Session du 09 mai 2024 à 20h00
Veille & Discussions
Algorithmique & Performance
Deviens membre Premium magic_button
Cette session de mentorat est réservée aux membres Premium. Rejoignez-nous pour accéder à toutes les rediffusions des sessions de mentorat !
Premium
- check +100h de formations
- check +180 exercices de code
- check +100h de mentorats en rediffusion
- check 20 projets
- check Mentorats groupés hebdomadaires
- check Support individuel avec nos mentors
Présentation sur la cybersécurité
Petite introduction à la cybersécurité avec un passage en revue des attaques possibles et de comment s'en protéger. Passage en revue également de la cryptographie et des algorithmes de chiffrement.
00:00:00 :qui revient tout juste du Canada où il a terminé ses études et il va nous présenter une partie deses études parce que il t'en reste encore un petit peu et là du coup il m'a proposé cette sessionsur la cybersécurité parce que c'est alors je me rappelle plus c'est pas ton mémoire du coup
00:00:23 :c'est quoi c'est un stage de recherche donc sur ce sujet et je me suis dit que c'est un sujet donton entend souvent parler, qu'on nous demande souvent aussi de traiter et on a très très peude ressources dessus sur Docstring, je me suis dit que c'était parfait pour pour faire une petite
00:00:43 :petite introduction donc c'est pas je pense que c'est un niveau assez général, c'est ça donc vousn'en faites pas vous n'avez pas besoin de connaître quoi que ce soit c'est le but ici de vous présenterun peu les grandes lignes de tout ça et voilà la session est enregistrée comme d'habitude donc
00:00:59 :elle sera disponible en rediffusion et si vous avez des questions n'hésitez pas à les poser,je pense poser les dans le chat pour pas trop interrompre. Kevin tu peux peut-être jeter un
00:01:08 :coup d'oeil si tu vois les questions, parfait s'il y a des questions qui sont en lien avec ce que tuprésentes ça peut être intéressant de répondre directement et voilà je pense que c'est tout.
00:01:19 :Je vais me présenter très rapidement du coup moi c'est Kevin Silliot, étudiant de 20 ans,bientôt 21, j'ai fait ma troisième année du coup d'études au Canada cette année donc sur un domaineautour surtout principalement de la cybersécurité mais aussi du développement cloud etc. Donc moi
00:01:39 :mon sujet de recherche que je présenterai aussi dans une conférence plus tard ça s'accède plutôtautour des cryptomonnaies et de la sécurité des cryptomonnaies mais ça relativise de lacybersécurité et donc c'est un sujet qui aujourd'hui est de plus en plus important,vous allez voir les chiffres c'est assez impressionnant et donc là l'idée c'est
00:01:57 :vraiment un cours basique, il faut juste avoir des notions d'informatique de base,tout le monde va pouvoir suivre sans trop de problèmes et au pire des cas vous m'interrompezet je prendrai le temps de vous expliquer. Et bien on est parti ! Alors du coup avant toute
00:02:12 :chose c'est important de savoir ce que signifie le mot cyber qui est devant cybersécurité et qu'onvoit de plus en plus. Donc cyber qu'est ce que ça signifie ? C'est un préfixe qu'on va utiliser et
00:02:22 :qui va viser à former des mots qui sont relatifs à l'utilisation d'internet, du numérique et pasdonc que de la cybersécurité. Cybersécurité est un exemple mais le cyberespace en est un autre,
00:02:32 :le plus d'entre eux c'est sûrement le cyber café que tout le monde connaît aussi parce que c'est uncafé où on peut utiliser internet, voilà dès qu'on a quelque chose qui va utiliser internet,qui va utiliser le numérique, on va pouvoir mettre cyber devant pour l'indiquer. Je vais
00:02:48 :commencer aussi par un petit peu d'histoire d'où vient la cybersécurité. Alors déjà on se rappelleque les premiers ordinateurs sont apparus dans les années 40, ensuite dans les années 60-70 on aun Tron Newman qui est un informaticien plutôt connu et un physicien plutôt connu qui a théoriséle premier virus. En 69 on commence à voir l'apparition d'internet et les ordinateurs
00:03:10 :peuvent commencer à communiquer entre eux via des premières messageries. On a le premier virusinoffensif qui n'affectait pas votre ordinateur, rien du tout, c'était juste qu'il pouvait sepropager, qui a été créé en 71 et par conséquent le premier antivirus. En 78 en France on commence
00:03:29 :à s'y intéresser et on crée la fameuse loi informatique et liberté qui va donc entrer envigueur. Le premier virus malveillant lui va voir le jour que quasiment une vingtaine d'années
00:03:40 :après le premier était inoffensif et c'était un ver, un ver vous allez le voir c'est un virusqui se propage via le réseau. Ensuite en 95 l'Europe commence du coup à plus se pencher sur
00:03:54 :le thème de la cybersécurité et des cybercrimes et met en place une directive sur la protection desdonnées personnelles pour contrer cet éveil du piratage informatique et c'est la première foisqu'on évoque le piratage éthique, c'est-à-dire le fait de pirater intentionnellement un systèmepour voir s'il ne contient pas des failles. Ensuite on arrive aux années 2000, on a une
00:04:19 :convention sur la cybercriminalité et le premier traité international avec plus de 150 pays quiabordent les crimes informatiques dans le cyberspace. En France dans les années 2010, en 2009 on crée
00:04:32 :l'ANSI, je pense que vous connaissez plus ou moins tous, l'agence nationale de la sécurité des systèmesd'information qui est aujourd'hui la plus grosse agence en France autour de la cybercriminalité.
00:04:41 :2016 on commence à aller vers du plus récent, une attaque par ransomware, vous verrez ce quec'est après, a lieu toutes les 40 secondes, c'est énorme. En 2018 on crée notre fameux RGPD qu'on
00:04:55 :adore tous et puis là on arrive autour des années 2020, encore un traité européen pourétablir les cartes de cybersécurité. Le volume des cyberattaques dépasse les 600 millions d'euros
00:05:08 :pour un trimestre en 2021 et aujourd'hui, l'année prochaine, le coût annuel de lacybercriminalité est estimé à plus de 9200 milliards d'euros. Je sais pas si vous vous
00:05:21 :rendez compte les coûts que ça engendre et c'est pour ça qu'aujourd'hui la cybersécurité et lacyber défense c'est un sujet qui est de plus en plus émergent, il y a plus en plus de formationsautour de ça, il y a plus en plus de recrutements et donc c'est pour ça aujourd'hui que c'est
00:05:36 :important de connaître au moins les bases. Alors avant toute chose, le cyberespace, il faut savoirce que c'est pour définir tous les autres termes de la cybersécurité. Est-ce qu'il y en a parmi
00:05:46 :vous qui ont une idée de ce que c'est le cyberespace ? Très rapidement, s'il y en a qui ont des idées,sinon après j'explique. C'est tout ce qu'il y a quand on est connecté, par exemple les réseaux
00:06:09 :sociaux, les sites en général quand on se connecte, mais vraiment je vois plus au niveauréseaux sociaux, je sais pas si ça en fait partie je pense non ? Ça en fait partie oui. Voilà,
00:06:18 :en fait c'est un ensemble de tout ce qu'on peut trouver sur internet, sur réseau. C'est exactementça. En fait le cyberespace c'est dans le nom, c'est cyber comme on l'a dit tout à l'heure,
00:06:29 :c'est tout ce qui est en rapport avec le numérique. Donc cyberespace, espace numérique,ça désigne l'ensemble des équipements, téléphone, ordinateur, tablette, infrastructure, informatique,réseau, internet, donc les réseaux sociaux, les services et les applications numériques quiexistent dans le monde entier. Voilà, c'est vraiment, on englobe tout. Donc ça, ça nous
00:06:50 :permet de définir un petit peu un cadre de référence dans lequel s'instaure la cybersécurité.Et donc la cybersécurité, qu'est-ce que c'est ? C'est l'ensemble des activités qui visent à
00:07:02 :protéger les données et les systèmes contre les menaces qui sont issues de ce cyberespace.Pour ça, pour les systèmes d'information, donc pour les ordinateurs, les systèmes desentreprises, etc., il faut respecter ce qu'on appelle la triable CDI. Confidentialité,
00:07:19 :disponibilité, intégrité. Pour les définir rapidement, la confidentialité c'est le faitqu'une information ne soit pas partagée, ne soit pas publique, par exemple un mot de passe c'estconfidentiel. La disponibilité c'est le fait qu'un service soit accessible 24 heures sur 24 au public,
00:07:35 :donc peut-être vous avez déjà entendu parler, le TLA, etc. Voilà, c'est un site internet,il est coupé cinq minutes par jour, il ne va pas avoir 100% de disponibilité. Et l'intégrité c'est
00:07:47 :le fait de pouvoir certifier qu'une information est véridique et pouvoir en authentifier sonpropriétaire. Donc par exemple avec une signature, quand on signe un papier, on ajuste son intégrité.
00:07:58 :Ensuite on peut diviser donc la cybersécurité en deux grosses dimensions. La prévention,et la réaction. La prévention, logiquement, c'est l'ensemble des mesures qui permettent de
00:08:09 :renforcer la sécurité d'un système d'information pour lui permettre de résister aux cyberattaques.Donc c'est tout ce qu'on va faire en un mot pour éviter des attaques. Et la réaction, c'est tout
00:08:18 :ce qu'on va faire après l'attaque, c'est l'ensemble des moyens qui vont être mis en place pour ladétecter et y répondre en cas d'attaque. Maintenant les cyberattaques, qu'est-ce que c'est ?
00:08:31 :Déjà il y a deux principaux vecteurs de cyberattaque. Le vecteur humain et le vecteurinformatique logiciel. Le vecteur humain, le plus connu, c'est le phishing. C'est parce qu'on a
00:08:43 :donc nos équipes souvent, ou même nous-mêmes, on n'est pas assez formé, on n'est pas assez informé.Et on va recevoir un mail, on va cliquer sur un lien en pensant que c'est un copier-colleridentique de la page d'Amazon. Et hop, on va rentrer nos informations de paiement et pouf,
00:08:55 :l'attaquant va récupérer notre carte de crédit et on aura été victime d'une attaque de phishing.L'autre possibilité, informatique logicielle, c'est tout simplement des systèmes, des logicielsqui ont présenté des failles, des vulnérabilités, que ce soit au niveau technique ou au niveau humain,donc le manque de vigilance, les attaques vont exploiter ces vulnérabilités pour infecter un
00:09:19 :système et donc gagner des données, de l'argent, plusieurs enjeux. Et donc l'enjeu pour lacybersécurité et la cyberdéfense, c'est d'identifier ces vulnérabilités, qu'elles soienthumaines ou logicielles, pour les corriger. En général, quand c'est humain, le but, ça aide
00:09:36 :de faire de la prévention et de la formation, un peu comme dit ce cours, cette initiation.Maintenant, au niveau des cyberattaques, ces dernières années, il y a trois types majeursde cyberattaques logicielles. Les ransongiciels ou ransomware, les attaques DDOS et les attaques
00:09:55 :APT. Je vais vous expliquer, ne vous inquiétez pas. Donc le ransomware, comme son nom l'indique,c'est une attaque où on va demander une rançon. Il y a un logiciel, un malware, qui va infecter
00:10:06 :votre système ou un système d'une entreprise, qui va chiffrer les données. Donc voilà,avec un algorithme de chiffrement, vous ne pourrez plus accéder aux données de votre ordinateur etl'attaquant va vous demander une rançon, souvent par bitcoin, je pense que vous avez plus ou moinsdéjà vu ce cas-là, et va vous demander que vous envoyez un certain sum pour déchiffrer vos données.
00:10:25 :Ça, c'est le plus courant et en 2016, il y en avait eu une toutes les 40 secondes.Les attaques par DDOS, c'est déni de service distribué. C'est une attaque qui va viser
00:10:38 :donc la disponibilité d'un service. On va essayer de le rendre indisponible en le submergeant derequêtes. Par exemple, je ne sais pas, je vais prendre 2-3 ordinateurs et je vais essayer de
00:10:48 :me connecter à un site web. Donc à 2-3, le site web, aucun souci, mais quand on va utiliser desdizaines de milliers de serveurs, peut-être que le site internet en face n'a pas la capacité derépondre à ces requêtes et donc il va crash et le service va être indisponible. C'est le but de
00:11:03 :ce type d'attaque. Ces attaques-là, elles utilisent souvent un réseau de machines compromises,un boîte net, ne vous inquiétez pas, je développerai ça plus tard. Et enfin, le dernier type d'attaque,
00:11:15 :ce qu'on appelle une attaque APT, une menace persistante avancée. C'est une attaque qui vase dérouler sur le long terme par des groupes de cybercriminels organisés, donc pas par despetits attaquants lambda, vous avez tous, je pense, l'image de personnes suites à capuche. Non, là,
00:11:30 :on parle vraiment de gros groupes organisés, des cybercriminels qui sont qualifiés et qui,sur une période prolongée, vont essayer d'organiser une attaque sur une entité spécifique,une grosse entreprise, un gouvernement, une ESN, afin de leur voler des données sensibles etpouvoir potentiellement les revendre, ou alors aussi dans d'autres cas, par exemple politique,
00:11:51 :pour véhiculer un message, ce genre de choses. C'est quelque chose qui est de plus en pluscourant aussi, surtout dans les conflits politiques qu'on a aujourd'hui. Pour vous parler d'un cas
00:12:01 :concret, en 2017, on a eu le cas du ransomware WannaCry. Peut-être certains d'entre vous enont déjà entendu parler. C'était du coup un ransomware qui visait cette fois-ci une faille
00:12:13 :logicielle. Les systèmes Windows qui n'étaient pas à jour possédaient une faille qui permettaitd'injecter ce malware. Cette faille-là, Windows n'était pas au courant qu'elle existait. Les
00:12:28 :attaquants l'ont trouvée. Ça s'est propagé. Et donc, comme je vous l'ai expliqué juste avant,un ransomware, ça chiffrait les fichiers de votre système, de votre ordinateur. Vous ne
00:12:37 :pouviez plus accéder à vos données et on demandait une rançon en bitcoin pour déchiffrer.Il faut savoir que du coup, pourquoi WannaCry est aussi connu, ça a infecté plus de 200 000systèmes dans le monde entier, 150 pays, et ce en seulement 72 heures. Imaginez s'il n'y avait
00:12:58 :pas eu le correctif au bout des 72 heures et qu'on s'en soit rendu compte plus tard. Comme ça sepropage à travers le réseau, c'est exponentiel. Les dégâts auraient été astronomiques. Déjà,
00:13:11 :on estime déjà les dégâts à plusieurs milliards de dollars. Ça a eu pour conséquence l'arrêt desservices comme des hôpitaux, des entreprises, des banques. Ça a aussi permis de bonnes choses. On
00:13:26 :s'est rendu compte que ça pouvait être très dangereux, ce genre d'attaque. Donc, ça a permisde renforcer un petit peu la sensibilité que les entreprises et les particuliers avaient vis-à-visde la sécurité informatique, une vraie prise de conscience. Et donc, Microsoft a publié le
00:13:41 :correctif qui a patché la faille 72 heures après. Mais vous voyez déjà qu'en 72 heures,ce qu'il est possible de faire comme dégâts. Est-ce qu'il y en a qui avaient déjà entendu
00:13:50 :parler de cette attaque ? Parce que je pense que c'est l'attaque la plus connue au cours de ladernière décennie au moins. Oui, je vois qu'il y en a pas mal qui connaissaient. Ta boîte s'était
00:14:08 :faite attaquer ? Ah oui, comme quoi. Comme quoi, ça a vraiment touché tout et n'importe qui dansle monde entier. Et donc, les dégâts étaient vraiment assez conséquents. Et c'est là que je
00:14:20 :pense que ça a aussi redébloqué en 2017. L'année d'après, RGPD, il y a eu beaucoup de choses quiont évolué dans le monde de la cybersécurité depuis cette attaque-là. Maintenant, un petit
00:14:33 :peu de technique pour pouvoir comprendre la suite. Des termes que vous avez peut-être déjà vus,mais que vous ne comprenez peut-être pas. Le plus simple d'entre eux que la plupart des gens
00:14:40 :connaissent, un VPN, Virtual Private Network, un réseau privé virtuel. C'est un logiciel ou uneplateforme qui va vous permettre de masquer votre adresse IP et donc votre localisation. Ça va
00:14:52 :permettre d'accéder à des contenus, à des serveurs qui sont dans d'autres régions du monde. L'exemplele plus courant, vous connaissez, NordVPN. Vous pouvez lire du contenu Netflix qui est disponible
00:15:02 :qu'en Amérique ou qu'en Asie, par exemple. Mais aussi, l'intérêt, c'est de se protéger. Quandvous naviguez sur Internet, que tous les réseaux sociaux, etc., ne puissent pas accéder à votre
00:15:11 :adresse IP. Deuxième terme, l'attaque man-in-the-middle. Je pense que pareil, c'est peut-êtrequelque chose que vous avez déjà entendu. C'est un type de cyberattaque où les attaquants vont
00:15:25 :se mettre au milieu. C'est pour ça qu'on dit man-in-the-middle, l'homme au milieu. Ils vontpeut-être se mettre au milieu d'une conversation pour intercepter justement les échanges. Ça peut
00:15:36 :être pendant un échange réseau où vous allez échanger avec quelqu'un par message et sanssavoir, il y a quelqu'un qui va intercepter tous les messages que la personne A envoie à la personneB et inversement. Le troisième mot, c'est un malware. Ça, je pense que tout le monde connaît.
00:15:52 :C'est le terme qu'on utilise pour désigner un logiciel pirate, un virus tout simplement,qui va endommager les données d'un serveur ou d'un système informatique. C'est des fichiers qui
00:16:04 :sont en général téléchargeables sur Internet. Vous allez sur un site qui n'est pas trop sécuritaire,vous pouvez télécharger un malware, souvent par mail aussi, systèmes qui ne sont pas à jour.
00:16:16 :Interception de requêtes postes. Oui, ça peut être le cas. Comme c'est des échanges réseau,on peut intercepter des requêtes postes. Oui, tout à fait. Ça fait partie des échanges de données,
00:16:30 :donc on peut intercepter des requêtes postes si on se situe bien sur le réseau. Des requêtesget aussi. On peut intercepter tout genre de choses. C'est vraiment général. Le plus connu,
00:16:40 :c'est intercepter une conversation entre deux individus. Mais techniquement,tout ce qui passe par le réseau peut être intercepté. Le VPN entre un chiffrement pointà point. Ça dépend des VPN. Je vais essayer de vous conseiller un petit peu. Toutes les VPN ne
00:16:58 :proposent pas un point to point, mais la plupart, oui, aujourd'hui, oui, la plupart. Mais des fois,ce n'est pas suffisant. Franchement, VPN, c'est vraiment la première couche pour sécuriser.
00:17:09 :Vous allez voir, je vais vous donner un petit peu les bonnes pratiques. Il faut beaucoup plus que çapour se penser en sécurité. Botnet, je vous en ai parlé tout à l'heure. C'est le fait qu'une fois
00:17:19 :que votre appareil, par exemple, est piraté et que vous ne le savez pas, ça devient un botnet,un ordinateur zombie. Vous avez peut-être plus entendu ce terme-là. Et en fait, un attaquant,
00:17:28 :il va avoir un réseau d'ordinateurs zombies, peut-être 10, 100, 1000. Et en fait, comme ilpeut tous les contrôler à distance, il va tous pouvoir les utiliser pour faire des attaques,d'autres attaques. Et souvent, pour des attaques DDoS, il va utiliser tous les ordinateurs zombies
00:17:43 :pour aller lancer une attaque sur un serveur pour le rendre indisponible. Une attaque par bruteforce, comme son nom l'indique, brute force, c'est force brute. On va essayer de forcer un mot de
00:17:55 :passe en testant des milliers de combinaisons. Ça, je pense que c'est une des plus connues,mais qui, aujourd'hui, est une des plus faciles aussi à contourner et à bloquer. Il suffit de
00:18:05 :choisir un mot de passe un petit peu compliqué. Vous avez peut-être déjà vu des tableaux où onvous dit, suivant la longueur de votre mot de passe, suivant s'il y a des caractères spéciaux ou pas,combien de temps ça mettrait pour craquer un mot de passe. Et je ne sais pas si vous avez déjà
00:18:19 :remarqué, mais suivant les années, ce tableau a tendance justement à se renforcer de plus en plus.Vous prenez un tableau qui a 5 ans par rapport à un tableau qui a aujourd'hui. Il y a 5 ans,
00:18:28 :un mot de passe à 10 caractères, ça suffisait. On vous disait qu'il faudrait 300 ans pourdécrypter. Aujourd'hui, un mot de passe à 10 caractères, il faut peut-être 5 minutes. La
00:18:38 :puissance de calcul augmente exactement. Les ordinateurs sont de plus en plus puissants,donc c'est de plus en plus facile pour les attaquants aussi de déchiffrer vos mots de masse.
00:18:45 :C'est pour ça qu'il est important de vraiment renforcer de plus en plus. Et enfin, une faillezero day, comme son nom l'indique, c'est une faille au jour zéro, une faille qui a étéidentifiée directement à la sortie et qui est exploité avant que le fournisseur ou que ledéveloppeur de l'application ou du système ne s'en rende compte ou ne soit informé et puisse la
00:19:08 :corriger. C'est ce qui s'est passé avec WannaCry, c'est une faille zéro day. Et donc pendant 72heures, tout a pu se propager parce que personne n'était au courant. Et c'est donc les failles les
00:19:20 :plus dangereuses parce qu'avant qu'elle ait eu lieu, on ne la connaît pas tout simplement. Etaujourd'hui, c'est ce qui est le plus privilégié par les attaquants. C'est beaucoup plus difficile
00:19:29 :à trouver, mais c'est ce qui en général rapporte le plus et se propage le plus parce que c'est cequi met le plus de temps à être corrigé par les développeurs. C'est un peu le cauchemar des
00:19:40 :grosses boîtes, des failles zéro day. Maintenant, les chiffres clés. Et c'est là que c'est unpetit peu effrayant. On va parler surtout au niveau de la France. En 2021, donc c'est quand
00:19:51 :même assez récent, toute la moitié des entreprises françaises ont été au moins victimes d'unecyberattaque. Parmi elles, 59%, donc toute la moitié, c'était des attaques de ransomware,
00:20:03 :donc qui demandaient des rançons. Parmi ces moitiés d'entreprises qui ont été victimes decyberattaques, seulement la moitié portait plainte. On estime que le coût médian d'une
00:20:16 :cyberattaque est d'environ 50 000 euros et que ça entraîne en moyenne une perte moyenne de chiffred'affaires de 27% pour les entreprises. Je ne sais pas, justement, tout à l'heure,
00:20:26 :quelqu'un disait que son entreprise a été attaquée par WannaCry. Je ne sais pas si toi,tu as un petit peu des chiffres potentiellement pour l'entreprise. Qu'est-ce que ça vous a fait
00:20:35 :perdre ? Ça peut peut-être être intéressant comme cas concret. Effectivement, non, on n'a pasperdu grand-chose parce qu'on avait eu une très bonne sauvegarde qui datait à d'à peine deuxjours, donc on n'a pas perdu beaucoup de données. Ok, très bien. Tant mieux du coup. Mais voilà,
00:20:50 :en général, pour il y a 2-3 ans, la perte moyenne, c'était 27% pour l'entreprise.Votre entreprise s'est fait attaquer récemment, une partie de son chêne a été chiffrée. Voilà,
00:20:59 :c'est un ransomware, du coup, chiffrement général. Et du coup, vous l'avez perdu beaucoup aussi,j'imagine ? Heureusement, vous avez les sauvegardes sur bande. C'est vrai que les sauvegardes sur
00:21:12 :bande, on pourrait croire que les sauvegardes sur bande, c'est un petit peu vieux et tout,mais n'empêche que ça peut sauver. Je sais que, par exemple, pour ceux qui connaissent Micode,
00:21:23 :j'avais fait une vidéo là-dessus sur son émission, justement les sauvegardes à bande,que ça revenait à la mode, justement. Ça ne doit pas arriver souvent les files 0D ? Non,
00:21:31 :en effet, ça n'arrive pas souvent, mais quand ça arrive, on entend vachement parler, du coup.Est-ce qu'il y a 10 personnes sur le sujet pendant 7 jours pour remettre tout en place ? Oui. Rien
00:21:40 :que 10 personnes sur le sujet pendant 7 jours, ça a un coût, ces personnes-là. Donc, c'est pourça qu'on arrive facilement à des coûts de 50 000 euros, ce n'est pas déconnant. Au moins,
00:21:49 :les salaires, c'est un coût, exactement. Donc, voilà, 70% des entreprises ciblées sont despetites entreprises, TPE, PME. Ah oui, en général, c'est celles qui ont le moins de budget pour
00:21:59 :renforcer leur sécurité, évidemment. Deux de ces cyberattaques par jour ciblaient lesétablissements de santé. Bah oui, parce que les établissements de santé, c'est le public,
00:22:10 :et le public, ils ont souvent des systèmes informatiques très vieux, ils ne veulent pasmettre à jour parce que ça coûte beaucoup trop d'argent. Si vous voulez, j'ai même une anecdote
00:22:18 :là-dessus. Moi, quand je cherchais un stage l'année dernière, l'hôpital de ma ville cherchait 8stagiaires entièrement gratuitement pour refaire entièrement leurs systèmes informatiques parcequ'ils ne voulaient pas payer des gens pour le faire. Bah, 6 mois plus tard, ils se sont fait
00:22:33 :pirater. Voilà. Et enfin, 94% des logiciels malveillants qui sont libérés sur Internetproviennent de vos mails. C'est pour ça, quand on vous dit de faire attention, que ce soit en
00:22:47 :entreprise ou chez vous, est-ce que vous téléchargez aux mails que vous lisez, je vous feraiune démonstration à la fin, vous allez voir à quel point c'est facile de, même vous qui pensezpeut-être être sécurisé par vos mails, comment c'est facile de pirater par mail. Je vous donnerai
00:23:01 :quelques exemples, je vous ferai une démonstration à la fin. Mais du coup, on peut se demander,mais dans tout ça, il y a beaucoup, il y a quand même beaucoup de données, c'est des milliards etdes milliards de données, qu'est-ce qu'il faut protéger en priorité ? On revient sur les deux
00:23:15 :notions essentielles dont je parlais depuis un petit moment, les données personnelles et lessystèmes d'information. Et donc là-dessus, il faut un petit peu classifier qu'est-ce qu'il y a
00:23:23 :à prioriser en premier. En premier lieu, les données à caractère personnel des individus,donc voilà, les cartes bancaires, les cartes d'identité, à chèque, enfin voilà, toutes vosdonnées relatives aux données personnelles. Les systèmes d'information, les données des
00:23:43 :entreprises, administration, collectivités, hôpitaux, établissements sonnaires, voilà,tout ça. Pareil, comme ça contient vos données personnelles, il faut aussi autant les sécuriser.Les systèmes d'information des opérateurs publics, infrastructures critiques, l'énergie,l'état de communication, la santé, l'alimentation, voilà, ce genre de choses. On voit surtout les
00:24:02 :hôpitaux, quand ça tombe en rade, ça peut facilement être dangereux pour tout le monde.Après, on a de la chance, les hôpitaux en général, les machines critiques, elles tournent sur desgroupes électrogènes, elles tournent sur des systèmes à part, qui ne sont pas forcément surinternet, encore heureusement, parce qu'imaginez que les machines qui tiennent certaines personnes
00:24:24 :en vie soient branchées à internet et que ce soit spiraté, on aurait beaucoup de morts sur laconscience. « Kevin, il y a une fois de temps en temps des thèses concernant l'attitude de ces
00:24:33 :collaborateurs face à tes mails. 80% se font avoir. » Ouais, j'ai aussi une anecdote par rapport à ça.Là, je suis dans mon université au Canada, dans mon département d'informatique et decybersécurité. Ils ont fait un test il y a six mois, justement pareil, en envoyant un mail de
00:24:51 :phishing. Donc, c'est des profs qui donnent des cours sur la cybersécurité quand même. Sachezque c'est plus de la moitié des profs qui sont faits avoir, sachant que c'est des profs quienseignent comment ne pas se faire avoir. Donc, vraiment, ça touche tout le monde.
00:25:04 :« Il y a une boîte française qui s'est spécialisée là-dedans en mode SAS. » Je ne connais pas.Après, il y en a beaucoup maintenant de plus en plus. Mais aujourd'hui, ce qui se répand de plus
00:25:14 :en plus, c'est des entreprises qui font du pen-testing. Vous avez peut-être entendu cemot-là. C'est ce que je disais tout à l'heure de l'attaque éthique. C'est en fait, vous payez
00:25:23 :une entreprise pour qu'elle essaye de s'introduire dans votre système, qu'elle essaye de trouver vosfailles et qu'ensuite, elle vous propose des solutions. En fait, vous payez une entreprise
00:25:31 :pour qu'elle vous attaque comme si c'était un attaquant et qu'elle essaie de voir s'il n'y apas des problèmes dans votre système, des failles. Et d'expérience, parce que je connais des
00:25:40 :entreprises et des amis qui tiennent ce genre d'entreprise, 80% du temps, ils envoient unmail à un employé, l'employé clique sur le mail et hop, tout le réseau est infecté. C'est comme
00:25:48 :ça que tout le reste déroule. Voilà. Riot, ça c'est le même nom que la société qui fait unjeu que je connais bien. Ils ne voulaient pas citer le nom, mais ok. Je ne connaissais pas.
00:26:03 :On a eu un nouveau RSS suite à l'attaque. Il y a envoyé un petit mail comme si ça venait du patron.Avec un malouin sous forme de fichier Excel, la moitié des collaborateurs se sont fait avoir surla prime de fin d'année. Et bah oui. La faille se trouve dans le chèque. Exactement. J'aime beaucoup
00:26:21 :cette phrase. Je la dis souvent. Le plus gros problème, souvent, c'est entre la chaise et leclavier. Tout à fait d'accord. Et enfin, du coup, forcément, les informations classifiées de l'État.
00:26:31 :Si on se faisait partager les dossiers classés de l'État auprès des autres gouvernements, on ne seraitpas dans le caca. Donc, avec tout ça, qu'est-ce qu'il faut faire? Quelles sont les bonnes pratiques
00:26:42 :un petit peu pour se protéger? Premier lieu, choisir un mot de passe fort, puis douze caractères,majuscules, minuscules, caractères spéciaux, chiffres, tout ce que vous voulez. Plus de
00:26:52 :caractères, plus il y a de caractères, mieux c'est. Parce que si ça se trouve, un mot de passe de douzecaractères dans cinq ans, ce ne sera plus assez. Et le top du top, c'est d'utiliser un gestionnaire
00:27:03 :de mots de passe. Je donnerai des exemples juste après. Comme ça, vous n'avez pas à vous faire chierà les retenir. Ça vous fait des mots de passe complexes. Et ceci, ce qui est important, c'est
00:27:12 :jamais utiliser deux fois le même mot de passe. Parce qu'imaginons qu'il y a un pirate un jourqui arrive à choper un de vos mots de passe. Si vous mettez le même partout, tiens, le mot de passe
00:27:22 :de la banque, c'est aussi le mot de passe de la sécu. Et activer l'authentification multifacteurquand c'est possible. Ça vous connaissez, 2FA. Donc vous avez le mot de passe, plus, soit vous recevez
00:27:33 :un SMS, soit vous avez l'application Google Authenticator, un code à ses chiffres qui changetoutes les 30 secondes. Ça, je pense que tout le monde connaît aussi. Dès que c'est possible,
00:27:44 :activez-le, c'est important. Je pense qu'on le voudra pas souvent, mais quand ça vous arrive,vous êtes bien content de l'avoir mis. Utilisez que des logiciels, applications de confiance qui
00:27:56 :sont signées et à jour. Quand vous êtes dans une entreprise et vous avez quelqu'un qui gère çapour vous, ne vous amusez pas à mettre à jour vous-même les logiciels. Attendez que votre
00:28:06 :responsable le fasse. Sinon, vous allez peut-être vous retrouver à télécharger une mise à jour quin'est pas une mise à jour officielle ou qui n'est pas un correctif totalement vérifié, ce genre dechoses. Il faut bien vérifier les correctifs. Pareil, effectuez toujours les mises à jour de
00:28:23 :sécurité de vos ordinateurs. Vous n'êtes pas obligé de faire toutes les mises à jour de Windowsou de Mac qu'il y a sur votre ordinateur parce que ça bouffe de la place, mais les mises à jour desécurité, faites-les, c'est important. Ne jamais cliquer sur des liens fichiers suspects sans
00:28:38 :en connaître la provenance. Évidemment, par mail, toujours bien vérifier en cliquant sur la flèche,l'adresse mail qui vous envoie un mail. Il faut vérifier si ce n'est pas une adresse mail un peu
00:28:48 :différente. Sinon, quand vous voulez télécharger des trucs qui ne sont pas forcément sécurisés,faites-le sur une machine virtuelle. Comme ça, au moins, s'il y a quelque chose qui pète,
00:29:02 :s'il y a un virus ou quoi, c'est dans la machine virtuelle, vous ne risquez pas grand-chose.Oui, les antennes des mails, c'est ça que je voulais dire. Merci pour le terme. Pareil,
00:29:10 :je ferai une petite démonstration à la fin. Sauvegardez vos données. Il y en a plusieurs quil'ont dit dans le chat tout à l'heure, dans les entreprises. Ça leur a sauvé. C'est important
00:29:18 :d'avoir plusieurs... Comme on dit, ne pas mettre tous ses oeufs dans le même panier. Sauvegardezvos données à des endroits différents, aussi bien physiquement que dans le cloud. Il ne faut
00:29:29 :pas avoir tout en physique, il ne faut pas avoir tout dans le cloud. Mettre ses oeufs dans le mêmepanier, par exemple drive plus disque dur, c'est une bonne pratique à avoir aussi. Vous serez bien
00:29:37 :content un jour si votre ordinateur et toutes vos données sont chiffrées, de les avoir sur uncloud ou sur un disque dur externe. Les VM, oui, c'est une très bonne idée. Quand vous n'êtes pas
00:29:48 :sûr de ce que vous déchargez, exécutez-le dans une machine virtuelle. Aujourd'hui, il y a pleinde tutos sur internet pour faire une machine virtuelle avec VMware, avec VirtualBox. Ce n'est
00:29:56 :vraiment pas compliqué. N'hésitez pas à le faire. Jamais brancher une clé USB sur son ordinateurqu'on ne connaît pas exactement. C'est beaucoup moins courant aujourd'hui, parce que plus personne
00:30:09 :n'utilise de clé USB quasiment. Mais c'est vrai qu'il y a cinq ou dix ans, c'était une des sourcesles plus présentes de virus, les clés USB. Une VM permet de complètement protéger notre machine,
00:30:21 :ou il y a quand même des failles en utilisant une VM. Il y a quand même des failles, parce queta VM peut utiliser le même réseau. Si c'est une VM sur ton ordinateur, en utilisant VMware ou
00:30:35 :quoi, c'est quelque chose qui est émulé, donc ça utilise quand même les ressources de tonordinateur. Donc, il y a quand même un risque. Mais honnêtement, le risque est quand même
00:30:42 :largement moindre que vous déchargez sur votre machine. Après, le top du top, c'est d'avoirune machine dans le cloud. Vous prenez une machine virtuelle Windows chez Azure ou chez AWS ou j'en
00:30:53 :sais rien. Et là, vous êtes tranquille. Là, vous êtes sûr que si vous déchargez là-dessus,ça ne risque pas d'infecter votre ordinateur. Ça, c'est le top du top. Et voilà. Donc,
00:31:03 :utilisez des réseaux sécurisés, donc WPA2, tout ça, des Wi-Fi. Donc, les Wi-Fi de chez vous,etc. Donc, en général, ou de chez vos amis, il n'y a pas trop de problèmes. Mais dès que vous
00:31:13 :êtes sur un réseau public, université, au travail, au McDo ou n'importe où, utilisez un VPN ou unproxy. C'est très important. Parce que sinon, moi, j'arrive au McDo, je vais sur le réseau public,
00:31:24 :je peux accéder à toutes les données des personnes qui sont connectées. Même dans les aéroports,tout ça, il faut faire attention. Et un point qu'on néglige beaucoup, être aussi prudent sur son
00:31:39 :téléphone ou sa tablette que son ordinateur. Il y en a beaucoup qui se croient à l'abri surson téléphone parce que, ah oui, on ne peut pas exécuter .exe sur téléphone, etc. Je vous jure
00:31:48 :que vous n'êtes pas aussi à l'abri sur votre téléphone que vous pensez que c'est le cas. Parceque dès que vous téléchargez un PDF qui peut cacher un virus, il y a beaucoup de choses quis'exécutent sur téléphone aujourd'hui. Peut-être pas les minages de crypto-monnaies, par exemple,
00:32:06 :mais il y a beaucoup de choses qui s'exécutent sur téléphone. Donc, il faut faire attention.Qu'est-ce que le VPN change pour ça par rapport au réseau public ? Le VPN ou le proxy va utiliser
00:32:22 :un serveur annexe pour tes requêtes. Et donc, d'un point de vue de quelqu'un d'autre qui estconnecté au réseau, c'est ce serveur-là qui va rediriger toutes les requêtes. Donc, si quelqu'un
00:32:32 :veut intercepter les données, il va intercepter les données entre lui et le serveur par lequeltu passes et pas avec toi directement. En fait, un VPN ou un proxy, ça permet de router. Au lieu
00:32:43 :de passer de toi au serveur web, par exemple, ça va faire toi, VPN ou proxy, serveur web. Etdonc, quelqu'un qui veut intercepter le trafic, il va l'intercepter entre ton VPN et le serveur. Et
00:32:58 :du coup, ça permet aussi de cacher ta localisation et de cacher aussi ton adresse IP.Voilà. Donc, maintenant avec les bonnes pratiques, quelques exemples de ce qu'on peut utiliser.
00:33:15 :Donc, pour le coffre-confort de mot de passe, en version gratuite, vous avez KeePass qui a étéfait par l'ANSI. Sinon, 1Password, je crois que Thibaut et moi on utilise tous les deux ça,
00:33:25 :c'est plutôt pas mal. Pour ceux qui sont étudiants, si il y a des étudiants parmi vous, avec GitHubStudent, vous l'avez gratuitement. Pour les antivirus, juste Microsoft Defender, si vous
00:33:36 :êtes sur Windows, pas de Kaspersky, pas d'Avast, pas de 1Password, rien de tout ça. C'est pire.Je vous jure, j'ai fait des tests et même je pense qu'il y a des chiffres qui sont sortis,etc. Je pense qu'il doit y avoir des études là-dessus. C'est pire souvent d'avoir un Avast
00:33:51 :ou un truc comme ça en version gratuite qui, déjà, vont laisser passer des trucs et des foisqui même vont vous rajouter pour vous inciter à passer à la version payante. Donc, il n'y a pas
00:34:03 :d'avance. Aujourd'hui, Microsoft Defender, c'est l'un, voire celui qui se défend le mieux surWindows. Il se défend tellement bien que moi, des fois, quand je développe avec
00:34:14 :Microsoft Visual Studio, il détecte les applications que je développe comme desvirus, alors que c'est une application qui est faite par Microsoft. Donc, c'est quand même
00:34:23 :assez solide. Et ça utilise maintenant le lien pour faire de la prédation ? Ah oui, je n'étais mêmepas au courant. Donc, comme quoi, ils évoluent encore. Mais vraiment, Kaspersky, Avast, Avira,
00:34:34 :tout ça, désinstaller ça de vos PC, c'est vraiment à éviter. Je sais qu'en entreprise, des fois,vous n'avez pas le choix. Mais chez vous, si vous pouvez éviter, Microsoft Defender suffit largement.
00:34:45 :Et sur Mac, en général, vous êtes quand même plus tranquille. Le fait que vous ne puissiez pastélécharger de .exe. Aujourd'hui, 80%, 90% des virus, c'est sous forme de .exe, cachés dans des
00:34:57 :fichiers ou quoi. Sachant que Mac ne peut pas exécuter les .exe. Sur Mac, vous êtes relativementtranquille. Linux aussi. Donc, voilà. En mail, j'ai mail, mais il faut penser à activer les
00:35:08 :options sécurisées. Notamment, je vous montrerai tout à l'heure l'option qui permet d'affichers'il y a des images, des pièces jointes ou quoi, et pas les télécharger automatiquement. Ou Proton
00:35:19 :Mail. En vrai, c'est une bonne solution. C'est une solution de mail sécurisée. Voilà, c'est unexemple. Je crois que vous avez une version gratuite. Sauvegarde des données, voilà. Le plus
00:35:29 :simple, c'est disque dur externe, plus votre disque dur à vous, plus un drive. Un drive situé enEurope ou en Suisse. N'allez pas mettre vos données chez Amazon ou je ne sais pas où. Parce que du
00:35:40 :coup, une fois que vos données sont sur le territoire américain, ils peuvent en faire cequ'ils veulent et les revendre comme ils veulent. Et vos données, elles sont précieuses. Nous, on a
00:35:48 :une loi RGPD en Europe et on a des accords européens qui disent que vos données, à partirdu moment où vous êtes un ressortissant européen, elles doivent être stockées en Europe. Donc
00:35:58 :privilégiez des drives situés en Europe ou en Suisse. En Suisse, ils sont pas mal aussi au niveauprotection des données. Moi, personnellement, je connais Infomania qui sont justement en Suisse.
00:36:06 :C'est pas mal. Mais voilà, privilégiez des solutions en Europe. Infomania, c'est pas mal.L'EPN, par pitié, arrêtez les NordVPN, arrêtez les CyberGhost, je sais pas quoi. C'est juste des
00:36:19 :conneries de pub qu'on vous propose par Youtube avec des promotions mirobolantes à 2,80€ parmois pendant 3 ans. Déjà, vous payez ça plus cher que ça pourrait vous revenir si vous le faites
00:36:34 :maison. Et en plus de ça, pareil, vos données, c'est pas européen, NordVPN et tout, donc vosdonnées, pareil. En fait, vous utilisez NordVPN pour chiffrer vos données, sauf qu'eux, du coup,
00:36:45 :ils peuvent y accéder à vos données. Ils vous disent que non, mais techniquement, selon la loi,ils peuvent. Donc bon. Ah, et en plus, c'est de son tourisme. Ben voilà, allez, je suis
00:36:55 :infomaniaque. Moi, j'utilise, c'est top. Franchement, niveau rapport qualité-prix,niveau support, tout ce qu'ils peuvent proposer, c'est top. Voilà, donc VPN. Un OpenVPN avec unVPS. Aujourd'hui, il y a plein de tutos sur Internet en 5 lignes de commande, même si vous
00:37:10 :avez jamais touché un serveur Linux de votre vie. C'est du copier-coller. Vous suivez un tuto,tout le monde peut le faire. Voilà, même mon père de 40 ans qui a jamais utilisé un Linux,
00:37:20 :il a réussi à le faire. Je vous garantis que tout le monde peut le faire. Donc voilà,OpenVPN, c'est open source. Voilà, niveau données, de toute façon, il n'y a pas mieux. Vous prenez
00:37:30 :un VPS, comme ça, vous pouvez choisir votre localisation en plus. Voilà, l'inconvénient,c'est que c'est une localisation par serveur, mais au moins, vous savez où sont vos données.
00:37:39 :Vous n'êtes pas limité au niveau nombre de connexions. C'est open source. Voilà, il n'y apas mieux. Moi, je préfère payer peut-être un petit peu plus un VPS. Et puis, un VPS,
00:37:50 :ça peut vous servir pour autre chose en plus. Et voilà, et au moins, être sûr de mes données.Ensuite, du coup, qu'est-ce qui est utilisé un petit peu par les entreprises ou par lesparticuliers comme détection et prévention pour les cyberattaques ? Phase de détection,
00:38:08 :on a les logiciels antivirus pour analyser les fichiers du paie. Les entreprises, doncsouvent les ESM, disposent de ce qu'on appelle des systèmes de détection d'intrusion, des IDS.
00:38:19 :Globalement, c'est les solutions logicielles complètes qui offrent un panel d'oucis pourdétecter des intrusions. Et voilà, des fois, comme par exemple, on fait dans vos entreprises,
00:38:30 :on teste un petit peu le comportement des utilisateurs, des employés ou des systèmes.On fait de la surveillance, on fait des campagnes de phishing pour voir justementest-ce que tout le monde est bien formé, est-ce qu'on a des employés qui se font avoir ou quoi,ce genre de choses. La prévention, donc, des pare-feux, parce que ça permet d'analyser et
00:38:49 :filtrer les paquets. On pense à mettre régulièrement à jour ces logiciels et ces systèmes. Dans lesgrosses boîtes, on a quelqu'un qui s'en occupe, mais dans les petites boîtes, ou même personnellement,pensez à le faire. L'authentification multifacteur, ce que je vous ai présenté juste avant,
00:39:03 :les mots de passeport, tout ça. On se forme, on sensibilise les équipes. Et enfin, une fois quel'incident arrive, on met en place un plan de réponse aux incidents avec plusieurs étapes,etc. On met en place une surveillance et une analyse des journaux, les fameuses logs. On
00:39:20 :essaye de collaborer avec les autres entités de l'entreprise ou avec les autorités, avec la police,par exemple, pour transmettre les informations sur les attaquants, si on en a. Et on essaie de
00:39:29 :contenir l'attaque. Par exemple, si vous avez un système qui est divisé en quatre, l'attaque,pour l'instant, ne touche qu'un quart. Essayez que ce quart-là, vous l'enlevez du reste de votre
00:39:41 :système pour ne pas que l'attaque se propage. Le but, c'est vraiment de contenir et éviter lapropagation. Comme ça, tout votre système n'est pas infecté et 75% de disponibilité, c'est mieux
00:39:54 :que zéro. Est-ce que ça va jusque là ? On va essayer de passer une notion un peu plus à poil,plus complexe. Oui, ça va pour tout le monde. Des outils type visio, etc. J'ai pu comprendre
00:40:12 :Zoma et des sociétés de sécurité. Je n'ai pas trop subi, je ne saurais pas dire, mais peut-être,oui. D'où pour les Linuxers, d'utiliser des distribs en rolling version, ça permet d'avoir
00:40:24 :plutôt un patch. Exemple suivant, la phase pour peu nécessaire n'avait duré que deux heures. Ahoui, impressionnant. J'avoue que moi, ça fait un petit moment que je n'ai pas utilisé de Linux.
00:40:32 :J'ai fait un nom sous Mac au Canada, mais c'est vrai que Linux, normalement, c'est le top du top.Vous êtes sur de l'open source, vous êtes sur une distrib qui n'est pas, enfin voilà, au virus,c'est très peu sensible au virus. Vous pouvez faire globalement un petit peu tout tourner,
00:40:50 :c'est un peu le roi de l'open source. Par contre, voilà, c'est beaucoup moins user friendly.Quoique encore, il y a de plus en plus de distribs Linux qui sont quand même de plus en plus jolis,de plus en plus sympas à utiliser. Je n'ai pas de nom en tête, mais j'en vois passer de temps en
00:41:03 :temps. Même les dernières versions de Ubuntu, etc. Ça s'est pas mal amélioré. C'est moins vieillotqu'il y a quelques années. Aujourd'hui, un Ubuntu 22, 24, c'est plus sympa qu'un Ubuntu 16.
00:41:16 :Open source ne veut pas dire sans risque. Non, mais le fait de pouvoir accéder aux sources,quand tu y connais un petit peu, c'est quand même plus rassurant qu'une solution logicielleclairement dont tu ne connais pas la provenance. La faille openzcl provenait d'une remontée d'un
00:41:36 :développeur. Ah, les pull requests qui ne sont pas vérifiés par les équipes. Ah,ça aussi, il faudra en parler. Pas de mise en prod le vendredi, je ne sais pas si on l'a déjà dit.
00:41:45 :Bon, on va passer à la cryptographie. Alors, la cryptographie, c'est quoi ? Je pense que pareil,tout le monde a déjà au moins entendu le terme, ne sait pas forcément ce que c'est. C'est
00:41:56 :l'ensemble des procédés qui vont être mis en place pour transformer une information de lisibleà illisible ou chiffré. Attention, on dit chiffré. On va voir, les mots sont importants,
00:42:07 :on ne dit pas crypté, on dit chiffré. Et qui va seulement être compréhensible de ceux qui ontla clé pour la déchiffrer. Je redis bien, chiffré, déchiffré, je ne veux pas entendre de crypté,
00:42:18 :décrypté. L'exemple le plus simple, avec le premier algorithme qui date de moins 50 avantJésus-Christ, celui de notre ami Jules César, l'algorithme de Jules César. Comment il marche
00:42:31 :l'algorithme de Jules César ? Vous prenez un message d'origine, donc ici, bonjour, je penseque vous voyez mon curseur. Vous allez donc prendre la place des lettres dans l'alphabet,
00:42:40 :donc par exemple le B c'est le 2, le N c'est le 17, etc. Et vous allez choisir une clé qui va êtreun numéro entre 1 et 26, relative à la place dans l'alphabet. Donc moi, par exemple, j'ai pris
00:42:51 :plus 3, ça peut être aussi un moins. Et en fait, vous allez prendre la place dans l'alphabet devotre lettre et vous allez l'ajouter à votre clé. Donc 2 plus 3, 5, 17 plus 3, 17, 20, etc. Et vous
00:43:03 :allez obtenir un nouveau message. Donc ici, ce message là. Et techniquement, seuls ceux qui ontla clé plus 3 pourront décoder en faisant moins 3. Bon ça c'est sur le papier, aujourd'hui vous
00:43:15 :allez sur un site internet, peu importe ce que vous prenez, il vous décode en une fraction deseconde. Mais à l'époque, c'était utilisé du temps de Jules César. C'est vraiment l'algorithme
00:43:25 :de cryptographie le plus simple, le plus connu. Le deuxième qui est connu et qui est venu justeaprès, c'est le chiffre de Wigner, inventé de par son nom Blaise de Wigner au 16e siècle. Il
00:43:38 :est quand même resté efficace pendant 3 siècles, celui-là, pendant 300 ans, avant d'être résoluen 1863. Et il était basé un peu comme juste avant, c'est à dire que pareil, on est un peu sur des
00:43:49 :décalages, sauf qu'ici, on va prendre un mot pour les décalages et on se base sur un tableau. Là,par exemple, je prends l'exemple de cryptographie et de maths, vous allez voir, c'est super simple.
00:43:59 :Je prends le C de cryptographie, je prends le M de maths et je regarde ce qu'il y a entre les deux.Hop, j'ai un O, et je pose un O. Ensuite, je prends le R de cryptographie, le A de maths, je regarde,
00:44:10 :R1, hop, c'est un R. Continue, Y, T, Y, T, hop, encore un R. Et vous voyez que d'ici, déjà,il y a la différence. Deux lettres différentes peuvent donner la même lettre à la fin. Donc,
00:44:25 :ça renforce déjà la sécurité. Et en fait, une fois que vous avez fini vos 5 lettres, vous lesrépétez à l'infini jusqu'à avoir fini votre mot. Bon, ça, pareil, c'était viable à une époque.
00:44:36 :Aujourd'hui, pareil, n'importe quel ordinateur en moins de 5 secondes arrivera à vous décrypterce genre de choses. Alors, du coup, on va passer à des solutions un peu plus récentes. Les fameux
00:44:46 :algorithmes de chiffrement. Les algorithmes de chiffrement symétriques et asymétriques. Lefameux algorithme RSA que tout le monde connaît aujourd'hui. Quelle est la différence entre un
00:44:57 :algorithme symétrique et asymétrique ? Voilà, qu'est-ce qu'on utilise aujourd'hui ? Alors,la différence principale, c'est qu'un algorithme symétrique, c'est qu'on va utiliser une seuleclé pour chiffrer et déchiffrer. Ça va être du coup plus rapide, mais la taille des clés va être
00:45:13 :plus petite et le risque de vol est plus important parce que la clé, on peut la choper dans les deuxsens. Vu qu'on utilise la même pour chiffrer ou déchiffrer, il suffit que la clé soit interceptée
00:45:29 :et pouf, tout saute. Mais l'avantage, c'est que du coup, ça n'utilise pas beaucoup de ressources,c'est plus rapide à mettre en place. Donc, ça peut être bien dans certains cas encore aujourd'hui.
00:45:41 :Mais le plus robuste, c'est le chiffrement asymétrique où on va utiliser deux clésdifférentes, une clé publique et une clé privée. Donc, ça va être plus lent, mais on va avoir des
00:45:52 :clés qui vont être beaucoup mieux chiffrées. Et donc là, le seul risque, c'est qu'il ne faut pasperdre la clé privée pour déchiffrer, mais c'est aujourd'hui, encore à l'heure actuelle,impossible à déchiffrer. Donc, les deux permettent l'authentification. Par contre,
00:46:10 :la non-répudiation, donc le fait qu'on puisse attester que quelque chose est bien authentique.Donc aujourd'hui, l'exemple le plus courant, c'est que vous allez sur Internet le fameuxcertificat SSL. Ça affirme que le site là, ça atteste que c'est bien le site original et que
00:46:31 :vous ne trouvez pas sur une pale copie en HTTP. Ça, seulement l'asymétrique peut encore le prouverparce qu'on n'a pas encore trouvé de moyen de déchiffrer un chiffrement asymétrique.
00:46:43 :Je vais quand même vous présenter un chiffrement symétrique parce que c'est quand même leprotocole qui est à la base du chiffrement TLS SSL et qui est encore utilisé aujourd'huidans certains cas où on n'a pas besoin de l'algorithme RSA. Dans une connexion TLS,
00:47:03 :donc une connexion sécurisée en ligne, on a deux étapes. On a donc un échange de clé et unchiffrement asymétrique. L'algorithme de Diffie-Hellman, qui date des années 70 si je
00:47:14 :ne dis pas de bêtises, permet donc de résoudre cette étape-là. Ici, c'est un exemple simple.Ne vous inquiétez pas, ça paraît complexe, ce n'est pas tant que ça. Je vais essayer de vous
00:47:25 :l'expliquer assez simplement. On va avoir deux personnes, Alice et Bob, qui vont se mettred'accord sur deux nombres. Deux nombres qui sont premiers. Pour rappel, un nombre premier,
00:47:35 :c'est un nombre qui n'est divisible que par lui-même et par un. C'est un nombre limité,il n'y en a pas à l'infini des nombres premiers, qui sont censés être très grands. Là,
00:47:44 :pour l'exemple, j'ai pris des petits nombres pour ne pas que ce soit trop compliqué,mais normalement, ils doivent être très grands. Ces nombres-là vont être transmis en clair sur
00:47:52 :le réseau. Ils vont être accessibles à tout le monde. Ensuite, chacun va choisir un très grandnombre privé. Celui-ci ne va pas être partagé. Ce nom privé-là, du coup, il faut qu'il soit
00:48:04 :avec les premiers. Ensuite, grâce à celui-ci, ils vont chacun calculer de leur côté, grâce à uncalcul de mathématiques, avec le modulo, etc. Ça s'affiche à l'écran pour ceux qui veulent. Un
00:48:18 :autre chiffre, on va l'appeler ici Ay, qui va être leur clé publique. Cette clé-là, ils vontla transmettre à la personne en face. Alice va la transmettre à Bob et inversement. Grâce à
00:48:33 :cette clé publique, Alice et Bob, de leur côté, vont pouvoir calculer Sx et Sy, qui vont être laclé privée. Cette clé privée-là va être la même pour les deux, puisqu'ils se sont à la base basés
00:48:47 :sur les mêmes chiffres P et G. Le problème de cette attaque-là, c'est comme il y a un échangede clés, on a l'attaque de l'homme au milieu, man in the middle, on a Eve qui peut très bien semettre au milieu des communications et intercepter les clés, et qui du coup, elle, va pouvoir aussi
00:49:03 :retrouver la clé privée. Donc c'est quand même à la base, aujourd'hui, des connexions sécuriséesen ligne. C'est-à-dire qu'à partir du moment où il n'y a personne qui se met au milieu ou qui
00:49:16 :espionne votre conversation, votre connexion est quand même sécurisée. Donc c'est encoreutilisé aujourd'hui, mais la plupart des messageries sécurisées en ligneutilisent un chiffrement symétrique. Vous prenez par exemple une conversation WhatsApp, c'est du
00:49:37 :chiffrement symétrique, parce que tant que vous n'avez personne qui vient intercepter votreconversation, c'est chiffré quand même, donc personne n'est censé pouvoir l'intercepter. Mais par
00:49:48 :exemple, quelqu'un arrive à pirater votre compte, ou alors se fait passer pour la personne en face,vous avez l'impression par exemple, moi je parle sur WhatsApp avec Thibaut, ça se trouve,quelqu'un a piraté le compte de Thibaut, ou se fait passer pour Thibaut, voilà, il arrive àimiter son numéro, ou son prénom, ou j'en sais rien, eh bien moi j'ai aucune certification que
00:50:07 :c'est bien Thibaut en face. C'est ça le principe de non-répudiation. C'est-à-dire que la communicationen elle-même, elle est sécurisée, il n'y a personne qui va pouvoir intercepter le contenu,mais par contre, quelqu'un peut se mettre au milieu, peut se faire passer pour la personne enface, j'ai aucun moyen de certifier que la personne en face, ce soit bien la personne à
00:50:25 :laquelle je pense parler. Et c'est là les limites de chiffrement symétrique. Par exemple, sur WhatsApp,si on veut ajouter ça, il faudrait que j'appelle Thibaut pour savoir que c'est bien lui. Et donc
00:50:38 :c'est là qu'est intervenu le fameux algorithme RSA que tout le monde connaît, pour nos certificatsde site internet. Pareil, inventé dans les années 80, aujourd'hui utilisé mondialement pour les
00:50:49 :connexions des transactions en ligne. La différence principale, c'est qu'il est asymétrique. C'est àpeu près basé sur le même principe. On prend des nombres premiers, donc des très grands nombres
00:50:58 :premiers. Bon là j'ai pris des petits. On va les multiplier entre eux pour avoir un produit qui vaêtre le module de chiffrement. On va choisir encore un nombre premier qui est donc premier avec
00:51:09 :notre module de chiffrement moins un. Vous avez le calcul sous les yeux. Je ne vais pas rentrertrop trop complexe dans les détails. Vous pouvez vous renseigner, mais je n'ai pas envie de tous
00:51:19 :vous perdre sur des calculs mathématiques. Tout le monde n'a pas fait maths sup, mais moi je ne suis pastrès très beau en maths. Donc voilà, je n'ai pas envie de vous perdre, mais vous avez les calculs
00:51:29 :sous les yeux si ça vous intéresse. De toute façon, je vous partagerai la fiche. Une fois qu'on achoisi tous nos petits chiffres, etc., on va avoir une pièce publique et une pièce privée qui va
00:51:38 :donc nous servir à chiffrer les messages. Par exemple, on va avoir un message. Le message,ça va être 4. Eh bien, on va le chiffrer avec la clé publique. Ici, la clé publique d'Alice,
00:51:49 :donc c'est donc 33 3. On va prendre le deuxième chiffre et on va le mettre en exposant sur lemessage qu'on veut chiffrer. Et ça, ça va nous donner 31 qu'on va mettre au modulo du premier
00:52:03 :chiffre qui est ici. Et ça, ça va être donc notre message chiffré qui est ici, du coup,31. Ça va nous donner 31. On peut faire le calcul. Et donc ça, c'est ce que Bob va transmettre à
00:52:15 :Alice une fois que c'est chiffré. Et donc lui, derrière, avec sa clé privée, Alice va pouvoirle déchiffrer. Elle va reprendre 31. Et pareil, elle va prendre sa clé. Alors là, j'ai fait une
00:52:26 :faute de frappe. C'est censé être un 7. Mais elle prend son 7 là. Elle met 3 modulo 7. Et après,elle fait remodulo 33 et elle peut retrouver le message initial 4. Je veux dire que lorsqu'on
00:52:38 :utilise des ressources externes telles que les messageries ou d'autres, c'est-à-dire comment onpeut savoir le chiffre de chiffrement utilisé ? Bonne question. Je sais que sur WhatsApp, il y a un
00:52:50 :message où c'est marqué votre connexion est sécurisée. Je ne pense pas que la plupart despersonnes, enfin la plupart des trucs, ne notent pas quel algorithme est utilisé. Peut-être que tu
00:53:02 :peux trouver sur Internet en tapant application algorithme de chiffrement et peut-être ça te ledira. Je sais que Diffie-Hellman est encore beaucoup utilisé. Peut-être pas par WhatsApp,
00:53:11 :mais en tout cas, le chiffrement symétrique est encore beaucoup utilisé aujourd'hui à chaque foisqu'il y a des communications sécurisées en ligne. Mais comme il ne permet pas la non-répudiation,
00:53:20 :donc le fait d'authentifier un utilisateur, il a ses limites. Limites qui permettent de résoudrel'algorithme RSA, qui permet de certifier qu'on est bien sur un site Internet sécurisé grâceau certificat et donc on peut faire ses achats en ligne par exemple, ou mettre sa carte bancaire,ou mettre ses informations de connexion, ce genre de choses. Parce que voilà, le serveur a généré
00:53:42 :sa clé RSA et son fameux certificat, comme le certificat Let's Encrypt, que vous connaissezpeut-être, qui est gratuit. Et ça, par exemple, si jamais vous voulez faire le test chez vous,
00:53:53 :sur un serveur, peut-être que vous l'avez déjà fait, si vous avez déjà mis en place cet Internetdans le cadre d'un cours ou quoi, on vous a peut-être demandé de mettre en place un certificatLet's Encrypt, et quand vous faites ces étapes-là, vous devez générer une clé RSA. Et bien la clé
00:54:07 :RSA est générée grâce à ces formules mathématiques-là. Mais sauf que vous,vous le faites en ligne de commande, vous n'en apercevez pas. Ouais, Let's Encrypt, c'est Open
00:54:19 :Source, c'est le truc le plus connu, qui est gratuit. Voilà, on va passer à des notions,là, je ne m'attends pas à ce que tout le monde trouve, mais ça peut être intéressant. Je vais
00:54:31 :faire un petit bout de code en Python. Dedans, il y a quatre failles de sécurité. Je voulais voir,est-ce que vous allez arriver à les identifier ? Il faut donc se mettre dans la tête que ce code-là,
00:54:46 :il peut être public. Vous pouvez, par exemple, le mettre sur un GitHub. Et ça, ça peut générerdes failles de cybersécurité. Voilà, c'est un indice, je vous laisse répondre dans le chat.
00:54:56 :Je vais attendre un petit peu quelques réponses et après je ferai la correction. C'est pas trèslong, je vais attendre 2-3 minutes, histoire de voir s'il y en a qui ont des idées. Il y en a
00:55:16 :peut-être qui veulent prendre la parole, si jamais ils ont des idées aussi, peut-être ? Il y en adeux faciles et deux un peu plus complexes. Déjà, il y en a deux qui sont revenus, je vais pouvoir
00:55:45 :les afficher. Effectivement, il y a les informations sensibles. Ne jamais mettre l'utilisateur et lemot de passe en clair dans le code s'il vient être partagé. Comme l'a dit Gabriel, une bonne
00:55:56 :pratique, c'est d'utiliser des variables d'environnement. Deuxième, on a effectivementoublié d'utiliser HTTPS. Pareil, ça a été trouvé aussi par Gabriel et Noël. Ok, intéressant.Très bien, je vois au moins une troisième qui a été trouvée.
00:56:18 :Ok, il y en a certains qui l'ont trouvée. Effectivement, il y a une injection SQL avecla requête select all où on va directement mettre la donnée que l'utilisateur envoie sans l'avoirfiltrée. Par exemple, si c'est un truc de connexion, l'utilisateur, au lieu de mettre
00:56:47 :son pseudo, va pouvoir mettre un code SQL. Et comme la variable est directement mise dans larequête, ça va être exécuté. C'est pour ça qu'il est toujours important d'abord d'aller filtrer
00:57:00 :avant de mettre là et de découper vos requêtes. Et la dernière, j'ai vu une piste, mais pas à 100%.Bon du coup, je vous le dis, c'est dans la dernière fonction. Il y a quelqu'un qui avait
00:57:15 :une piste, mais qui ne m'a pas donné le nom de la faille. Il m'a dit effectivement le problèmequ'il y avait. Une faille XSS. Idem ici, quelqu'un l'a dit, il n'y a pas de nettoyage de chaîne de
00:57:33 :caractère. On vient directement afficher et retourner le contenu HTML de la variableutilisateur qui a été transmise. Donc quelqu'un peut mettre un code malveillant et ça va être
00:57:44 :directement exécuté alors qu'on ne l'a pas filtré. Donc les bonnes pratiques, ça va être d'utiliserdes méthodes, par exemple JavaScript ou Python, une fonction Python, qui va venir échapper lescaractères pour éviter les caractères spéciaux notamment. Exactement, t'avais trouvé pas mal de
00:58:01 :choses. Donc voilà, faille XSS possible aussi. Je suis étonné, finalement vous y connaissez unpetit peu. Très bien, très bien. Maintenant, voir si vous avez bien suivi. Je vais vous donner 4
00:58:15 :situations. Il va falloir me dire laquelle n'est pas une cyberattaque. Avec Django, si tu ne faispas de save, ça ne s'exécute pas. Ah, c'est bien. Je n'ai pas du tout utilisé Django. Je sais qu'avec
00:58:25 :Flask, ça ne le fait pas. Et je sais qu'avec JavaScript non plus. Donc c'est pour ça que c'estimportant d'échapper les caractères. Mais si avec Django, ça le fait, c'est pas mal. Allez suivre le
00:58:35 :cours de Django sur Doctrine. Il est très bien. Petit instant, hâte aux promos. Alors voici lessituations. Première situation, imaginons que vous êtes un employé, vous cliquez sur un lien
00:58:47 :malveillant dans un email et vous téléchargez un malware sur le réseau de l'entreprise. Deuxièmeoption, un pirate informatique va utiliser un ransomware pour chiffrer les données d'uneentreprise et demander un ransomware pour les déchiffrer. Troisième situation, un employé va
00:59:06 :partager les accès d'un compte dans une conversation avec un autre employé. Et quatrième, un siteweb subit une panne dû à une surcharge de trafic qui va provoquer une interruption des services.
00:59:17 :Je vous laisse y réfléchir quelques instants. OK, il y a des proies. N'hésitez pas à dire pourquoiaussi. Il y en a peut-être un qui va prendre la parole, ça peut être sympa.
00:59:29 :Pour expliquer une piste à l'oral. OK, majoritairement de 3. Est-ce qu'il y en a un quiveut prendre la parole pour nous expliquer son chemin de pensée et pourquoi il pense que c'estla 3 ? Effectivement, c'est la 3. Mais pourquoi ? Je vois comment te donner la parole. Vas-y,
01:00:07 :tu peux normalement. Je pense que tu peux parler, si ce n'est pas de bêtise. Non,dis que c'est faux que tu le redemande, j'ai merdé. Normalement, si tu le redemande,
01:00:28 :ça devrait être bon. Je ne sais pas si quelqu'un d'autre veut expliquer son chemin de pensée,sinon je vais l'expliquer. Il peut enlever son micro, normalement il peut être entendu,
01:00:46 :je pense. Je ne sais pas s'il a capté. C'est pareil, je vais l'expliquer. Effectivement,c'est la 3, parce que la question c'est qu'est-ce qui n'est pas une cyberattaque ? Effectivement,
01:00:59 :les 1, 2 et 4, c'est une cyberattaque. La 3, ça peut en engendrer une, mais ce n'est pas encoreune cyberattaque. Par contre, c'est une faille. Ça crée une faille de sécurité au sein de
01:01:12 :l'entreprise, de partager les accès d'un compte, et si quelqu'un s'aspirate son compte, justementil y a une attaque man-in-the-middle ou quoi, derrière ces accès-là vont pouvoir être utilisésdans le cadre d'une cyberattaque. Mais à l'heure actuelle, on n'est pas au stade de la cyberattaque,
01:01:26 :on est au stade de la faille. Et c'est là la nuance. Si il n'y a qu'une personne, il n'y a pas vol.Si l'acteur a mal dimensionné son système pour un événement particulier ? Oui, oui, c'est vrai,
01:01:46 :c'est vrai. Je ne l'ai pas fait dans ce sens-là, mais je l'ai fait plutôt dans le sens où elleprenait une attaque de Dédéos, mais effectivement, si c'est l'épicerie du quartier et que t'as toutParis qui veut aller consulter cette petite épicerie, peut-être qu'elle ne va pas charger tout le monde,
01:02:01 :mais oui, dans ce cas-là, oui, mais je pense que tout le monde avait compris que là je parlaisdans le cadre d'une cyberattaque. Ok, très bien. Je pense que j'arrive bientôt aux guillemots, non ?
01:02:11 :Ouais, c'est ça. Avant que je passe aux démonstrations, est-ce qu'il y a des questions ?D'octolib quand Macron fallait s'y inscrire pour avoir le vaccin contre le Covid ? Ouais,
01:02:20 :il y a aussi, je pense, l'exemple de Parcoursup et de Montmaster à chaque fois, chaque année,c'est la même chose. Ça va pas louper encore cette année. C'est l'essai du gouvernement,
01:02:31 :mais bon, c'est pas prévu pour attirer des milliers d'étudiants. C'est vrai qu'ils sonttoujours pas au courant des nombres d'étudiants qu'il y a en France, mais bon. Est-ce qu'il y a
01:02:40 :des questions avant que je fasse la petite démonstration ? Pour la démonstration,il faut que je change mon partage d'écran, d'ailleurs, du coup.Ok, normalement, si je fais ça, là, vous voyez de l'écran ? Ouais, nickel. Ok,
01:03:01 :bon, s'il n'y a pas de questions. Alors, du coup, je vais vous faire la présentation. Donc,je vous disais tout à l'heure, dans des cas par mail, parce que, comme vous l'avez vu,94% des attaques qui ont des malwares proviennent des mails, parce que tout le monde pensait être
01:03:16 :tranquille aujourd'hui avec les mails, etc. Et je vais vous montrer comment,avec un petit pixel expiant, on peut déjà choper quelques informations. C'est un petit tracker que
01:03:27 :j'ai mis en place. Et pour vous donner l'idée, j'ai mis ça en place en une petite demi-heure surun petit serveur à moi. Et c'est vraiment pas compliqué. En fait, ce que j'ai fait,
01:03:36 :c'est que tout simplement, j'ai un serveur, un petit serveur espion, un petit VPS qui tournesur Linux, où j'ai tout simplement mis en place un serveur Flask qui, en fait, héberge un petitcode Python, qui fait que quand je vais partager cette image, qui est un pixel blanc de un pixel
01:03:56 :par un pixel, à chaque fois qu'il y a quelqu'un qui va consulter et télécharger cette image,je vais recevoir des informations. A quelle heure il l'a consultée, son adresse IP,
01:04:04 :sa localisation et d'autres petites informations. Je ne sais plus ce que j'ai noté. Donc voilà,ce genre de petites choses, un petit tracker. Et en fait, ce qui est génial aujourd'hui,
01:04:15 :c'est que par mail, ce qui est super simple de cacher ça dans un mail, vous allez voir,si je vais dans mes messages envoyés, je l'ai refait tout à l'heure, vous voyez qu'en fait,juste ici, on ne le voit pas, mais juste là, là où j'ai sélectionné, il y a un petit pixel blanc.
01:04:30 :Et bien, c'est l'image que je vous ai montrée juste ici. Et sauf que là, impossible de savoir.Là, je l'ai mis au début pour qu'on voit qu'il y a un espace. Mais si je l'avais mis à la fin,
01:04:41 :ou sur une ligne, ou sauter une ligne dans un mail professionnel, ou n'importe quoi,personne ne l'aurait vu. Et comme je n'ai pas activé l'option dans Gmail, qui permet de me
01:04:53 :confirmer si je veux télécharger ou afficher les images s'il y en a dans un mail, ça me l'atéléchargé par défaut. Et du coup, puisque ça me l'a téléchargé par défaut, ça a exécuté le
01:05:02 :script sur mon serveur aussi. Et du coup, le script sur mon serveur, il a récupéré toutesles informations. Et je vous ai fait l'exemple avec des mails, des clients mail plus ou moins
01:05:10 :sécurisés. Pour ceux qui sont sur Gmail, vous avez de la chance. Gmail a une protection pardéfaut. Google va télécharger d'abord les images via son proxy avant de vous les afficher. Ce qui
01:05:20 :fait que quand je télécharge par Gmail, vous le voyez là, je n'ai aucune information. Pareil surMac. Que ce soit avec votre client mail sur Mac ou client mail iOS, les informations sont cachées.
01:05:31 :Par contre, imaginons que j'utilise un truc un peu moins sécurisé. Par exemple, YopMail ou unclient mail genre Yonos, ce genre de choses. Un truc qui est un peu moins courant. Et vous voyez
01:05:44 :que là, j'ai la date à laquelle j'ai téléchargé mon mail. Je sais que le mail a été téléchargédepuis un Mac. J'ai même la version du Mac. J'ai l'adresse IP. J'ai le navigateur. J'ai le
01:06:00 :pays, la ville, le code postal, etc. Le script est caché dans le fichier images? Non, le script estsur le serveur. En fait, si tu veux, je vais te le remontrer en l'écrivant. En fait, j'ai une
01:06:14 :petite extension qui permet de mettre du code HTML dans des mails. Tout le monde peut faire ça.Et en fait, ce que je fais, c'est j'ai juste à mettre une balise HTML. Je vais vous l'annoncer.
01:06:29 :Elle est toute simple. Voilà. En fait, j'ai juste à mettre ça. Donc le lien vers mon image quise situe sur mon serveur et la mettre dans mon mail. Tout simplement. Et en fait, comment les
01:06:44 :mails fonctionnent? Les mails, en fait, si vous avez une image dans un mail, elle va la téléchargerautomatiquement. Et en gros, moi, le script de mon serveur fait que dès que tu télécharges l'email,
01:06:53 :ça récupère ces données-là. Et les mails sont conçus pour télécharger automatiquement lesimages, sauf s'il y a des protections. Sauf qu'aujourd'hui, la plupart des mails n'en ont pas.
01:07:03 :J'ai mail en main par défaut, mais tout le monde n'est pas sur le mail. Il y en a encore qui sontbeaucoup sur Outlook, sur Orange, sur machin, et la plupart n'ont pas de protection. La preuve ici.
01:07:12 :Et là, du coup, je peux chopper toutes les informations. La tissu de longitude, etc.L'adresse IPv4 locale, ce genre de choses. Donc voilà. Et donc ça, moi, j'ai été encore gentil.
01:07:26 :J'ai mis qu'un script qui récupérait quelques petites informations. Mais imaginons que j'auraispu mettre un script un peu encore pire. J'aurais pu faire en sorte que l'image,
01:07:39 :dedans, il y a un malware qui soit caché. Il y a plein de choses qui sont possibles.Le champ des possibles est gigantesque. Mais vous voyez à quel point c'est simple.
01:07:48 :J'ai mis ça en place en une demi-heure sur un serveur. Vraiment, tout le monde peut le faire.Ici, sur un VPN, tu vois l'IP du serveur sur lequel on est connecté ou la vraie IP.
01:07:59 :Justement, le VPN peut contrer un petit truc comme ça. Du coup, je ne verrai pas l'adresse IP,je ne verrai pas la localisation. Par contre, je verrai quand même sur quel navigateur et sur
01:08:11 :quel user agent, en fait. Je verrai sur quel ordinateur tu es. Par exemple, je verrai lemacOS si tu n'es pas sur un triomphal sécurisé. Après, comme je l'ai dit, je me suis limité,
01:08:21 :niveau informations, à des trucs pour faire une démo. Un truc que j'ai mis rapidement en place.Si vous mettez à la place un hacker, il peut aller pousser ça beaucoup plus loin.
01:08:29 :Ça ne télécharge pas l'image, ça télécharge le fichier qui se trouve à la dicte URL. Oui,mais le fichier qui se trouve à la dicte URL est une image. C'est une image PLJ,
01:08:37 :un pixel blanc de 1x1. Si tu veux, sur le serveur, moi je l'ai là. C'est le pixel.png.C'est une image qui fait 1x1. Simplement. À partir du moment où je peux faire ça,
01:08:54 :avec quelques informations comme ça, sur un serveur en une petite soirée, il faut se direce que les attaquants peuvent faire et pourquoi il est important de faire plein de toutes cesbonnes pratiques que je vous ai données. Ça, c'est pour la première démonstration.
01:09:09 :Est-ce qu'il y a des questions par rapport à ça ? Et après, de toute façon,on arrive bientôt sur la conclusion. Je vais repasser en comme ça.
01:09:17 :Est-ce que tu peux faire juste avec une adresse IP ? Et qu'est-ce que tu peux faire juste avec uneadresse IP ? Après, c'est l'OSINT. L'OSINT, c'est Open Source Intelligence. Pas de souci,
01:09:34 :Gabriel. Au plaisir. Merci d'avoir été jusque-là. Je vais essayer de conclure. De toute façon,assez rapidement, on s'approche de la fin. Il me reste deux slides. Qu'est-ce qu'on peut faire
01:09:43 :avec une adresse IP ? Donc, de l'Open Source Intelligence, c'est rechercher des informationssur Internet à partir d'une information. Donc, une adresse IP. Une adresse IP, au départ,
01:09:54 :tu vas juste pouvoir peut-être couper la connexion Internet de la personne. Tu vas pouvoir legéolocaliser. Mais avec une adresse IP, tu vas aussi pouvoir savoir chez quel fournisseur il est.
01:10:02 :Et si tu sais chez quel fournisseur il est, tu peux appeler le fournisseur en te faisant passerpour quelqu'un. Et en te faisant passer pour quelqu'un, tu peux obtenir nom, prénom, adresse
01:10:11 :mail, numéro de téléphone de la personne. Et avec ces informations-là, tu peux en choper plusd'informations. Et après, c'est une boucle infinie. Souvent, les attaquants, il leur faut
01:10:19 :juste une information. Et après, ça déroule. Le lien entre le pixel et ce qui récupère lesdonnées. En fait, en gros, le pixel, c'est une image qui est hébergée sur un serveur. Et les
01:10:31 :mails, comment ils fonctionnent par défaut ? C'est que pour afficher l'image dans ton mail,il télécharge l'image, le client mail. Donc, Gmail, il le télécharge via ses serveurs. Et
01:10:41 :c'est pour ça que je n'arrive pas à avoir les informations si j'ouvre le mail avec Gmail. Maissi tu utilises un client mail pas très connu, lambda, pas sécurisé, eh bien, ça va téléchargerle fichier, l'image en temps pour l'heure sur ta machine. Et donc, pour l'afficher dans le
01:10:57 :contenu de ton mail. Et donc, puisque ça télécharge l'image, moi, j'ai un scripten fait qui est exécuté au téléchargement de l'image sur mon serveur. Quelles sont les
01:11:10 :bonnes pratiques qu'un développeur doit avoir en tête sur la notion de cybersécurité pour sonapplication ? On peut reprendre rapidement l'exemple d'ici. Pas d'informations en clair. Utiliser des
01:11:21 :variables d'environnement. Utiliser HTTPS s'il y a des requêtes à faire. Faire attention auxfailles SQL. Faire attention aux failles XSS. Respecter les normes de cybersécurité qui ont
01:11:35 :été mises en place par l'OASP. C'est un organisme de sécurité mondiale qui digue un peu les bonnespratiques. Et voilà. Faire beaucoup de veille, se renseigner sur les failles du moment. En fait,
01:11:47 :il faut regarder quelles applications tu as dans ton système et voir les potentiellesvulnérabilités qu'elles ont actuellement. Ce genre de choses. Après là, pour le coup,
01:11:57 :c'était pas un cours sur la cybersécurité des applications. Je pourrais en faire un aussi,puisque j'ai étudié ça cette année, si ça intéresse certains. Une faille XSS, c'est le
01:12:09 :fait d'injecter du code dans de l'HTML, principalement. Donc là, comme tu le vois,imaginons que tu as un input. Par exemple, tu as un input pour t'inscrire, pour entrer ton
01:12:22 :utilisateur. Au lieu de mettre son utilisateur, il va mettre un code, une balise HTML ou jene sais pas quoi, et derrière, il va pouvoir afficher ce qu'il veut. Ou un code JavaScript,
01:12:33 :exactement. Si ton navigateur exécute du code JavaScript, tu vas pouvoir exécuter du codeJavaScript à partir de l'input HTML. À partir du moment où tu as une entrée, il faut faire attention.
01:12:43 :Dernière petite démonstration sujet. Pour l'anecdote, j'ai pris un truc qui est arrivé àma maman. C'est un mail qu'elle a reçu. C'est le genre de conneries que tout le monde peut recevoir,
01:12:59 :que vous avez sûrement dû recevoir, vous, vos parents, vos grands-parents. Ce genre de conneries,on vous fait croire que, oh là là, pendant l'armée nationale, vous avez un mandat de poursuite,il faut virer de l'argent. Vous avez une amende. Quels sont les facteurs qui nous font penser,
01:13:21 :qui nous font dire que ça, c'est une tentative de phishing ou c'est une tentative d'arnaque ? Jepense que tout le monde a plus ou moins vu passer celui-là. Et on voit quand même que c'est bien
01:13:32 :fait. Le mail est quand même vachement propre. Il y a le logo gendarmerie nationale. Il y a unvrai mandat PDF. On peut comprendre que beaucoup de personnes qui ne sont pas sensibilisées peuvent
01:13:42 :se faire avoir. L'entête, exactement. Premier flag, l'adresse mail. La gendarmerie nationale,à ma connaissance, ce n'est pas ça leur adresse mail. Mais, en fait, comme ce truc-là, il est
01:13:56 :country. Il faut appuyer sur la petite flèche. C'est fourbe. En fait, vous ne voyez que deuxtribunaux de première instance. Et comme le sujet, c'est ça, il y en a qui sont à voir.
01:14:07 :Donc, bien réussi l'entête, l'adresse mail qui vous envoie le sujet. Deuxième chose,dans le contenu du mail, pareil. Ici, encore une deuxième adresse mail différente. Une Outlook.
01:14:21 :Je la mets de la vie. La gendarmerie va vous demander de envoyer des informations à uneadresse Outlook. Et troisième chose, c'est dans le document PDF. On a encore une email
01:14:38 :différente. Décidément, ces attaquants ne savent pas à quelle mail on doit envoyer.Parce que là, on doit envoyer nos justifications là. Puis après, on doit les envoyer là. Ce n'est
01:14:51 :pas un des vacueurs les plus malins que j'ai croisé. Mais bon, ça vous donne un exemple.Donc, voilà. Donc, si jamais vous recevez ce genre de choses au boulot, pensez à le signaler
01:15:05 :à votre responsable de la sécurité, RSSI ou ce genre de choses. Je ne sais pas. Après,ça dépend des entreprises. Et quand ça vous arrive à vous, je ne les ai pas en tête,
01:15:13 :mais il y a des numéros, il y a des mails auxquels vous pouvez transférer ce mail-là à lagendarmerie, à l'ANSI, ce genre de choses pour qu'elle, derrière, se soit répertoriée. Je suis
01:15:24 :désolé, j'ai oublié de noter à quel mail ou à quel numéro il fallait transférer. J'ai signalé lemail à l'ANSI. Oui, nickel. Et souvent, ça parle souvent d'une urgence de réponse. Le plus souvent,
01:15:36 :c'est ça. C'est ministère de la justice, ministère de la gendarmerie, vous avez une amende,pédopornographie, ce genre de choses. L'autre cas courant aussi, c'est on se fait passer pour un de
01:15:48 :vos amis, je suis en galère, je suis à l'étranger, est-ce que tu peux me dépanner 300 euros, je nepeux pas rentrer à la maison, je te rembourse en rentrant. Ça aussi, c'est quelque chose qui est
01:15:58 :courant. Moi, c'est mon grand-père qui reçoit souvent ça. Puis moi, toute la famille metransfère les mails, donc à chaque fois, c'est rigolo de voir les nouvelles arnaques.
01:16:08 :Mais voilà, c'est ce genre de choses qui peut arriver régulièrement. Donc voilà,faire attention à l'entête, faire attention. Déjà, vous voyez, il y a trois mails différents. Le
01:16:19 :mail là, là et là n'est pas le même. C'est déjà une piste. Les mecs ne savent même pas se cadrereux-mêmes. Voilà, voilà. Et enfin, je vais conclure par est-ce qu'il y en a peut-être
01:16:38 :certains d'entre vous qui sont intéressés par commencer la cybersécurité en 2024. Pour moi,il y a deux grosses pistes pour se former. Soit vous pouvez s'auto-former, il y a de plus en plus
01:16:47 :de ressources très intéressantes en disponible en ligne. Soit vous pouvez rejoindre une écolespécialisée. Les meilleures écoles que j'ai en tête, c'est l'école 2600, la Guardia Cyber
01:16:57 :School. Pour ceux qui connaissent, ils en ont un par un, c'est Mathis Hamel. C'est, je pense,la plus grosse tête de la cybersécurité en France sur les réseaux sociaux, notamment sur Twitter,peut-être qu'il y en a qui connaissent. Je vais vous l'écrire dans le tchat,
01:17:09 :si il y en a qui s'intéressent, d'aller voir ce qu'il fait. C'était lui le coach de l'équipefrançaise de cybersécurité cette année, l'année dernière aussi, je crois. Il a travaillé pour
01:17:21 :Caledgemini, il a travaillé pour le gouvernement. C'est un pilier de la cybersécurité en France.Donc voilà, je ne connais pas Philippe Langlois, et je ne connais pas P1 non plus. Mais en tout cas,
01:17:39 :voilà, donc Guardia Cyber School. Vous avez l'ESNA pour les bretons. Moi, je suis breton,je fais de l'autopromo à une école près de chez moi. Vous avez des bootcamps aussi,
01:17:48 :JEDA Bootcamp, ça doit être le plus connu. Maintenant, pour s'auto-former, trois plateformesprincipales. Route.me, donc notre plateforme française, avec des change et des cours en
01:18:01 :français. Pareil, vous avez plein de domaines de change de cybersécurité, vous gagnez des points,il y a un classement. Il y a des cours, mais moi, je trouve que ce n'est pas assez suffisant. C'est
01:18:10 :bien pour commencer, mais ça gagnerait à être un peu amélioré. Après, ça fait un moment que jen'ai pas été voir, mais en tout cas, c'est très bien pour commencer. Triac.me, pour moi, c'est la
01:18:20 :meilleure plateforme pour apprendre. En plus, quand vous avez la formule payante, je crois que çacoûte 8-9 euros par mois. Vous avez une machine virtuelle sous le système d'exploitation Kali
01:18:30 :Linux. En gros, c'est un système d'exploitation Linux qui est livré avec une cinquantaine d'outilscybersécurité de base sur la machine. C'est super pour faire vos tests, pour faire votre challenge,
01:18:45 :c'est top. Vous avez ça en plus des cours, et les cours sont vraiment complets. Le seulinconvénient, c'est que c'est en anglais, mais pour le coup, c'est vraiment complet. Je me suis
01:18:53 :beaucoup formé avec ça. Vous avez Hack in the Box, où là, c'est pour un niveau un peu plus pulsé,où c'est un peu des mises en situation réelles. Vous allez avoir une heure et demie, deux heures,
01:19:03 :on va vous donner un serveur et il faut s'entraîner. C'est-à-dire qu'il faut cibler une attaque et lebut, c'est d'arriver en route du serveur. Mathis Hummel, oui, j'ai fait une faute d'orthographe.
01:19:13 :J'ai mis Mathis Hummel, oui, j'ai fait une faute d'orthographe, c'est Mathis Hamel.Et enfin, vous avez donc Lancie qui a fait un MOOC. Un MOOC, c'est un cours un peu en ligne que
01:19:26 :vous pouvez suivre avec des quiz et qui vous donne une certification à la fin. Et sinon,en anglais, vous avez la chaîne YouTube de John Hammond, qui est sûrement la plus grosse chaîneYouTube en termes de cybersécurité aujourd'hui. Pas loin d'un million d'abonnés, je crois,
01:19:37 :qui a des sujets très intéressants, que je vous conseille aussi. Sinon, il y a Mathis Hummel surTwitter pour citer quelques personnes à suivre. Pour moi aussi, j'ajoute des bonus parce que c'est
01:19:50 :important quand vous faites de la cybersécurité, d'apprendre un langage jusqu'ici une logicielle.Bon, je pense que la plupart d'entre vous, du coup, vous maîtrisez tout de piton ce quevous dédoctrinez. Donc, c'est un gros avantage si vous voulez faire de la cybersécurité. Sinon,
01:20:03 :c'est important de connaître Bash et de connaître Linux aussi. HTML, CSS, c'est important pour lasécurité des applications web, pour les files XSS et tout ça. Les bases SQL pour les injections
01:20:16 :SQL. Et apprendre comment fonctionne un réseau aussi. Voilà, comment les paquets sont transférés.Apprendre à utiliser Wireshark, ce genre d'outils. Voilà, c'est important aussi. C'est des bonus
01:20:28 :non négligeables qui vous feront de vous un meilleur expert en cybersécurité si un jour vousvoulez en devenir. Alors, Gordièche me serait intéressé s'il fonctionne avec de l'alternance.
01:20:39 :Ouais, en vrai, je trouve que c'est mieux parce que c'est un truc où on ne peut pas faire que de lathéorie avec la cybersécurité. C'est important de faire de la pratique et l'alternance, c'est
01:20:50 :un des meilleurs moyens d'en faire de la pratique. Mais ouais, pour la reconversion, c'est compliquédu coup. Ils t'auraient dit je vais être d'autre formation. Ouais, voilà, c'est ça. À la fois,
01:21:01 :dommage, et à la fois, je peux comprendre. Mais ouais, du coup, pour la reconversion,ça peut être un peu compliqué. Cybermanagement School, j'ai entendu parler. Je ne connais pas
01:21:10 :assez. Je ne sais pas si tu saurais dire est-ce que c'est bien ou pas, est-ce que ça te plaît?Backtrack, je ne connais pas. La plus grosse société française de cyber, P1. Ah si,
01:21:24 :c'est pas le mec qui a été à la Maison Blanche pour présenter son entreprise?Si, je crois, une fois qu'il s'est. Il a fait une conférence à la Maison Blanche,
01:21:36 :il me semble. Il me semble que je le suis sur Twitter aussi, c'est possible. Ah,c'est une Distribusinux Backtrack, ok. C'est devenu Kalinux. Ah, ok, c'est son ancien nom,
01:21:44 :d'accord, ok. Très bien, je ne savais pas. Kalinux et puis après il y a ParrotOS qui estencore plus poussé. Mais quand vous débutez, Kalinux c'est excellent. Si vous voulez bidouiller
01:21:55 :un petit peu, tester des trucs et tout. Je crois que c'est fini. Ouais, j'ai fini. Est-ce qu'il y ades questions? J'aime beaucoup, j'y fais ma reconversion pro. Merci pour la révision pour
01:22:09 :ce soir. Ah, j'espère que je n'ai pas dit trop de conneries. Normalement ça va, c'était encoreassez récent dans la tête. Petit retour sur les VPN, on ne peut paramétrer qu'une seule localisation
01:22:18 :avec OpenVPN. Oui, en fait, OpenVPN c'est un peu comme un serveur web. Tu l'installes sur tonserveur. Ton serveur en général n'a pas plusieurs localisations, donc il faut un serveur par
01:22:32 :localisation. C'est ça un peu le point négatif. Pour les conseils sur la localisation, ça défendtes besoins. J'ai envie de dire, si tu veux juste te sécuriser et en même temps avoir une bonne
01:22:42 :collection, tu peux très bien te contenter d'un serveur en France. Moi j'ai un VPN français,comme ça tu restes accédé à tes services en France tout en cachant ton IP. Après,
01:22:53 :si tu as envie d'accéder aux contenus Netflix qu'il y a aux Etats-Unis, il te faut un VPNaux Etats-Unis. Si tu veux accéder aux contenus en Belgique, si tu veux regarder les Grands Prix,
01:23:00 :il te faut un VPN en Belgique. Après, je pense que rien qu'un VPN en France, ça suffit. C'estdéjà un bon début. C'était mon premier mentorat, j'espère en faire d'autres si jamais ça vous a
01:23:19 :plu. Peut-être sur d'autres domaines, peut-être sur la cybersécurité en lien avec les applicationspour les développeurs. Peut-être aussi sur d'autres sujets. Je reste assez sûr, ça me
01:23:34 :plaît beaucoup à faire. Je crois que ce sera le 5 ou 6 juin, je ferai une présentation en publicsur le Discord, sur le sujet de ma recherche. Le sujet de ma recherche a porté sur le minage de
01:24:04 :crypto-monnaie, mais en termes de cyber-attaque. On appelle ça le crypto-jacking. Comment leshackers utilisent vos ordinateurs à vous pour miner de la crypto-monnaie. Voilà, donc ça parlera de
01:24:15 :ça. Mais oui, il y en a qui sont motivés pour un petit peu la suite. Du coup, comme ce seradisponible en rediffusion de cours, ceux qui n'ont pas assisté pourront se mettre à jour. La suite
01:24:28 :sur la sécurité des applications, je ne pouvais pas le faire dès le début parce qu'il faut quandmême des bases. Mais oui, avec plaisir, j'essaierai de programmer ça. Sinon voilà, de toute façon,
01:24:42 :on risque de vous revoir maintenant que j'ai rejoint l'équipe, que ce soit pour des mentorats,pour vous aider sur vos questions sur Docstream ou quoi, on se reverra. Et puis voilà, s'il n'y a
01:24:52 :pas de questions, écoutez, merci à tous de m'avoir suivi. On avait quand même une petitelenteur ce soir, ça fait plaisir. Et puis voilà, on espère en voir nombreuses pour la prochaine
Aucune occurrence trouvée pour « ».
01:21:55
Fin
01:25:35
Fin
