout le binaire (optimisation dite « OMAP » [10]). Il est même optimal d’aligner le code sur la taille des lignes du cache d’instruction, soit 16 octets sur architectures x86 et x64.

Afin de limiter les appels de fonction, le compilateur peut décider d’inclure le code de la sous-routine directement sur son lieu d’appel, comme dans les exemples ci-dessous.

Notez l’utilisation des instructions SCAS/MOVS/CMPS associées au préfixe REP, plutôt qu’une construction de boucle beaucoup moins performante.

• Les instructions interdites

Certaines instructions sont peu ou pas utilisées par les compilateurs. Il s’agit d’une optimisation liée au temps d’exécution de ces instructions. Par exemple, l’instruction LOOP nécessite 6 cycles d’horloge en cas de branchement sur processeur 80486. La séquence DEC ECX / JNZ xxx ne nécessite que 1 + 3 cycles pour la même opération.

A contrario, l’instruction LEA est couramment utilisée pour effectuer des additions entre constantes et registres, alors que ça n’est pas sa fonction première.

La situation se complique encore, car le nombre de cycles par instruction est très variable d’un processeur à l’autre. C’est pourquoi en fonction du processeur cible que vous spécifierez au compilateur Intel ICC, vous obtiendrez un code sensiblement différent…

• Multiplication et division

La multiplication et la division par une puissance de 2 s’implémentent par un simple décalage de bits : ce sont des opérations simples. Les mêmes opérations avec des opérandes arbitraires sont des opérations excessivement coûteuses. À titre d’exemple, voici les durées d’exécution (en nombre de cycles d’horloge) de quelques instructions sur un processeur 80486 :

Pour multiplier X par 12, le compilateur va donc découper l’opération de la manière suivante : (X*8) + (X*4).

Pour diviser un nombre X sur 32 bits par 17, le compilateur peut être tenté d’utiliser la multiplication réciproque.

Selon l’algorithme d’Euclide étendu, l’inverse de 17 modulo 2^32 est 4042322161. Il suffit donc de multiplier X par ce nombre (modulo 2^32) pour obtenir le résultat de la division.

6.4 Pratique de la décompilation

La compilation en langage assembleur provoque la perte d’informations essentielles, telles que le type de données. La décompilation (retour au code source d’origine) s’avère donc être un problème difficile. Ce domaine a stimulé de nombreux travaux universitaires, qui sont pour la plupart restés du niveau de la « preuve de concept ».

Loin du Latex et autres CiteSeer, un maître du reverse engineering - auteur du logiciel IDA Pro – s’est un jour attaqué au problème. Combinant l’abondante théorie sur le sujet avec sa pratique de la chose et de nombreuses heuristiques par compilateur, il fabriqua par un matin blême la Pierre Philosophale de la décompilation : Hex-Rays Decompiler [11].

Aujourd’hui, cet outil intégré à IDA Pro décompile de manière tout à fait correcte les assembleurs x86 et ARM, supporte l’enrichissement manuel du listing, mais permet également le débogage au niveau du code source reconstitué. Il justifie donc largement son coût d’acquisition, relativement modique pour une entreprise.

Bienvenue ! Sur Internet, il existe de nombreux tutoriels/cours pour apprendre le développement, sauf que la plupart d'entre eux sont mauvais parce qu'ils vous enseignent de mauvaises pratiques ou des choses obsolètes. C'est pourquoi cette liste de bonnes sources pour apprendre le développement a été créée.

Tutoriels/Cours par langages

Algorithmie

Bash

Malheureusement, il n'y a pas de bon tutoriel/cours en français pour ce langage.

C

C++

C#

Clojure

Malheureusement, il n'y a pas (encore) de bon tutoriel/cours en français pour ce langage.

Common Lisp

Malheureusement, il n'y a pas (encore) de bon tutoriel/cours en français pour ce langage.

Git

Go

Haskell

HTML/CSS

Java

Javascript

Kotlin

Malheureusement, il n'y a pas de bon tutoriel/cours en français pour ce langage.

Lua

Malheureusement, il n'y a pas de bon tutoriel/cours en français pour ce langage.

OCaml

PHP

Python

Langage recommandé pour commencer le développement

Ruby

Rust

Scala

Sécurité

SQL

Éditeurs génériques

Les IDE

Devenir développeur

Les sites non conseillé

Ces sites donnent de nombreuses informations fausses et/ou obsolètes et ne devraient pas être utilisés

• OpenClassrooms

• W3Schools

• W3Resource

• La chaîne youtube de PrimFX

• La chaîne youtube de Graven - Développement

Liens utiles

Ces sites sont une bonne source d'information pour de nombreux langages de programmation.

Contribuer

Licence

Salut à toi jeune hacker ! Tu souhaites sûrement te lancer dans la cybersécurité ou le pentesting mais tu ne sais pas par où commencer ? Tu es donc sur le bon article. Nous verrons le web, la cryptologie, et pour finir l'exploitation Windows. Bonne lecture !

Exemple : nmap -sV (scan les ports ouverts pour déterminer les informations sur les services/versions) 127.0.0.1 (l'adresse IP qu'on souhaite scanner)

On peut également taper directement nmap adresse_ip sans options, Nmap réalisera par défaut un scan SYN du protocole TCP. Mais dans certains cas cela ne suffit pas, c'est pour ça que cet outil contient de nombreuses syntaxes.

Infiltrer

• Exploitation manuelle

• Évasion antivirus

• Évasion IPS / IDS

• Pivot proxy

• Modules post-exploration

• Nettoyage de session

• Réutilisation des informations d'identification

• Ingénierie sociale

• Générateur de charge utile

• Test rapide du stylo

• Pivotement VPN

• Validation de la vulnérabilité

• Assistant de phishing

• Test des applications Web

• Sessions persistantes

Collecter des données

• Importer et numériser des données

• Scans de découverte

• MétaModules

• Intégration de Nexpose Scan

Remédier

• Force brute

• Chaînes de tâches

• Flux de travail d'exploitation

• Réexécution de session

• Relecture des tâches

• Intégration de Project Sonar

• Gestion de session

• Gestion des identifiants

• La collaboration d'équipe

• Interface Web

• Sauvegarde et restauration

• Export de données

• Collecte de preuves

• Rapports

L'outil étant très complet, nous ne pourrons pas décrire chaque catégorie. Ce qui va nous intéresser ici est de configurer un exploit, choisir un payload, puis d'exécuter l'exploit. C'est de cette manière que nous pourrons ici pénétrer un système tel que Windows, Unix/Linux/Mac, etc...

Suite au prochain épisode...

Introduction à BurpSuite

Burp Suite est une suite d’outils développée en Java par la société PortSwigger Ltd. Il existe trois versions de Burpsuite : la version community (free), la version professional et la version enterprise (les deux dernières sont payantes et assez chères).

Pour ce qui est de l’installation je vous invite à lire la page d’installation du site officiel. Pour lancer l’outil, ouvrez un terminal et entrez cette commande: burpsuite

Cette page apparaîtra:

Cliquez sur « Next » puis sur « Start Burp ». Vous atterrirez sur la page principale de Burp:

Sur la barre du dessus vous avez les différents outils disponibles. Au cours de cet article nous verrons comment utiliser le proxy, le repeater, le spider, l’intruder et le decoder.

I/ Proxy

C’est l’outil le plus utilisé de la suite et pour cause, il nous permet d’intercepter toutes les requêtes envoyées depuis notre navigateur, de les modifier et de réceptionner la réponse du serveur. Pour cela il va falloir configurer notre navigateur pour qu’il envoie toutes les requêtes au Burp Proxy. Personnellement je travaille exclusivement sur Firefox donc je vais vous expliquer comment configurer ce navigateur.

Allez dans les «Paramètres» puis dans «Préférences» > «Avancés» et enfin «Réseau».

Cliquez sur « Paramètres » et complétez le panel de configuration de la façon suivante:

En faisant ça on dit juste à Firefox que nous voulons que toutes les requêtes soient envoyés au proxy qui tourne sur le localhost et qui écoute sur le port 8080.

Voilà ! Notre Burp Proxy est configuré. Maintenant si vous lancez une requête sur Firefox vous allez recevoir une notification qui vous dit que la requête à été intercéé…

Maintenant rendez vous dans l’onglet « Avancées » puis « Certificats » dans les paramètres Firefox. Cliquez sur «Voir les certificats». Un onglet va s’ouvrir, allez dans «Autorités»:

Cliquez sur « Importer » puis sélectionnez le certificat que vous avez téléchargé tout à l’heure. Pour finir cochez «Faire confiance à ce CA pour identifier les sites web»:

A partir de là vous ne devriez plus avoir de problèmes. Les requêtes HTTP et HTTPS seront captées par Burp et vous pourrez les modifier.

Problèmes encore, si vous êtes en train de tester les sécurités d’un site en écoutant de la musique sur YouTube vous allez recevoir les requêtes du site que vous testez et celles venant de YouTube (et YouTube va vous flooooooder au max). Donc on va voir comment restreindre notre scope à un ou plusieurs sites. Pour cela allez dans l’onglet « Target » sur Burp Suite:

Sur la gauche vous avez tous les sites pour lesquels des requêtes ont été réceptionnées par Burp.

Attention, pour que le site apparaisse il faut que vous vous y soyez rendus avec le proxy actif.

Si vous voulez que Burp ne se concentre que sur un site il faudra le sélectionner, faire un clic droit et cliquez sur «Add to scope». Ensuite retournez dans la section proxy puis « Options » et modifier les règles d’interception comme ceci:

Voilà! Les seuls requêtes que vous recevrez seront celles que vous avez placé dans votre scope.

Une fois que vous avez intercepté une requête, burp vous affichera son contenu:

Vous pouvez tout modifier. Absolument tout et comment bon vous semble. Ensuite vous n’avez plus qu’à la forwarder (i.e : l’envoyer au serveur) et si vous voulez réceptionner la réponse du serveur il vous suffira de cliquer sur «Action» puis sur «Do intercept > Response to this request».

Bon c’est cool, on intercepte, modifie et renvoie des requêtes mais n’y aurait-il pas moyen de rejouer une requête sans avoir à se retaper toutes ces actions ? Eh bien si, la suite burp propose un outil qui permet de rejouer une requête très simplement: Repeater.

II/ Repeater

Burp Repeater c’est clairement là où vous passerait le plus de temps. Par défaut il n’y a rien dans cet onglet et c'est tout à fait normal puisque c’est à vous de dire quelle requête vous voulez envoyer dans le repeater. Pour cela choisissez une requête dans le proxy, cliquez sur « Action » puis « Send to Repeater » puis rendez vous dans la section Repeater et … Tadaa:

Maintenant vous pouvez modifier votre requête puis l’envoyer. Vous obtiendrez la réponse du serveur automatiquement:

Pour ma part je me sers de cet outil quand j’ai déjà repéré une faille et que je chercher à l’exploiter au mieux ou encore lorsque je fuzz des paramètres afin d’analyser le fonctionnement de l’application.

III/ Spider

Burp Spider est un outil bien sympas puisqu’il permet de mapper un site. C’est en fait un scanner qui va parcourir tous les liens qu’il trouve sur le site web que vous lui avez spécifié.

Pour le lancer c’est très simple, rendez vous dans l’onglet Target, sélectionner le site que vous voulez mapper, clic droit > Spider This Host. Vous trouverez les résultats du scan dans l’onglet Site Map :

Ensuite c’est à vous de faire l’analyse des liens. Certains peuvent être intéressants dans le cadre d’une exploitation!

IV/ Decoder

Le dernier outil que je trouve intéressant c’est le burp decoder. Il permet très rapidement d’encoder/décoder une chaîne de caractères (on s’en sert beaucoup pour bypass des filtres par exemple):

Je ne vais pas vous expliquer comment il fonctionne, je pense que c’est assez explicite

BurpSuite-Utilisation

Comment utiliser Burp Suite - Test de pénétration Web (Partie 1)

Sommaire

• Comment utiliser Burp Suite - Test de pénétration Web (Partie 1)

  • Configuration du proxy SOCKS sortant

  • Configurer le comportement d'interception

  • Procédure d'application

  • Rechercher des mots clés spécifiques

  • Utilisation de Spider et Discover

  • Utilisation de l'onglet Répéteur

  • Utilisation de l'onglet Intruder

  • Utilisation du Scan Automatique

• Comment utiliser Burp Suite - Test de pénétration Web (Partie 2)

  • Validation des résultats du scanner

  • Exportation des rapports de scanner

  • Analyse des résultats XML

  • Enregistrement d'une session Burp

  • Burp Extensions

• Fin de la partie 2

Avis de non-responsabilité: tester des applications Web que vous n'avez pas l'autorisation écrite de tester est illégal et punissable par la loi

Configuration du proxy SOCKS sortant

Selon l'étendue de votre engagement, il peut être nécessaire de tunneler votre trafic Burp Suite via un proxy SOCKS sortant. Cela garantit que le trafic de test provient de votre environnement de test approuvé. Je préfère utiliser une simple connexion SSH qui fonctionne bien à cet effet. Connectez-vous à votre serveur de test et configurez un proxy SOCKS sur votre hôte local via l'option ‘–D’ comme celle-ci.

ssh –D 9292 –l username servername

Accédez à l'onglet Options situé à l'extrême droite du menu supérieur dans Burp Suite. Dans le sous-onglet Connections, faites défiler jusqu'à la troisième section intitulée SOCKS Proxy. Tapez localhost pour l'option hôte et 9292 pour l'option port.

Conseil: J'utilise un navigateur séparé pour les tests d'applications Web. Cela garantit que je ne transmets accidentellement aucune donnée personnelle à l'un des sites de mes clients, comme le mot de passe de mon compte gmail par exemple.

Configurer le comportement d'interception

La prochaine chose que je fais est de configurer la fonction d'interception du proxy. Réglez-le pour ne suspendre que les demandes et réponses en provenance et à destination du site cible. Accédez à l'onglet Proxy sous le sous-onglet Options. Les deuxième et troisième en-têtes affichent les options configurables pour intercepter les demandes et les réponses. Décochez les paramètres par défaut de Burp Suite et cochez URL Is in target scope(L'URL est dans la portée cible). Désactivez ensuite l'interception car elle n'est pas nécessaire pour la procédure pas à pas initiale de l'application. Dans le sous-onglet Intercept, assurez-vous que le bouton à bascule indique Intercept is off

Procédure d'application

Bizarrement , beaucoup de gens aiment sauter cette étape. Je ne le recommande pas. Au cours de la procédure pas à pas initiale de votre application cible, il est important de cliquer manuellement sur autant de sites que possible. Essayez de résister à l'envie de commencer à analyser les choses dans Burp Suite correctement. Au lieu de cela, passez un bon moment et cliquez sur chaque lien et affichez chaque page. Tout comme un utilisateur normal pourrait le faire. Pensez au fonctionnement du site ou à son fonctionnement supposé

Vous devriez penser aux questions suivantes:

* Quels types d'actions quelqu'un peut-il faire, tant du point de vue authentifié que non authentifié?
* Des demandes semblent-elles être traitées par un travail côté serveur ou une opération de base de données?
* Y a-t-il des informations affichées que je peux contrôler

Si vous tombez sur des formulaires de saisie, assurez-vous de faire quelques tests manuels. Saisie d'une seule coche et appuyez sur soumettre sur n'importe quel formulaire de recherche ou champ de code postal que vous rencontrez. Vous pourriez être surpris de voir à quelle fréquence les failles de sécurité sont découvertes par une exploration curieuse et non par une analyse automatisée.

Configurez votre portée cible

Maintenant que vous avez une bonne idée du fonctionnement de votre application cible, il est temps de commencer à analyser certains GETs et publications. Cependant, avant de faire des tests avec Burp Suite, il est judicieux de définir correctement votre portée cible. Cela garantira que vous n'envoyez pas de trafic potentiellement malveillant vers des sites Web que vous n'êtes pas autorisé à tester.

Rendez-vous sur l'onglet Target puis sur le sous-onglet Site map. Sélectionnez votre site Web cible dans le volet d'affichage de gauche. Faites un clic droit et choisissez Add to scope. Sélectionnez ensuite tous les autres sites dans le volet d'affichage, cliquez avec le bouton droit et sélectionnez Supprimer de la portée. Si vous l'avez fait correctement, votre onglet de portée Burp Suite devrait ressembler à l'image ci-dessous.

Vol Initial

Cliquez sur l'onglet Target et le sous-onglet Site Map. Faites défiler jusqu'à la branche de site appropriée et développez toutes les flèches jusqu'à ce que vous obteniez une image complète de votre site cible. Cela devrait inclure toutes les pages individuelles que vous avez consultées ainsi que tous les fichiers javascript et css. Prenez un moment pour vous imprégner de tout cela, essayez de repérer les fichiers que vous ne reconnaissez pas dans la procédure manuelle. Vous pouvez utiliser Burp Suite pour afficher la réponse de chaque demande dans un certain nombre de formats différents situés sur l'onglet Resposne du volet d'affichage en bas à droite. Parcourez chaque réponse en recherchant des données intéressantes. Vous pourriez être surpris de découvrir:

   * Commentaires des développeurs
   * Adresses mail
   * Noms d’utilisateur et mots de passe si vous avez de la chance
   * Divulgation du chemin vers d'autres fichiers / répertoires
   * Etc…

Rechercher des mots clés spécifiques

Vous pouvez également tirer parti de Burp Suite pour faire une grosse partie du travail à votre place. Faites un clic droit sur un nœud, dans le sous-menu Engagement tools, sélectionnez Search. L'une de mes préférées consiste à rechercher la chaîne set-cookie. Cela vous permet de savoir quelles pages sont suffisamment intéressantes pour nécessiter un cookie unique. Les cookies sont couramment utilisés par les développeurs d'applications Web pour différencier les demandes d'utilisateurs de plusieurs sites. Cela garantit que l’utilisateur A n’a pas accès aux informations appartenant à l’utilisateur B. Pour cette raison, il est judicieux d'identifier ces pages et d'y porter une attention particulière.

Utilisation de Spider et Discover

Après un peu de piquer et de pousser manuelle, il est généralement avantageux de permettre à Burp Suite de contrôler l'hôte. Faites un clic droit sur la branche racine de la cible dans le Target (plan du site) et sélectionnez Spider this host.

Une fois Spider terminée, revenez à votre plan du site et voyez si vous avez ramassé de nouvelles pages. Si c'est le cas, jetez-y un œil manuel dans votre navigateur et également dans Burp Suite pour voir s'ils produisent quelque chose d'intéressant. Existe-t-il de nouvelles invites de connexion ou des zones de saisie par exemple? Si vous n'êtes toujours pas satisfait de tout ce que vous avez trouvé, vous pouvez essayer le module de découverte de Burp Suite. Cliquez avec le bouton droit sur la branche racine du site cible et dans le sous-menu Engagement tools, sélectionnez Discover Conten. Sur la plupart des sites, ce module peut fonctionner et fonctionnera longtemps. Il est donc recommandé de le surveiller. Assurez-vous qu'il se termine ou arrêtez-le manuellement avant de l'exécuter trop longtemps.

Utilisation de l'onglet Répéteur

L'onglet Répéteur est sans doute l'une des fonctionnalités les plus utiles de Burp Suite. Je l'utilise des centaines de fois sur chaque application web que je teste. Il est extrêmement précieux et incroyablement simple à utiliser. Faites un clic droit sur n'importe quelle demande dans l'onglet Target ou Proxy et sélectionnez Send to Repeater. Ensuite, cliquez sur l'onglet Repeater et appuyez sur Go. Vous verrez quelque chose comme ça:

Utilisation de l'onglet Intruder

Si vous êtes limité dans le temps et avez trop de demandes et de paramètres individuels pour effectuer un test manuel approfondi. Le Burp Suite Intruder est un moyen vraiment génial et puissant d'effectuer un fuzzing automatisé et semi-ciblé. Vous pouvez l'utiliser contre un ou plusieurs paramètres dans une requête HTTP. Faites un clic droit sur une demande comme nous l'avons fait auparavant et cette fois sélectionnez Send to Intruder. Rendez-vous sur l'onglet Intruder et cliquez sur le sous-onglet Positions. Vous devriez voir quelque chose comme ça:

Je recommande d'utiliser le bouton Clear pour supprimer ce qui est sélectionné au départ. Le comportement par défaut consiste à tout tester avec un signe =. Mettez en surbrillance les paramètres que vous ne souhaitez pas utiliser et cliquez sur Add. Ensuite, vous devez aller dans le sous-onglet Payloads et indiquer à Burp Suite quels cas de test effectuer pendant le fuzzing. Un bon point de départ est Fuzzing-full. cela enverra un certain nombre de test de base à chaque paramètre que vous avez mis en évidence dans le sous-onglet Positions.

Utilisation du Scan Automatique

La dernière chose que je fais lors du test d'une application Web est d'effectuer une analyse automatisée à l'aide de Burp Suite. De retour sur votre sous-onglet Site Map, faites un clic droit sur la branche racine de votre site cible et sélectionnez Passively scan this host(Scanner passivement cet hôte). Cela analysera chaque demande et réponse que vous avez générée pendant votre session Burp Suite. Il produira un conseille de vulnérabilité sur le sous-onglet Résults situé sur l'onglet Scanner. J'aime faire l'analyse passive en premier car elle n'envoie aucun trafic au serveur cible. Vous pouvez également configurer Burp Suite pour analyser passivement les demandes et les réponses automatiquement dans le sous-onglet Live scanning (Analyse en direct). Vous pouvez également le faire pour la numérisation active, mais je ne le recommande pas.

Lors d'une analyse active, j'aime utiliser les paramètres suivants:

Comment utiliser Burp Suite - Test de pénétration Web (Partie 2)

Dans la première partie du tutoriel Burp Suite, nous avons présenté certaines des fonctionnalités utiles que Burp Suite a à offrir lors de l'exécution d'un test de pénétration d'application Web. Dans la partie 2 de cette série, nous continuerons d'explorer comment utiliser Burp Suite, notamment: la validation des résultats du scanner, l'exportation des rapports du scanner, l'analyse des résultats XML, l'enregistrement d'une session Burp et les extensions Burp. Allons droit au but!

Validation des résultats du scanner

C'est toujours une bonne idée de valider en profondeur les résultats de tout outil de numérisation automatisé. Burp Suite fournit tout ce dont vous avez besoin pour ce faire sur l'onglet Scanner/Results. Cliquez sur un nœud dans le volet gauche pour voir les vulnérabilités identifiées associées à cette cible. Le volet inférieur droit affiche les informations détaillées de demande/réponse relatives à la vulnérabilité spécifique sélectionnée dans le volet supérieur droit.

L'onglet Advisory contient des informations sur la vulnérabilité, y compris un détail de haut niveau, une description et une recommandation proposée. Les onglets Request & Response afficheront exactement ce que Burp Suite a envoyé à l'application cible afin de vérifier la vulnérabilité ainsi que ce qui a été renvoyé par l'application. Jetez un œil à l'exemple ci-dessous.

L'onglet de demande nous montre quelle page a généré l'alerte.

https://www.pentestgeek.com/wp-content/cache/minify/000000/NYtBDoAgDMA-JFsML5oEYShDYSbwez3goUl7qMV0P76OxU4xmUMl9ZBZlhVdpVHEtCFK3UQO8fxQXzE13Enc2EqfK_wNLKxwkTte.js

Juste en demandant cette page dans un navigateur, ou en consultant l'onglet Réponse, nous sommes en mesure de valider que l'adresse e-mail prétendument divulguée était bien présente dans la réponse. Nous pouvons considérer cette question comme validée et aller de l'avant.

Conseil: Assurez-vous d'effectuer cette étape sur chaque vulnérabilité identifiée par le scanner. Tous les outils d'analyse automatisés produisent des faux positifs en raison de la nature des tests effectués. La plupart des entreprises sont capables d'acheter des outils et de les exécuter sur leurs réseaux. Des pentesters sont embauchés spécifiquement pour identifier et supprimer ces faux positifs.

Exportation des rapports de scanner

Une fois que vous avez validé les résultats du scanner, vous souhaiterez peut-être générer un certain type de rapport. Il existe deux options de rapport disponibles dans l'onglet Scanner/Results, HTML et XML. Pour générer un rapport, cliquez avec le bouton droit sur une cible dans le volet d'affichage de gauche et sélectionnez Report selected issues. Cela vous présentera la boîte de dialogue suivante.

Cliquez sur l'Assistant et sélectionnez les éléments que vous souhaitez dans votre rapport et quel format. Le rapport HTML peut être ouvert dans un navigateur, puis exporté au format PDF, ce qui peut être utile pour aider à communiquer les résultats à votre client. Le rapport XML vous permet d'analyser des sections spécifiques d'un rapport pour plus de détails. Si vous générez un rapport XML, assurez-vous de décocher l'option d'encodeur Base64 pour voir les Request/Responses HTTP complètes.

Analyse des résultats XML

def clean_finding(finding)
  output = []
  output << 'Web Application Findings'
  output << ''
  output << finding.css('severity').text
  output << 'Open'
  output << finding.css('host').text
  output << finding.css('path').text
  output << finding.css('issueDetail').text
  output << finding.css('name').text
  output << finding.css('issueBackground').text
  output << finding.css('remediationBackground').text
  response = finding.css('response').text
  if response.include?('Server:')
    output << response.split('Server: ')[1].split("\n")[0]
  end
  output
end

Vous pouvez voir qu'en appelant simplement la méthode .css et en passant [LA VALEUR QUE VOUS VOULEZ].text en tant que paramètre, vous pourrez retirer tous les éléments spécifiques que vous souhaitez de la soupe XML. Exécutez le script sans argument et vous verrez qu'il prend un fichier XML et crache la sortie à l'écran.

$ ./parse-burp.rb
Parse Burp Suite XML output into Tab delimited results
Example: ./parse-brup.rb > output.csv

Vous pouvez filtrer les résultats dans un fichier.csv si vous le souhaitez. Le fichier CSV peut ensuite être importé dans une feuille de calcul Excel qui ressemble à ceci.

Enregistrement d'une session Burp

Dans certains cas, il peut être nécessaire de suspendre une évaluation et de revenir plus tard. Vous pourriez également vous retrouver à vouloir partager votre session Burp Suite avec un autre consultant. Deux yeux valent souvent mieux qu'un après tout. Dans ces cas, la chose la plus simple à faire est d'enregistrer une copie locale de votre session. Sélectionnez simplement Save state dans le menu Burp en haut. Cela va créer un fichier plat que vous ou un autre consultant pouvez importer dans Burp Suite et voir le trafic capturé et les points précis du test. Il s'agit d'une fonctionnalité extrêmement utile.

Si vous avez essayé de le faire dans le passé et que vous avez remarqué que la taille du fichier résultant était inutilement grande (des centaines de Mo). Il est possible que vous ayez oublié de cocher la case Save in-scope items only

Si vous configurez votre portée en suivant les instructions de la partie 1, vous ne devriez pas avoir à vous soucier d'un fichier d'état massif. La page suivante de l'Assistant vous demande de quels outils vous souhaitez stocker la configuration. J'ai trouvé que les avoir toutes cochées ou toutes non cochées ne semble pas affecter la taille du fichier, voire pas du tout, mais n'hésitez pas à jouer avec ces options et à vous faire votre propre opinion.

Pour restaurer un état de burp précédemment enregistré, sélectionnez simplement Restore state dans le menu Burp en haut. Sélectionnez le fichier dans votre système, cliquez Openet suivez les instructions de l'assistant. Selon la taille du fichier d'état, il peut prendre un moment pour tout importer, mais une fois terminé, vous pouvez continuer votre évaluation ou celle de quelqu'un d'autre pour ce sujet comme si vous n'aviez jamais fait de pause en premier lieu. C'est vraiment cool!

Burp Extensions

Cliquez ensuite sur l'onglet Extender dans Burp Suite et cliquez sur le bouton Add dans le coin supérieur gauche. Lorsque la boîte de dialogue apparaît, sélectionnez le fichier .jar Shell Shock que vous venez de télécharger et cliquez sur Next.

Si tout s'est bien passé, vous devriez voir un message indiquant The extension loaded successfully sans message d'erreur ni sortie. L'onglet Extensions montre maintenant que notre extension Shellshock Scanner est chargée. Nous pouvons voir dans la section Détails qu'une nouvelle vérification du scanner a été ajoutée.

Fin de la partie 2

Dans le monde de la cybersécurité, OWASP (Open Web Application Security Project) est incontournable. Une organisation à but non lucratif travaillant sur la sécurité des applications Web, sa philosophie est de rester open source et accessible à tous. Un de ses projets les plus connu vous sera présenté dans cet article.

Ce n'est pas le seul projet d'OWASP et pourtant un des plus reconnu sur la sécurité des applications web.

Cloudflare is a widely used web app firewall (WAF) provider. But what if you could bypass all these protections in a second making the defense useless? This article is a tutorial on bypassing Cloudflare WAF with the origin server IP address.

Note that what is following is probably relevant for any kind of Web Application Firewall.

Intro

While the WAF is pretty good at blocking basic payloads, many bypasses around Cloudflare WAF already exist and new ones pop up everyday so it’s important to keep poking at testing the security of Cloudflare. At the exact moment I am writing this article:

As a hacker bug bounty hunter, it’s obvious that it could be very interesting to get rid of the firewall. For that, you basically have 3 options:

3. Get around Cloudflare by finding the origin IP of the web server. Probably the easiest option, no technical skills required, it’s also part of the recon process so no time wasted. As soon as you get it, you don’t have to worry anymore about the WAF or the DDOS protection (rate limit).

In this in this article, I’m going to focus on the last option and how to achieve it based on tips grabbed here and there.

Reminder: Cloudflare is a tool that has to be set by humans, usually developers or system administrators. Cloudflare is not responsible of the misconfiguration that could lead to successful attacks performed using the methods described below.

But first, Recon!

Censys

You should see a list of certificates that fit to your target:

Click on every result to display the details and, in the “Explore” menu at the very right, choose “IPv4 Hosts”:

From here, grab all IP you can and, back to the previous chapter, try to access your target through all of them.

The next step is to retrieve the headers in the mails issued by your target: Subscribe the newsletter, create an account, use the function “forgotten password”, order something… in a nutshell do whatever you can to get an email from the website you’re testing (note that Burp Collaborator can be used).

Once you get an email, check the source, and especially the headers. Record all IPs you can find there, as well as subdomains, that could possibly belong to a hosting service. And again, try to access your target through all of them.

The value of header Return-Path worked pretty well for me:

Test using Curl:

XML-RPC Pingback

This well known tool in WordPress, the XML-RPC (Remote Procedure Call), allows an administrator to manage his/her blog remotely using XML requests. A pingback is the response of a ping. A ping is performed when a site A links to a site B, then the site B notifies the site A that it is aware of the mention. This is the pingback.

You can easily check if it’s enable by calling https://www.target.com/xmlrpc.php. You should get the following:XML-RPC server accepts POST requests only.

Previous findings

If you’re not able to find the origin IP using the previous methods or if the website was not protected when you first started your hunt but finally became protected, remember that sometimes your best friend is your target itself and it can give you the information you are looking for.

Basically what you need is that the web server of your target performs a request to your server/collaborator. Using another type of issue could also be a good idea: SSRF, XXE, XSS or whatever you already found, to inject a payload that contains your server/collaborator address and check the logs. If you got any hit then check the virtual host again.

Even the simplest vulnerabilities like Open Redirect or HTML/CSS injection can be useful if it’s interpreted by the application web server.

For now we have seen how to find and check IP addresses manually, fortunately we have great developers in our community. Below are some tools that are supposed to do the job for you, and these could save your precious time. You can include them in your recon process as soon as you detect a Cloudflare protection.

Note, that none of these methods are 100% reliable as all targets are different and what will work for one, may not work for another. My advice: try them all.

Further reading:

Written by:

Gwendal Le Coguic Bug Bounty Hunter

Le CTF "Retro" est disponible sur la plateforme TryHackMe et a la difficulté "hard" (i.e. difficile en français). Nous allons décomposer le Write-Up selon les étapes suivantes :

1. Enumeration ;

2. Exploitation ;

3. Escalation de privilège .

Nous allons devoir trouver les flags sur un serveur web basé sur Windows.

1/ Enumeration

Il faut premièrement énumérer les ports ouverts via Nmap.

$ nmap -Pn -sV MACHINE_IP

PORT     STATE SERVICE       VERSION
80/tcp   open  http          Microsoft IIS httpd 10.0
3389/tcp open  ms-wbt-server Microsoft Terminal Services
Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows

Deux ports sont ouverts, le port 80 et 3389. Concentrons-nous en premier sur le serveur web (port 80), voici la page principale :

Nous allons à présent utiliser Gobuster (Dirsearch et Dirbuster fonctionnent également) afin de trouver les autres pages :

$ gobuster dir -u http://MACHINE_IP -w /usr/share/dirb/wordlists/big.txt
===============================================================
Gobuster v3.0.1
by OJ Reeves (@TheColonial) & Christian Mehlmauer (@_FireFart_)
===============================================================
[+] Url:            http://10.10.207.134
[+] Threads:        10
[+] Wordlist:       /usr/share/dirb/wordlists/big.txt
[+] Status codes:   200,204,301,302,307,401,403
[+] User Agent:     gobuster/3.0.1
[+] Timeout:        10s
===============================================================
2021/04/07 09:01:21 Starting gobuster
===============================================================                                                   
/retro (Status: 301)
===============================================================
2021/04/07 09:03:43 Finished                                                                                      
=============================================================== 

Nous avons trouvé la page /retro après l'énumération. Voici à quoi ressemble la page :

On remarque que les articles du site sont tous écrits par Wade, en allant voir son profil, il est possible de voir ses derniers posts. En allant sur son post "Ready Player One" on aperçoit un commentaire écrit par lui-même contenant ce message :

En énumérant la page /retro, nous retrouvons une page permettant de se connecter à une page WordPress, vous pouvez continuer via WordPress pour la suite, nous ne verrons pas cette partie dans ce write-up. L'énumération est terminée, bravo à vous si vous avez réussi jusqu'ici !

2/ Exploitation

Revenons sur le port 3389 en utilisant les informations trouvées précédemment.

Nous savons que Wade est le seul utilisateur qui poste sur le site, nous savons qu'il a laissé "parzival" de côté pour s'en souvenir, utilisons ces informations afin de nous connecter en RDP à la machine :

$ xfreerdp /v:MACHINE_IP /u:wade /p:parzival

Bravo ! Nous avons trouvé le fichier user.txt : fbdc6d430bfb51 (incomplet)

3/ Escalation de privilège

Dans l'historique de Chrome, on s'aperçoit que la page d'une CVE a été ouverte (CVE-2019-1388). Or dans la corbeille, il y a un fichier, que vous devrez restaurer. Une fois cette étape finie, lancez-le, cette page s'affichera :

Cliquez sur "Show more details" puis sur "Show information about the publisher’s certificate.". Cette page apparaîtra :

Cliquez sur le lien de "Issued By:", puis choisissez Internet Explorer pour l'ouvrir. Vous recevrez ensuite un message d'erreur :

À présent, faites "CTRL+S" afin d'aller dans le chemin : C:\Windows\System32\Descendez dans le dossier pour trouver l'invite de commande (cmd), puis ouvrez-le. Il sera ouvert en tant d'administrateur (System32) :

Pour trouver le fichier root.txt, écrivez :

type ..\..\Users\Administrator\Desktop\root.txt

Bravo à vous, si vous avez réussi à trouver tous les flags !

Les mots

En tant que développeurs, mathématiciens et autres, nous souhaitons que vous compreniez pourquoi on dit "chiffrer", mais pas "crypter". Partout, dans les médias classiques, dans les films, séries et sur Internet, les gens se trompent. Il est temps d'informer. D'ailleurs, merci Canal+ de parler de chaines cryptées, ça n'aide pas notre cause.

La cryptologie, étymologiquement la science du secret, ne peut être vraiment considérée comme une science que depuis peu de temps. Cette science englobe la cryptographie – l’écriture secrète –, la cryptanalyse – l’analyse et l’attaque de cette dernière –, et la stéganographie – l’art de la dissimulation

La cryptographie est une des disciplines de la cryptologie s’attachant à protéger des messages (assurant confidentialité, authenticité et intégrité) en s’aidant souvent de secrets ou clés

Le chiffrement est un procédé de cryptographie grâce auquel on souhaite rendre la compréhension d’un document impossible à toute personne qui n’a pas la clé de (dé)chiffrement. Ce principe est généralement lié au principe d’accès conditionnel

L’action de procéder à un chiffrement.

En informatique et en télécommunications, déchiffrer consiste à retrouver le texte original (aussi appelé clair) d’un message chiffré dont on possède la clé de (dé)chiffrement.

Décrypter consiste à retrouver le texte original à partir d’un message chiffré sans posséder la clé de (dé)chiffrement. Décrypter ne peut accepter d’antonyme : il est en effet impossible de créer un message chiffré sans posséder de clé de chiffrement.

Dans le cadre de la télévision à péage, on parle quasi-exclusivement de chaînes « cryptées », ce que l’Académie Française accepte : « En résumé on chiffre les messages et on crypte les chaînes ».

Le terme « cryptage » et ses dérivés viennent du grec ancien κρυπτός, kruptos, « caché, secret ». Cependant, le Référentiel Général de Sécurité de l’ANSSI qualifie d’incorrect « cryptage ». En effet, la terminologie de cryptage reviendrait à chiffrer un fichier sans en connaître la clé et donc sans pouvoir le déchiffrer ensuite. Le terme n’est par ailleurs pas reconnu par le dictionnaire de l’Académie française.

Le terme « encrypter » et ses dérivés sont des anglicismes. Donc, nan, on ne les utilise pas non plus.

Celui-là, c’est le pompon, la cerise sur le gâteau. Le chiffrage, c’est évaluer le coût de quelque chose. ABSOLUMENT RIEN à voir avec le chiffrement. Et pourtant, parfois, on le voit.

Coder / Encoder signifie “Constituer (un message, un énoncé) selon les règles d’un système d’expression − langue naturelle ou artificielle, sous une forme accessible à un destinataire.” En informatique il s’agit d’une façon d’écrire les mêmes données, mais de manière différente (ex. en base64, en hexadécimal, avec des codes correcteurs d’erreurs etc…). Ce procédé est facilement inversible (il n’y a aucune notion de clé dans ces opérations), il n’y a aucune vocation à assurer la confidentialité, ce n’est donc pas du chiffrement.

Source copyleft :

Le particulier qui fait l'acquisition d'un bien ou d'un service sur un site de e-commerce dispose d'un délai de rétractation de 14 jours, sauf exceptions. Comment peut-il exercer son droit ?

En quoi consiste le droit de rétractation ?

Le droit de rétractation est une possibilité reconnue par la loi aux particuliers de revenir sur un achat réalisé sur internet et qui leur permet de revenir sur leur commande sans justification.

Lorsque le droit de rétractation a été exercé dans les 14 jours, le vendeur en ligne doit alors rembourser le bien ou la prestation de service en cause.

Le droit de rétractation s'applique aussi pour les produits soldés, d'occasion ou déstockés. Mais la loi exclut expressément le droit de rétractation pour certains biens ou services.

Droit de rétractation des professionnels

Un professionnel ne dispose normalement pas de délai de rétractation.

Cependant, certains professionnels peuvent bénéficier d’un délai de rétractation de 14 jours, dans les mêmes conditions que les particuliers (article L221-3 du Code de la consommation), lorsqu'ils ne disposent pas de plus de 5 salariés et que l'objet du contrat n'entre pas dans leur champ d'activité.

Pendant combien de temps peut-on se rétracter en cas d'achat sur internet ?

Le délai de rétractation est de 14 jours calendaires. Le vendeur en ligne peut aussi offrir un délai plus long à ses clients et l'accompagner de formalités d'exercice ou de conditions de remboursement moins favorables.

En revanche, si le vendeur n'a pas confirmé certaines informations obligatoires au plus tard au moment de la livraison, le délai de rétractation est prorogé de 12 mois.

Néanmoins, si ces informations sont communiquées dans les 12 mois, le délai de rétractation est de nouveau de 14 jours. Il court à partir de la réception des informations par l'acheteur.

Existe-t-il des cas où le droit de rétractation est exclu ?

• de biens ou de services dont le prix dépend des taux du marché financier,

• de biens qui, par leur nature, ne peuvent être réexpédiés ou peuvent se détériorer ou se périmer rapidement (par exemple, produits alimentaires),

• de biens confectionnés à la demande du consommateur ou nettement personnalisés (par exemple, ameublement sur mesure), y compris lorsque le professionnel n’a pas encore entamé la production du bien (CJUE 21-10-2020 aff. 529/19),

• de cassettes vidéo, CD, DVD ou de logiciels informatiques s'ils ont été ouverts par l'acheteur,

• des biens ouverts et non retournables pour des raisons d'hygiène ou de protection de la santé (cosmétiques et sous-vêtements, notamment),

• de journaux, de périodiques ou de magazines,

• des biens indissociables d'autres articles,

• de contrats conclus lors d'une enchère publique,

• de la fourniture de boissons alcoolisées dont la livraison est différée au-delà de 30 jours et dont la valeur dépend des taux du marché financier,

• du contenu numérique fourni sur un support immatériel dont l'exécution a commencé avec l'accord du consommateur et pour lequel il a renoncé à son droit de rétractation,

• des services totalement exécutés avant la fin du délai de rétractation ou dont l'exécution a commencé, avec l'accord du consommateur et renoncement exprès à son droit de rétractation, avant la fin de ce délai,

• de services de paris ou de loteries autorisés.

Il n'y a pas non plus de possibilité de rétractation pour :

• la fourniture de biens de consommation courante, au domicile ou sur le lieu de travail du consommateur par un vendeur faisant des tournées fréquentes et régulières (épicier par exemple),

• les travaux d'entretien ou de réparation à réaliser en urgence au domicile du consommateur et à sa demande, dans la limite des pièces de rechange et travaux strictement urgents,

• les prestations de services d'hébergement, de transport, de restauration, de loisirs fournies à une date ou selon une périodicité déterminée (billet de train, de spectacle, voyage à forfait, location d'hôtel...).

Le droit de rétractation est-il exerçable en toutes circonstances ?

L'achat était soldé

Les règles relatives au droit de rétractation sont d'ordre public et s'applique donc aussi pendant les périodes de soldes.

Le vendeur ne peut pas l'exclure en cas d'achat sur internet d'un article soldé.

L'achat a été utilisé

Certains vendeurs considèrent que le déballage ou l'utilisation du bien prive l'acheteur de son droit de rétractation. Il n'en est rien. Les tribunaux estiment ainsi que « le droit de rétractation est absolu et discrétionnaire et permet au consommateur d'essayer l'objet commandé et d'en faire usage » (Tribunal judiciaire de Paris le 4 février 2003).

Le vendeur en ligne a simplement la possibilité d'imposer le renvoi du bien dans son emballage d'origine. Mais il ne peut pas exiger que le produit soit retourné dans son emballage d'origine, non ouvert, non descellé et non marqué.

En revanche, si le produit a été trop utilisé, le vendeur en ligne peut pratiquer une décote sur le remboursement.

Comment calculer le délai de rétractation en cas d'achat en ligne ?

Le délai de rétractation de 14 jours commence à s'écouler :

• pour les biens achetés sur internet, à partir de leur réception,

• pour les prestations de services, à partir de l'acceptation de l'offre. Toutefois, lorsqu'un matériel est nécessaire au lancement du service, le délai peut courir à compter de la réception de ce matériel (par exemple, décodeur).

Le jour qui sert de point de départ ne compte pas. Lorsque le délai s'achève un samedi, un dimanche ou un jour férié ou chômé, il est prolongé jusqu'au premier jour ouvrable suivant. Par exemple, si le bien a été livré le samedi, le délai court à partir du dimanche. Il s'achève le samedi suivant. L'acheteur a donc jusqu'au lundi de la semaine suivante pour retourner le bien.

Lors d'un envoi multiple (deux colis d'une même commande livrés séparément), le délai de rétractation court à partir de la réception du dernier produit. Cela signifie par exemple que ce délai peut s'allonger de 15 jours si l'un des produits commandés est indisponible pendant 15 jours.

Comment exercer son droit de rétractation en cas d'achat sur internet ?

La preuve du respect du délai de rétractation

C'est à l'acheteur de prouver qu'il a bien respecté le délai de rétractation légal (14 jours) ou, s'il est proposé, conventionnel (15 jours, 3 semaines...).

Il dispose de plusieurs moyens pour le faire :

• l'envoi de son courrier postal,

• l'expédition de son courriel ou de son fax,

• le dépôt de son colis à la Poste ou chez un distributeur, un transporteur (récépissé de dépôt),

• un appel téléphonique. Si le vendeur propose la possibilité de se rétracter par téléphone, il doit fournir un numéro facturé au prix d'un appel local.

Le site internet doit contenir un formulaire type de rétractation, que l'acheteur aura la possibilité d'utiliser ou non.

Les modalités de renvoi du bien

Le droit de rétractation doit pouvoir s'exercer sans formalité et sans avoir à justifier de motifs.

Le vendeur en ligne cependant a la possibilité d'imposer des formalités particulières : un numéro de retour de colis, des documents complémentaires ou les raisons du retour. Ces formalités sont tolérées si elles se font sans frais et sans contrainte excessive pour l'acheteur.

En revanche, le vendeur en ligne ne peut pas soumettre le retour à son accord ou imposer des formalités injustifiées ou excessives (appel d'un numéro surtaxé ou paiement de frais de dossier, par exemple).

A quelles conditions l'acheteur est-il remboursé ?

Délai de remboursement et droit de rétractation

Le vendeur en ligne doit rembourser son client au plus tard dans les 14 jours qui suivent la date de rétractation.

La somme versée par le client est de plein droit majorée si le remboursement intervient après ce terme :

• jusqu'à 10 jours : taux d'intérêt légal (3,14 % pour le premier semestre de l'année 2021),

• entre 10 et 20 jours : 5 %,

• entre 20 et 30 jours : 10 %,

• entre 30 e 60 jours : 20 %,

• entre 60 et 90 jours : 50 %,

• par nouveau mois de retard : 5 points supplémentaires jusqu'au prix du produit, puis du taux d'intérêt légal.

Le refus du vendeur en ligne de rembourser l'acheteur, qui a exercé son droit de rétractation dans les délais, peut être puni d'une amende de 1 500 € maximum.

Montant du remboursement et droit de rétractation

Le droit de rétractation doit s'exercer sans pénalité. Par conséquent, le vendeur ne peut pas retenir des frais de traitement, de dossier... ou encore exiger une indemnité compensatrice pour l'utilisation du bien (sauf s'il a été trop utilisé).

En plus du prix d'achat du bien ou du service, le vendeur en ligne doit également rembourser à l'acheteur les frais de livraison. En effet, l'article L 221-24 du Code de la consommation précise que le « professionnel rembourse le consommateur de la totalité des sommes versées, y compris les frais de livraison ».

En revanche, les frais de retour restent à la charge du client sauf si les conditions générales de vente prévoient le contraire. Mais le vendeur en ligne ne peut pas retenir des frais de dossier ou autres pénalités d'annulation.

Les conditions générales de vente ne peuvent pas non plus prévoir une clause prévoyant, de manière générale, une indemnisation compensatrice en cas d'utilisation du bien acquis pendant le délai de rétractation. Une telle clause serait illicite.

En cas de renvoi d'une partie seulement de la commande, selon l'administration (avis DGCCRF de novembre 2008), les modalités de remboursement sont les suivantes :

• si les frais de port dépendent du nombre d'articles commandés (par exemple, des frais variant par tranches de prix de la commande), ils doivent être remboursés au prorata des articles renvoyés par le client ;

• si les frais de port sont forfaitaires, ils ne doivent pas être remboursés.

Modalités de remboursement en cas d'exercice du droit de rétractation

Le remboursement doit s'effectuer en utilisant le même moyen de paiement que celui employé pour l'achat sur internet.

Il est néanmoins possible de réaliser la transaction avec un autre moyen de paiement, à condition d'avoir obtenu l'accord de l'acheteur et de ne pas lui occasionner de frais supplémentaires.

Le vendeur en ligne peut cependant différer le remboursement jusqu'à la récupération des biens, ou la réception d'une preuve de leur réexpédition par l'acheteur, dans le cas de la vente en ligne de biens physiques : reçu Colissimo, attestation du point relais...

Le vendeur a la possibilité de prévoir l'organisation d'un mode de transport spécifique, notamment pour les biens volumineux, à condition que l'acheteur ait la possibilité de choisir un autre mode d'expédition prévoyant des conditions de sécurité équivalentes.

Que faire en cas de litige concernant le droit de rétractation ?

En cas de litige, c'est le consommateur qui doit prouver la date de demande de rétractation.

Par précaution, il est préférable de conserver une preuve de la date de retour du bien ou de dénonciation du contrat : lettre d'accompagnement du produit, accusé de réception...

En cas de refus de remboursement par le vendeur en ligne, ce dernier encourt une amende de 1 500 €.

Source :

Pour apprendre a utiliser vs2019 c :

@Azales : Pour ceux qui veulent une introduction un peu plus simple pour débuter :

Ça vient de mes cours de "Création de pages web" en Licence Informatique.

SASS :

Bienvenue dans ce nouveau cours traitant de Sass, un préprocesseur CSS parmi les plus célèbres. Dans ce nouveau cours, nous allons apprendre à utiliser les différentes fonctionnalités de Sass (variables, fonctions, imbrication, héritage, structures conditionnelles…) et comprendre en quoi Sass peut nous aider à créer un meilleur code CSS. En effet, une utilisation raisonnée de Sass peut aujourd’hui encore permettre de créer du code CSS à la fois plus facilement maintenable et plus puissant puisque Sass transforme le CSS en un quasi langage de programmation avec l’utilisation intensive de variables notamment.

Souvent en tant que débutant, vous faites du code procédural.

La solution procédural

le Afin de traiter les données, on appréhende le problème en raisonnant de façon logique, d'un état initial vers un état final. Les données entrent dans l'algorithme, on applique les actions définies, et on termine. La programmation procédurale tend à une capitalisation dans l'écriture du programme. On tente de trouver des parties qui se répetent, identiques, de trouver des comportements types. Ce seront des procédures et fonctions, qu'on pourra stocker dans des bibliothéques, puis réutiliser.

Les défauts du procédural

Principe de Wirth (inventeur du langage Pascal) : Programme = algorithme + structure de données =>Forte dépendance du programme aux données => Peu de réutilisabilité => Peu d'interfaçage entre applications => Collaboration difficile entre programmeurs... => Evolution difficile, effet de bords, régressions...

L'idée de la POO

La Programmation Orientée Objet, c'est la tentative de réunir les données ET les traitements en une unité cohérente et maintenable. Dans le monde réel, tout est à la fois données et traitements... Une facture contient à la fois des données, et des calculs associés... Toute chose est à la fois dotée de caractéristiques (des données, des valeurs) et des comportements (des actions, des réactions à des stimulus, des messages).

Objet et POO pour bien comprendre :

[Développeur avancé]

Requis : POO (Programmation Orienté Objet => pas orienté Prototype comme dans JS) Pour ceux qui sont avancé comme @Thomas | blind-thomas family @Axone ... Je vous recommande un site pour apprendre la suite à la POO sur les patrons de conceptions (design pattern).

Refactoring.Guru vous facilite l’accès à tout ce que vous devez savoir sur la refactorisation, les patrons de conception, les principes SOLID, et d’autres sujets intéressants de la l'architecture et de la programmation.

C'est des notions général, mais on peut retrouver les mêmes patrons dans tous les langages POO.

Voici une petite ressource pour commencer HTML (ça vient de mes cours de licence Informatique, ne faites pas attention à la partie "serveurs pédagogiques") :

A collection of awesome software, libraries, documents, books, resources and cool stuff about security.

CERT and alerts

Certification

Organizations

Informatives and blogs

CTF, Training L3g@l and G@mes

Non-legal Cyber activism

IT Hacking list

AT Hacking list

Courses and Guides Sites

OS - Operation Systens

Tools

Avant tout

Pour commencer dans l'univers du développement, il est vivement recommandé de faire ce qu'on appelle de l’algorithmique, afin de comprendre certain verbe, terme et apprendre à utiliser la logique avec les bases nécessaire à la compréhension, puis utiliser sa tête plutôt qu'un programme avec une simple feuille de papier, un crayon et une gomme, cela va favoriser la construction d'une pensée axée sur la conceptualisation de votre programme, afin d'obtenir une logique plus claire hors d'un langage.

Tu peux progresser par étape en commençant par ça, afin d'éviter d'être perdu dans toutes la montagne d'information sur le web et sur les discussions des réseaux entre des personnes en désaccord.

Que voulez-vous apprendre ?

il existe de nombreux langages, ayant ont chacun leurs particularités.

Si vous voulez faire un site web, commencez par apprendre .... puis complétez avec le back-end.