Sécurité | IT-Connect - Partie 70

20/01/2025

Internet Explorer : Gestion des mots de passe enregistrés

26/09/2013 Florian BURNEL 15 commentaires IE, Sécurité

I. Présentation Les mots de passe mémorisés par les navigateurs ne sont pas protégés, comme on a pu le voir dans deux autres tutoriels traitant le cas de Mozilla Firefox et celui de Google Chrome. Aujourd’hui, c’est Internet Explorer qui est la cible, est-il plus protecteur que ses deux concurrents les plus sérieux ? Regardons ça de plus près. Pour ceux qui préfèrent, suivez le cours vidéo : II. Accès aux mots de passe mémorisés Exécutez Internet Explorer, cliquez sur l’engrenage puis sur « Options internet » et sur l’onglet « Contenu ». Cliquez sur « Paramètres » dans la section « Saisie semi-automatique » et enfin sur « Gérer les mots de passe ». Le gestionnaire d’identification va alors s’ouvrir, une bonne nouvelle puisque cela signifie que les informations mémorisées ne sont pas stockées n’importe où. Sous l’intitulé « Mots de passe Web » retrouvez tous les sites pour lesquels vous avez un mot de passe mémorisé. Note : « Informations d’identification Web » contient les mots de passe mémorisés provenant de site

Lire cet article

Chrome : Protéger ses mots de passe

26/09/2013 Florian BURNEL 1 commentaire Chrome, Sécurité

I. Présentation Après le cas Firefox, intéressons-nous à la manière dont Chrome stocke nos identifiants et, pour être très franc, ce n’est pas mieux, c’est même pire car à l’inverse de Firefox, Chrome ne propose pas la mise en place d’un mot de passe principal permettant de déverrouiller l’accès à la banque d’identifiants. Une solution consiste à installer une extensions depuis le Store afin de demander un mot de passe dès le démarrage de Chrome. Ceci dit, si vous laissez Chrome en exécution et que vous laissez votre PC déverrouillé n’importe qui pourra revenir regarder vos mots de passe.. Sauf si vous configurez le verrouillage automatique dans l’extension. II. Visibilité des mots de passe Ouvrez Chrome puis sur la droite cliquez sur le bouton permettant de dérouler le menu et cliquez sur « Paramètres ». Cliquez ensuite sur « Gérer les mots de passe enregistrés », il est alors très simple d’afficher en clair les mots de passe enregistrés en cliquant sur « Afficher ». III.

Lire cet article

Firefox : Définir un mot de passe principal

26/09/2013 Florian BURNEL 0 commentaire Firefox, Sécurité

I. Présentation Par défaut, sous Mozilla Firefox les identifiants que vous souhaitez mémoriser sont stockés au sein du navigateur et, accessible par n’importe quelle personne qui aurait accès à votre ordinateur. En effet, le site est référencé, l’identifiant et le mot de passe en clair, ce qui représente un trou de sécurité énorme surtout si vous stockez des identifiants permettant d’accéder à des sites sensibles. Pour remédier à cela, il est possible de « Définir un mot de passe principal » qui est en fait un mot de passe donnant accès à la banque d’identification tenue par votre navigateur. Ceci permet de créer une barrière entre l’utilisateur et les identifiants mémorisés. II. Accès sans protection Exécutez Firefox puis accédez aux Options. Une fois que vous y êtes, cliquez sur l’onglet « Sécurité » puis « Mots de passe enregistrés ». Vous obtenez alors une fenêtre qui vous indique un certain nombre de sites ainsi que l’identifiant mémorisé pour chacun d’entre eux. Pour visualiser le mot de

Lire cet article

Réinitialiser le mot de passe admin dans PfSense

25/09/2013 Mickael Dorigny 0 commentaire PfSense, Sécurité, Security

I. Présentation Dans ce tutoriel, nous allons apprendre à réinitialiser le mot de passe administrateur (utilisateur « admin ») de la distribution portable PfSense. Il se peut en effet que celui-ci soit oublié. Il faut savoir que pour réinitialiser le mot de passe admin sans connaitre celui-ci, il faut avoir un accès Shell à la machine en question. Pour information, ce tutoriel est effectué sur la version 2.0.3 RELEASE (i386) de PfSense et la machine est une machine virtuelle sous VirtualBox. II. Procédure Le seul moyen de réinitialiser le mot de passe administrateur est en effet d’accéder au shell de la machine, soit en terminal direct, soit en SSH. On arrivera donc directement sur ce menu : A partir de ce menu, il faut saisir « 3 » pour l’option « Reset webConfigurator password ». Néanmoins attention, le clavier est par défaut en « QWERTY ». PfSense nous préviens ensuite que le mot de passe et les privilèges de l’utilisateur « admin » vont être réinitialisés à leurs valeurs par

Lire cet article

Dumpster : La corbeille pour Android

08/09/2013 Florian BURNEL 3 commentaires Android, Sécurité, Smartphone

I. Présentation Une suppression est si vite arrivée… Une photo importante, votre morceau de musique préféré, un SMS, etc… et c’est le drame ! Il est possible de récupérer les données sur un appareil Android mais il faut avoir un accès root sur l’équipement, ce qui implique une modification au préalable du système. Comme il vaut mieux prévenir que guérir, l’installation de l’application Dumpster sur votre appareil peut s’avérer astucieuse. En effet, cette application se place comme une corbeille sur votre système Android, de la même manière que la corbeille sous Windows. Sachez que cette application est disponible gratuitement sur Google Play sous le nom de « Dumpster – Recycle Bin ». Je vous invite à la télécharger avant de commencer. II. Premier lancement Lors du premier lancement, vous devez accepter les conditions d’utilisation en cliquant sur « Accept » sur la droite. Si votre équipement est rooté, vous pouvez activer l’option « Enable root access » pour gagner en performance et économiser de la batterie.

Lire cet article

Mise en place du protocole HSRP

06/09/2013 Mickael Dorigny 7 commentaires Cisco, Configuration, Haute disponibilité, HSRP, Réseaux, Sécurité

I. Présentation Dans ce tutoriel, nous allons apprendre à mettre en place le protocole de haute disponibilité HSRP sur des routeurs Cisco. II. Etude du protocole HSRP ou « Hot Standby Routing Protocol » est un protocole propriétaire Cisco qui a pour fonction d’accroitre la haute disponibilité dans un réseau par une tolérance aux pannes. A. Fonctionemment Cela se fait par la mise en commun du fonctionnement de plusieurs routeurs physiques (au minimum deux) qui, de manière automatique, assurerons la relève entre eux d’un routeur à un autre. Le protocole HSRP présente aussi son semblable normalisé qui se nomme VRRP. Celui-ci étant normalisé, il est disponible sur les routeurs d’autres marques que Cisco. Plus précisément, la technologie HSRP permettra aux routeurs situés dans un même groupe (que l’on nomme « standby group ») de former un routeur virtuel qui sera l’unique passerelle des hôtes du réseau local. En se « cachant » derrière ce routeur virtuel aux yeux des hôtes.

Lire cet article

Commandes et Système Services

Premiers pas avec Fail2ban

26/08/2013 Mickael Dorigny 2 commentaires Fail2ban, Linux, Sécurité

I. Présentation Dans ce tutoriel, nous allons voir l’installation, le fonctionnement global et la configuration de l’outil Fail2ban qui est un outil de sécurité intéressant et reconnu. Fail2ban permet en effet de sécuriser les serveurs par l’automatisation de la détection de comportements suspects et leur blocage ou l’envoi d’alertes. Pour information, ce tutoriel s’effectue sur une machine Debian 7 sur une machine virtuelle VirtualBox. II. Fail2ban Fail2ban est donc un outil que l’on peut installer sur une machine UNIX, il va se charger de parser (lire, parcourir) les logs de différentes applications pour vérifier et détecter des comportements dis « suspects ». Il va par exemple savoir détecter un nombre X de tentatives d’authentification infructueuses sur une service FTP ou SSH ou détecter des requêtes anormales sur un services web tel qu’Apache2. Par défaut, l’outil est donc fournis avec un ensemble de règles que nous étudierons brièvement et que nous pouvons modifier à notre guise. Le fonctionnement de Fail2ban se fait avec des

Lire cet article

Configurer le SSL avec Apache 2

18/06/2013 Florian BURNEL 15 commentaires Apache, Configuration, HTTPS, Sécurité, SSL

Apprenons à configurer le SSL sur un serveur web Apache grâce à OpenSSL

Lire cet article

Accès SSH sur un équipement Cisco

22/05/2013 Florian BURNEL 11 commentaires Sécurité, SSH

I. Présentation L’accès à distance via Telnet sur un équipement Cisco c’est bien mais ce n’est pas sécurisé. Il est préférable d’utiliser le protocole SSH qui chiffre les informations afin d’apporter une couche de sécurité à la connexion à distance. De ce fait, c’est intéressant de savoir mettre en place un accès SSH sur un switch Cisco ou sur un routeur Cisco, plutôt qu’un accès Telnet. Toutefois, il faut que votre version d’IOS soit suffisamment récente pour contenir une couche cryptographique permettant d’utiliser le SSH. II. L’équipement est-il compatible ? Vérifiez si votre version d’IOS est compatible avec la fonctionnalité SSH grâce à la commande suivante : show version Dans le résultat obtenu de la commande, la mention « k9 » doit être présente dans la version de l’IOS. Par exemple : Cisco IOS Software, C2960 Software (C2960-LANBASEK9-M), Version 12.2(55)SE, RELEASE SOFTWARE (fc2) III. Définir le nom de d’hôte et de domaine L’équipement doit impérativement disposer d’un nom d’hôte et

Lire cet article

Commandes et Système

Calculer l’empreinte MD5 d’un dossier sous Linux

20/05/2013 Mickael Dorigny 5 commentaires Bash, CLI, Linux, Sécurité, Shell

I. Présentation Dans un précédent tutoriel, nous avions vu comment calculer l’empreinte MD5 d’un simple fichier sous Linux. Seulement quand nous voulons calculer l’empreinte d’un dossier entier, nous obtenons un message d’erreur nous indiquant que la cible est un dossier et que md5 ne peut donc pas calculer son empreinte : Il est néanmoins possible de calculer la somme md5 d’un dossier, ou plus précisément de tous les fichiers d’un même dossier. On va pour cela calculer la somme MD5 de tous les fichiers de ce dossier puis calculer la somme MD5 de ces sommes MD5. Le but ici est de déterminer si un des fichiers positionnés dans le dossier cible a subit une modification. On utilisera pour cela la commande suivante (par exemple pour le dossier « /etc ») : find /etc/ -type f -exec md5sum {} \; > /tmp.md5 && md5sum /tmp/md5 && rm /tmp/md5 Nous allons détailler un peu plus cette commande qui se découpe en trois parties séparées

Lire cet article

Base de données

La gestion des droits avec la console SQL

02/05/2013 Florian BURNEL 0 commentaire Configuration, Droits, Mysql, Sécurité, SQL

I. Présentation La gestion des droits est incontournable en matière de sécurité et pour définir les actions que l’utilisateur a le droit de faire et de ne pas faire. En SQL, il y a 4 droits/privilèges principaux que l’on peut attribuer à un utilisateur. Il peut avoir le droit de sélectionner des données dans des tables grâce au « SELECT », d’ajouter des valeurs dans les tables grâce à « INSERT » , de supprimer des données grâce à la commande « DELETE » et d’en mettre à jour en utilisant « UPDATE ». Il est possible de gérer ces droits via l’interface PHPMyAdmin mais aussi à partir de la console MySQL, c’est ce que nous allons dans ce tutoriel. II. Informations sur le serveur et la base de données utilisée Serveur : localhost (127.0.0.1) Serveur web : WAMP Base de données : neoflow_bdd Table : table1 Utilisateurs : root et invite III. Exécutez la console Avec une Invite de

Lire cet article

Sécuriser les authentifications Htaccess avec l’option Digest

21/04/2013 Mickael Dorigny 5 commentaires Apache, Authentification, Htaccess, Sécurité, Web

I. Présentation Le fichier .htaccess est un moyen rapide et efficace pour restreindre et protéger l’accès à un dossier ou à des fichiers web sur un serveur. La plupart des tutoriels nous disent souvent d’utiliser l’option simple « AuthType Basic » pour la méthode d’authentification. Cependant, cette option fait passer les mots de passe quasiment en clair sur le réseau remettant ainsi sérieusement en cause leur crédibilité en terme de sécurité. Dans ce tutoriel, nous allons voir une démonstration du passage du mot de passe lors d’une authentification .htaccess utilisant un type d’authentification « Basic » puis nous verrons comment mieux sécuriser le passage de l’authentification sur le réseau par un .htaccess. II. Démonstration Nous partons ici du fait qu’un fichier « .htaccess » utilisant l' »AuthType Basic » est déjà en place. Pour ceux pour qui ce ne serait pas encore le cas, je vous oriente vers ce tutoriel sur la mise en place d’une protection simple avec « .htaccess ». Nous allons donc avoir un serveur web (dans

Lire cet article

Commandes et Système SSH Supervision

Envoi d’un mail lors d’une connexion SSH

17/04/2013 Mickael Dorigny 5 commentaires alerte, Mail, Monitoring, Sécurité, SSH, Supervision

I. Présentation Dans ce tutoriel, nous allons apprendre à paramétrer un envoi de mail lors d’une connexion SSH à un serveur Linux. Cela peut être une solution simple et rapide pour savoir quand quelqu’un se connecte à votre serveur et cela en temps quasi réel (le temps d’envoi d’un mail). Nous allons voir que cette méthode peut s’appliquer à tous les utilisateurs se connectant en SSH,le plus intéressant à faire étant pour root car cela permet de superviser les connexions en SSH pour root et ainsi de détecter si il y a des connexions anormales. II. Le fichier .bashrc Chaque utilisateur possède un fichier « .bashrc » dans son « home » qui peut contenir, entre autre, des commandes exécutées lors de l’initialisation de son shell (ce qui se passe lors d’une connexion SSH). C’est de ce fichier que nous allons nous servir pour effectuer notre envoi de mail. Il suffit donc juste d’y placer les bonnes commandes. Note: On par ici du principe

Lire cet article

Protéger l’accès à certains fichiers spécifiques avec .htaccess

14/04/2013 Mickael Dorigny 0 commentaire Apache, Authentification, Htaccess, Sécurité, Web

I. Présentation Les fichiers « .htaccess » sont souvent utilisés dans Apache afin de protéger l’accès à un répertoire spécifique où les fichiers sont positionnés. Il est important de savoir également que l’on peut, avec un fichier « .htaccess », protéger un fichier ou un type de fichier et pas d’autres alors qu’ils sont dans le même répertoire. C’est ce que nous allons voir dans ce tutoriel. II. Préparation de l’environnement Nous allons supposer qu’Apache2 est déjà installé et opérationnel sur notre serveur et qu’il est joignable sur le port 80. Pour le test, nous allons supposer que la page « index.html » doit être joignable sans restriction mais pas la page « index2.html » que nous créons maintenant : cp /var/www/index.html /var/www/index2.html chown www-data /var/www -Rf Nous faisons un premier test d’accès aux deux pages. Elles sont normalement toutes deux accessibles sans restrictions (sinon vérifiez votre configuration Apache2). III. Construction du fichier .htaccess Nous allons maintenant créer le fichier « .htaccess » dans le répertoire « /var/www » afin de restreindre

Lire cet article

Mettre en place une connexion SSL avec WAMP

08/04/2013 Florian BURNEL 30 commentaires Apache, Configuration, Sécurité, Wamp

I. Présentation Ce tutoriel a pour but de vous expliquer comment mettre en place une connexion SSL sur un serveur web réalisé avec le logiciel WAMP. Ce qui vous permettra d’utiliser le protocole HTTPS (HTTP Sécurisé) pour naviguer sur votre site web de manière sécurisé. Le certificat créé dans ce tutoriel est un certificat auto-signé par le serveur local, il n’est pas signé par un organisme de certification ce qui a pour effet que ce certificat doit être utilisé en interne uniquement c’est-à-dire dans un intranet, par exemple. Remarque : Dans les différentes commandes, les différents chemins à modifier dans les fichiers, méfiez vous de la version de votre Apache car le nom du dossier change selon la version. Dans notre cas : apache2.2.11. II. Création des clés RSA (privée et publique) Pour se faire nous avons besoins d’utiliser des commandes DOS, ouvrez donc une « Invite de commande ». Placez-vous dans le répertoire « bin » d’Apache en utilisant

Lire cet article