Vue lecture

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.

OpenVAS - Le scanner de vulnérabilités open source qui vous dit la vérité sur votre serveur

✇Korben
Korben

Vous avez un serveur, un NAS, quelques services qui tournent chez vous ou au boulot, et vous vous demandez si tout ça est bien sécurisé ? Alors plutôt que d'attendre qu'un petit malin vous le fasse savoir de manière désagréable, autant prendre les devants avec un scanner de vulnérabilités.

Attention : si vous scannez le réseau de votre boulot, demandez toujours une autorisation écrite avant car scanner sans permission, c'est illégal et ça peut vous coûter cher. Et ne comptez pas sur moi pour vous apporter des oranges en prison.

OpenVAS (Open Vulnerability Assessment Scanner), c'est l'un des scanners open source les plus connus, maintenu par Greenbone. Une fois en place sur votre réseau, il scanne vos services exposés et vous balance un rapport avec ce qui craint : Ports ouverts, services mal configurés, failles connues, certificats expirés... De quoi repérer une bonne partie de ce qu'un attaquant pourrait exploiter.

L'interface principale d'OpenVAS

Ce qui est cool, c'est que vous restez en mode défensif. C'est pas un outil de pentest offensif ou de hacking pur et dur mais juste un audit de votre propre infra pour savoir où vous en êtes. Et ça tourne avec un feed de vulnérabilités (le Greenbone Community Feed) qui est régulièrement mis à jour, ce qui permet de détecter les failles récentes.

Pour l'installer, une des méthodes c'est de passer par Docker. Greenbone fournit une stack complète avec docker-compose. Après vous cherchez plutôt à analyser spécifiquement vos images de conteneurs, Grype pourrait aussi vous intéresser .

Pour OpenVAS, vous créez un répertoire, vous téléchargez leur fichier de config (jetez toujours un œil dedans avant de l'exécuter, c'est une bonne pratique), et hop :

mkdir -p ~/greenbone-community-container
cd ~/greenbone-community-container
curl -f -O -L https://greenbone.github.io/docs/latest/_static/docker-compose.yml
docker compose pull
docker compose up -d

L'assistant de configuration initiale

Après ça, vous accédez à l'interface web via http://localhost:9392.

Et pour le login, attention, car sur les versions récentes du conteneur communautaire, le mot de passe admin est généré aléatoirement au premier démarrage. Il faut donc aller voir les logs pour le récupérer (docker compose logs -f). Si ça ne marche pas, tentez le classique admin/admin, mais changez-le direct.

La première synchro des feeds peut prendre un moment, le temps que la base de vulnérabilités se télécharge. Vous avez le temps d'aller vous faire un café, c'est pas instantané.

Niveau config machine, la documentation recommande au moins 2 CPU et 4 Go de RAM pour que ça tourne, mais pour scanner un réseau un peu costaud, doublez ça (4 CPU / 8 Go) pour être à l'aise. Et une fois connecté, direction la section scans pour créer une cible avec votre IP ou plage d'adresses. Ensuite vous pouvez lancer un scan avec le profil de votre choix :

Le mode "Discovery" se contente de lister les services et ports ouverts tandis que le mode "Full and Fast" lance une batterie complète de tests de vulnérabilités. Il est conçu pour être "safe" (ne pas planter les services), mais le risque zéro n'existe pas en réseau donc évitez de scanner votre prod en pleine journée sans prévenir.

Les résultats arrivent sous forme de rapport avec un score de criticité comme ça vous avez le détail de ce qui pose problème et souvent des pistes pour corriger. Genre si vous avez un service SSH avec une config un peu lâche ou un serveur web trop bavard, le rapport vous le dira.

Par contre, c'est vrai que l'interface est assez austère comparée à des solutions commerciales comme Nessus mais c'est gratuit, c'est open source, et ça fait le taf pour un audit interne. La version Community a quand même quelques limitations (feed communautaire vs feed entreprise, support, etc.), mais pour surveiller son infra perso ou sa PME, c'est déjà très puissant.

Du coup, si vous voulez savoir ce qui traîne sur votre réseau avant que quelqu'un d'autre le découvre, OpenVAS est un excellent point de départ. Et c'est toujours mieux de découvrir ses failles soi-même que de les lire dans un mail de rançon... enfin, je pense ^^.

A découvrir ici !

Vous en avez marre des arnaques et du démarchage téléphonique ? Installez ces applications

✇Numerama
Nicolas Lellouche

Alors que le démarchage téléphonique s'intensifie et que l'intelligence artificielle générative permet à des bots de simuler des appels, les solutions traditionnelles comme s'inscrire sur Bloctel ou bloquer les numéros un par un ne suffisent plus. Voici une sélection de logiciels recommandés par nos lecteurs pour limiter les appels indésirables.

TypeToRace - Le jeu qui transforme vos cours de dactylo en Fast & Furious

✇Korben
Korben

J'sais pas si parmi vous, y'en a qui ont déjà pris des cours de dactylographie genre à l'école où vous deviez taper "asdf jkl;" durant des heures en regardant un écran tristounet mais j'imagine que c'était chiant à mourir ! Hé bien quelqu'un a eu l'idée de transformer ça en jeu de course arcade façon Outrun sous stéroïdes !

TypeToRace, c'est un jeu de course 3D gratuit qui tourne directement dans votre navigateur et où votre vitesse dépend de votre capacité à taper des mots rapidement. Plus vous tapez vite, plus votre voiture accélère et vous vous retrouvez donc à foncer sur une route synthwave avec des néons roses et bleus partout pendant que vous tentez de taper "algorithm" sans faire de faute (oui c'est en anglais).

Le concept mélange TypeRacer (le classique des tests de frappe) avec un gameplay à la Subway Surfers. Et y'a pas juste la vitesse qui compte, puisqu'il faut aussi esquiver des obstacles et gérer des power-ups pour attaquer vos adversaires. Du coup, ça devient un vrai jeu vidéo et pas juste un test de dactylographie déguisé.

Ambiance Tron pour apprendre à taper vite ( Source )

L'esthétique synthwave avec ses couleurs néon et son ambiance rétro-futuriste des années 80 est plutôt cool. En tout cas, moi j'adore et ça change des interfaces austères des outils de typing classiques où on a l'impression d'être revenu en 1995 devant un terminal DOS. D'ailleurs, si vous cherchez d'autres moyens ludiques de vous améliorer, Wordsmash façon Tetris est aussi une excellente option pour bosser sa mémoire musculaire.

Notre jeu du jour vous met face à des adversaires contrôlés par l'IA et vous pouvez grimper dans les classements au fur et à mesure que vous progressez. C'est gratuit, ça ne nécessite aucun téléchargement, vous ouvrez juste le site et c'est parti mon kiki.

Bon après, on va pas se mentir, ce genre de jeu c'est surtout fun les 15 premières minutes avant que ça devienne un peu répétitif. Mais pour s'entraîner à taper plus vite tout en ayant l'impression de jouer plutôt que de bosser, y'a pire. Et puis si vous avez des gamins qui galèrent sur le clavier, ça peut être un bon moyen de les motiver sans les traumatiser avec des exercices barbants.

Puis si vous êtes du genre compétiteur, vous pouvez aussi aller voir du côté de TypeRacer pour vous mesurer à de vrais humains . Mais pour le fun immédiat et l'ambiance visuelle, TypeToRace fait le job.

Voilà, si vous voulez tester votre vitesse de frappe tout en vous prenant pour un pilote de course dans un univers à la Blade Runner, c'est par ici que ça se passe... Et pitié ne pliez pas en deux votre clavier de rage si vous perdez !

Zendure SolarFlow : les nouvelles solutions de stockage solaire sont déjà en promotion !

✇Tom’s Hardware : actualités matériels et jeux vidéo
Sponso

Zendure dévoile sa nouvelle génération de stations SolarFlow et plusieurs configurations sont déjà proposées à prix réduit. De quoi ajouter du stockage intelligent à son installation solaire tout en maximisant ses économies.

L’article Zendure SolarFlow : les nouvelles solutions de stockage solaire sont déjà en promotion ! est apparu en premier sur Tom’s Hardware.

full

thumbnail
❌