Vos recherches
- DRAFT : mug tigre
- la Reine des Neiges
- DRAFT : Laminox France Revendeur installateur poêles et chaudières pellet
- DRAFT : les aristochats
- DRAFT : one piece wanted
- DRAFT : En malheureux, il a traversé l’étendue de l’existence. Il n’a échappé ni aux tourments de la vie ni à la torpeur mortelle de son destin. Et, comme celui qui n’a rien compris, il implore en vain, à l’approche de la fin, celui qui pourra apaiser la tempête dans son âme !
- DRAFT : Quand dans le vide de l’âme tant de raisons de ne pas vivre, la pensée nous saisit avec force et nous pousse à avoir recours à quelque chose d’étrange qui pourvoit néanmoins ses délices au-delà de la vie.
- DRAFT : Les attaques externes sont basées sur 3 vecteurs principales d’intrusion : • Phising • Des vulnérabilités exposées qui vont être un scan de tout internet dans le but de trouver des choses vulnérable dans tout internet • Des adresses mail qui ont fuités et qui servent à se connecter à un VPN et ensuite rebondir a long terme. Attineos cyber sécurité de l’équipe red team faisant partie de tous ce qui est intrusion en opposition avec la bleu team qui est en protection. Le projet d’attispark est entre les deux donc entre intrusion et protection, son idée étant de lancer ou tester certaines vulnérabilités sur le système d’informations externe d’une entreprise pour ensuite la personne en face puisse les corriger facilement. Chez attineos des projets du lab c’est-à-dire des projets interne innovative concu par les tineos (les ingénieurs de la societe) sont proposées et présenter au reste des enmployées dans des réunions chaque mardi entre 12h et 12h15 dans le but de retenir qu’un seul a l’issue d’un vote et donc l’idée et de coloaborer pour monter le projet gagnant dans les votes pour que par la suite le proposer a des clients et le faire évoluer, l’objectif final du projet. Le nom du projet choisi est Attispark, un nom de code venant d’un historique personnel de Yoann et Julien, les réferents du projet Attispark. Le principe, c’est de pouvoir scanner le périmètre externe de l’entreprise pour faciliter la correction des vulnérabilités pour une petite equipe de personne qui gèrent le système d’info. La problématique est qu’il n’y pas beaucoup de temps pour pouvoir gérer le sécurité vu qu’il y a des vulnérabilité qui apparaissent chaque jour par exemple si on prend un produit qui permet l’exposition comme fortnet on remarque que depuis 6 mois, il y a une seule vunérabilité qui apparait toutes les semaines sur le produit. Donc ca prend beaucoup de temps, d’où l’objet c’est de faciliter au équipe IT la vision du périmètre externe et des services qui sont exposer dont l’idée est de bloquer les attaques, corriger les vulnérabilités en limitant les surfaces d’attaques. Les fonctionnalités du système vont être : • Cartographier les attaques externes : savoir ce qui expose (entrer un nom de domaine et les adresses ip de sortie de la société et donc on va scanner et cartographier le système d’information) Par exemple si on prend le domaine ‘attineos.com’ l’idée de la cartographie est de dire qu’est ce qui existe derrière ce nom de domaine, il peut avoir par exemple ‘mail.attineos.com’, ‘extranet.attineos.com’. On peut aussi avoir un serveur mail qui tourne ou un serveur web. (a partir de nom de domaine ‘attineos.com’ qu’elles sont les choses qui appartiennent à attineos et qui sont présente dans le système d’information externe). (SI interne : les pcs , les serveurs de dev) (SI externe tous ce qui va être exposer sur internet et qui appartient à attineos). • Lancer divers scans qui permettent la détection des vulnérabilités se qui permet de • contrôler l’exposition (s’il y a des chose qui ne sont plus utiliser on les supprime ou s’il y a des choses qui sont vulnérable de les mettre à jour pour enlever les vulnérabilité ou bien avoir des config mauvaise a corriger) L’idée de base pour cette première version est d’avoir quelque chose simple pour l’utilisateur (equipes IT), il vont avoir une page avec un panel ou on peut consulter les vulnérabilités détecter. Ceci est le cœur du projet. Au niveau des technologies du projet, une solution simple avec quelques vues qui vont lister les vulnérabilités , effectuer quelques actions de la part des utilisateurs ça peut être dire que la vulnérabilité accepte le risque ou bien c’est un faux positif.. Avec une base qui est open source qui sont les moteurs de scan qui vont être utiliser dans le but de pouvoir afficher les résultats. La base est projectDiscovery, une organisation qui propose différents projets open source dont le projet principal est nuclei qui est en fait un scanner de vulnérabilité qui embarque plusieurs templates et chaque template test une vulnérabilité. Ce projet est utilisé aussi dans le pôle cyber sécurité d’attineos pour les tests d’intrusion. Vu qu’en offensif cet outil permet de détecter les failles très récentes la ou il ya beaucoup d’outils orienté deffensif qui viennent un peut en retard comme nessus qui coute très cher vu qu’il ont un belle interface qui sont un peu en retard. En gros, ramener les outils red team très technique dont la sortie est soit du Json, soit en terminal pour les outils qui s’execute en commande ligne et traiter ces outils et présenter une interface beaucoup plus simple et lisible coté utilisateur baser sur une base efficace. Le choix s’est portée sur nuclei parce que c’est une technologie robuste et efficace, donc on fera plutôt l’expérience utilisateur qui est autour.L’idée de la technologie rebuste est de se baser sur des technologie déjà existante, afficher ses résultats et rendre l’interface simple. Dans un première, on doit analyser et comprendre comment la technologie fonctionne. L’opportunité du projet est commerciale. Attineos cyber sécurité a des clients qui leur remunere a l’équivalent d’une journée par trimestre equivalent a 4000 euros par année pour pouvoir leur faire un rapport de vulnérabilité en utilisant des outils comme nessus. Des outils qui coutent cher par exemple nessus coute à l’environ de 3000 euros par ans. C’est pour cette raison, le projet Attispark est une solution qu’on peut proposé aux PME et TPE sous forme d’un abonnement mensuel dans le sens où ils auront cette interface ou ils auront un ticket d’entrée qui peuvent consulter de manière quotidienne pour faire les différents scan et être prévenu en amont de la vulnérabilité vu qu’actuellement le scan se fait d’une manière trimestrielle donc si une vulnérabilité sort au bout de 15 jours après le rendez-vous, le client doit attendre 2 mois et demi pour pouvoir la corriger. Du même panneau de consultation et d’affichage on peut avoir plusieurs projet s’interconnecté qui vérifie si jamais le serveur mail est bien configuré, des emails qui ont fuités,.. au-delà de la consultation des vulnérabilités. L’idée aussi du projet est de vérifier les vieux domaines par exemple : on a attineos.fr, regarder s’il n’existait pas un domaine toto.attineos.fr qui été oublier mais qui résolve toujours vers une unité. Et aussi de profiter de cet outil qui coute 2000 euros utilisé pour différents clients pour le mutualiser. Première semaine : appréhender les outils : quelles sont les entrées, les sorties, les paramètres à renseigner pour pouvoir avoir des tests sans autant d’entrer dans les détails, comment ils fonctionnent, qu’est ce qu’il produisent. Comprendre les différentes notions : domaine, sous domaine, dns. Comment on est capable d’avoir les sous domaines, à l’aide de ces sous domaine comment on est capable de trouver des services web, a l’aide des services web comment on trouve les vulnérabilités. Sur la partie technique : on a Lucas Lepère pour la partie react et maxime pour la partie Symfony et Maxence Lefèvre pour la partie UI. Sur nuclei, une ligne une vulnérabilité. Deux mailstone : • PMV /PoC : preuve de concept pour dire si ce qui est demander est possible et faisable et s’il y a un intérêt de le faire. Détection de la vulnérabilité externe Vérification de la configuration d’un domaine email Détection de sous domaine inutiles Tous rassembler dans une page ou on aura du genre : mes domaines sont les suivants
- DRAFT : mug one piece wanted
- DRAFT : lettre de motivation BTS MOS