Bonnes Adresses

Améliorer la sécurité de nos clients nécessite au préalable un échange pour saisir les ressorts de leur activité. Qu’est-ce qui a de la valeur pour eux, qu’est-ce qui est vraiment déterminant dans leurs intrants, quels impacts ils ne pourraient pas surmonter, etc. (ce qui varie substantiellement d’un secteur d’activité à l’autre).
C’est aussi souvent un moment convivial où il n’est pas rare de glaner une petite information d’initié : demander à un vigneron où il achète son vin, demander à un constructeur automobile quel est le modèle le plus fiable, demander à un styliste si Devred est de bon goût, etc.

Ces moments privilégiés sont parmi les plus plaisants de notre métier. Ils sont très enrichissants d’un point de vue humain et pour notre culture générale.
Ce que nous nous proposons de faire sur cette page, c’est de vous livrer, à notre tour, nos petits bons plans en tant que professionnels avertis de la cybersécurité. En somme, vous montrer comment les cordonniers se chaussent.

Nous appliquons les règles générales suivantes dans notre entreprise (et vous les retrouverez en filigrane dans les témoignages) :

  • Nous visons la sécurité par la minimisation (le moins d’outils possible) et la simplification (le moins d’actions possible) : KISS
  • Si c’est réputé plus sécurisé mais qu’il y a peu de recul dessus, on y va quand même ! (on est assez agile pour revenir en arrière). C’est pour ça qu’on utilise majoritairement IPv6, HTTP/2, Alpine, TLSv1.3, Rust, Caddy, …

Naturellement, cette approche, et les conseils qui en découlent, ne sont pas réutilisables par toutes les entreprises.

Vous verrez notamment plusieurs mentions de produits chinois (xiaomi, deepin, WPS). Alors oui le risque d'être espionné par ces outils n'est pas négligeable. Cependant, il est aussi haut (voir moindre) que de se faire espionner par la NSA avec un smartphone Android/iOS, un PC Dell, etc. (cf. les révélations de Snowden). Dans les deux cas, aucun n'est "vraiment" un allié de la France. Donc, au moins, quand on installe une ROM LineageOS sur du matos chinois, les backdoors logiciels ne sont pas synchronisées avec les backdoors matérielles (il faut bien rire ma bonne dame, on n'a plus que ça).

Ceci étant dit, la parole aux ingénieurs ! (et le ton qui va avec)

Quel matos

Du point de vue de la sécurité, la marque qui me plait le plus dans sa démarche c’est Purism. L’air de rien, on est dans une ère où l’on se soucie beaucoup d’utiliser des applications qui respectent notre vie privée, des systèmes d’exploitation parfois aussi (comme Tails). Mais on oublie souvent le hardware qui est un gros angle mort de la sécu. Or les backdoor matérielles ce n’est pas qu’une rumeur.
Du coup je soutiens complètement la démarche de Purism, j’ai le librem 13, c’est une bonne bête de course. Les kill switch hardware sur le micro/cam c’est le petit détail sympa. Après s’ils pouvaient intégrer un switch qui active/désactive un filtre de confidentialité (comme le HP sure view) et filer des sets de touches dans toutes les configurations de claviers, ce serait royal.

J'utilise aussi le FrameWork Laptop. Entièrement modulaire et entièrement réparable, il se veut le "dernier PC que vous achèterez". Ensuite il s'agira seulement de remplacer les pièces une par une. Il y a une version moins chère où on le reçoit en kit et on doit le monter soi même (y a 3 trucs à assembler c'est à la portée de n'importe qui). L'écran 3:4 c'est pas mal aussi pour le boulot par rapport à un 16:9. Ils ont un modèle 16 pouces en pré-commande.

Niveau smartphone, j’ai été un heureux early adopter du OnePlus One. Puis quand ils ont définitivement renoncé à faire des tailles d'écran compatibles avec mes mains de lilipucien, j’ai du me tourner vers des marques destinées à un public aussi petit que moi.
J’ai utilisé le Mi5S de Xiaomi pendant un long moment. C'était un excellent smartphone (très probablement le meilleur rapport qualité prix de son époque) et avec une dimension vivable, des photos superbes, un beau design, etc.
J’ai opté pour l’Essential Phone, l’essai du co-créateur d’android. Belle expérience, j’aime beaucoup la connectique magnétique. Déçu par le module photo après celui du Mi5S, mais c’est le seul point noir. Je ne l’ai acheté que lorsqu’il a été bradé à la suite de son échec commercial (donc a 400$ au lieu de 700$) et j'étais réticent car ça faisait longtemps que mon budget smartphone n’avait pas dépassé les 350€.
Depuis quelques années je me calme sur le renouvellement des smartphones. Pour des raisons de sobriété et surtout parce qu'il n’y a plus d’innovation notable sur ce marché depuis pas mal de temps. Ce qui rend notamment des alternatives comme Fairphone de plus en plus envisageables.

Globalement le choix des smartphone est essentiellement personnel, il ne sert pratiquement pas pour les données professionnelles (nos boites de messagerie n'abritent aucun document sensible et ne permettent pas de réinitialiser les mots de passe d'applications sensibles).
S’il fallait partir vers un smartphone avec de vraies exigences de sécurité, je choisirais le PinePhone qui a des killswitch physiques et permet de faire tourner du linux.

Quel Setup pour un serveur

Quand le premier soucis est la sécurité, j’utilisais OpenBSD avant, maintenant je prends Alpine.
Sa très très bonne minimisation réduit significativement sa surface d’attaque et le fait que ce soit du linux m'évite de retenir par coeur les différences Linux/BSD.

Pour le serveur Web, je suis récemment passé de Nginx à Caddy que je recommande vivement, notamment pour son aspect “keep It Simple” (le site Web que vous consultez actuellement est configuré en 3 lignes… sans figure de style).
Pour la création de site Web, je suis un fervent défenseur du tout statique lorsque c’est possible (je dors mieux la nuit).

Quand l’objectif est la puissance brute (cracker de mots de passe), j’utilise Gentoo qui permet de compiler les exécutables (hashcat, john-the-ripper) avec toutes les optimisations des processeurs.

Enfin, quand le but premier est d'être plug and play, j’utilise Ubuntu.

Quel Setup pour un équipement réseau

Je suis plutôt hostile aux solutions commerciales qui vendent du BSD packagé avec interface graphique pour le prix d’un rein. Surtout que tous les gros acteurs du marché ont des vulnérabilités de taré qui sortent quand quelqu'un regarde de près leurs produits (à croire qu'ils n'auditent jamais leurs codes ... pas terrible pour des boites qui prétendent vendre de la sécurité).

Quand il faut déployer un pare-feu (on parle ici de pare-feu et pas d’UTM), je prends une machine sans fioritures (Librem mini ou Librem server) et j’installe un pfsense dessus (c’est une distribution open source orientée pare-feu) que je trouve plus ergonomique que OPNsense ou OpenWRT.

Comme VPN, je suis récemment passé de openvpn à wireguard, simple et sécurisé.

Pour tout autre élément embarqué, j’opte pour OpenWRT, avec douleur, mais ça a l’avantage de s’installer partout, donc on peut facilement transformer un petit duplicateur ethernet en un implant d’attaque.

Quel Setup pour un poste de travail

Mon OS de coeur c’est Arch Linux, c’est toujours un régal d’aller lire leur documentation. C’est là que j’ai appris par exemple que quand on choisit un screenlocker, il faut savoir que tous ne verrouillent pas les tty (ça peut avoir son importance).
Sur ma machine de pentest j’utilise finalement Kali depuis 2 ans. Essentiellement car quand je me retrouve face à une techno que je ne connais pas du tout et que je veux tester des tools qui ont l’air de faire le café, ils sont généralement tous compilés pour kali. Or quand le temps d’audit est compté, les faire tourner sur arch n'était pas toujours une sinécure. À la fin j’utilisais tellement régulièrement un conteneur docker kali que j’ai arrété de me voiler la face.

Pour le perso, j’ai utilisé avec un grand plaisir le magnifique deepin. Ils sont forts ces chinois quand même. L’ergonomie était super, c’était un OS que vous pouviez installer à votre grand mère (c’est bien plus intuitif qu’un Windows de nos jours). Sauf que c'est devenu quelconque depuis quelques années (ils ont abandonné toutes leurs spécificités).
Je suis donc désormais sur le très versatile Zorin OS dont j'apprécie beaucoup la démarche (se rendre à la portée de tous les matériels, vieux ou récent et de tous les gens, mamie ou geek) et le design. Je suis de très près leur projet Grid qui a l'air d'être une alternative à Active Directory et ça c'est selon moi ce qui pourrait faire le plus de bien à la sécurité informatique actuelle.

C’est deepin qui m’a permis de découvrir WPS Office, qui marche sur linux et qui est, à mon sens, la meilleure alternative opérationnelle à Microsoft Office (avec OnlyOffice), hormis que ça ne gère pas les macros (moi j'appelle ça un point positif). C’est chinois aussi (qu’est-ce qu’ils sont forts décidément), et il y a quelques CVE dessus, donc au moins c’est audité.

Côté gestionnaire de fenêtre, j’utilisais pendant longtemps fvwm-crystal (... on devait être 3 dans le monde) : on peut programmer tout le comportement, ça colle parfaitement à mes habitudes, j'ai autant de raccourcis clavier que de raccourcis souris, je suis ultra productif avec.
Mais chaque fois que je changeais d'OS ou de PC c'était galère niveau compatibilité.
Finalement ces dernières années, je me suis laissé conquérir par Gnome Shell dont l'ergonomie et le minimalisme ont progressé et que j'arrive à modifier assez pour coller à mes habitudes.

Côté navigateur, je garde une affection particulière pour Mozilla en soutien à leur engagement, je l'utilise toujours pour les audits. Mais pour la navigation quotidienne j'utilise Brave qui est top au niveau contrôle des pubs et gestion de la vie privée. 
C’est d’ailleurs via ce navigateur que j’ai découvert Bitwarden, le meilleur gestionnaire de mots de passe à mon sens, gratuit, déployable en home hosting, plein de fonctionnalités, multi-support. Un must have pour toute personne connectée.
Il m’arrive régulièrement de refaire un tour sur Opéra aussi.

Côté moteur de recherche, mon principal c'est celui de Brave : il est clean, ergonomique et pas intrusif. Mais pour des trucs précis j’ai du mal à me séparer de google (à force de travailler les google dorks, on prend des habitudes).

Quels langages

Python le plus souvent !

Rust quand il faut faire du sérieux.

Mais le plus beau est Julia : la simplicité de python et perl (tout en étant super lisible) et une vitesse proche de C. Malheureusement encore trop peu connu.

Quels outils

Pour la plupart de nos besoins pro on utilise Nextcloud et ses nombreuses extensions.
Notamment, le suivi de nos projets se fait via un KanBan intégrité (type notion/trello) qui nous suffit largement.

Pour le partage de secrets, on utilise une instance auto-hébergée de privatebin. Cela permet d'envoyer des liens vers des mots de passe (plutôt que le mot de passe directement) en mode burn after reading : le lien expire une fois que son destinataire l'a consulté (ainsi une compromission, dans le futur, de son compte mail ne permettra pas de révéler ce mot de passe).

On utilise une instance auto-hébergée de vaultwarden pour le gestionnaire de mots de passe.

On utilise une instance auto-hébergée de Cryptpad lorsqu'on veut permettre à nos clients de suivre en live la progression d'un document et de poser des questions par chat.

Pour les diagrammes, on utilise la version Desktop de Draw.io.

Comme éditeur de code / outil de prise de note, on utilise le fork Open source de Atom : Pulsar.

Globalement quand on cherche un outil pour répondre à un besoin, on va voir sur Cloudron et on installe nous même celui qu'ils ont retenu pour ce besoin (leur travail de sélection des meilleurs outils open source est top).

On dispose aussi d'un compte early adopter chez ProtonMail qui nous fournit toute la suite professionnelle :un gestionnaire de mots de passe, un drive en mode Zero Knowlegde, un VPN, .... On l'utilise pour quelques cas marginaux.

Quels moyens de communication ?

Première chose à dire: effacer vos emails inutiles ! Tout ce que vous archivez est stocké et rendondé sur des machines allumées jour et nuit. Un email que vous avez archivé il y a 4 ans a probablement fait plus de mal à l’environnement que si vous l’aviez imprimé 10 fois.

Pour les emails, nous appliquons globalement la règle de ne jamais envoyer de donnée sensible par ce moyen. Toutefois, ça n’empêche pas d’essayer de faire des choses bien.
Dans les solutions les plus intéressantes, il y a Protonmail. Bâti sur un principe de zero knowledge, ils ne connaissent jamais le contenu de vos emails. Votre mot de passe sert de clé pour les déchiffrer dans votre navigateur. Ils ont des astuces sympa aussi pour vous permettre d’envoyer des mails au reste des profanes qui utilisent GMail et autre, sans que Google n’en voit le contenu (enfin c’est pas insurmontable non plus, mais c’est pas mal).

L’outil FlowCrypt est également très intéressant. Il permet de faire du PGP en se greffant au dessus des Webmail classiques (GMail, Outlook, …).

Côté messagerie instantanée, l'éclatement de mes relations obligeant, j’ai whatsapp, telegram, signal, wire, facebook messenger, discord, hangout. Côté sécurité, nous utilisons le protocole Matrix via l’application Element, ça a l’avantage d'être aussi riche que discord et d'être multi-plateforme (donc un peu plus user friendly que signal qui est aussi très bien).

Les start up et projets qui nous ont convaincus

Déplacements

Ulysse : chercher un billet d’avion, sans pub, sans tracker, sans surprise finale sur les prix, une interface épurée, so perfect.
Okarito : pour les déplacements professionnel en mode tout-en-un

Banque/assurance

Shine : un compte pro pour les entrepreneurs, l’appli facilite considérablement la vie. Un débit sur la carte, paf une notification nous propose de prendre le reçu en photo. On fait les factures depuis l’appli, on les envoie au client depuis l’appli, ça envoie tout seul l’export des données au comptable. C’est très plaisant.
Luko : une assurance habitation qui veut renverser le paradigme dominant. Vos mensualités sont versées sur un compte dont le surplus en fin d’année est reversé à des associations et non à Luko (leur part est fixe). Ainsi, ils font disparaitre l’incentive qui pousse les assurances à essayer de vous rembourser le moins possible.
Numbr : le comptable entièrement dématérialisé (et sympa), une belle rencontre

Information

Brief.me : tous les soirs un email résumant l’actualité importante (pas de sensationnalisme), sans parti pris, sans conflit d’intérêt avec les annonceurs et seulement de l’information recoupée.

Associations caritatives que nous soutenons

Les Restos du Coeur : on ne les présente plus mais il se trouve que Capital avait sorti un comparatif montrant que, pour cette association, 92% des dons était consacré aux oeuvres (c’est pas Amnesty International ou Action contre la faim quoi).
Solidarités Medoc : une association de proximité qui produit des denrées de première nécessité en permaculture et qui récupère les invendus des grandes surfaces pour les redistribuer aux personnes en difficulté.