I. Présentation

Reolink commercialise une nouvelle caméra d’intérieur/extérieur HD, en Wi-Fi cette fois-ci. Cette caméra a la particularité d’être équipée d’un projecteur, d’où le nom « Lumus ». Cette nouvelle fonctionnalité permet d’avoir une vision nocturne en couleur. Ce modèle intègre des fonctionnalités déjà présentées dans les précédents articles, mais nous le verrons en détail par la suite. Pour commencer, je vous propose de lister les caractéristiques techniques de l’appareil.

• Résolution vidéo : 1080p HD à 15 images/s
• Champ de vision 100° en diagonale
• Vision nocturne : Jusqu’à 10m
• Audio bidirectionnel
• Détection de mouvement + Détection PIR
• Distance de détection PIR : Réglable jusqu’à 10m
• Angle de détection PIR : 100° horizontal
• Alerte audio : alertes vocales enregistrables personnalisées
• Autres alertes : mail instantané et notifications push
• Alimentation 5V/2A
• Fréquence : 2.4Ghz
• Températures supportées : -10° à 55°
• Étanchéité certifiée IP65
• Dimensions : 99x91x60 mm
• Poids : 185g
• Garantie 2 ans

Allons tout de suite à la découverte de Lumus !

II. Découverte

Cette nouvelle caméra est livrée dans une boîte en carton aux couleurs de la marque (bleu et blanc) dont voici le contenu :

• Caméra Reolink Lumus
• Adaptateur secteur avec un câble de 4.5 mètres
• Support mural pour la caméra
• Gabarit de perçage des trous de fixation
• Aiguille de réinitialisation
• Autocollant vidéosurveillance
• Guide de démarrage rapide
• Paquet de vis

Première remarque, la longueur du câble d’alimentation est appréciable, avec 4.5m vous pouvez vous raccorder à la prise électrique la plus proche. Ce ne sera peut-être pas suffisant pour tout le monde, mais cette longueur de câble est loin d'être ridicule.

Le design de la caméra est soigné, sa façade en noire laisse apparaître le projecteur, la LED d’état, l’objectif, le capteur de lumière et le capteur de PIR. Le reste de l’équipement est en blanc. À l’arrière nous retrouvons le haut-parleur, l’arrivée du câble d’alimentation se situe en dessous l’emplacement de la carte MicroSD qui est protégé par un cache en silicone. Juste à côté, vous retrouvez le bouton reset de la caméra.

Mise à part le support qui lui est en métal, le reste est en plastique. L’apparence de ce modèle me fait penser à Glados dans le jeu vidéo Portal mais ce n’est peut-être que moi ^^.

Détail à prendre en compte la caméra ne peut pas être posé sur un support tel un meuble, vous devrez forcément fixer le support sur un mur afin de pouvoir filmer correctement. Autrement dit, la caméra ne tient pas debout sur elle-même.

Nous en avons fini avec la découverte passons sans plus attendre à l’utilisation.

III. Utilisation de la caméra

A. Mise en route

Pour se connecter à la caméra, il faut réaliser une procédure similaire aux précédents modèles testés. Il faut tout d’abord avoir l’application « Reolink » sur son téléphone. Ensuite, scanner le QR Code sur l'appareil et suivre les instructions.

Pour résumer, une fois le code scanné vous devrez entrer votre clé wifi puis scanner un nouveau QR code avec la caméra de votre téléphone. La mise en route est toujours aussi simple et rapide. Concernant la carte mémoire, je voulais préciser que j’ai un peu galéré. J’ai dû utiliser un trombone pour enfoncer la carte, car avec le pouce elle n'entre pas suffisamment. Dommage…

Pour terminer avec l’installation, il reste la partie fixation. À vous de trouver le meilleur emplacement. À noter que dans le guide d’installation, il est préconisé d’installer la caméra à 2-3 mètres du sol pour maximiser la portée de détection du détecteur de mouvement.

Notre Lumus est maintenant en place, nous allons pouvoir commencer à l’utiliser.

B. Vidéo et audio

Commençons par aborder la qualité de vidéo. Deux qualités d’enregistrement vidéo sont disponibles : fluide et 1080p. Vous l’aurez deviné, soit vous privilégié la qualité soit la fluidité. L’option 1080p crée seulement un léger décalage de deux secondes sur le live, la qualité est cependant remarquable !

De jour comme de nuit vous pourrez faire de la vidéosurveillance, avec la vision infrarouge vous aurez une vue noir & blanc de ce qui se passe. Si vous préférez la couleur, vous devrez activer le projecteur. Il peut être activé manuellement ou se déclencher automatiquement si un mouvement est détecté. La lumière projetée est assez éblouissante, elle vous aveugle lorsque vous êtes en face. Cette puissance permet d’obtenir une très belle image une fois la nuit tombée. Ce n’est pas un simple gadget, je trouve cette option vraiment intéressante !

Vous pouvez remarquer sur la photo de droite que les images et les légendes sont inversées, c'est un petit bug dans l'appli .

Maintenant que nous savons que nous avons une bonne visibilité, qu’en est-il de l’audio ?

Vous avez la possibilité d’enregistrer le son en plus de la vidéo grâce au micro intégré en façade. La qualité est plutôt correcte : les sons et dialogues proches de la caméra sont tout à fait audibles et compréhensibles. Pour la partie haut-parleur, ce n’est pas exactement la même chose… La qualité du son n’est pas au rendez-vous lorsque vous augmentez le volume. À partir de 50% de volume, la voix devient difficilement compréhensible. Je suis un peu déçu, car c’est une fonctionnalité que je trouvais intéressante…

Pour stocker nos enregistrements audio et vidéo, nous avons plusieurs possibilités que nous allons aborder dans la prochaine partie.

C. Stockage

La façon la plus simple de stocker ses enregistrements est de posséder une carte microSD. Le maximum est toujours de 64 Go chez Reolink. Nous avons comme pour les modèles précédents la possibilité de stocker sur un « NVR » de la marque. Ce système est préconisé lorsque vous avez plusieurs caméras à gérer chez vous. Un petit nouveau fait cependant son apparition, il s’agit du stockage cloud. Le modèle Lumus y est éligible ce qui n’est pas le cas pour tous.

Il y a une deuxième contrainte avec le cloud, il n’est pas disponible dans tous les pays pour le moment. Le déploiement est en cours. Vous pouvez obtenir plus de détails sur le déploiement et sur la liste des appareils compatibles en allant visiter ce lien : Reolink - Cloud

À titre d’indication, voici les offres proposées. Aucune de ces offres n'est disponible en France à ce jour:

La fonction d’enregistrement sur FTP n’est pas disponible pour ce modèle.

Nous avons fait le tour des solutions de stockage passons aux derniers points, les fonctionnalités.

D. Fonctionnalités

Pour cette dernière partie, je vais dresser la liste des fonctionnalités offertes par Lumus et je détaillerai par la suite celles qui m’ont le plus marquée :

• Accès au flux en direct et visionner les enregistrements
• Gestion de la qualité pour visualiser le flux en direct
• Créer des enregistrements vidéo ou prendre des captures directement à partir du live
• Entendre les bruits captés par la caméra et parler à travers un haut-parleur (audio bidirectionnel)
• Projecteur pour filmer en couleurs la nuit
• Alarme personnalisable
• Mode immersion pour afficher l'image en plein écran
• Mode picture-in-picture afin de continuer à utiliser votre smartphone tout en ayant une vignette qui affiche le flux de la caméra
• Notification sur le smartphone ou par e-mail lorsqu'un mouvement est détecté
• Rotation de l'image
• Gestion des comptes utilisateurs, des comptes "admin" ou alors simple utilisateur
• Création de zones de détection et filtre de confidentialité
• Gestion d'un planning pour activer/désactiver la détection et les enregistrements
• Gestion de la sensibilité
• Masquer une partie de l'écran (masque de confidentialité)

Les fonctions mises en avant pour cette caméra sont le projecteur et la sirène qui se déclenche en cas de mouvement ou manuellement. Nous avons déjà discuté du projecteur précédemment. La sirène est une option intéressante, car elle va vous permettre de surprendre la personne qui passera devant votre caméra. Sa puissance est limitée, vous ne réveillerez pas tous le quartier, mais elle est tout de même efficace. Vous pouvez la personnalisé, mais étant donnée la qualité du haut-parleur vous avez de grandes chances que votre message soit incompréhensible .

Note : pour ce modèle pas de Time Laps disponible.

Voici quelques captures d'écran de l'application montrant certaines fonctionnalités:

IV. Conclusion

Ce nouveau modèle de Reolink est intéressant, car il offre la possibilité de filmer de nuit en couleur et de faire sonner une alarme si un mouvement est détecté. La connexion Wifi permet une installation plus simple, car nécessite seulement un câble d'alimentation qui est fourni. Je trouve ce type d'installation plus simple à mettre en place que les caméras PoE qui nécessite un équipement spécifique. Néanmoins, on peut regretter qu'elle n'intègre pas une batterie, ce qui en ferait une caméra intégralement sans-fil.

Je trouve dommage que la qualité du haut-parleur ne soit pas au rendez-vous, mais bon personne n'est parfait . Concernant le tarif, notre ami Reolink Lumus est disponible pour 59,99€ sur Amazon.

Xiaomi affole les compteurs lorsqu'il s'agit de recharger un smartphone le plus rapidement possible, que ce soit avec la recharge avec fil ou sans-fil.

Sur Twitter, Xiaomi fait le show avec son nouveau système baptisé HyperCharge qui embarque de nouvelles technologies de charge. La publication est accompagnée d'une vidéo qui montre l'HyperCharge en action, qui pour le coup porte bien son nom. Xiaomi est parvenu à recharger à 100% la batterie d'un Xiaomi Mi 11 Pro en seulement 8 minutes. Pour la recharge sans-fil, ce n'est pas beaucoup plus long puisqu'il faut seulement 15 minutes. La batterie du smartphone pris pour cobaye fait 4 000 mAh.

La recharge filaire est réalisée avec une puissance de 200 Watts tandis que la recharge sans-fil est réalisée avec une puissance de 120 Watts. Ces performances sont toujours intéressantes et impressionnantes, mais on ne parle jamais de l'impact d'une telle puissance sur la batterie en elle-même. Pas sûr que ce soit bon.

Aujourd'hui, la problématique ce n'est pas forcément la vitesse de charge, car on arrive à atteindre de belles performances avec les meilleurs smartphones actuels. Faire encore mieux et atteindre 8 minutes, c'est bien dans les situations d'urgence, car si on est à la maison ou au bureau, que la charge dure 8 minutes ou 30 minutes, ça ne change pas grand-chose à mon sens. La problématique c'est plus sur l'autonomie des batteries en elle-même : quand on tient deux jours sans recharger son smartphone, c'est déjà très bien... Et sur le long terme, quand l'appareil vieillit, je crois qu'il faut oublier ou alors il faut désactiver tous les services connectés (WiFi, données mobiles, GPS, etc.) .

Pour finir sur une note positive, je vous laisse en compagnie du Tweet et de la vidéo de Xiaomi :

Charge up to 100% in just 8 minutes using wired charging and 15 minutes wirelessly! #XiaomiHyperCharge

Too good to be true? Check out the timer yourself! #InnovationForEveryone pic.twitter.com/muBTPkRchl

— Xiaomi (@Xiaomi) May 31, 2021

<script async src="https://platform.twitter.com/widgets.js" charset="utf-8">

I. Présentation

Aujourd'hui, les API pullulent littéralement sur Internet. Vous en utilisez même parfois sans vous en rendre compte. Les applications web modernes sont découpées en microservices autonomes, plus simples à développer et maintenir. Et devinez comment ces microservices dialoguent entre eux ?

Bingo ! Via les API.

C'est d'ailleurs ce qui permet à des outils tels que Zapier ou Integromat de coupler des applications entre elles.

Dans cet article, nous allons nous concentrer sur une API simple, afin de voir comment manipuler les appels aux API, et la gestion des données en retour en PowerShell.

Et pour ça, j'ai sélectionné l'API du site motdepasse.xyz, qui vous permet de générer des mots de passe en blocs, selon vos critères de complexité. Prêt à manipuler une API avec PowerShell ? Alors allons-y...

II. Prérequis

Pour suivre cet article, vous pourrez aussi bien utiliser PowerShell 5.1 (Windows PowerShell, également appelée version Desktop), ou alors PowerShell version 7 (également appelé PowerShell Core).

III. Comment fonctionne l'API de motdepasse.xyz ?

L'API de motdepasse.xyz accepte un certain nombre de paramètres dans l'URI à envoyer, que voici :

Je vous laisse consulter la documentation de l'API pour savoir à quoi correspondent plus en détail ces paramètres.

Concrètement, on appelle l'API via l'URL suivante :

https://api.motdepasse.xyz/create/?

On passe ensuite après le ? les paramètres choisis, ce qui peut par exemple donner :

https://api.motdepasse.xyz/create/?include_lowercase&password_length=12&quantity=1

IV. Appeler l'API en PowerShell

Comme on vient de le voir, pour dialoguer avec une API, il est nécessaire de passer un certain nombre de paramètres dans l'URL envoyée au serveur web.

Pour cela, on utilise en PowerShell Invoke-RestMethod, qui est un équivalent de Curl sous Linux.

Comme il n'y a rien de mieux qu'une démonstration par l'exemple, on va contacter l'API de motdepasse.xyz pour lui demander :

• De générer 1 mot de passe de 12 caractères, uniquement avec des minuscules
• De générer 3 mots de passe de 12 caractères chacun, contenant minuscules et chiffres

Invoke-RestMethod -Uri "https://api.motdepasse.xyz/create/?include_lowercase&password_length=12&quantity=1"

Invoke-RestMethod -Uri "https://api.motdepasse.xyz/create/?include_lowercase&include_digits&password_length=12&quantity=3"

Le serveur web nous renvoie les informations demandées au format JSON. Heureusement pour nous, PowerShell est suffisamment intelligent pour transformer cette réponse en objet, facilement manipulable.

On peut voir sur la capture d'écran que l'API nous renvoie :

• Les mots de passe générés sous forme de tableau
• La date et l'heure à laquelle la réponse est envoyée
• La version actuelle de l'API
• La dernière date de modification de cette API

Afin d'exploiter plus facilement les données envoyées, on va stocker le retour de l'API dans une variable, puis on va afficher uniquement le contenu de la propriété passwords de cette variable :

$var = Invoke-RestMethod -Uri "https://api.motdepasse.xyz/create/?include_lowercase&password_length=12&quantity=2"

$var.passwords

Note : Vous pouvez bien sûr naviguer dans les différents mots de passe générés comme dans un tableau classique PowerShell. Le premier mot de passe est accessible via $var.passwords[0], le second via $var.passwords[1], etc...

A ce stade, vous êtes déjà en capacité de générer vous-même et à la demande de nouveaux mots de passe utilisateurs. Mais en fonction des besoins (caractères spéciaux ou non, chiffres, majuscules, etc) vous êtes obligés de modifier manuellement l'URL avant d'envoyer votre appel API.

Pas terrible pour intégrer ça tel quel dans un script. Non ?

V. Fonction PowerShell avancée

Je ne sais pas vous, mais moi j'adore automatiser tout ce qu'il est possible d'automatiser. Et dans notre cas, j'ai cherché à voir comment automatiser la génération de l'URL envoyée à l'API en fonction des besoins.

J'ai codé une fonction qui permet de faire tout ça : vous lui passez en paramètre ce que vous attendez, l'URL est générée, l'API est contactée, et PAF! ça fait des chocapics.

Voyez plutôt :

On va détailler tout ça ensemble, et comme d'habitude vous pourrez retrouver ce script sur mon espace Github.

A. Déclaration de la fonction

Premièrement, on déclare la fonction, comme d'habitude en respectant les verbes autorisés officiellement pour nommer la fonction.

On déclare également 5 paramètres, qui vous permettront en fonction de ce que vous choisissez de personnaliser l'appel à l'API :

• Length : la taille du mot de passe. C'est obligatoire. Sinon comment l'API pourrait vous générer un mot de passe ?
• Quantity : Si vous ne précisez pas de quantité, la fonction demandera à l'API de générer un seul et unique mot de passe.
• Digits, Uppercase, et SpecialCharacters sont déclarés comme des switchs et ne sont pas obligatoires. Par défaut donc, le mot de passe généré contiendra uniquement des minuscules.

Note : un paramètre de type switch fonctionne presque comme un booléen. Vous appelez la fonction avec -Digits, le switch a donc la valeur $true, et mon code derrière en tiendra compte. Vous ne mettez pas le paramètre, cela sera considéré comme un $false.

Pour le moment, voici notre fonction :

Function Invoke-ApiMotdepassexyz {
    [CmdletBinding()]
    Param (
        [Parameter(Mandatory=$true)][int]$Length,
        [Parameter(Mandatory=$false)][int]$Quantity=1,
        [Parameter(Mandatory=$false)][switch]$Digits,
        [Parameter(Mandatory=$false)][switch]$Uppercase,
        [Parameter(Mandatory=$false)][switch]$SpecialCharacters
    )

Begin {
        #Building Uri
        if (!(($Length -ge 4) -and ($Length -le 512))) {
            Write-Error "Password length should be between 4 and 512 characters"
            break
        }
        if (!(($Quantity -ge 1) -and ($Quantity -le 30))) {
            Write-Error "Quantity should be between 1 and 30 passwords to generate."
            break
        }
        $Uri = "https://api.motdepasse.xyz/create/?include_lowercase&password_length=$Length&quantity=$Quantity"
            if ($Digits) {
                $Uri += "&include_digits"
            }
            if ($Uppercase) {
                $Uri += "&include_uppercase"
            }
            if ($SpecialCharacters) {
                $Uri += "&include_special_characters"
            }
        $Passwords = @()
    }

Pour générer un mot de passe de 12 caractères, comprenant minuscules, chiffres et caractères spéciaux, cela nous donnera donc l'URI suivante: https://api.motdepasse.xyz/create/?include_lowercase&password_length=12&quantity=1&include_special_characters&include_digits

C. Appel API + Récupération du résultat

Dans le bloc Process{}, on appelle notre API en lui envoyant l'URI précédemment construite, et on catche toute exception qui pourrait se passer afin de la logguer dans la console PowerShell.

Enfin, dans le bloc End{}, on ne garde que les mots de passe générés, que l'on insère dans un tableau, avant de le renvoyer pour qu'il puisse être utilisé ultérieurement dans un script.

Process {
        Try {
            $ApiResult = Invoke-RestMethod -Uri $Uri
        }
        Catch {
            Write-Outut $_.Exception
            Break
        }
    }
    End {
        For($i=0;$i -lt $Length;$i++) {
            $Passwords += $ApiResult.passwords[$i]
        }
        Return $Passwords
    }

D. Fonction complète

Il ne vous reste plus qu'à appeler la fonction dans un script, par exemple de la manière suivante :

$array= Invoke-ApiMotdepassexyz -Length 15 -Quantity 5 -Digits -SpecialCharacters -Uppercase

Vous demandez donc à générer 5 mots de passe de 15 caractères chacun, contenant minuscules, majuscules, chiffres et caractères spéciaux.

Ces mots de passe sont générés puis stockés dans un tableau nommé $array, que vous pourrez réutiliser à votre guise.

Voici la fonction complète :

Function Invoke-ApiMotdepassexyz {
    [CmdletBinding()]
    Param (
        [Parameter(Mandatory=$true)][int]$Length,
        [Parameter(Mandatory=$false)][int]$Quantity=1,
        [Parameter(Mandatory=$false)][switch]$Digits,
        [Parameter(Mandatory=$false)][switch]$Uppercase,
        [Parameter(Mandatory=$false)][switch]$SpecialCharacters
    )
    Begin {
        #Building Uri
        if (!(($Length -ge 4) -and ($Length -le 512))) {
            Write-Error "Password length should be between 4 and 512 characters"
            break
        }
        if (!(($Quantity -ge 1) -and ($Quantity -le 30))) {
            Write-Error "Quantity should be between 1 and 30 passwords to generate."
            break
        }
        $Uri = "https://api.motdepasse.xyz/create/?include_lowercase&password_length=$Length&quantity=$Quantity"
            if ($Digits) {
                $Uri += "&include_digits"
            }
            if ($Uppercase) {
                $Uri += "&include_uppercase"
            }
            if ($SpecialCharacters) {
                $Uri += "&include_special_characters"
            }
        $Passwords = @()
    }
    Process {
        Try {
            $ApiResult = Invoke-RestMethod -Uri $Uri
        }
        Catch {
            Write-Outut $_.Exception
            Break
        }
    }
    End {
        For($i=0;$i -lt $Length;$i++) {
            $Passwords += $ApiResult.passwords[$i]
        }
        Return $Passwords
    }
}

VI. Conclusion

Vous savez maintenant manipuler des APIs simples via PowerShell, et en prime vous avez découvert comment générer de manière automatique de nouveaux mots de passe pour vos utilisateurs.

Elle n’est pas belle la vie ?

Si vous souhaitez générer des mots de passe complexes en PowerShell sans utiliser un API, lisez cet article : comment générer des mots de passe avec PowerShell ?

I. Présentation

Dans le dernier bulletin d'actualité du CERT-FR, l'ANSSI fait un retour d'expérience sur les campagnes de signalement de vulnérabilités qu'elle mène auprès d'organisations privées ou publiques en France.

En effet, depuis qu'un texte de loi a été publié en 2018, l'ANSSI assure un service de veille active des vulnérabilités critiques. Ainsi, l'Agence effectue des scans automatisés envers des organisations françaises de tout type et peut également servir de relais entre un chercheur indépendant ayant trouvé une vulnérabilité et une organisation.

Par exemple, lors de la parution d'une nouvelle vulnérabilité critique, telle que la CVE-2019-19781 ayant impactées les services Citrix en 2019, l'ANSSI a effectué des scans réseau sur l'Internet français. Ceux-ci sont lancés sur un ensemble d'adresse IP relatives à des organisations françaises et l'ANSSI peut alerter les propriétaires des services vulnérables relevés. Pour cette vulnérabilité spécifique, par exemple, l'ANSSI fournis les chiffres suivants :

Le 3 janvier 2020, l’ANSSI avait pu identifier 870 adresses IP vulnérables à la CVE-2019-19781 affectant certains produits Citrix. En janvier 2021, 134 adresses IP étaient encore vulnérables à la CVE-2019-19781. En 2020, l’ANSSI a pu constater 15 incidents de sécurité affectant des entités publiques et privées importantes dont l’origine était attribuée à la vulnérabilité CVE-2019-19781.

II. Faciliter le contact avec l'ANSSI/les chercheurs

Il arrive cependant à l'ANSSI ou aux chercheurs indépendants que le contact avec le propriétaire d'un actif vulnérable soit difficile à établir. Ainsi, l'ANSSI dans son RETEX fournis quelques conseils afin d'être facilement joignable :

A. Informations WHOIS

Les informations d’enregistrement des noms de domaine doivent être maintenues à jour auprès du registraire.

L'une des première source d'information est en effet la base WHOIS, qui contient l'identité et les contacts des propriétaires d'un nom de domaine. La base WHOIS est consultable via la commande Linux WHOIS ou via de nombreux sites web (https://viewdns.info/whois/). Aujourd'hui, les hébergeurs proposent par défaut l'anonymisation des informations présentées dans l'enregistrement WHOIS, cela à des fins de protection de la vie privée. Si l'option est intéressante pour les personnes physiques, elle ne doit pas être utilisée par les entreprises. Dans d'autres cas, les informations présentes dans cette base sont obsolètes, par exemple : la personne ayant souscrit au nom de domaine n'est plus dans l'entreprise.

Voici en exemple le contenu d'un enregistrement WHOIS correctement rempli : 

Il est donc conseillé de faire régulièrement (disons une fois par an) le tour de l'ensemble des informations WHOIS des noms de domaine appartenant à l'entreprise afin d'être certains que ces informations sont toujours valides.

B. Informations des certificats SSL

Les certificats x509 utilisés doivent mentionner les bonnes informations concernant le propriétaire (il est déconseillé d’utiliser des certificats auto-signés tout comme les certificats proposés par défaut lors de l’installation du logiciel ou du matériel).

Les informations contenues dans les certificats publics sont également utilisables pour identifier le propriétaire d'un actif. Voici un exemple avec le site whatsapp.net, dont le propriétaire est l'entreprise Facebook :

Là encore, ces informations peuvent s'avérer fausses ou obsolètes. Pour une entreprise, il est conseillé de mettre des informations à jour et correspondant à la réalité, rien ne sert de mettre une fausse organisation ou adresse, etc. Un attaquant saura multiplier les sources pour trouver des informations valides.

C. Consultation des communications

Les adresses de contact doivent être consultées régulièrement par leurs propriétaires.

De toute évidence, ces adresses mails seront publiques et donc utilisées pour du spam ou des annonces commerciales. Néanmoins, il reste important de ne pas indiquer des adresses mails "poubelles" car leur publication garde un intérêt certains : être averti et contacté facilement en cas de découverte d'une vulnérabilité (entre autre).

D. Choix des contacts indiqués

Le destinataire doit être à même de juger de l’importance de la communication.

Autrement dit, l'adresse mail, postale ou le numéro du contact indiqué dans ces différentes sources doit avoir compétence à évaluer une alerte de sécurité. Si vous indiquez l'adresse mail du PDG de la boite, il n'aura peut être pas le temps ou le savoir nécessaire pour apprécier une telle alerte. Il est préférable d'indiquer le contact du/de la DSI, RSSI ou même une mailing-list regroupant plusieurs personnes compétentes, le SOC/CERT si vous en avez un, reste la meilleur option.

Enfin, je rajoute à ces différentes propositions l'utilisation du fichier /.well-known/security.txt, il s'agit d'un standard proposé par différents chercheurs en sécurité permettant de trouver facilement les bons contacts pour un signalement de vulnérabilité. Son fonctionnement est à l'image du fichier robots.txt pour les crawlers automatisés (Bing, Google, etc.). Un générateur automatique du fichier est même proposé : https://securitytxt.org/

Voici un exemple :

Enfin, l'ANSSI dans son RETEX nous parle également de la prise en compte du signalement, le fameux "on fait quoi maintenant ?". C'est là que les procédures internes de l'entreprise doivent être utilisés, notamment concernant la gestion des alertes et des incidents, ce qui implique qu'elles soit définies à l'avance et non pas improvisées lorsqu'un signalement arrive :). Dans le cas où vous passez totalement ou partiellement par un infogérant, il faut espérer que des clauses particulières concernant la sécurité soient présentes dans votre contrat. Si ce n'est pas le cas, je vous oriente vers ce guide : Maîtriser les risques de l'infogérance 

III. Signaler une vulnérabilité

Si vous êtes un chercheur en sécurité ayant découvert une vulnérabilité, je vous conseille d'essayer de faire correspondre votre situation à l'un de ces deux cas de figure :

• Si votre cible possède un fichier security.txt, une page de type hall of fame (https://unite.un.org/content/hall-fame) ou même un programme de bug bounty, utilisez ces moyens pour remonter des vulnérabilités en vous assurant de respecter les conditions indiquées (le fameux scope) et montrez dans vos interactions comme dans vos tests que vos intentions sont bienveillantes (pas besoin de dumper la base utilisateur, montrer que c'est possible suffit).
• Si ce n'est pas le cas, et que vous avez affaire à une entité française, passez par l'ANSSI, qui peut jouer le rôle d'intermédiaire tout en protégeant votre identité. Les modalités de signalement auprès de l'ANSSI sont décrites sur cette page : Alertes aux vulnérabilités et failles de sécurité . Dans ce cas précis, vous êtes protégés par la loi :

Attention, l'ANSSI ne sera surement intéressée que par des vulnérabilités conséquentes sur des entités importantes, pas la peine de leur signaler une XSS sur un blog de jardinage

Si vous ne rentrez dans aucun de ces cas de figure, mon avis est généralement de ne pas remonter de vulnérabilités, notamment lorsque l'on s'attaque à des environnement de production, en opposition à des applications que l'on peut installer en local comme un Owncloud, un Firefox, ou autre. Il m'est arrivé de croiser des chercheurs pour lesquels la poursuite pénale n'était pas loin, aussi louables étaient leurs intentions, certaines entreprises ont une philosophie encore très vintage. A vos risques et périls donc.

Dernier bulletin du CERT-FR : Retour d’expérience sur les campagnes de signalement de vulnérabilités

Suite à la publication de notre cours sur l'administration de l'Active Directory avec PowerShell, nous vous proposons une version au format livre numérique de ce cours.

Comme pour les autres cours, celui-ci est totalement gratuit et accessible sans inscription. Vous verrez qu'il est très complet et détaillé... Même si je dois avouer que je pense déjà une deuxième version pour l'améliorer encore. Même s'il est accessible sans inscription, si vous souhaitez suivre ce cours et votre progression, il est recommandé de créer un compte sur le site pour valider les chapitres au fur et à mesure.

Pourquoi proposer une version payante sous forme d'un livre numérique ?

Voilà une question que vous devez vous poser et à laquelle je vais répondre. En fait, de nombreux lecteurs ont fait la demande de pouvoir télécharger les cours au format PDF. C'est ce qui a déclenché la phase de réflexion... Et donc, cette version payante c'est une façon de vous permettre de récupérer ce cours au format PDF (+ EPUB et MOBI). Cette version est consultable en mode hors ligne, depuis votre PC, votre smartphone, votre tablette ou votre liseuse : plutôt cool .

Pour aller un peu plus loin, nous avons pris la décision d'intégrer des détails techniques supplémentaires à cette version payante. En complément, on va dire qu'elle se veut plus "clé en main" : là où le cours renvoie vers des articles existants, la version payante quant à elle intègre le contenu directement.

Au final, j'ai envie de vous dire : en achetant ce livre numérique, vous soutenez IT-Connect !

En tout cas, personnellement je suis vraiment très content et satisfait de vous proposer un nouveau cours !

Vous pouvez vous procurer cet eBook sur plusieurs boutiques différentes. Nous vous recommandons de l'acheter chez Librino, notre partenaire pour l'auto-édition, ce qui vous permettra de le télécharger en 3 formats différents (PDF, EPUB et MOBI). Sinon, il est disponible sur d'autres boutiques : Cultura, Fnac, Google Play, etc.

Voici les liens :

• Librinova
• Fnac
• Cultura
• Google Play
• U-Culture
• Rakuten Kobo

N'hésitez pas à nous donner votre avis sur cette nouveauté et sur ce cours ! - Que ce soit en lisant la version en ligne ou la version sous forme d'eBook, nous vous souhaitons une agréable lecture et un bon apprentissage ! .