Salut à tous!

Étant donné que le sujet revient régulièrement sur ce forum sous diverses formes (et que les communautés du libre et de la sécurité informatique se croisent un peu partout, alors pourquoi pas ici), il est temps de mettre tout ça sous un même topic

Mon objectif est de regrouper dans ce sujet:
Les discussions sur l'actualité en sécurité informatique : révélation de grosses failles (qu'elles concernent des produits libres ou non...), innovations, évolution de la législation, etc.
Les débats autour de cette vaste thématique. Ces débats sont généralement liés à d'autres problématiques telles que la vie privée à l'ère du numérique, la liberté de la presse, etc. et c'est tant mieux : ce sont des sujets intéressants, pour ne pas dire importants.
Les questions et demandes d'aide en sécurité informatique. C'est l'occasion pour ceux qui se soucient de la sécurité de leurs données de se renseigner auprès de la communauté sur les bonnes et mauvaises pratiques, et de s'échanger des conseils.
Enfin et surtout, pour l'aspect technique, j'encourage le partage (légal) des ressources d'apprentissage sur ce sujet, du simple lien vers un site d'entrainement, à l'explication détaillée d'un cas concret que vous auriez étudié chez vous, en passant par la masse de MOOCs disponibles.

Comme il s'agit d'un domaine sensible (il y a des opinions, des mœurs et des lois gravitant autour : le cocktail parfait pour une shitstorm), j'insiste sur l'importance des points suivants:

• Le respect des lois. Et pas uniquement les lois françaises, car même si l'entreprise qui héberge ce forum fonctionne sur le sol français, m'est avis que publier du contenu qui puisse faire préjudice à une personne ou une entreprise établie partout ailleurs peut vous attirer les mêmes ennuis, qui que vous soyez.
• Le respect des opinions d'autrui. Comme dans tout domaine, si tout le monde était d'accord il y aurait beaucoup moins de discussions, et encore moins de débats. Cela ne veut pas dire qu'il est nécessaire d'avoir raison à la fin de la journée, en usant de comportements toxiques.
• Le partage et l'ouverture d'esprit. De ce que j'ai pu observer, la communauté "infosec" est tout de même assez ouverte et encourageante, au moins sur les réseaux sociaux (quand on approche de la partie business, forcément un peu moins). J'aimerais que ce topic ne fasse pas exception, donc si votre seule intention en venant ici est d'afficher vos compétences sans partager votre savoir, passez votre chemin.
• Enfin : ni ce topic, ni le reste du forum ne sont mis à votre disposition pour "demander un piratage" (WiFi du voisin, compte Facebook de l'ex-copine, craquage d'un jeu vidéo payant...). C'est dit dans la charte mais on reçoit régulièrement ce genre de demandes de façon plus ou moins subtile ici donc autant faire un petit rappel.

Voilà pour l'intro, j'espère que cette initiative intéressera du monde, car même s'il y a des sites et des forums entièrement consacrés à la sécurité informatique, avoir une ambassade sur les forums généraliste ne peut pas de mal à cette science.

Très bonne initiative !

Merci bien Je passe pratiquement tous les jours sur le forum pour checker que tout va bien mais ça faisait un moment que j'avais pas directement contribué comme ça.

D'ailleurs du coup je vais vous partager un ensemble de ressources que j'utilise (chez moi et dans ma vie pro) pour me tenir au courant / apprendre des choses en sécu info:

Je veux juste commencer par sécuriser mes propres comptes, données, appareils: par où commencer ?
[ https://www.secnumacademie.gouv.fr/ ] : Je n'ai pas encore fini de cours mais il est d'une excellente qualité, et surtout accessible à tous. Si vous vous sentez un petit peu largués (et en danger) concernant la sécurité de votre vie numérique, ça peut vraiment aider.

Les sites d'entrainement / sandboxes / communautés pédagogiques:

• Root-Me [ https://www.root-me.org/ ] : probablement l'un des plus connus en francophone (et dispo en anglais aussi), il s'agit d'un site proposant une multitude de "challenges" à difficulté croissante dans divers domaines (réseau, analyse de binaires, forensique, web...). Certains se font en téléchargeant et analysant des fichiers (exécutables, captures réseau, fichiers chiffrés...), d'autres en interagissant directement avec des serveurs mis à disposition dans ce but (donc de manière légale, si les règles de la communauté sont respectées).
• Zenk [ https://www.zenk-security.com/ ] : Une autre commu francophone, par contre j'ai beaucoup moins de choses à dire car je ne me suis pas encore beaucoup penché sur les challenges qu'ils proposent (mais du peu que j'ai vu et de ce qu'on m'a raconté dans le milieu, c'est solide / de bonne qualité / une belle communauté)
• Hackthebox [ https://www.hackthebox.eu/ ] : Semblable à Root-Me, à la différence qu'un premier challenge doit être réussi pour s'inscrire (rien de bien vilain). Une partie des challenges se vont via une connexion VPN au réseau d'entrainement, donc je conseille évidemment de prendre des précautions de sécurité avant de se lancer dessus (n'oubliez pas qu'une distro Linux lambda n'a aucune restriction de firewall par défaut en général )
• Plein d'autres que je n'ai pas beaucoup testés : https://www.hackthis.co.uk/ , https://w3challs.com/ , https://lab.pentestit.ru/ , https://cryptopals.com/ ...

Quoi que vous fassiez sur ces sites, n'oubliez pas de bien lire et tenir compte des règles fixées afin de ne pas déborder dans vos expérimentations. C'est une aubaine d'avoir des gens qui conçoivent de véritables environnements d'entrainement (majoritairement gratuits en plus), donc un certain respect est demandé en retour.

Pour la veille sécu :

• [ https://www.securityweek.com/ ] (c'est très axé sécurité organisationnelle mais ça a le mérite de couvrir un terrain assez large)
• [ https://www.exploit-db.com/ ], [ https://0day.today/ ], etc. : des bases d'exploits mises à jour quotidiennement. Si vous avez l'oeil et la patience de checker ça régulièrement, vous pouvez repérer des composants utilisés chez vous ou dans votre entreprise qui seraient vulnérables à une faille découverte récemment. C'est aussi très utile pour les challenges de chez Root-Me / HTB / etc.
• [ https://www.cert.ssi.gouv.fr/ ]: répertorie les grosses crises en cours (j'ai bien dit les GROSSES crises, celles pour lesquelles l'impact est vaste et les solutions de mitigation sont compliquées à déployer ou inexistantes, par exemple Spectre/Meltdown...)

Allez je m'arrête ici pour ce soir, en espérant que ça aide du monde

Salut, bonne initiative ce topic

Un petit site de challenges assez intéressant : http://pwnable.kr/ (actuellement down cependant). Je l'aime bien vu son design original

Du coup on parle de quoi en sécurité informatique quand on reste sur des infos qui ne mette personne en préjudice ?

Hello! La question est intéressante, c'est vrai que j'ai pas beaucoup précisé ma pensée.
On va prendre le problème à l'envers et donner des exemples de données pouvant porter directement préjudice à des entreprises ou individus:

• « Connectez-vous à <IP> au port <machin> en SSH user root password donald, c'est rigolo on peut lire tous les mails de <corporation> »

Même s'il s'agit vraisemblablement d'une négligence de la part de <corporation>, l'éthique voudrait que toute personne découvrant ce genre de faiblesse remonte illico presto l'information à l'administration de l'entreprise. Et encore, ici à mes yeux la loi a déjà été enfreinte, car une personne non-autorisée s'est connectée à un système qui ne lui appartient pas. (je fais référence aux lois françaises, mais c'est le genre de principes de base qu'on retrouve dans à peu près toutes les autres législations)

• « Regardez, ce mec a développé et mis en ligne son outil personnel de gestion de mots de passe mais il est bourré de failles d'injection et path traversals: voici un dump de tous ses mots de passe! » (basé sur des faits tristement réels)

Même chose à l'échelle de l'individu. Distribuer ce genre d'infos sur un espace public constitue une atteinte sérieuse aux droits de la personne concernée, et ce même si les informations étaient "simples d'accès". Le fait que vous connaissiez le nom, l'adresse et le numéro de téléphone d'un ami ne signifie pas que vous avez la permission de les publier librement sur Internet.

• « Je viens de découvrir une faille 0-day sur les routeurs D-Link, comme je vous aime bien je vais la publier ici en premier, accompagnée d'un POC python prêt à l'emploi » (un grand classique chez les gens peu scrupuleux, en quête de renommée)

Non, non et re-non. C'est matière à débat dans le domaine de la sécurité informatique, et tout le monde ne va pas dans le sens de la "Responsible disclosure", mais dévoiler des exploits 0-day à la terre entière (et surtout fournir les POC qui vont bien) sans avoir laissé une chance aux concepteurs du système affecté de patcher ladite faille, c'est juste bon pour flanquer l'anarchie et rendre tout le monde perdant. Alors qu'on soit bien clairs: c'est monnaie courante, et il n'est pas exclu que vous tombiez sur des exploits dont la divulgation a été faite à la va-vite en fouillant un peu sur les réseaux sociaux ou les bases d'exploits comme celles que j'ai linkées plus haut. Mais je ne souhaite pas voir ce pattern reproduit ici, et je rappelle que certaines entreprises pincent (fort, en plus) quand elles s'estiment victimes de divulgation irresponsable. Il y en a même qui frappent sous la ceinture en menaçant les chercheurs qui tentent de les avertir intelligemment mais ça c'est un autre problème.

Est-ce que ça signifie qu'on ne peut plus parler de la moindre fuite de données récente, ou du moindre exploit découvert sur nos routeurs Cisco préférés ? Non. Déjà, si vous vous référez à des plateformes cadrées (telles que les CERT de grande envergure), les bugs et failles qui y sont présentés ont normalement déjà été communiqués aux concepteurs des systèmes cible.
Ensuite, ce n'est pas parce qu'une faille n'est pas (ou plus) un 0-day qu'il n'y a rien à dire ni observer à son sujet. Tout à l'heure j'ai parlé de D-Link, j'en profite pour poster un lien vers un blog:
[ http://www.devttys0.com/blog/ ]
Ici on peut retrouver de longues analyses des différentes backdoors ou failles honteuses retrouvées chez D-Link il y a quelques années (et vu leur nature, m'est avis qu'on trouve toujours sur les nouveaux modèles en cherchant un peu, et qu'on en trouvera à l'avenir ).

Tout ça pour dire que si la sécurité informatique était un savoir illicite, on aurait du mal à en faire un métier honnête et reconnu. Il y a des gens dont le métier consiste à concevoir des systèmes sécurisés, d'autres qui ont pour tâche de vérifier la robustesse en la mettant à l'épreuve. La différence avec les bandits, c'est qu'il y a des contrats qui régissent leurs actions, un périmètre d'action normalement bien défini, et qu'un rapport complet est rendu à la fin des analyses.

Sans être aussi bas niveau (au sens informatique du terme) que ces premiers posts, je voudrais savoir si vous aviez des ressources orientées M et Mme Michou ? En effet, début décembre, je vais tenir une conférence avec un ami pour l'association tinternet (https://www.tinternet.net/ ) avec comme sujet « Surveillance de masse : quel avenir pour la vie privée ? ». Parmi les sujets que nous aimerions évoquer, il y a la centralisation des données et j'aimerais amener le sujet par le prisme de la sécurité informatique sans passer par la case "je vous fais peur". Du coup, si vous aviez des ressources / idées qui pourraient m'aider à vulgariser de façon factuelle tout ça, ça m'aiderait