Archives par mot-clé : securite

Bunkerized Nginx – L’image Docker Nginx sécurisée

Bunkerized-nginx est un projet disponible sur Github qui est tout simplement une image Docker du serveur Nginx (j’ai justement fait une formation sur Nginx et compagnie pour ceux qui veulent) qui intègre de base toutes les customisations et fichiers de config nécessaires à la sécurisation de votre serveur web.

Le support HTTPS avec Let’s Encrypt est activé, tout ce qui concerne l’état de l’art en matière de sécurité web est également paramétré comme les entêtes HTTP de sécurité, le renforcement du php.ini, du paramétrage pour éviter que votre serveur ne donne trop d’infos.

Le ModSecurity WAF (firewall applicatif) est également présent et intègre l’ensemble des règles poussées par l’OWASP. Fail2ban est également de la partie pour bannir automatiquement les IPs qui feraient des choses pas très catholiques sur votre machine, sans oublier la possibilité d’avoir des challenges de sécurité tels que des captcha (ou recaptcha)…etc.

Cette image docker effectue également du DNSBL (DNS Black Listing) permettant de bloquer des IPs connues pour être nocives. Une limite est également intégrée pour prévenir les attaques par bruteforce, et pour tout ce qui est malware, ClamAV est aussi intégré dans cette image pour vous protéger.

Petit truc amusant, Bunkerized-nginx est capable de tromper certains scanners qui viendraient analyser votre système :

Le tout est totalement configurable à l’aide de variables d’environnement que vous n’avez qu’à modifier.

Si vous voulez lancer un serveur web (HTTP) avec Bunkerized Nginx, entrez la ligne de commande suivante :

docker run -p 80:80 -v /path/to/web/files:/www bunkerity/bunkerized-nginx

Si vous voulez du HTTPS (sécurisé), c’est pareil sauf qu’il faut spécifier l’emplacement où seront stockés les certificats ainsi que le nom de domaine lié à votre serveur :

docker run -p 80:80 -p 443:443 -v /path/to/web/files:/www -v /where/to/save/certificates:/etc/letsencrypt -e SERVER_NAME=www.yourdomain.com -e AUTO_LETS_ENCRYPT=yes -e REDIRECT_HTTP_TO_HTTPS=yes bunkerity/bunkerized-nginx

Et pour ceux qui veulent du PHP (php-fpm), vous devrez spécifier l’adresse d’un PHP-FPM distant qui interprétera les .php.

docker network create mynet
docker run --network mynet -p 80:80 -v /path/to/web/files:/www -e REMOTE_PHP=myphp -e REMOTE_PHP_PATH=/app bunkerity/bunkerized-nginx
docker run --network mynet --name=myphp -v /path/to/web/files:/app php:fpm

Si vous utilisez NGINX en reverse proxy, vous pouvez passer la véritable IP des clients avec le paramètre PROXY_REAL_IP.

docker run -p 80:80 -v /path/to/web/files:/www -e PROXY_REAL_IP=yes bunkerity/bunkerized-nginx

Enfin, pour activer le challenge antibot sous la forme d’un captcha par défaut, entrez la commande suivante. L’antibot peut également se matérialiser par la demande d’un cookie, ou par l’exécution d’un JavaScript de votre choix.

docker run -p 80:80 -v /path/to/web/files:/www -e USE_ANTIBOT=captcha bunkerity/bunkerized-nginx

Il y a encore beaucoup de choses à dire sur Bunkerized Nginx notamment au niveau du paramétrage, mais la doc que vous trouverez ici est vraiment claire et bien faite, donc vous n’aurez aucun souci à customiser cette image Docker renforcée de Nginx.

Photo par Louis Mornaud


A la recherche d’un job dans le numérique et envie de changer de région et de vie ?

Est-ce que je fais vraiment le boulot que j’aime ? Ma qualité de vie dans cette grosse ville bruyante, polluée, chère … est-elle vraiment la meilleure ? Est-ce que ce village de campagne est le lieu le plus propice pour préparer mes enfants au futur ? Nous sommes nombreux à nous être posé ce genre de questions à un moment ou un autre, moi le premier.

Et bien si vous êtes dans cette situation, que vous avez envie de changer d’air sans pour autant changer de travail, Laou vous accompagne dans toutes les étapes de ce nouveau voyage, pour que vous ayez l’esprit serein jusqu’au moment d’envoyer votre premier mail pro 😉

Découvrir leur service et lancez-vous


Clé LEDGER – Attention, une campagne de phishing est en cours pour dérober vos cryptomonnaie

J’étais posé peinard ce soir et j’ai reçu un SMS à l’instant que j’aimerai partager avec vous. Il s’agit d’une campagne de phishing visant les possesseurs de clé Ledger.

Vous le savez, Ledger commercialise des clé sécurisées pour y stocker vos crypto monnaies. Il y a quelques mois, ils se sont fait pirater leur site et dérober les données personnelles de leurs clients (dont je fais partie). Email, numéro de téléphone, nom et prénom ont été volés. Mais rassurez-vous, les clés de chiffrement donnant accès à nos cryptommonnaies sont et restent en sécurité sur nos clés.

Toutefois, les attaquants ont lancé ce soir une campagne qui vise a récupérer les clés de chiffrement de nos clés Ledger. Dans ce SMS alarmant, ils incitent leur cible a se connecter sur une URL redirigeant vers une adresse similaire à celle de ledger.com sauf qu’il y a des petits points sur les « e » comme vous pouvez le voir dans ma capture écran.

Voici le SMS reçu :

Et voici le site vers lequel l’URL renvoie :

Le site est plutôt bien fait, dans un anglais correct et l’utilisation de nos données personnelles suffisamment propre pour que ce soit troublant et que certains se laissent berner.

Attention donc à ne pas cliquer sur ce lien et ne pas rentrer dans leur jeu, vous risqueriez de perdre toutes vos cryptomonnaies.

Prévenez vos amis, vos collègues, tout le monde, ils vous remercieront peut être ensuite 😉

Allez bonne soirée !

CyberChef – Le cyber couteau suisse des espions britanniques

CyberChef est une application web full JS / HTML qui vous permet d’effectuer une opération ou une série d’opérations sur un texte ou un fichier. Quand je parle d’opération, je veux dire que CyberChef propose une très longue liste de fonctions qui vous permettront de faire en vrac du codage, décodage (XOR, Base64…etc.), du chiffrement, déchiffrement (AES, DES, Blowfish), de la conversion de fichiers ou de formats, du dump en hexadécimal, de la création de binaires, de la compression, décompression de fichiers, du calcul de hash, du parsing de date ou d’IP…etc., etc.

Une démo de CyberChef est accessible ici.

Les possibilités sont tellement nombreuses que je ne peux pas tout vous lister, mais vous avez compris le concept. C’est une formidable boite à outils à emmener partout avec vous. Je pense que ça peut être utile aux gens qui font des challenges de sécurité, par exemple ou tout simplement pour les développeurs qui veulent gagner du temps.

Décodage de chaînes en Base64, déchiffrement et désassemblage de shellcode, extraction de données EXIFs…etc.

CyberChef fonctionne sur un principe de recettes, c’est-à-dire qu’il permet d’enchaîner les fonctions, mais également de les sauvegarder. Cela peut vous permettre de gagner du temps dans vos traitements de fichiers, vos conversions d’encodage de caractères ou dans vos générations de .zip avec calcul de hash automatique.

CyberChef a été mis au point par le GCHQ qui est l’équivalent de la NSA pour les britanniques.

En gros dans CyberChef, vous avez 4 zones. A gauche, les fonctions classées par catégories, au centre la zone dans laquelle glisser-déposer ces fonctions pour construire vos recettes. En haut à droite, la zone d’entrée qui peut être du texte ou un fichier. Et en bas à droite la zone de sortie.

Bref, un super soft à garder sous le coude ou à héberger sur votre serveur ou dans un coin de votre disque dur.

Et y’a même plusieurs thèmes (dark, light…etc.) y compris un thème Geocities qui éclate bien les yeux. Ils ont de l’humour au GCHQ.

Télécharger CyberChef ici.


MacWay fête ses 30 ans et qui dit 30 ans dit JEU CONCOURS !

Le grand jeu anniversaire est disponible sur macway.com ! Tentez de remporter un MacBook Air jusqu’au 11 Octobre 2020 !
D’autres lots sont également mis en jeu, avec notamment une trottinette Force Moov , un casque Bose QuietComfort 35.
Bonne nouvelle : il n’y a pas de perdant, puisque chaque participant recevra un bon d’achat de 10€ !
Tirage au sort le 12 Octobre 2020.

En Savoir +



Crowdsec – Un genre de fail2ban avec une liste de blocage mutualisée

Crowdsec est un logiciel open source encore en beta qui analyse les logs de votre serveur à la recherche de schémas de menace (patterns) baptisés « scénarios ». Une fois qu’un comportement malveillant a été détecté, Crowdsec bloque alors l’IP du vilain et l’empêche d’accéder à votre système.

Ça fonctionne un peu comme un fail2ban pour ceux qui connaissent, à la différence prêt qu’il y a une couche communautaire dans l’application. C’est-à-dire que l’information qui est extraite des attaques (IP source, date, heure, type de comportement malveillant) est ensuite envoyée à un serveur appartenant à Crowdsec pour être mutualisée pour l’ensemble de tous les utilisateurs.

Chaque donnée remontée est qualifiée et un score de confiance lui est attribué avant d’être ajouté à la liste mutualisée de blocage.

Toute la doc sur Crowdsec se trouve ici.

httpie – Un client HTTP en ligne de commande absolument génial !

Si vous êtes familier avec la ligne de commande, vous connaissez tous Curl et wget. D’ailleurs, parfois les gens ont du mal à choisir entre les 2.

Réjouissez-vous, car je vais simplifier votre choix en vous proposant d’opter pour une nouvelle alternative : HTTPie

HTTPie est un client HTTP en ligne de commande qui se veut simple et intuitif et qui permet de faire tout un tas de choses comme du debug, interagir avec des serveurs http (pour automatiser des actions par exemple), interroger des API…etc.

Fonctionnant sous Windows, Linux et macOS, HTTPie support nativement le JSOM, est capable d’uploader des formulaires et des fichiers, crache des réponses formatées et en couleurs, sait gérer des connexions HTTPS, via proxy ou authentifiées et peut même télécharger des trucs un peu comme wget.

Comble du luxe, il est aussi possible d’ajouter vos propres extensions à HTTPie.

Alors comment ça fonctionne ? Déjà pour l’installer, voici comment faire :

Sous Mac avec Homebrew

brew install httpie

Sous Windows avec pip

pip install --upgrade pip setuptools 
pip install --upgrade httpie

Sous Linux (Ubuntu / Debian)

apt-get install httpie

Pour vérifier que ça fonctionne, on va tester avec mon site.

Ouvrez un terminal et entrez la commande

http korben.info

Vous devriez avoir une réponse de ce type :

Ensuite, voici quelques exemples que j’ai repris de la doc :

Requête HTTP personnalisée, avec un entête HTTP personnalisée et des données JSON passées en entrée :

http PUT example.org X-API-Token:123 name=John

Soumission d’un formulaire :

http -f POST example.org hello=World

Pour visualiser la demande qui est envoyée :

http -v example.org

Utiliser l’API Github pour poster un commentaire concernant un problème d’authentification :

http -a USERNAME POST https://api.github.com/repos/jakubroztocil/httpie/issues/83/comments body='HTTPie is awesome ! :heart:'

Uploader un fichier :

http example.org < file.json 

Télécharger un fichier et l’enregistrer :

http example.org/file > file 

Télécharger un fichier façon wget :

http --download example.org/file 

Et il est aussi possible de nommer des sessions pour conserver une certaine persistance entre vos différentes requêtes :

http --session=logged-in -a username:password httpbin.org/get API-Key:123
http --session=logged-in httpbin.org/headers

Sans oublier la possibilité de définir un entête personnalisé pour contourner les enregistrements DNS manquants :

http localhost:8000 Hôte:exemple.com

Un excellent outil qui vous servira dans tout un tas de situations 😉