Pantharax Cybersecurity enthusiast

Se lancer dans des projets

Que ce soit pour progresser techniquement ou intellectuellement, ou bien pour se forger un portfolio, les projets nous permettent de nous ouvrir l’esprit. Malheureusement, nous n’avons pas tous le même esprit créatif ! Quand certains pourront imaginer facilement des projets à réaliser, d’autres tourneront en rond en se demandant ce qui peut bien être intéressant de faire. Je fais partie de cette deuxième catégorie.

Le choix du sujet

Tout projet part, à l’origine, d’un besoin. Ce besoin peut être le vôtre ou bien venir d’un constat que vous avez fait. Il est toujours plus simple de partir d’un besoin car c’est lui qui guidera vos choix et votre pensée. Si vous vous apercevez qu’il vous manque un outil dans votre environnement, vous pouvez très bien imaginer le développer. Malheureusement, si vous êtes tout seul, ce projet risque de vous prendre du temps et de l’énergie. Après, rien est impossible, regardez Mark Zuckerberg, il a réussi à développer les premières briques d’un réseau social à lui tout seul.

En réalité, vous pouvez très bien vous lancer dans un projet même s’il n’y a pas de besoin à proprement parler. Illustrons mes propos avec un exemple concret : j’ai développé un client Python pour l’API HaveIBeenPwned de Troy Hunt. Il n’y avait pas de besoin derrière car il y a déjà des dizaines de clients Python pour cette API. Néanmoins, un projet peut permettre de se challenger sur un sujet. En l’occurrence, ce mini-projet de développement m’a permis de découvrir des librairies Python.

Pour ceux qui n’ont pas d’imagination comme moi, vous pouvez très bien chercher des idées de projets sur des forums ou ailleurs, en discutant avec d’autres personnes. Vos connaissances qui ne sont pas du domaine de l’InfoSec, ou de l’informatique dans un domaine plus large, auront sans doute des besoins que vous n’avez pas mais vous pouvez très bien tenter de les aider.

Se challenger

En plus d’un besoin, un projet doit vous permettre de progresser sur un domaine. Vous devez vous challenger, sortir de votre zone de confort. Alors au début, je vous l’accorde, il sera compliqué de se lancer. Si vous voulez progresser sur un domaine, vous devrez vous forcer à tester de nouvelles choses, à mettre en application des principes ou des technologies. Cela peut être le test de preuves de concepts (PoC : Proof of Concept) existantes, ou bien l’utilisation d’une nouvelle librairie. Peut-être même qu’en essayant çà et là des technologies que vous ne connaissiez pas, l’idée de les assembler dans un projet naîtra.

Se dire que vous n’y arriverez pas ne vous fera ni avancer, ni progresser. L’homme a peur de l’inconnu mais il faut vaincre cette peur pour aller plus loin.

S’évaluer

Lorsque vous vous lancez dans un projet, il est important de faire des points réguliers pour évaluer votre travail mais surtout pour noter les points où vous avez progressé ainsi que ceux où vous avez échoué. Profitez-en pour noter les références utiles, les sites Web, les livres, ou toute autre chose qui vous aura aidé.

L’idée est de suivre votre feuille de route et de l’enrichir au fur et à mesure de l’avancement de votre projet. Par ailleurs, il est tout à fait possible que les idées vous viennent une fois votre projet lancé ! Cette feuille de route sera la base de votre projet et vous vous appuierez dessus pour écrire la documentation de votre projet et pour l’expliquer dans votre portfolio.

Merci de m’avoir lu !

Introduction à la vie privée

Vous avez dit vie privée ?

Bon, parler de vie privée pourrait prendre un moment mais j’ai pensé que cela pouvait être intéressant de vous dire ce que j’en pense. Ce ne sera peut-être pas très organisé, je pose ça comme je le pense, ce n’est qu’une introduction après tout.

Avant d’arriver aux discours habituels de “Il faut utiliser Linux” ou “Il faut bannir Facebook”, on va essayer de comprendre comment sont manipulées nos données sur Internet.

Les réseaux sociaux

On va commencer tranquillement (ou pas en fait) par les réseaux sociaux et l’usage qu’ils ont de nos données.

L’usage des données

Il faut être honnête avec soi-même, dès l’instant où vous vous inscrivez sur un réseau social, vous fournissez une quantité d’informations personnelles non négligeable, uniquement pour accéder au service.

Dès lors, une fois inscrit, vous allez “Aimer”, “Partager”, interagir avec du contenu. Malheureusement, ce contenu peut ne pas vous avoir été proposé par un ami mais par un annonceur.

Un annonceur est une entreprise spécialisée dans la publicité qui paye le réseau social (dans notre cas de figure) pour diffuser leurs annonces. Mais pour être rentable, il faut cibler la publicité pour un public donné car c’est le meilleur moyen d’avoir des clients potentiels. Néanmoins, pour cibler un public, il faut le connaître, et pour cela, il faut que le réseau social donne un peu d’informations sur vous.

C’est là qu’arrive la question de la vie privée : qu’êtes-vous prêts à donner, comme informations, au réseau social pour qu’il puisse les vendre à des annonceurs ? Malheureusement, généralement on ne vous laisse pas le choix … Profil, photos, liste d’amis, âge, lieu de résidence, centres d’intérêts, … Tout est bon pour créer un profil vous ressemblant au maximum. Les annonceurs créent ensuite des profils d’utilisateurs et balancent leurs publicités en fonction du profil auquel vous vous approchez le plus.

C’est comme ça que l’on voit apparaître des scandales comme celui impliquant Facebook et Cambridge Analytica, mais c’est loin d’être un cas isolé ! Gardez en tête que si un service est gratuit, c’est que vous être le produit ! Ce n’est pas vrai tout le temps et cela peut même être vrai pour un service payant !

Un peu d’ingénierie sociale ?

Je vais être très bref sur ce sujet car je suis loin de le maîtriser mais il est assez simple de faire de l’ingénierie sociale grâce aux données que vous publiez sur les réseaux sociaux (voire même sur votre blog personnel). Pour faire simple, tout ce que vous dites peut à tout moment être utilisé contre vous dès l’instant où c’est public. Donc ne mettez pas trop d’informations sensibles vous concernant ou concernant votre société dans vos publications. Je lisais récemment un article publié sur le blog de MalwareBytes à propos de l’usage des données sur LinkedIn, et on se rend vite compte de ce qu’il est possible de faire avec une simple recherche Google (avec les API de Google notamment). Il est tout de même assez simple de faire de l’OSINT (Open Source Intelligence : recherche sur sources ouvertes) pour récolter des informations sur une “cible”.

Le commerce en ligne

Petit sujet assez rapide à aborder, l’utilisation des cookies sur les sites marchands. Bien qu’on vous dise, car c’est obligatoire, que des cookies sont utilisés pour “améliorer votre expérience utilisateur”, ils servent avant tout à vous tracer sur Internet et permettent de vous suggérer des produits spécifiques. Ainsi, quand vous vous rendez sur un site marchand et que vous consultez la page d’un produit, le site enregistre ce que vous faite en l’enregistre dans ces fameux cookies. Admettons maintenant que vous n’achetez pas ce produit et que vous vous rendez sur un autre site… Votre réseau social préféré par exemple. Vous serez alors susceptibles de voir une annonce dans laquelle le produit que vous venez de consulter sera visible, comme par hasard !

Petite digression : une petite caméra

En s’écartant un peu des autres exemples mais en restant dans le thème de la vie privée, on pourrait aborder le thème des caméras de surveillance ou même de votre webcam bien intégrée dans le châssis de votre PC portable. Oui oui, la petite caméra qui vous regarde toute la journée ! Autant vous dire tout de suite qu’elle peut être activée à votre insu même si la petite diode qui indique son activité est éteinte. Dit comme ça, ça calme. Mettez donc un cache devant la webcam, n’importe quoi ça suffira. Peut-être que ça vous évitera un jour de faire l’objet d’un chantage car quelqu’un aura une vidéo de vous, nu, vous baladant devant votre PC. Même chose pour les caméras de surveillance… En installer une chez vous pour vous assurer que personne ne s’introduit dans votre jolie maison, c’est une bonne idée à la base, sauf quand vous ne configurez pas les accès à cette fameuse caméra. En effet, permettre l’accès à votre caméra depuis Internet et sans mot de passe, ou avec ceux par défaut (ce qui revient au même), peut se retourner contre vous. Je m’explique : imaginez qu’un cambrioleur s’aperçoive que votre domicile est vide car il a eu accès à vos propres caméras de surveillance, il va pouvoir aller vous voler quelques affaires tranquillement. Un petit site pour imager mes propos : Insecam Personnellement, je trouve ça flippant.

Pour conclure, faites attention à ce que vous partagez ou publiez, pensez à vider vos cookies de temps à autre pour éviter d’être suivi à la trace mais ne tombez pas dans la paranoïa pour autant. Dites-vous néanmoins que tout ce que vous publiez sur Internet (réseau social ou pas) ne sera jamais oublié par les serveurs qui l’auront hébergé.

Et pour finir, ne dites plus jamais : “De toute façon, je n’ai rien à cacher.” ou “Mes données n’intéressent personne.” Tout le monde à quelque chose à cacher, c’est comme ça, c’est le principe de vie privée. Sinon, votre maison serait ouverte à tous les passants dans la rue ! Et si, vos données intéressent de très nombreuses entreprises car elles valent de l’argent !

Pourquoi l'InfoSec ?

C’est une question très intéressante … En fait, quand j’ai commencé à étudier l’informatique, je n’avais alors pas d’intérêt particulier pour l’InfoSec ! Je n’étais pas très attentif à ce qui se faisait dans le monde de la sécurité mais, du fait que j’étais sollicité pour dépanner les ordinateurs de mes amis, j’ai commencé à apprendre les bases de la sécurité des ordinateurs.

L’événement qui a changé ma manière de penser

Revenons un instant en 2014 ! J’ai reçu un appel d’une personne m’informant que son ordinateur était infecté par un ransomware … J’imagine que vous connaissez la suite ! J’ai trouvé ça tellement injuste et c’est donc pour cela que j’ai décidé de sauter le pas en m’intéressant de plus en plus à la sécurité. C’est très loin d’être facile de commencer, surtout quand on ne sait pas par où commencer ! La sécurité informatique est un vaste domaine qui est passionnant.

Gérer son temps

Quand vous commencez dans un nouveau domaine (et quand vous êtes passionnés), vous avez tout le temps envie d’apprendre de nouvelles choses. Le nouveau défi est alors de gérer son temps, particulièrement quand vous êtes étudiant et que vos professeurs vous demandent de rendre des travaux.

Et maintenant …

J’ai découvert une école d’Ingénieurs qui est spécialisée en cyberdéfense. De plus, dans cette école, j’ai l’avantage d’avoir le statut d’apprenti ce qui me permet de faire de l’alternance. J’ai trouvé un poste dans une grande entreprise française spécialisée dans la confection et la vente et je travaille aujourd’hui sous la responsabilité du RSSI du Groupe. Désormais, je n’ai plus qu’à patienter (façon de parler) une année et demie pour être diplômé et donc devenir Ingénieur.

Que puis-je dire de plus ? Je suis extrêmement content d’être un membre de cette magnifique communauté ! J’ai commencé à apprendre la technique grâce aux plateformes Root-Me et NewbieContest. Je suis en permanence en quête d’apprendre de nouvelles choses, techniques ou non.

Merci beaucoup pour m’avoir lu, passez une bonne journée !

Introduction

Bienvenue sur mon blog !

Qui suis-je ?

Pour me présenter rapidement (vous avez une meilleure description ici), je dirai que je suis un étudiant en cyberdéfense qui veut apprendre mais également partager. J’ai découvert les ordinateurs alors que j’étais enfant, c’est la raison pour laquelle j’ai décidé d’étudier l’informatique quand j’avais 17 ans. Je suis donc diplômé d’un DUT Informatique et j’étudie maintenant la cyberdéfense afin d’avoir le diplôme d’Ingénieur associé.

Qu’est-ce que vous trouverez ici

Avec ce blog, je veux partager avec vous ce que je sais, même si ce n’est pas très technique. Je suis actuellement très intéressé par le Reverse Engineering et par le scripting (pour automatiser des tâches par exemple), c’est pourquoi j’essayerai de vous expliquer ce que je fais et comment je le fais.

J’ai toujours pensé qu’il était important de partager ses connaissances quand on avait la possibilité de le faire.

Qu’est-ce que vous ne trouverez pas ici

Etant un joueur occasionnel de CTF (Capture The Flag), vous ne trouverez pas de writes ups ou toutes autres choses liées aux CTF. Dans de rares cas où effectivement je participe à un challenge, j’essayerai bien évidemment de vous expliquer ce que j’ai pu faire.

Merci pour m’avoir lu !

N’hésitez surtout pas à m’envoyer un email (contact[at]maximebatard[.]fr) si vous rencontrez des problèmes sur le site ou si vous décelez des fautes d’orthographe.

N'arrêtez jamais d'apprendre !