Premièrement, j’ai un stage ! Il se fera à CEIS sur Paris pendant six mois de mi-avril à fin septembre. En gros, je suis très content d’avoir ce stage, car les missions correspondent à ce que je cherchais dans le domaine de la sécurité des systèmes d’information. Je veux remercier Nicolas Caproni (@cyber_risks) pour m’avoir éclairé sur cette offre – il sera d’ailleurs responsable de moi pendant ce stage où je ne doute pas d’apprendre un paquet de choses tout au long de ce dernier.

De plus, je voulais remercier ceux qui m’ont fait part d’offres de stages même si je les ai toutes déclinées – certaines sont arrivées récemment – car j’avais déjà mon stage à CEIS. Cependant, je vous en suis reconnaissant, cela fait toujours du bien de voir que des personnes s’intéressent à ce que l’on fait. Merci merci merci ! Il ne me manque plus qu’à enlever cette recherche de stage de mon site (grand moment d’émotion en perspective :)

En second point, je suis encore sur cet article (sorte de bilan) lié à un audit sauvage (je sais, c’est mal) que j’ai fait sur des portails web de médias français. Pourquoi ? Eh bien car je dois contacter les administrateurs, webmasters, DSI etc. pour boucher les failles qui sont bien nombreuses (et pour certaines très grosses). Cependant, ne vous attendez pas à un scoop avec les noms des médias, par respect pour leur travail, je ne divulguerait aucun nom, seule la méthodologie sera présentée. Toujours est-il qu’ils sont nombreux, et la plupart d’envergure nationale si ce n’est internationale pour certains.

Récemment, j’ai mis à jour quelques scripts sur Security Bugs Hunter au programme, des vulnérabilités que j’avais trouvées fin 2009, d’autres datant d’hier sur un simple « calendrier » dont Smashing Magazine faisait la PUB hier sur Twitter (beau #FAIL à la vue nombre de followers liés à ce compte). J’en ai encore beaucoup dans ma hotte, cependant, je ne possède pas tellement le temps de faire le tour complet de certains scripts donc je préfère attendre avant de les publier.

Pour finir, je suis en train de bosser sur la certification CISSP non pas pour la passer – si je me souviens bien, il faut avoir un minimum de cinq années d’expérience pro. en SSI et pas mal d’argent pour un indépendant – mais seulement pour apprendre de nouvelles choses dans la domaine de la sécurité. Je lis en ce moment CISSP All in one Exam guide qui possède tout le contenu lié à cette certification avec comme dans chaque livre de geek qui se respecte quelques petites blagues dans certains coins. Reste que ce petit monde de la sécurité évolue si vite que certaines notes sont déjà dépassées… mais bon, l’extrême majorité de la méthodologie, des descriptions et des sujets traités sont bons à prendre (et très bien traités !). Bref, un bouquin à avoir chez soi qui sera très bien entre Security Power Tools et Network securty hacks. L’édition poche n’existe pas, malheureusement.

Promis, je publie l’article dans quelques jours.

Ce dernier me sert afin de relayer des articles, papiers, images, citations que je trouve intéressants dans le domaine de la Sécurité des Systèmes d’Information. J’essaye d’y publier quelques liens par jour suivant le temps que j’ai. De plus, il y figurera certaines anecdotes que je rencontre de temps à autres… Cette image par exemple…

Le grand général parvient partout où il veut aller ; il atteint tous les lieux qu’il s’est fixés. Il évolue dans le sans-forme. Il débouche dans l’imprévisible ; il arrive en catimini, pour brusquement faire irruption ; personne ne sais jamais d’où il surgit.

Il va, il vient, silencieux et soudain ; si bien que nul ne sait où il opère le rassemblement de ses troupes. Preste comme l’éclair, rapide comme la bourrasque, il semble jaillir de terre ou tomber du ciel. Il arrive et repart comme bon lui semble, sans que nul ne puisse jamais le contenir. Il file comme la flèche : qui pourrait l’égaler ? Tantôt obscur, tantôt brillant : qui peut en connaitre le début et le terme ? Avant même d’avoir commencé, tout est déjà fini.

- 淮南子 Houai-nan-tse (chap. XV, Du recours aux armes)

Tout d’abord, je passe la majorité de mon « temps libre » sur mes études, qui sont certes, intéressantes, mais prennent beaucoup d’heures suite à différents projets. D’ailleurs, mon principal projet cette année est de refaire le site d’SRC Bordeaux, le site de mon IUT. Au programme, (re)définition du design, de la stratégie SEO/SMO, développement de plugins wordpress propres au site internet etc.

A ce jour, je ne peux pas vous montrer ce que l’on a fait, car les maquettes, zonings, stratégies etc. n’ont pas été validés par une partie du corps enseignant. Au pire, nous devons mettre une première version du site en ligne la semaine prochaine donc keep update.

Ensuite, cette semaine, toujours à SRC a lieu un « évènement » (au niveau de l’IUT, tout est relatif) permettant aux étudiants de réaliser des sites internet pour des associations de Blanquefort. Bref, bonne semaine en perspective – j’apprécie les rencontres et le partage de connaissances. Cependant, le CMS utilisé est Joomla. Pour ceux ne connaissant pas Joomla, c’est le seul CMS où essayer de comprendre son fonctionnement prend plus de temps que de re-coder le corps à sa guise. Là aussi, keep update, le site internet que je réalise avec deux autres étudiants sera en ligne samedi vers 15h.

Point de vue recherches et épanouissement personnel, je suis en train de rédiger un papier sur les stratégies d’attaques et de défense des systèmes d’information. Intitulé « Tactiques, stratégies et guérillas informationnelles », il reprend les grands principes de la stratégie terrestre et grands courants de pensée stratégiques afin de les calquer dans un concept d’info-guerre tout en ayant une certaine abstraction technologique quand cela est possible. Ce papier est à l’heure actuelle à ses balbutiements, mais avance bien selon le temps dont je dispose pour me documenter et l’écrire (quelques heures par semaine, tout au plus).

D’ailleurs, pour ceux qui s’intéressent – tout comme moi – à la stratégie terrestre, maritime, aérienne, géographique ou même globale, je ne saurai vous recommander le « Traité de stratégie » qui n’est autre que la bible stratégique que je m’efforce à lire en long, en large, en travers et à annoter depuis quelques semaines. Tout, absolument tout est bon à prendre dedans. Sa lecture est un pur bonheur et les thèmes traités abordables – je pense – même pour des néophytes en matière de (géo)stratégie.

Pour conclure donc, n’attendez-vous pas à une réelle activité ces prochains jours, en ce moment, je suis complètement submergé par différents projets et le temps libre (le vrai) que je peux posséder, je fais tout pour le passer loin d’un PC et loin de Bordeaux avec des ami(e)s.

Ce stage, je souhaite le réaliser dans le domaine de la Sécurité des Systèmes d’Information et plus spécifiquement dans le domaine des audits & tests d’intrusion (réseaux, bastions & web) ainsi que dans la veille liée à la sécurité informatique.

Je cherche – grâce à ce stage – à approfondir mes connaissances dans les méthodes d’audit et normes (ISO 27001, OSSTMM, PCI DSS, OWASP), ainsi que dans la sécurité de certains protocoles. Aujourd’hui, je possède de bonnes connaissances en audit d’applications web & bastions, en Information Gathering ainsi que dans différents domaines liés à la sécurité des systèmes d’information.

• Attaques sur réseaux & bastions
• Malware analysis
• Sécurité des clients
• Sécurité Linux
• Veille

J’espère découvrir, de par ce stage, la sphère professionnelle de cette passion que je possède depuis cinq ans maintenant et partager ainsi mes connaissances tout en apprenant de nouvelles techniques dans ce domaine.

De plus, je suis ouvert à toute proposition de stage dans d’autres domaines liées par exemple au développement web/administration de serveurs, au webdesign ou à la veille informationnelle. Vous pouvez dès aujourd’hui prendre contact avec moi par l’intermédiaire de mon site Internet et voir mon CV en cliquant sur l’icône ci-dessous :

Bref, j’ai passé ce stage dans une petite imprimerie de Poitiers afin d’observer tout le processus de la chaine graphique mais aussi et bien entendu, mettre un peu la main à la patte là où je pouvais me rendre utile. Donc en une semaine, on va dire que j’ai fait quelques trucs intéressants. Tout d’abord, je me suis initié à Quark Xpress, ne l’ayant pas à mon IUT (tout du moins, pas à ma connaissance.) j’ai pu enfin voir ce que valait ce logiciel – dont on me vante les mérites depuis quelques années maintenant – comparé à Indesign d’Adobe. Bref, je n’ai pas fait de très grandes maquettes dessus mais seulement quelques faire-parts et cartes de visites.

D’ailleurs, outre le fait que cette imprimerie possède certains grands comptes comme clients, elle est aussi spécialisé dans les faire-parts. En voir un d’accord, mais en voir dix de suite devient plus que marrant ! Toujours les mêmes formulations, toujours les polices anglaises pour faire chique et pour plaire aux clients. De plus, sur certains siégeaient de très grosses fautes de formulation. Maintenant, je sais pourquoi il faut soigner son orthographe (même si cela m’arrive évidemment de faire des fautes) car faire des fautes sur un schéma de faire-part que l’on donne à un imprimeur, cela ne se fait pas.

Donc il y avait des moments « cools », ceux où je faisais de l’infographie et d’autres moins « cools », ceux où je remplissais des cartons de 27000 feuilles. Par ailleurs, étant en SRC, on m’a demandé de réaliser une maquette de présentation pour leurs email mais aussi afin de faire un petit peu de PUB autour d’eux (oh le vilain spammeur !). Donc j’ai passé environ cinq heures à faire le design ou à développer le code. Mais aussi à faire des tests pour voir ce qui était interprété et ce qui ne l’était pas par nos amis les webmails et de plus (hacker inside) j’ai élaboré des stratégies afin de contourner certains filtres interdisant l’affichage direct de la moindre petite image dans un mail…

Bref, c’est fini, maintenant je passe à autre chose. Je remercie tous les employés pour m’avoir donné de leurs temps afin de m’expliquer tous les rouages d’une imprimerie et de certaines machines. De plus, j’essaye encore de garder cette vision d’artisan même si la technologie est aujourd’hui partout ce qui dé-nature un peu l’esthétisme qu’avait le typographe d’antan mettant à la main des chaînes de caractères. Aujourd’hui l’offset est partout, les imprimeurs n’ont plus le temps, mais bien l’heure.