Securité on Teddy Ferdinand

Pourquoi `curl | bash` est une mauvaise habitude dangereuse

Wed, 29 Apr 2026 09:42:21 +0000

Dernièrement, je suis retombé sur une vieille mauvaise habitude du monde Linux/DevOps/Cloud : installer un outil avec une commande du type :

curl -sSL https://example.com/install.sh | bash

Ou pire :

curl -sSL https://example.com/install.sh | sudo bash

On l’a tous déjà vue.
On l’a probablement tous déjà utilisée.

Et soyons honnêtes deux minutes : dans beaucoup de documentations officielles, c’est encore présenté comme la manière “simple” d’installer un outil.

Sauf que cette commande pose un vrai problème de sécurité : elle revient à dire :

Jeux vidéo : et si votre anti-cheat était la plus grosse faille ?

Tue, 12 Aug 2025 13:17:47 +0000

Il y a quelques jours, la beta ouverte de Battlefield 6 était disponible.

Lors de l’installation du jeu, j’ai constaté, une fois de plus, que le programme anti triche (anti-cheat) d’EA s’installe au niveau du ring 0 (je reviendrai sur ce concept plus bas, pas de panique! 😄).

Les tricheurs étant de plus en plus prolifiques, les éditeurs de jeux vidéos ont du trouver de nouvelles parades pour identifier et bloquer le plus rapidement les nouvelles manières de tricher en jeu.

Les nouvelles des nuages - Septembre 2023

Thu, 05 Oct 2023 08:20:35 +0000

Bonjour à tous,

Bienvenue dans cette nouvelle édition de “Les Nouvelles des Nuages”. J’ai sélectionné pour vous les actualités les plus pertinentes dans le monde de la tech, du cloud et de la cybersécurité. Découvrons ce que septembre nous a réservé.

L’IA Générative dans la Lutte contre les Menaces

Source: Le Monde Informatique

Proofpoint intègre l’IA générative dans son arsenal pour combattre les menaces en ligne. Cette technologie pourrait révolutionner la manière dont les entreprises abordent la cybersécurité, en offrant des solutions plus proactives contre l’extorsion de données, la compromission d’e-mails et le vol d’identités.

Le biais du survivant dans la cybersécurité : pourquoi se fier uniquement aux incidents passés peut être risqué

Fri, 14 Apr 2023 15:56:04 +0000

Le biais du survivant est une tendance à se concentrer uniquement sur les exemples qui ont survécu à un événement, en ignorant ceux qui ont échoué. En matière de cybersécurité, cela signifie que les entreprises ont souvent tendance à se baser uniquement sur les incidents de sécurité passés qui ont été résolus, sans prendre en compte ceux qui ont échappé à leur détection ou n’ont pas été correctement résolus.

L’un des exemples les plus connus est celui des avions durant la seconde guerre mondiale:

Twitter VS Mastodon : Et si on parlait de sécurité?

Thu, 10 Nov 2022 16:32:20 +0000

Depuis quelques jours, suite au rachat de Twitter par Elon Musk, on entend beaucoup parler de Mastodon.
Certains se disent prêts à migrer de Twitter vers Mastodon, si nombre de billets de blog parlent de Mastodon vs Twitter du point de vue fonctionnel, on parle assez peu des aspects liés à la sécurité.
Ici, je ne vous parlerais pas de modération, de changements d’habitude, etc. simplement de mon point de vue lié à la sécurité.

Les techniques d'attaque : comprendre l'ARP poisoning

Fri, 21 Oct 2022 05:09:58 +0000

Avertissement

Comme souvent sur ce genre de billet, je tiens à rappeler que le contenu que vous trouverez ici l’est uniquement à des fins pédagogiques.

L’intrusion non autorisée dans un système d’information est passible d’amende et/ou d’emprisonnement.

Comprendre les attaques, c’est savoir comment les éviter. Dans ce billet, je vous propose de voir un modèle d’attaque réseau courant : l’ARP poisoning.

L’ARP, c’est quoi ?

Pour comprendre l’attaque, il faut déjà comprendre sur quoi elle repose.

Pourquoi vous utilisez mal l'IAM d'AWS

Mon, 27 Jun 2022 06:00:31 +0000

Je travaille sur des environnements AWS depuis plus de 6 ans maintenant. Que ce soit en tant qu’Ops, architecte, ou architecte sécurité, il y toujours une constante que je constate autour de moi : l’IAM d’AWS est très souvent mal utilisé.

Dans ce billet, je vous propose de faire un petit tour d’horizon des raisons probables.

Parce que la doc vous indique de mettre du wildcard

La documentation est censée être le pilier sur lequel s’appuyer. Toutefois, force est d’admettre que la documentation d’AWS est loin d’être un exemple en ce qui concerne l’IAM.

Quand vos certificats TLS vous trahissent

Fri, 24 Jun 2022 16:15:53 +0000

Les certificats TLS font partie du quotidien pour n’importe qui manipule les technologies du web.

Mais saviez-vous que vos certificats peuvent trahir vos projets confidentiels, vos environnements non productifs ou la topologie de votre entreprise ?

Un besoin de transparence

Pour comprendre pourquoi vos certificats peuvent être un vecteur d’attaque, nous allons nous pencher sur le fonctionnement même d’un certificat TLS, du point de vue de votre navigateur.

Fonctionnement du TLS « classique »

…

Et si on responsabilisait tout le monde sur les mots de passe ?

Mon, 13 Jun 2022 06:00:12 +0000

Je vois souvent passer des communications indiquant qu’il faut faire des mots de passe avec beaucoup de caractères, car cela les sécurise, avec de jolis graphes qui expliquent qu’il ne faut que quelques secondes pour casser un mot de passe à 8 caractères.

C’est à la fois vrai et faux.

Aujourd’hui, je vais vous partager mon avis sur ce sujet.

Avoir un mot de passe fort est important…

…mais ce n’est pas la seule chose importante

Il est évident qu’il est indispensable d’avoir un mot de passe fort pour sécuriser ses différents accès.

Log4j depuis l'œil de la tempête

Mon, 20 Dec 2021 20:22:55 +0000

À moins de vivre dans une grotte, vous n’avez pas pu passer ces derniers jours à côté des failles découvertes sur la librairie Java log4j.

Je ne vais pas vous faire un énième post pour parler de cette faille, mais plutôt parler de mon expérience sur le terrain sur l’impact de cette dernière au niveau opérationnel.

L’importance d’avoir un inventaire à jour

J’en ai parlé sur Twitter, mais pour moi, cette faille met en exergue le fait que beaucoup d’entreprises manquent d’un inventaire à jour de leurs ressources.

Un VPN protège-t-il réellement votre vie privée ?

Mon, 13 Sep 2021 05:00:00 +0000

Dernièrement, je vois de plus en plus de publicité indiquant que tel ou tel VPN protège votre vie privée.

On m’a aussi posé plusieurs fois la question afin de comprendre si c’était vraiment le cas ou non. Aujourd’hui, j’ai donc décidé de vous parler de VPN.

Le but de ce billet est avant tout de comprendre le fonctionnement de base d’un VPN et de savoir ce qu’il protège, et ce qu’il ne protège pas.

Travailler en public, ça s'apprend!

Mon, 06 Sep 2021 12:08:53 +0000

Comme beaucoup de gens, je suis parti quelques jours en vacances cet été. Pour me déplacer, j’ai utilisé le TGV.

J’ai été surpris du nombre de personnes que j’ai croisées dans mes trains qui travaillaient aux vues et au su de tous !

Aujourd’hui, j’ai donc décidé de vous parler des “bonnes pratiques” pour travailler en public de manière plus sûre.

Attention aux documents confidentiels !

Posé bien en évidence sur un siège, à côté d’un voyageur qui travaillait, j’ai pu voir un document sur lequel un filigrane “Confidentiel” ornait les pages. Bon, qu’on se le dise clairement, le document n’avait plus rien de confidentiel vu qu’il était partagé avec nombre de personnes inconnues.

Mon métier de Cloud Security Architect

Mon, 15 Mar 2021 06:53:09 +0000

Pour faire écho aux articles récents de Damy.R, et mcorbin, je me suis dit qu’il serait sympa que je vous explique en quoi consistait mon métier :

À la découverte du métier de consultant cloud et DevOps

Envie de découvrir le quotidien d’un consultant cloud et DevOps ?

Damy.R

(mcorbin.fr): Le métier de développeur Cloud

(mcorbin.fr)

En effet les métiers de l’IT sont très nombreux, et il est parfois compliqué de comprendre ce qui se cache derrière nos étiquettes.

Pour une posture efficace de la sécurité

Mon, 01 Feb 2021 06:00:00 +0000

Je travaille dans le domaine de l’IT depuis plus de 10 ans maintenant et j’ai côtoyé pas mal d’équipes “sécurité” au sein des entreprises dans lesquelles je suis passé. Je suis moi-même un “security guy” (Cloud Security Architect) depuis un peu plus d’un an.

Durant ces années, j’ai souvent constaté une posture bloquante des équipes sécurité, parfois même déconnectées du terrain, conduisant de fait à des ralentissements et tensions dans les projets.

Le danger du Grey IT en entreprise

Mon, 18 Jan 2021 07:07:48 +0000

Les confinements ont beaucoup changé nos habitudes de travail. Le télétravail est devenu quelque chose de plus courant qu’il y a tout juste un an.

Avec la mise en place de télétravail très rapidement, de nouveaux risques sont apparus. Aujourd’hui, je vous propose d’aborder le sujet du Grey IT.

Le Grey IT qu’est ce que c’est ?

Dans une entreprise, de manière classique, les applications utilisées sont référencées dans un catalogue de service.

Eprouvez votre antivirus avec un cryptolocker (maitrisé)

Fri, 04 Dec 2020 20:53:18 +0000

Les modèles d’attaques informatiques ont évolué ces dernières années. Les cryptolockers sont devenus le fer de lance de beaucoup de pirates.

Votre éditeur d’antivirus vous assure que vous être protégé contre ces nouvelles menaces ? OK, prouvez-le avant d’être bloqué par une vraie attaque.

Parlons cryptolocker

Le principe de base d’un cryptolocker est assez simple : chiffrer les fichiers cibles (souvent .doc, .txt, .odt etc…) et demander ensuite une rançon. Un ransomware n’a rien à gagner à détruire l’OS sous-jacent, donc les fichiers systèmes sont rarement touchés.

Les EDR, avenir des antivirus

Thu, 26 Nov 2020 16:55:34 +0000

Les virus sont devenus de plus en plus présents ces dernières années avec des vecteurs et modèles d’attaques toujours plus évolués.

Avoir une protection adaptée à ces nouveaux modèles d’attaques est aujourd’hui indispensable.

L’histoire (accélérée) des antivirus

Depuis les débuts de l’informatique, nous avons toujours des personnes malveillantes tentant d’exploiter des faiblesses de systèmes ou programmes.

Les objectifs de ces virus étaient divers :

créer un poste zombie pour un botnet ;
immobiliser un ordinateur ou un SI ;
extraire les informations;
par défi.

Pour contrer ces menaces, des éditeurs ont mis à disposition d’autres programmes : les antivirus.

Obtenir des clés temporaires pour le CLI AWS, c'est possible!

Mon, 12 Oct 2020 05:21:00 +0000

Lorsque l’on veut utiliser le CLI AWS pour piloter ses ressources en ligne de commande, la solution la plus simple est de passer par des access keys. Ces clés APIs, gérées par AWS permettent de s’authentifier simplement en passant par un utilisateur IAM.

Toutefois, quand on veut centraliser en dehors d’AWS ses utilisateurs, la tâche se gâte ! Aujourd’hui, je vais vous expliquer comment j’ai mis en place une gestion de credentials AWS temporaires avec une fédération externe à AWS, et pourquoi.

Scanner les vulnérabilités de son site web

Thu, 24 Sep 2020 14:03:35 +0000

Héberger un site web est quelque chose de normal de nos jours. Je ne connais pas beaucoup d’entreprises qui n’ont pas de site Internet.

Toutefois, cette ouverture sur le monde est aussi une porte d’entrée pour les pirates !

Aujourd’hui, je vous propose de découvrir (ou revoir) deux outils vous permettant de renforcer la sécurité de vos applications.

Sécuriser son site site web, pourquoi?

Retrouvez la suite de ce billet sur le blog de WeScale!

Sécuriser son application web sur AWS

Wed, 26 Aug 2020 06:00:14 +0000

Lorsque l’on déploie son application web sur AWS, il est nécessaire de sécuriser son utilisation.

On pense souvent qu’il s’agit de déployer tout dans AWS et que notre application est directement en ligne et sécurisée. Ce qui est faux. Si la protection DDOS au niveau 4 (TCP/UDP) est effectivement effectuée par Amazon Web Services, le niveau 7 doit quant à lui être géré par le client.

Je vous propose dans cet article de voir les différentes couches de sécurité que l’on peut mettre en place pour sécuriser son application web sur AWS.

Être hacker, ce n'est pas comme dans les films!

Tue, 18 Aug 2020 16:35:23 +0000

Les hackers… nous en voyons souvent dans les films et séries. Ces experts sont capables de détourner des satellites de la NSA avec une ficelle et un coupe-ongles (#MacGyver) ! (Image de couverture tirée du film Die hard 4)

J’ai décidé aujourd’hui de vous parler du hacking dans la “vraie vie”. Je me considère moi-même comme un white hat (un hacker éthique) et je vais vous parler des méthodes courantes qu’un hacker utilise. Je me focaliserais ici sur la partie la plus simple : les sites web.

AWS IAM : Entre rêve et cauchemar

Sat, 15 Aug 2020 06:51:26 +0000

J’utilise professionnellement AWS depuis plus de 4 ans maintenant.

Pour faire un peu mon vieux, lorsque j’ai commencé sur AWS, les services et fonctionnalités suivantes n’existaient pas :

Les ALB/NLB
ACM
ElasticSearch Service
Les lambda dans les VPC ou avec durée supérieure à 5 minutes
ECS/EKS/ECR

Durant ces 4 années, j’ai eu l’occasion de faire beaucoup d’IAM, indispensable pour déployer des solutions sécurisées sur Amazon.

IAM et least privilege

Le service IAM (Identity and Access Management) est le service d’AWS qui définit les utilisateurs ou rôles ainsi que les permissions qui leur sont associées.

Ce que nous apprend (ou rappelle) le hack de Twitter

Sat, 18 Jul 2020 20:59:59 +0000

Il y a quelques jours, Twitter a été la cible d’un hack invitant, via des “comptes vérifiés”, les utilisateurs à envoyer des BitCoins pour en recevoir le double. Je vous propose un petit post sur ce que nous pouvons retenir de cette attaque, du point de vue sécurité informatique.

Disclaimer

Cet article n’a pas pour ambition de faire une énième analyse de cette attaque, mais plutot de rappeler des règles de base de sécurité informatique que cette attaque me rappelle.

Transformez votre pipeline AWS DevSecOps en bunker - Partie 1

Thu, 18 Jun 2020 15:16:01 +0000

Ce billet a été co-écrit par Victor Grenu. Qui travaille en tant que Cloud Architect

Introduction

Dans cette série, nous parlerons de l’émergence du mouvement DevSecOps, et plus particulièrement, quels sont les avantages de l’introduction d’une approche DevSecOps sur vos pipelines CI/CD existants.

Pipeline CI/CD

Pour vous donner un peu de contexte, vous trouverez dans le diagramme ci-dessous un pipeline standard de CI/CD.

DevSecQuoi?

Le DevSecOps pourraient être définies comme un passage d’une équipe centrale de sécurité interne à l’inclusion de pratiques de sécurité dans les équipes DevOps existantes : DevSecOps

La difficulté de la lutte antibot sur le web

Tue, 02 Jun 2020 07:11:15 +0000

Les robots, appelés plus couramment bots, pullulent aujourd’hui sur Internet. Il représente une part du trafic Internet global non négligeable.

Aujourd’hui, je vous propose de découvrir le monde des bots de l’Internet.

Des bots… mais pour quoi faire ?

La première question que l’on pourrait se poser serait de savoir pourquoi des bots se baladent en liberté sur Internet.

Vous utilisez, parfois sans le savoir, des bots quotidiennement lorsque vous naviguez sur Internet. Vous avez lancé une recherche sur un moteur de recherche, un bot l’a indexé auparavant pour vous. Une grosse partie des messages d’entreprises présents sur les réseaux sociaux proviennent de bots qui les publient en leurs noms.

Pourquoi est-ce que je tiens à mes données personnelles

Mon, 25 May 2020 10:54:24 +0000

Je suis dans l’IT depuis assez longtemps pour connaître la valeur des données personnelles. Il s’agit de données très précieuses pour les entreprises, leur permettant de cibler toujours plus efficacement leur public.

J’ai travaillé durant 3 ans pour Médiamétrie qui, en France, réalise des études et sondages pour les entreprises ainsi que la plupart des mesures d’audience pour les chaines de télévision et les radios.

Ce qui ressortait des études est souvent la même chose, ce qui est intéressant n’est pas la masse, c’est la CSP (Catégorie socioprofessionnelle). Savoir que TF1 a fait 12% d’audience la veille est une information, savoir que les “personnes responsables des achats” (de mémoire, nom commercial pour “homme/femme au foyer”) de 30 à 40 ans représentaient 26% des parts de marché est bien plus précieux.

Chiffrement de bout en bout ou chiffrement en transit : quelles différences?

Mon, 20 Apr 2020 15:35:55 +0000

Avec la crise du coronavirus, le recours à des technologies externes est nécessaire.

Pour ce post, je vais parler (entre autres) de Zoom, l’application à la mode pour faire des conférences vidéo qui jouent sur les termes pour la sécurisation de leur solution.

Chiffrer les échanges, pourquoi ?

Pourquoi faisons-nous du chiffrement? Il peut y avoir beaucoup de raison, la plus évidente est pour éviter l’interception des données.

Dans le cadre d’un échange chiffré, quand bien même mon flux de données serait intercepté, l’impact serait nul, puisque l’attaquant serait dans l’impossibilité de lire ce flux, en supposant bien sûr que j’ai mis en place un chiffrement assez fort.

Je me suis fait hameçonner, mais c'est pour la science!

Mon, 30 Mar 2020 05:00:00 +0000

On entend souvent parler de scam, de phising, ou leurs équivalents en français, l’hameçonnage et l’arnaque sur internet.

Aujourd’hui, je vous propose un petit billet spécial : je me suis fait volontairement hameçonner pour vous montrer l’envers du décor de ce monde!

Point TRES important!

Les manipulations que vous allez voir ci dessous (et notamment le fait d’aller volontairement sur un site de phising) peuvent être dangereuses pour votre système et/ou vos données personnelles. Elles ont été réalisées dans un environnement “bac à sable” (sandbox) et ne doivent pas être reproduites sans protection préalable.

Confinement : Danger sur les SI

Mon, 23 Mar 2020 07:49:28 +0000

Depuis une semaine maintenant, nous sommes pour beaucoup confiné à domicile. Le télétravail a été l’arme dégainée par beaucoup d’entreprise pour parvenir à poursuivre leur activité, et beaucoup ne comprennent donc pas pourquoi certaines entreprise qui ne pratiquaient pas ou peu de télétravail arrivent maintenant à fonctionner en télétravail complet. De même, certains ne comprennent pas que même dans le domaine de l’informatique, il existe toujours des personnes devant travailler sur site. Petit tour d’horizon…

Traefik 2 - Configuration du TLS (Rang A+ sur SSLLabs)

Mon, 03 Feb 2020 06:50:00 +0000

Mise à jour le 22/12/2021

Ce contenu a été mis à jour le 22/12/2021 pour pointer vers la version 2.5.5 de Traefik Proxy et Kubernetes 1.20, le middleware modifiant les headers, ainsi que les ciphers autorisés ont aussi été mis à jour

Disclaimer : De part les descriptions que je donne ci dessous, ce post sera plus long que mes post habituels.

La sécurité est l’affaire de tous. En tant qu’architecte sécurité, je suis quelqu’un d’assez sensible à ces sujets.

A Noël, ne donnez pas les clés de votre maison aux hackers

Sun, 22 Dec 2019 20:46:56 +0000

La période de Noël est une période propice aux hacks en entreprise, avec les congés de fin d’années, il y a en effet moins d’effectif, et donc moins de réactivité. Mais il serait simpliste de ne voir que cet aspect.

L’enfer a un emballage cadeau

Ces dernières années, la mode est aux objets connectés en tout genre : enceintes, montres, balances, aspirateurs, et l’objet à la mode cette année, les caméras connectées. Tous ces gadgets peuvent être très utiles et avoir des fonctionnalités très sympathiques, il n’empêche qu’ils sont aussi l’accès rêvé à votre domicile pour un pirate. Malheureusement, ces périphériques sont très souvent “léger” en termes de sécurité embarquée. On pourrait penser que ce n’est pas trop gênant, mais depuis un périphérique compromis, il peut éventuellement être possible d’infecter tout un réseau pour extraire des données par exemple.

Non, le cadenas près de votre barre d'adresse ne veut pas dire qu'un site est "fiable"

Sat, 21 Sep 2019 07:27:39 +0000

Je vois régulièrement ce message sur des sites marchand, et je constate que des amalgames sont souvent fait sur ce qu’est une connexion sécurisée.

Sécuriser l’échange avec le serveur web

La présence d’un verrou près de la barre d’adresse signifie que ce site utilise un certificat TLS pour échanger les données avec vous. Cela permet que les données échangées avec vous sont chiffrées. Le but premier d’un certificat TLS est d’empêcher les attaques de type “man in the middle”

Linux sans SSH ? C'est possible avec Amazon SSM

Thu, 18 Jul 2019 07:10:54 +0000

Dans un parc informatique possédant des machines linux, le SSH est quelque chose de classique. Très souvent scanné, régulièrement mal sécurisé, il s’agit aussi d’une porte d’entrée possible pour des attaques. De plus la problématique de la tracabilité du SSH pousse souvent les entreprise à mettre en place des process spécifiques.

Sur Amazon, il est possible depuis l’année dernière de se connecter en SSH sans avoir besoin de clé, de login ou de mot de passe… et sans SSH.

Les emplois saisonniers, porte d'entrée des pirates

Thu, 11 Jul 2019 20:18:49 +0000

Avec la période de vacances estivales qui commence, cela signifie aussi le début des emplois saisonniers. Attention toutefois, cela signifie aussi que c’est la porte d’entrée des pirates!

Méconnaissance de l’entreprise

Par définition, le saisonnier ne connait pas particulièrement votre entreprise, les méthodes de travail, les interlocuteurs etc… Cela signifie qu’il sera sans doute plus sensible aux tentatives de phising. Pourquoi ? Quelqu’un ne connaissant pas les habitudes de l’entreprise ne serait peut-être pas surpris de recevoir un mail avec un fichier Excel de facture en pièce jointe par exemple, s’il ignore que ce ne sont pas vos manières de fonctionner.

La sécurité : Nouvel enjeu majeur des entreprises

Fri, 31 May 2019 07:11:54 +0000

La sécurité est un terme que l’on entend souvent en ce moment, pourtant derrière ce simple mot se cachent beaucoup d’aspects.

Cet article contient de nombreux liens de sources ou de définitions de certains termes, n’hésitez pas à cliquer sur ces derniers.

LinkedIn, WhatsApp, iCloud, Renault : Le point commun entre ces entreprises ? Elles ont toutes été victimes à un moment ou un autre d’une compromission de leur système d’information.