Sécurité

La sécurité est un aspect des plus importants de nos jours. D’autant plus lorsqu’il s’agit d’une entreprise, celle-ci ayant beaucoup plus de données critiques que le particulier. Il est donc vital d’effectuer régulièrement des tests d’intrusions afin de repérer les failles potentielles et les corriger.

CredCrack s’inscrit dans cette lignée. Un petit script en Python ne nécessitant rien de plus qu’un simple ordinateur disposant d’un Kali Linux. Ce script de PenTesting vise directement la sécurité des comptes utilisateurs d’un Active Directory déployé en local.

Il va inspecter chaque liste de comptes, tenter de remonter des comptes/mots de passes récupérés depuis la mémoire vive des serveurs, faire la différence entre compte utilisateur et administrateur et même remonter une liste des partages disponibles !

credcrack

Comme vous pouvez le remarquer, il fait assez bien son boulot. Les utilisateurs ayant des droits administrateurs seront surlignés en jaune à la fin de l’exécution du script.

Il vous donnera un petit coup de main pour voir ce qui peut être facilement récupérable en local mais ce n’est qu’une partie de test et ne remplace en rien un PenTest plus poussé effectué par une société compétente.

Les sources sont disponibles sur web-link Github

wifi kill

Vous suspectez vos voisins d’utiliser votre WiFi; s’ils ne sont pas déjà dessus mais vous n’êtes pas vraiment familier des systèmes de détection et sécurité ? Dans ce cas, WiFi Kill est fait pour vous ! (Et pour les autres aussi d’ailleurs).

WiFi kill est une application tierce (entendez, qui n’est pas disponible sur le Google Play Store) pour smartphone Android “Rooté“.

Après un scan du réseau WiFi sur lequel votre smartphone est connecté, il vous affichera tous les équipements répertoriés comme actif sur au sien du même réseau.

wfk_1_thumb

Il ne vous reste plus qu’à sélectionner les équipements inconnus et d’appuyer sur la touche “Kill” pour les sortir de votre WiFi; ou, plus simplement, de choisir “Kill All” qui aura le même effet mais sur toute la liste. Le smartphone exécutant WiFi Kill, lui, ne sera pas impacté.

L’application est disponible en version gratuite (limitation de 5min) et version pro sur web-link les forums xda

dashlane-logo-blue

J’avais déjà évoqué dans un article précédent, un outil qui s’appelle Keepass 2 avec sa version Android. Voici une alternative plus accessible, toujours gratuite d’utilisation.

Dashlane est un outil de stockage de mot de passes et de comptes utilisateurs, une sorte de coffre-fort, protégé par un compte/mot de passe dit “maître” mais fait également office de portefeuille numérique. J’explique; lorsqu’un mot de passe/compte est enregistré par le biais de votre navigateur favori, celui-ci se stocke (souvent) dans ses propres fichiers de configuration et vous permet de, lors de l’accès d’une page connue, ne plus devoir saisir vos données, le tout se faisant automatiquement.

Dashlane, c’est pareil mais en mieux !

Le problème des solutions intégrées aux navigateurs sont que les données ne sont pas toujours cryptées, les accès sont connus et deviennent donc plus facilement piratables que votre ordinateur soit infecté ou pas.

Dashlane stocke vos données dans une boîte cryptée et protégée par un mot de passe que seul vous connaissez et, qui plus est, ne servira que pour ce service. Il vous propose aussi d’analyser chaque mot de passe et vous donner un rapport de sécurité sur la force des mots de passes employés.

original-1

Cette solution vous propose aussi de stocker votre “coffre-fort” dans le cloud afin de pouvoir accéder à vos comptes quand vous le voulez, depuis n’importe où ou encore différents supports (Smartphone, Laptop, PC, online,….) et ce, tout systèmes confondus (Android, iOS, Windows, OSX,…).

Le système sous smartphone fonctionne de la même manière que sous ordinateur. La fonction d’édition est disponible mais aussi le portefeuille numérique qui vous authentifiera sur les sites connus automatiquement sans que vous deviez entrer le moindre mot de passe. Fini donc les mots de passes interminables au clavier du smartphone.

04dashlane

Si vous voulez encore aller plus loin, Dashlane est compatible avec les méthodes “two-factor” et OTP (pe: Google Authenticator) et d’authentifications de standard FIDO U2F comme les clés du fabricant Yubikey par exemple (Premium uniquement).

Dashlane est gratuit d’utilisation mais dispose de versions et pack Premium (non-obligatoires) pour ceux qui auraient des besoins plus poussés.

Pour essayer Dashlane  C’est par ici !

home-kali-slider-1

Si certains vous diront que “La meilleur défense, c’est l’attaque”, ce n’est pas pour vous encourager à tout détruire mais plutôt savoir comment se défendre. Connaître les techniques et tactiques d’attaque est la meilleure manière d’appliquer des défenses efficaces. Pour l’informatique, c’est pareil !

Kali Linux, successeur du célèbre Backtrack, est une distribution basée sur Debian disposant d’outils d’Audit et de PenTesting la rendant presque incontournable dans ce domaine. Il en existe bien d’autres plus ou moins spécifiques, mais Kali reste une référence. Cette distribution est agréable à l’utilisation, ne demande pas beaucoup de ressources et s’installera sans encombre en Dual-Boot avec votre système d’exploitation actuel. Elle est également libre, Open-source et gratuite !

Coté outils, Kali est un véritable couteau Suisse et regorge de tonnes de scripts prêts à l’exécution.

kali-basic

Faire une liste exhaustive des possibilités ne serai pas raisonnable, d’autant plus que rien ne vous empêche de faire un tour sur les forums en quête de nouveaux modules ou même de faire les vôtres ! Que vous désiriez tester la sécurité de votre réseau LAN/WIFI, de vos sites internet, de vos applications, de vos serveurs,…Tout est là ! A conditions de savoir s’en servir cependant.

D’un autre côté, un moins bon côté, l’arrivée de ce genre de distributions plus accessibles “tout-en-un” ainsi que la mise à disposition d’informations au sens très large (moteur de recherche performants) marque aussi l’apparition de ce que l’on appelle les “Scripts Kiddies” (textuellement, “les gamins à scripts”). Ce sont souvent des adolescents qui exécutent des scripts de PenTesting trouvés sur le net, avec ou sans connaissance des conséquences, et qui provoquent pannes de sites internet, vols de comptes ou encore, indisponibilité de plateforme en ligne (cfr PSN, Xbox Live). L’analogie serait un enfant jouant avec une boite d’allumettes. D’où l’importance de disposer de bons systèmes anti-incendie, pour rester dans le thème.

nethunter-onePlus

Pour le petit bonus, l’équipe de Kali Linux à sorti une version pour smartphone, baptisée NetHunter, de son système d’exploitation. NetHunter est disponible pour les séries Google Nexus 5/6 (smartphone), 7/9/10 (tablette) et pour OnePlus One. Elle est assez bien faite et propose un très bon panel d’outils pour une version mobile (pensez aux accès via 3G/4G !). Gardez à l’esprit que si vous franchissez le pas, votre garantie risque de sauter.

Toutes les informations sont sur web-link leur site internet

unnamed

Cet article est en complément de l’article sur Keepass, certains points ne seront donc pas abordés. Je vous invite à lire l’article sur Keepass avant d’attaquer celui-ci.

A remarquer qu’il existe plusieurs versions adaptées pour les smartphones Android. Parmi toutes ces variantes, Keepass2Android reste ma préférée.

Cette version accepte les base de données au format Keepass et peux importer/exporter vers différents types de stockage tels que Google Drive, CloudBox, Skydrive, …

keepass2android

Elle propose majoritairement les même fonctionnalité que la version pour ordinateur à ceci près qu’elle est allégée afin de rendre l’utilisation aisée.

Petit plus, elle permet d’agir aussi comme d’un portefeuille numérique afin d’entrer automatiquement vos identifiants pour diverses applications et sites web et ne plus se soucier des longues séances d’écriture de compte et de mots de passe sur le clavier du votre smartphone.

La version Android est gratuite et est disponible sur le Google Play store

https://play.google.com/store/apps/details?id=keepass2android.keepass2android&hl=fr