Lifestyle

Améliorer la sécurité de nos clients nécessite au préalable un échange pour saisir les ressorts de leur activité. Qu’est-ce qui a de la valeur pour eux, qu’est-ce qui est vraiment déterminant dans leur inputs, quels impacts ils ne pourraient pas surmonter, etc. (ce qui varie substantiellement d’un secteur d’activité à l’autre).
C’est aussi souvent un moment convivial où il n’est pas rare de glaner une petite information d’initié : demander à un vigneron où il achète son vin, demander à un constructeur automobile quel est le modèle le plus fiable, demander à un styliste si Devred est de bon goût, etc.

Ces moments privilégiés sont parmi les plus plaisants de notre métier. Il sont très enrichissants d’un point de vue humain et pour notre culture générale.
Ce que nous nous proposons de faire sur cette page, c’est de vous livrer, à notre tour, nos petits bons plans en tant que professionnels avertis. En somme, vous montrer comment les cordonniers se chaussent.

Nous appliquons les règles générales suivantes que vous retrouverez en filigrane dans les témoignages :

  • Nous visons la sécurité par la minimisation (le moins d’outils possible) et la simplification (le moins d’action possible) : KISS
  • Si c’est réputé plus sécurisé mais qu’il y a peu de recul dessus, on y va quand même ! (on est assez agile pour revenir en arrière). C’est pour ça qu’on utilise majoritairement IPv6, HTTP/2, Alpine, TLSv1.3, Rust, Caddy, …

Naturellement, cette approche et les conseils qui en découlent, ne sont pas réutilisables par toutes les entreprises.

Ceci étant dit, la parole aux ingénieurs ! (et le ton qui va avec)

Quel matos


Du point de vue de la sécurité, la marque qui me plait le plus dans sa démarche c’est Purism. L’air de rien on est dans une ère où l’on se soucie beaucoup d’utiliser des applications qui respectent notre vie privée, des systèmes d’exploitation parfois aussi (comme Tails). Mais on oublie souvent le hardware qui est un gros angle mort de la sécu. Or les backdoor matérielles ce n’est pas qu’une rumeur.
Du coup je soutiens complètement la démarche de Purism, j’ai le librem 13, c’est une bonne bête de course. Les kill switch hardware sur le micro/cam c’est le petit détail sympa. Après s’ils pouvaient intégrer un switch qui active/desactive un filtre de confidentialité (comme le HP sure view) et filer des sets de touches dans toutes les configurations de claviers, ce serait royal.

Niveau smartphone, j’ai été un heureux early adopter du OnePlus One (que j’ai toujours d’ailleurs avec un NetHunter dessus). Puis quand ils ont définitivement renoncé à faire des tailles d’écran compatibles avec mes mains de lilipucien, j’ai du me tourner vers des marques destinées à un public aussi petit que moi.
J’ai utilisé le Mi5S de Xiaomi pendant un long moment. C’était un excellent smartphone (très probablement le meilleur rapport qualité prix de son époque) et avec une dimension vivable, des photos superbes, un beau design, etc. Depuis, Xiaomi a aussi décidé de ne faire que des frigidaires de 6 pouces.
J’ai dernièrement opté pour l’Essential Phone, l’essai du co-créateur d’android. Belle expérience, j’aime beaucoup la connectique magnétique. Déçu par le module photo après celui du Mi5S, mais c’est le seul point noir.Je ne l’ai acheté que lorsqu’il a été bradé à la suite de son échec commmercial (donc a 400$ au lieu de 700$) et j’étais réticient car ça faisait longtemps que mon budget smartphone n’avait pas dépassé les 350€.
C’est toujours celui que j’utilise et j’essaye de me calmer sur le renouvellement des smartphones, d’autant qu’il n’y a plus d’innovation sur ce marché depuis pas mal d’années maintenant. Ce qui rend notamment des alternatives comme Fairphone de plus en plus envisageables.
Il n’en demeure pas moins que j’ai été conquis par la marque Xiaomi qui fait du matériel d’une qualité bien au dessus de la moyenne en terme de durabilité (j’ai encore jamais jeté un produit xiaomi) et à des prix incroyables.

Quel Setup pour un serveur


Quand le premier soucis est la sécurité, j’utilisais OpenBSD avant, maintenant je prends Alpine.
Sa très très bonne minimisation réduit significativement sa surface d’attaque et le fait que ce soit du linux m’évite de retenir par coeur les différences Linux/BSD.
Pour le serveur Web, je suis récemment passé de Nginx à Caddy que je recommande vivement, notamment pour son acpect “keep It Simple” (le site Web que vous consultez actuellement est configuré en 3 lignes… sans figure de style).
Pour la création de site Web, je suis un fervent défenseur du tout statique lorsque c’est possible (je dors mieux la nuit). Pour ce site, nous avons utilisé le framework de création Hugo qui est assez puissant.

Quand l’objectif est la puissance brute (crackeur de mots de passe), j’utilise Gentoo qui permet de compiler les exécutables (hashcat, john-the-ripper) avec toutes les optimisations des processeurs.

Enfin, quand le but premier est d’être plug and play, j’utilise Ubuntu.

Quel Setup pour un équipement réseau


Je suis plutôt hostile aux solutions commerciales qui vendent du BSD packagés avec interface graphique pour le prix d’un rein.

Quand il faut déployer un pare-feu (on parle ici de pare-feu et pas d’UTM), je prends une machine sans fioritures (Librem mini ou Librem server) et j’installe un pfsense dessus (c’est une distribution open source orientée pare-feu) que je trouve plus ergonomique que OPNsense ou OpenWRT.

Comme VPN, je préfère wireguard, simple et sécurisé.

Pour tout autre élément embarqué, j’opte pour OpenWRT, avec douleur, mais ça a l’avantage de s’installer partout, donc on peut facilement transformer un petit duplicateur ethernet en un implant d’attaque.

Quel Setup pour un poste de travail


Mon OS de coeur c’est Arch Linux, c’est toujours un régal d’aller lire leur documentation. C’est là que j’ai appris par exemple que quand on choisit un screenlocker, il faut savoir que tous ne verrouillent pas les tty (ça peut avoir son importance).
Sur ma machine de pentest j’utilise finalement Kali depuis 2 ans. Essentiellement car quand je me retrouve face à une techno que je ne connais pas du tout et que je veux tester des tools qui ont l’air de faire le café, ils sont généralement tous compilés pour kali. Or quand le temps d’audit est compté, les faire tourner sur arch n’etait pas toujours une sinécure. A le fin j’utilisais tellement régulièrement un conteneur docker kali que j’ai arrété de me voiler la face.

Pour le perso, j’utilise avec un plaisir non dissimulé le magnifique deepin. Ils sont forts ces chinois quand même. L’ergonomie est super, c’est un OS que vous pouvez installer à votre grand mère (c’est bien plus intuitif qu’un Windows de nos jours).
Les mauvaises langues diront qu’il ne faut pas faire confiance à un OS chinois. Alors oui mais comme j’ai un PC d’une marque américaine, au moins les backdoors matérielles ne se synchronisent pas avec celles de l’OS.

C’est d’ailleurs deepin qui m’a permis de découvrir WPS Office, qui marche sur linux et qui est, à mon sens, la seconde alternative opérationnelle à Microsoft Office avec OnlyOffice. C’est chinois aussi (qu’est-ce qu’ils sont forts décidément), et il y a quelques CVE dessus, donc au moins c’est audité.

Côté gestionnaire de fenêtre, j’utilise fvwm-crystal… on doit être 3 dans le monde à l’utiliser. Mais au final comme on peut programmer tout le comportement, ça colle parfaitement à mes habitudes.
Notamment, je le préfère à i3 et sway (i3 en wayland) car je peux faire du smart tiling facilement (comme tilix le fait par exemple).
J’utilise Gnome quand je veux pas risquer l’effet démo avec les sorties vidéo+son car je n’ai plus en tête les commandes xrandr.

Côté navigateur, je garde une affection particulière pour Mozilla en soutien à leur engagement. Mais sur mon ordi perso, je me suis laissé tenté par Brave qui est ma foi fort intéressant.
C’est d’ailleurs via ce navigateur que j’ai découvert Bitwarden, le meilleur gestionnaire de mots de passe à mon sens, gratuit, déployable en home hosting, plein de fonctionnalités, multi-support. Un must have pour toute personne connectée.
Il m’arrive régulièrement de refaire un tour sur Opéra aussi.

Côté moteur de recherche, pour le pro j’ai du mal à me séparer de google (à force de travailler les google dorks, on prend des habitudes). Je salue cependant les initiatives comme Ecosia que j’ai sur mon ordi perso.

Quels langages


Python le plus souvent !

Rust quand il faut faire du sérieux.

Mais le plus beau est Julia : la simplicité de python et perl (tout en étant super lisible) et une vitesse proche de C. Maleureusement encore trop peu connu.

Quels outils


Pour le suivi de mes sujets, aussi bien perso que pro, j’utilise trello en mode kanban.

Pour les notes de frais, j’utilise Expensya: je scanne un reçu et il reconnait tout seul la date, le montant, la TVA, etc. Bien pratique mais encore un peu cher selon moi.

Quels moyens de communication ?


Première chose à dire: effacer vos emails inutiles ! Tout ce que vous archivez est stocké et rendondé sur des machines allumées jour et nuit. Un email que vous avez archivé il y a 4 ans a probablement fait plus de mal à l’environnement que si vous l’aviez imprimé 10 fois.

Pour les emails, nous appliquons globalement la règle de ne jamais envoyer de donnée sensible par ce moyen. Toutefois, ça n’empêche pas d’essayer de faire des choses bien.
Dans les solutions les plus intéressantes, il y a Protonmail. Bati sur un principe de zero knowledge, ils ne connaissent jamais le contenu de vos emails. Votre mot de passe sert de clé pour les déchiffrer dans votre navigateur. Ils ont des astuces sympa aussi pour vous permettre d’envoyer des mails au reste des profanes qui utilisent GMail et autre sans que Google n’en voit le contenu (enfin c’est pas insurmontable non plus, mais c’est pas mal).

L’outil FlowCrypt est également très intéressant. Il permet de faire du PGP en se greffant au dessus des Webmail classiques (GMail, Outlook, …).

Côté messagerie instantanée, l’éclatement de mes relations obligeant, j’ai whatsapp, telegram, signal, wire, facebook messenger, discord, hangout. Côté sécurité, celle à laquelle je me fie le plus est signal.

Les start up et projets qui nous ont convaincus


Déplacements

Ulysse : chercher un billet d’avion, sans pub, sans tracker, sans surprise finale sur les prix, une interface épurée, so perfect.

Banque/assurance

Shine : un compte pro pour les entrepreneurs, l’appli facilite considérablement la vie. Un débit sur la carte, paf une notification nous propose de prendre le reçu en photo. On fait les factures depuis l’appli, on les envoie au client depuis l’appli, ça envoie tout seul l’export des données au comptable. C’est très plaisant.
Luko : une assurance habitation qui veut renverser le paradigme dominant. Vos mensualités sont versées sur un compte dont le surplus en fin d’année est reversé à des associations et non à Luko (leur part est fixe). Ainsi, ils font disparaitre l’incentive qui pousse les assurances à essayer de vous rembourser le moins possible.

Information

Brief.me : tous les soirs un email résumant l’actualité importante (pas de sensationalisme), sans parti pris, sans conflit d’intérêt avec les annonceurs et seulement de l’information recoupée.

Sécurité

Purism : un ordinateur puissant conçu pour la confidentialité
Cryptpad : un outil très séduisant d’édition concurrente en mode zero knowledge (ou quasiment)

New tech eco-responsable

Avalon : les lunettes de soleil en cellulose, garanties à vie, pas chères et pour lesquelles les auteurs ramassent 1kg de plastique pour chaque achat.
Zero Waste pullover : un pull qui élimine quasiment tous les gaspillages du processus de fabrication et qui se veut durable.
Chase pants : un pantalon durable (garanti à vie), déperlant, conçu à partir de matériaux recyclés
Baubax : chaussures ultra confort (semelle en latex et laine de mérino), élégantes et déperlantes (tissu en bambou)

Associations caritatives que nous soutenons

Les Restos du Coeur : on ne les présente plus mais il se trouve que Capital avait sorti un comparatif montrant que, pour cette association, 92% des dons était consacré aux oeuvres (c’est pas Amnesty International ou Action contre la faim quoi).
Solidarités Medoc : une association de proximité qui produit des denrés de première nécessité en permaculture et qui récupère les invendus des grandes surfaces pour les redistribuer aux personnes en difficulté.