Blog – Hello World

Webinar OVH – Meetup : Protégez-vous contre les hackers

Quel est le sujet abordé ?

On ne le dira jamais assez : Les systèmes d’information prennent de plus en plus une place stratégique, qu’ils soient au sein des entreprises ou bien des particuliers. La notion du risque lié à ces derniers devient une source d’inquiétude et une donnée importante à prendre en compte, ceci en partant de la phase de conception d’un système d’information jusqu’à son implémentation et le suivi de son fonctionnement.

Le 10 Février 2017 s’est déroulé en ligne un des premiers webinar organisé par OVH. Le thème de la sécurité à été abordé de long en large, de l’infrastructure à l’applicatif. Présenté par le pentester (Un expert chargé de réaliser des tests d’intrusion) Vincent Malguy opérant chez OVH, ce webinar aborde et permet de faire découvrir les enjeux et techniques pour se prémunir contre les intrusions. Malgré quelques petites coquilles concernant la diffusion, l’événement était clairement intéressant et j’aurais tendance à conseiller de suivre les prochains.

Le contenu

Dans un premier temps, on y retrouve un « historique », un état de la menace sur le piratage au sens large, de ses débuts à nos jours. Des premiers virus aux ransomware, en passant par les plus fameux malwares contenus dans les emails.
Une seconde partie aborde la protection de ses comptes clients (C’est un peu centré sur OVH mais cela va pour les autres aussi ;), une présentation de la double-authentification (Identifiant / Mot de passe / Code à saisir envoyé par mail ou sms ou autre), authentification par IP autorisée mais aussi – notamment pour le grand public – des conseils pour les mots de passes et la présentation du logiciel KeePass (bien que j’aurais tendence à privilégier KeeWeb pour ma part…) qui permet gentiment de désamorcer l’excuse qui m’est le plus abordée en ce moment « Oui, j’ai un seul mot de passe partout, mais c’est compliqué de tous les retenir ! ».
Une troisième partie concerne l’infrastructure, en y abordant la segmentation des serveurs (les vRack OVH), resteindre les flux pour les accès admin. Les administrateurs systèmes pourront écouter des bonnes pratiques liées aux systèmes d’exploitations (OS), des procédures à mettre en place pour réduire la surface d’attaque (Checker avec netstats, resteindre les ports d’accès, configurer le port-knocking et Fail2Ban, etc.)
Pour terminer, au niveau applicatif, on y retrouvera l’utilisation/la configuration de TSL (On y aborde aussi Let’s Encrypt), l’utilisation de conteneur Docker, les PaaS et SaaS à privilégier, les CMS et leurs plugins, les librairies / programmes piochés sur GitHub…

Bon ça vends du service OVH (Le Cloud Archive, IPLB, PaaS/SaaS, etc. ;-)) mais c’est de bonne guerre, et le webinar est de bonne facture. Vous pouvez le retrouver sur YouTube, ci-dessous :

A qui appartient vraiment votre identité ?

Viens chez moi, je t’héberge !

J’ai, de part mes expériences, constaté que certaines agences de communication avaient pour habitude d’enregistrer (ou de reprendre) en leur nom propre les noms de domaines, et/ou préféraient mutualiser les sites de leurs clients sur un hébergement unique, propriété de l’agence. En théorie, c’est généralement pour aller au plus simple, sans volonté de nuire. C’est juste plus rapide, le prestataire utilise son propre compte chez son hébergeur et ne prends* pas le temps de créer un identifiant pour le propriétaire. Petite cerise sur le gâteau, c’est généralement présenté pour des raisons de coûts et de maintenance qui permettent de réduire les prix pour les clients. Dans la pratique, d’autres – une majorité infime – peuvent se montrer moins vertueux.

Les raisons sont multiples : Manque de temps, mauvaise gestion, manque de volonté de voir partir un client, etc. Le fait est que, si la relation s’envenime entre le prestataire et le client, c’est généralement la personne qui à la mainmise sur les enregistrements qui l’emporte. La situation va crescendo vers sa fin.

La fin : Ils vécurent heureux et eurent beaucoup d’enfants ?

Pas vraiment. Ou du moins selon la relation et le degré d’ouverture des interlocuteurs. Le risque majeur – et constaté – est de devenir « prisonnier »* de la personne dépositaire du nom de domaine. Et il faut savoir que le nom de domaine, c’est ni plus ni moins la marque de la structure à qui il est censé appartenir.

Le webmaster ne doit en aucun cas faire la réservation à son nom. Il est par contre préférable qu’il accompagne son client, en prenant soin de vérifier les informations saisies (Voire même dans le cadre d’une prestation par exemple). Toute structure ne devrait pas prendre à la légère ce type de prestation/proposition, tout simplement pour s’assurer sa liberté. En effet, une fois le domaine réservé en son nom, elle est certaine de le garder si elle souhaite pour une raison ou pour une autre changer de prestataire.

Fiche pratique : Connaitre le propriétaire d’un nom de domaine

Il existe un service très pratique pour obtenir des informations sur un domaine : Il s’agit du « Whois ». Le « Whois » est un annuaire, globalement exhaustif, qui permet de répertorier les informations légales et technique sur un nom de domaine.

Il est possible de déterminer (plus ou moins, certains services permettent de cacher des informations personnelles) le propriétaire du nom de domaine, la personne à contacter en cas de problème (contact administratif du nom de domaine), ainsi que le contact technique qui administre le nom de domaine, les dates de créations/modification/expiration d’un nom de domaine, etc…
Ou bien rien du tout si le nom de domaine est disponible à l’enregistrement.

Divers sites permettent d’obtenir ces informations avec un simple moteur de recherche. Je vous propose ainsi de vous rendre sur le site de l’AFNIChttps://www.afnic.fr/fr/produits-et-services/services/whois/ ou bien encore vous rendre sur le site de l’hébergeur OVHhttps://www.ovh.com/cgi-bin/whois.pl

Hello World

Hello World c’est toujours une première fois. C’est un résultat simple que l’on écrit traditionnellement dans un programme informatique pour en faire la démonstration rapide. Dans l’IoT, on correspondrait cela avec l’allumage d’une diode. Hello World, c’est un peu les premiers mots qu’un développeur « prononce » par le biais de son apprentissage.

Hello World – Le Concept

Etant développeur, je ne voyais nulle autre introduction à ce blog que ces deux mots qui nous accompagnent et reviennent tout au long de notre autoformation, des tutoriaux de maints et maints programmes et langages que nous testons ou concevons. Hello World, cela part d’un désir de retranscrire une expérience, une histoire, afin d’y prendre du recul mais aussi de partager et d’interagir.

Ce blog va servir pour mettre mes humeurs, mes découvertes, mes envies, partager mes passions. On y parlera bien sur de technologies ainsi que de quelques passions qui me tiennent à coeur. Ce ne sera pas forcément – du moins dans un premier temps – très structuré, mais je vais tâcher d’être à minima régulier, une à deux fois par mois pour commencer. Enfin j’y retranscrirait aussi les découvertes, au fil de la toile.

Sur ce, bienvenus sur mon blog. Hello World.