Je continue ma série sur la sécurisation WordPress et aujourd'hui, je vais vous parler de HTTPS.

Si votre serveur est configuré pour proposer du HTTP et du HTTPS, il est possible de forcer l'utilisation du SSL pour la page de login afin d'éviter les connexions en clair.

Cela aura pour effet de chiffrer l'ensemble des données entre votre ordinateur et le serveur et ainsi rendre plus complexes les attaques de type Man-In-The-Middle.

Pour cela, rien de plus simple, il faut éditer le fichier wp-config.php et y ajouter la ligne suivante si vous souhaitez utiliser SSL uniquement sur la page de login :

define('FORCE_SSL_LOGIN', true);

ou utiliser SSL pour l'intégralité de la section admin du site :

define('FORCE_SSL_ADMIN', true);

Vous pouvez aussi utiliser un plugin comme celui-ci, si vous n'êtes pas à l'aise avec les fichiers de conf.

Si lors de vos tests, vous constater que votre section admin part dans une espèce de boucle infinie, c'est probablement parce que vous utilisez un reverse proxy tel que nginx et que celui-ci communique avec Apache en HTTP simple. Pour régler le problème, toujours dans le fichier wp-config.php, ajoutez les lignes suivantes :

define('FORCE_SSL_ADMIN', true);

define('FORCE_SSL_LOGIN', true);

if ($_SERVER['HTTP_X_FORWARDED_PROTO'] == 'https')

       $_SERVER['HTTPS']='on';

Et côté Nginx, pensez à ajouter dans la config de ce dernier :

location / { ...
proxy_set_header X-Forwarded_Proto https;
...
}

ou proxy_set_header X-Forwarded-Proto $scheme;

Et voilà... Normalement, tout devrait rouler et votre admin devrait passer en HTTPS.

Dans la série, Sécuriser WordPress :

• L'installation
• Les utilisateurs
• Les mises à jour
• Les plugins
• Les thèmes
• Verrouiller l'éditeur de code
• Les pièges du fichier wp-config
• Cacher le numéro de version de WordPress
• Changer le nom du compte admin
• Masquer les erreurs de login
• Forcer le login en https

Cet article merveilleux et sans aucun égal intitulé : Sécuriser WordPress – Forcer le login en https ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Sur YesWeHack, on a lancé un blog, mais en attendant qu'il soit aussi lu que le mien, je vais quand même continuer de m'exprimer sur ce sujet qui m'est cher : le Bug Bounty.

Il ne vous aura pas échappé dans l'actualité récente, que l'Europe a validé un budget de 1,9 million d'euros la semaine dernière pour étendre le programme d’audit des logiciels Libres et Open Source alias EU-FOSSA. C'est cool, surtout que dans ce budget est prévue une part pour le Bug Bounty. Et ça on le doit à Marietje Schaake du groupe Alliance des démocrates et des libéraux pour l’Europe.

My proposal to fund a bug bounty program was adopted! Rewardeding researchers when spotting a software vulnerability https://t.co/0eu6qggN6o

— Marietje Schaake (@MarietjeSchaake) 1er décembre 2016

<script async src="//platform.twitter.com/widgets.js" charset="utf-8">

C'est plutôt une bonne nouvelle, car cela va soutenir le développement et aider à renforcer la sécurité des logiciels libres utilisés dans les administrations publiques.

Même si ça peut sembler étrange de dire ça, il faut voir maintenant si les plateformes européennes de Bug Bounty dont Bounty Factory seront sollicitées pour mettre la main à la pâte ou si ces budgets iront tout de go vers les plateformes américaines. Oui ça peut sembler contreproductif, mais il y a un risque évident tant les lobbys sont forts.

Moi je n'ai pas de lobbyistes au Parlement Européen donc à par compter sur vous pour faire remonter l'info le plus haut possible afin que Marietje Schaake et les gens qui travaillent sur ce dossier établissent un contact et échangent avec nous, je n'ai pas de véritable option. Ou sinon, oui je pourrais camper devant le parlement Européen et tenter de leur expliquer tout ce qui fait le charme de Bounty Factory.

Toutefois, contrairement aux autres grosses plateformes, BountyFactory.io dispose de fonctionnalités et de spécificités légales qui lui assurent une robustesse, une pertinence et une légitimité au sein du cadre Européen. Tout sur Bounty Factory est conçu et développé pour assurer à la pratique du Bug Bounty, sécurité et respect de la légalité.

C'est en effet indispensable car nous proposons du vrai Bug Bounty au sens traditionnel du terme, sur une plateforme ouverte à tous mondialement et non pas de la prestation d'audit déguisé en Bug Bounty, comme certains ont pu le penser lorsque nous avons annoncé le projet. Notre point fort, c'est notre communauté de plus de 1800 hunters qui apportent chacun leur expérience et leurs méthodes diverses et variées sur la recherche de faille.

Vous allez voir, on n'est pas des rigolos et on n'a pas fait les choses à moitié ;-) 

Tout d'abord, nos serveurs sont basés en Europe et aucune data n'est exposée à des puissances étrangères comme les US, que ce soit avec FISA, le Patriot Act, le Freedom Act... etc.

Bounty Factory travaille avec l'hébergeur OVH qui est soumis à un niveau de sécurité SOC 1 type II et SOC 2 type II.

Pour ceux qui penseraient que je parle un dialecte ancien, il s'agit tout simplement d’attestations internationales qui garantissent qu'OVH a bien mis en place des procédures et contrôles permettant d’assurer un service sécurisé et haute disponibilité.

Notre infrastructure est aussi certifiée ISO 27001, ce qui signifie qu'elle respecte la mise en place d’une organisation de la sécurité conforme aux standards.

Au-delà de ça, chaque vulnérabilité remontée, chaque rapport, chaque commentaire présent sur Bounty Factory est chiffré avant d'être stocké dans notre base de données et seuls les acteurs concernés (sociétés ou hunters) peuvent y avoir accès. Même nous en interne, nous ne pouvons y accéder sans autorisation.

Concernant la vie privée, nous sommes d'ores et déjà sujet à la Réforme Européenne de 2012 sur la Protection des Données, à laquelle tous les pays Européens devront se conformer avant le 6 mai 2018.

Sur le sujet des transactions financières, notre infrastructure respecte la norme PCI DSS (The Payment Card Industry Data Security Standard). Cela signifie que niveau paiement, on est au top aussi. Sans oublier que MangoPay (Crédit Mutuel Arkéa), notre système de paiement est 100% respectueux du cadre légal Européen. Cela signifie que les hunters inscrits sur notre plateforme respectent les lois concernant le blanchiment d'argent et le financement du terrorisme. C'est le genre de détail hyper important quand on est sur un secteur ouvert au monde comme le notre.

Mis à part ces aspects légaux, Bounty Factory dispose aussi de fonctionnalité plutôt cool telle que la signature électronique des Conditions Générales d'Utilisation de la plateforme, grâce à la société YouSign basée en France et sujette elle aussi aux lois françaises et Européennes.

Dans un objectif de souplesse et d'autonomie, les clients sont libres de créditer ou de récupérer l'argent qu'ils déposent sur leur compte pour récompenser les hunters.

Par défaut, tout programme de Bug Bounty créé sur la plateforme est privé, ce qui implique que la société cliente peut inviter les hunters qu'elle souhaite (au max 50 hunters) ou faire appel à la Team Privée YesWeHack composée de 10 hunters surentraînés.

Et une fois les hunters sélectionnés, ils peuvent alors se lancer dans la recherche de vulnérabilités en s'appuyant et respectant le périmètre défini par la société. Dans son compte, la société peut alors voir le nombre de bugs remontés, et chacun de ces bugs est catégorisé selon la nomenclature de l'OWASP.

Il est ensuite possible pour la société d'engager un dialogue avec le hunter pour obtenir des précisions techniques et quand tout est validé, le hunter peut-être rémunéré et gagner des points qui le feront monter dans le classement. Ce principe de gamification permet de donner des points bonus aux hunters qui prennent le temps de faire bien les choses en rédigeant des rapports de qualités ou en codant des petits proof of concept.

Et dès que la société est assez mûre pour ouvrir son périmètre, elle peut le passer en public d'un simple clic. Evidemment, nous validons ensuite ce passage pour éviter toute fausse manip.

Enfin, pour les sociétés qui n'ont pas le temps ou les ressources pour gérer ce genre de programme, nous avons aussi mis au point le "Program Manager", qui pour faire simple permet de sous-traiter à nos équipes, la gestion et l'animation du programme de Bug Bounty.

Je suis très fier de ce qu'on a accompli avec l'équipe cette année. La plateforme fonctionne très bien, nous avons déjà pas mal de fonctionnalités et d'autres vont arriver prochainement. Et surtout nous avons construit une base solide en termes de sécurité et de respect de la législation Européenne qui va permettre aux sociétés de compléter efficacement leur arsenal de défense, et à tous de pratiquer le Bug Bounty en respectant les Arrangements de Wassenaar sur les exportations de technologies à doubles usages. Sur ce point précis, je pense que je referai un article plus tard.

Concernant nos clients, pour le moment, je ne peux que vous citer que OVH et Qwant qui nous ont fait confiance dès le début (merci !). Les autres sont au nombre de 14 et sont pour le moment en programme privé, donc je ne peux vous communiquer leur nom, mais sachez que c'est du très lourd aussi ;-)

Je sais que certaines sociétés s'interrogent sur l'utilité de lancer leur programme de Bug Bounty ou se demandent si c'est vraiment sans risque. C'est normal car c'est une discipline encore un peu jeune de ce côté-ci de l'Atlantique, mais si vous êtes curieux, je vous invite à vous rapprocher de moi ou des équipes de Yes We Hack pour poser toutes vos questions. On sera ravi de lever le moindre de vos doutes.

Pour conclure, je suis content de vous annoncer que YesWeHack vient d'être récompensé comme Coup de Coeur du Jury dans le cadre du Prix de la PME innovante organisée par le FIC 2017. Il y avait du beau monde dans ce jury...

Composition du jury du Prix de la PME innovante 2017 :

• François Lavaste, Président CyberSecurity, Airbus Defence and Space
• Alain Bouillé, RSSI, Caisse des Dépôts et Président du CESIN (Club des experts de la sécurité de l’information et du numérique)
• Gilles Daguet, General Partner, ACE Management
• Thierry Delville, Inspecteur général de la Police nationale, Délégation ministérielle aux industries de sécurité
• Laurent Dumas Crouzillac, Associé, CapHorn Invest
• Thomas Fillaud, Chef de bureau, Politique industrielle et Assistance (PSS), ANSSI
• Philippe Gaillard, Associé, CyberD Capital
• Joseph Graceffa, R&D-SSI, CLUSIR Nord de France
• Jacques Hébrard, Commandant, Région gendarmerie Hauts de France
• Geoffroy Hermann, Chef du bureau Réseaux & Sécurité, DGE
• Jacques-Benoît Le Bris, DSI, Solvay
• Olivier Ligneul, RSSI, Groupe EDF
• Thierry Olivier, RSSI, Société Générale
• Frédéric Valette, Responsable du pôle SSI, Direction générale de l’armement, Ministère de la Défense
• Yves Veret, Senior Advisor Sécurité Numérique & Technologie de l’information CALAO Finance

...et c'est un grand honneur ainsi qu'une reconnaissance forte de notre travail et ça confirme que nos services répondent aux problématiques d’aujourd’hui : Le recrutement avec YesWeHack Jobs et le besoin de sécurité agile avec Bounty Factory.

Enfin, pour ceux qui voudront me rencontrer, je serai au NetSecureDay à Rouen le 15 Décembre 2016, au CES à Las Vegas du 4 au 9 Janvier 2017 et au FIC les 24 et 25 Janvier 2017.

Cet article merveilleux et sans aucun égal intitulé : Bounty Factory – 1 an après le lancement, on fait le point ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Facebook n'est pas uniquement chronophage ou un puits sans fond où les gens balancent leurs données personnelles. Non, c'est aussi un formidable vecteur d'attaques de phishing.

Comme Facebook ne contrôle pas les posts sponsorisés qu'il affiche dans les timelines de ses internautes, il est très facile pour un escroc de payer quelques euros pour pousser sa campagne de phishing.

Par exemple, aujourd'hui, moi j'avais ça :

A première vue, un article poussé en avant qui propose un article sur Gentside.com parlant de l'iPhone 7. Je vois bien que c'est un post sponso, mais ça ne me gène pas, et je clique.

Comme j'ouvre tout le temps des tas d'onglets avant d'aller lire chaque article, quand je tombe sur celui-ci, j'ai déjà oublié que j'avais cliqué sur une pub Facebook. Ca pouvait venir de Twitter, de Facebook, de Feedly, peu importe.

Et paf, je me retrouve sur un article du Monde, titré : Comment les Français obtiennent le tout nouveau iPhone 7 pour seulement 1€.

Je lis l'article en diagonale, ça pue l'arnaque à plein nez. Pourtant, c'est juste un article éditorial et pas un machin qui clignote dans tous les sens avec des boutons "Télécharger JeSaisPasQuoi" partout.

En gros, ça dit que Apple lance une campagne de comm en France pour faire remonter les ventes de son iPhone et qu'avec un site partenaire, ils proposent des iPhone 7 pour 2 euros.

Ah ah ah... C'est tentant, surtout que l'article se conclue avec une mise à jour "d'aujourd'hui", expliquant que la promo prend fin dans quelques heures et les (faux) commentaires des gens en dessous sont très convaincants.

C'est bien écrit, et ça ressemble vraiment à un article comme on en voit tous les jours, avec son lot de gens qui débattent du contenu. Seulement, les plus affutés d'entre vous n'auront pas manqué de voir l'URL chelou dans une de mes captures écran, pointant vers un domaine en .top.

Hmmm en fait on n'est pas vraiment sur le site du monde. Bon, pas grave, la promo iPhone a l'air cool, je clique sur le lien chelou et là, PAF, je tombe la première fois sur GoldFish, un site qui semble légitime et qui en réalité permet de créer des concours en ligne. Sauf que les escrocs l'ont détourné pour en faire un formulaire qui va même jusqu'à demander les infos CB du pigeon.

Et en y retournant un peu plus tard, je tombe sur une page hébergée chez Quizonaut qui fait aussi des concours...

Malin les mecs, surtout que si on poursuit le processus, on tombe sur une véritable page de paiement pour régler 1 euros.

Se faire voler 1€, ça va vous allez vous en remettre... Oui, mais non, car quand on regarde les petites lignes, il s'agit en réalité d'un abonnement en mode période d'essai et le mois d'après, vous serez automatiquement prélevé de 49 € tous les mois...

Alors à qui la faute ? Et bien d'abord à Facebook bien sûr qui nous propose à 99% de la merde en contenu sponsorisé, alors qu'il y aurait tellement de contenus sponsos intéressants pour l'internaute à mettre en avant. Faut pas venir se plaindre de la montée des Adblocks avec ce genre de pubs dangereuses.

Ensuite, la faute à ces 2 sites de concours qui n'ont pas pris le temps de réfléchir à un contrôle ou une modération pour empêcher ce genre de détournement de leur service et qui en plus permettent ce genre d'abonnement caché très discutable éthiquement. J'ai d'ailleurs du mal à imaginer comment les responsables de ces sites ne pourraient pas être pleinement conscients de l'utilisation qui est faite de leur service. J'imagine que l'argent rend aveugle. Ce serait intéressant que la DGCCRF ou la CNIL enquête sur ces 2 là.

Enfin, la faute à l'internaute qui ne sera pas assez vigilant et bien sûr beaucoup trop crédule. Bref, c'est pas encore gagné et si j'ai pris le temps d'écrire cet article, c'est pour que vous passiez le mot, afin que les moins informés ne se fassent pas avoir.

Ce genre de piège peut vite se refermer sur la victime avec l'utilisation de leur identité et de l'argent volé.

Espérons que Facebook qui est à la source de la diffusion de cette arnaque réagisse vite et prennent des mesures pour que cela ne se reproduise pas.

Cet article merveilleux et sans aucun égal intitulé : Grosse escroquerie diffusée via Facebook avec la complicité de sites de concours ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Vous avez le joystick qui vous démange, vous vous demandez quoi acheter pour créer un set up de streamer ou tout simplement, vous cherchez un bon matos sans prise de tête pour oublier la journée de boulot et bien voici un guide spécialement pensé pour répondre à vos auguste besoins ;)

Petit tour d'horizon de nos produits favoris:

NVidia Shield TV 500Go

Une console, mais aussi un media center sous Android TV ! Parfait pour satisfaire ses envies de gaming dans le salon.

A découvrir ici

Amazon Fire 7 pouces

Avec son prix on peut penser que les performances ne seraient pas au rendez-vous, et pourtant les jeux 3D ne lui font pas peur !

A découvrir ici

AUKEY Batterie 20 000 mAh

La batterie est l’ennemie première du gamer mobile. Alors pour régler ce souci, cette batterie est parfaite.

A découvrir ici

Manette Elite Microsoft

Pour certains, c’est LA manette, et pour nous c’est simplement l’accessoire indispensable pour vos jeux à la manette sur Xbox One et PC.

A découvrir ici

Micro AT2020+ USB

Si l’image est importante, le son l’est encore plus ! Ce micro cardioïde fonctionnant en USB vous permettra de capter parfaitement votre voix et minimisera les sons autour de vous

A découvrir ici

Voilà, je vous laisse avec le reste de notre sélection et j'espère que ça vous plaira.

Cet article merveilleux et sans aucun égal intitulé : Le Guide des Gamers ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

En général quand on perd de la donnée sur un disque ou une carte SD, il y a toujours un soft comme Recuva, TestDisk ou SafeCopy pour nous aider à récupérer des trucs.

Mais quand le cas est vraiment désespéré, en particulier avec une carte micro SD, il est possible avec un peu de doigté d'aller directement se brancher sur sa mémoire NAND, contournant ainsi de potentiels éléments défaillants.

La première étape consiste donc à exposer la mémoire à l'aide de papier de verre et d'eau, puis à établir les points de connexion sur la mémoire, en suivant le schéma du constructeur (ce qui n'est pas toujours simple à trouver, ça dépend des marques).

Erkin de HDD Recovery Services a réalisé une vidéo assez impressionnante à ce sujet car ça demande quand même de la patience et un peu de maitrise.

Cet article merveilleux et sans aucun égal intitulé : Récupération de données sur une carte micro SD quand plus rien d’autre n’a fonctionné ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.