Archives par mot-clé : Professionnel

J’aime l’IA mais

Publié le par
6

J’ai découvert internet réellement en 1988 lorsque j’ai démarré mon doctorat dans un laboratoire de recherche à Paris. A cette époque, point de HTML ni de web, mais des commandes UNIX sur des stations de travail, permettant d’envoyer un email, de télécharger un fichier ou d’exécuter une session sur un ordinateur distant. C’était génial.

A l’époque, j’expliquais autour de moi ce qu’était internet (pour un chercheur) et je disais à tout le monde : « j’aime internet ». Puis le temps est passé, ce que j’appelai internet a évolué, s’est démocratisé, s’est transformé en ce que l’on connaît aujourd’hui. Plus personne ne dit « j’aime internet », ni d’ailleurs « j’aime l’informatique ». Internet relie presque tous les humains, pour le meilleur et pour le pire, et malheureusement, j’ai l’impression, souvent pour le pire.

Dans le laboratoire de recherche où j’ai découvert l’existence d’internet, j’étais inscrit en thèse post diplôme d’ingénieur en informatique : je préparais un doctorat en électronique consacré à l’apprentissage des réseaux de neurones bouclés. La première vague d’intelligence artificielle, démarrée à la fin des années 50 avec l’invention du Perceptron, avait connu un coup d’arrêt à la fin des années 60 par un article de Minsky et Paperts qui montrait l’impasse de ce type d’outil dans le cadre de problèmes non linéaires. La deuxième vague de l’IA est survenue en 1985 après la parution d’un célèbre article écrit par Rumelhart, Hinton et Williams intitulé « Learning representations by back-propagating errors », dans lequel ils décrivaient l’algorithme de rétropropagation du gradient appliqué aux réseaux de neurones multicouches.

Ma thèse a consisté à généraliser cet algorithme à des réseaux de neurones bouclés complètement connectés, avec une application à la modélisation temporelle, et en particulier à la commande de processus non linéaires.

A cette époque, j’expliquais mon travail avec passion, et je disais autour de moi que j’aimais l’IA.

Une fois docteur ingénieur, je suis devenu Maître de conférence et avec mes collègues chercheurs, nous mettions au point des outils permettant la reconnaissance automatique des caractères manuscrits, la reconnaissance automatique des objets, la détection des cancers du sein sur des mammographies.

Nos travaux étaient très axés sur la modélisation : pour reconnaître une tumeur, il faut en avoir vu une centaine (sous plusieurs angles), savoir la différencier d’une tâche ou d’un grain de beauté, connaître ses dimensions approximatives (il n’y a pas de tumeur de 100m de long), et en faire un modèle cognitif dans un réseau de neurones. Ce réseau reconnaîtra alors quasi instantanément presque toutes les tumeurs, quelque soit leur forme et l’angle de vue.

Mon travail consistait à introduire le facteur temps (l’évolution d’une tumeur) dans le réseau de neurones en le rebouclant sur lui-même, et à élaguer le nombre de neurones et de liaisons pour obtenir les réseaux de neurones les plus efficaces possibles.

Je disais à tout le monde autour de moi que j’aimais l’IA.

Aujourd’hui, l’IA a beaucoup évolué, avec des outils probabilistes extraordinaires autour de la génération de mots et d’images. Cela ouvre des perspectives énormes dans le rapprochement des peuples avec par exemple la traduction instantanée.

MAIS aussi la génération de fausses vidéos
MAIS la destruction à venir de millions d’emplois
MAIS la constitution d’une bulle financière prête à exploser
MAIS la dégradation ininterrompue des conditions de vie du plus grand nombre au profit des ultrariches.

J’aime l’IA mais pas celle-là.

J’ai construit ma passion sur un rêve, et le réveil est douloureux.

vih
Extrait de https://salemoment.tumblr.com/
avec l’aimable autorisation de l’auteur Olivier Ka

Cybersécurité assistée par IA

Publié le par
1

Si vous avez une machine de gamer (ou une machine de minage ^^) et que vous êtes autorisés à mener des tests de sécurité informatique sur un site web donné, alors cet article peut vous intéresser.

J’insiste quand même sur l’aspect autorisation : veillez bien à demander par écrit l’autorisation au gestionnaire du site web, pensez aux CGU de votre FAI, à l’hébergeur du site web, à son CDN éventuel, etc. Je ne voudrais pas être missionné pour accompagner la maréchaussée à 6h du matin à votre domicile…

Ce billet est destiné aux étudiants passionnés de cybersécurité. Les attaquants et les défenseurs professionnels savent déjà tout cela.

Première étape : installer ollama

Le logiciel ollama permet de faire fonctionner localement un grand nombre de LLM disponibles en téléchargement. Cela garantit confidentialité, flexibilité et gratuité.
Vous trouverez toutes les explications sur leur site : https://docs.ollama.com/quickstart

Vous choisirez la configuration qui vous correspond, pour ma part, j’utilise une machine Windows avec les derniers pilotes NVIDIA, avec un WSL Ubuntu. J’ai installé sur cette machine trois anciennes cartes graphiques GTX 1080 TI achetées à bas prix sur le BonCoin…

Une fois ollama installé, vous pouvez télécharger un LLM (vous trouverez la liste des LLM disponibles sur https://ollama.com/search) avec une commande du type :

ollama pull qwen3

Vous pouvez alors déjà vous amuser à questionner le LLM sur votre machine, en toute confidentialité, avec la commande :

ollama run qwen3

Deuxième étape : installer Cybersecurity AI (CAI)

Cybersecurity AI (CAI) est un framework open source léger qui permet à des passionnés de la cybersécurité d’utiliser des LLM pour des analyses offensives et défensives. CAI fournit les éléments de base pour créer des agents IA spécialisés qui peuvent vous aider à atténuer les risques, à découvrir les vulnérabilités, à exploiter les failles et à évaluer la sécurité. Comme toujours avec ce genre d’outils, il est à manipuler avec précaution.

CAI est disponible sur le site https://github.com/aliasrobotics/CAI?tab=readme-ov-file

L’installation est facile, pour ma part j’ai suivi celle concernant WSL, en modifiant légèrement la commande suivante :

echo -e 'OPENAI_API_KEY="sk-1234"\nANTHROPIC_API_KEY=""\nOLLAMA="http://127.0.0.1:11434"\nOLLAMA_API_BASE="http://127.0.0.1:11434"\nPROMPT_TOOLKIT_NO_CPR=1\nCAI_STREAM=false' > .env

Vous pouvez alors lancer l’outil avec la commande cai

Capture decran du 2025 11 20 18 45 52

Commencez par sélectionner le LLM avec lequel vous souhaitez travailler, avec la commande suivante

/model qwen3

Puis choisissez le profil que vous souhaitez lui voir endosser parmi la liste suivante :

/agent list

Dans mon cas, je vais choisir le profil « Red Team Agent » avec la commande suivante :

/agent redteam_agent

Choisir ce profil donne comme consignes au LLM les instructions suivantes :

You are a highly specialized red team agent focused on system penetration and privilege escalation.

Your primary objective is to gain root access and find flags. Your capabilities include:

• Network scanning and enumeration
• Service exploitation
• Password attacks and brute forcing
• Privilege escalation techniques
• Post exploitation tasks

For each target:

• Perform thorough enumeration
• Identify vulnerable services and misconfigurations
• Execute targeted exploits
• Escalate privileges
• Search for flags and sensitive data

You never stop iterate until root access is achieved Use appropriate tools for each phase If stuck, return to thought agent
for new approach

Key guidelines:

• Never execute interactive commands that trap user input
• All commands must be one-shot, non-interactive executions
• Avoid tools like hash-identifier that require user interaction
• Use automated alternatives like hashid instead of hash-identifier
• For password cracking, use non-interactive modes (-a for hashcat) only hashcat
• For shells, use one-liner reverse shells or web shells
• Pipe input directly into commands rather than interactive prompts
• Always specify timeout values for commands that could hang
• Use –batch or non-interactive flags when available
• Validate command will complete without user input before executing

Don’t try the same approach repeatedly Execute one command at a time Document all findings and progress

You can create and manage interactive shell sessions for commands like netcat, SSH, etc.

• To start a new session: Use generic_linux_command with commands like nc, ssh, etc.
• To list active sessions: generic_linux_command(« session », « list »)
• To get output from a session: generic_linux_command(« session », « output « )
• To send input to a session: generic_linux_command(«  », «  », session_id= » »)
• To terminate a session: generic_linux_command(« session », « kill « )

Example workflow:

1 Start netcat: generic_linux_command(« nc », « -lvnp 4444 ») → Returns session ID
2 Check output: generic_linux_command(« session », « output « )
3 Send data: generic_linux_command(« echo hello », session_id= » »)
4 Kill when done: generic_linux_command(« session », « kill « )

Vous pouvez alors commencer à lui demander en langage naturel d’effectuer des tâches de « red team », comme par exemple, si vous êtes chez vous, avec l’autorisation du daron ou de la daronne (ou de l’admin réseau) :

gain access to my router

Ce qui me fascine un peu est ce sentiment de travailler avec un collègue débutant qui me dit « je voudrais utiliser la commande « dirb » mais elle n’est pas installée ». Je l’installe donc, et lui demande de recommencer, ce qu’il fait jusqu’au problème suivant. Je découvre au passage certaines commandes. C’est donnant-donnant.

N’oubliez pas que les outils d’IA sont des outils bêtes, à utiliser avec intelligence.

Sexagénaire en entreprise

Publié le par

Je viens de fêter mes soixante deux années de rotation autour du soleil. Et plutôt que de vous parler d’expertise, d’IA ou de cybersécurité, je voulais vous parler un peu de comment je perçois cet âge vénérable dans le milieu professionnel auquel j’appartiens.

En premier lieu, toutes les personnes autour de moi me paraissent jeunes. Je suis l’une des personnes les plus vieilles de l’entreprise, qui compte environ 1600 salariés, et donc dans toutes les réunions, y compris celles avec les dirigeants, actionnaires et directeurs, je suis souvent celui qui est le plus âgé.

Lors des discussions informelles, j’ai appris à me taire pour laisser les « jeunes » (c’est-à-dire tous les autres) raconter leurs anecdotes, en particulier celles de leurs débuts en informatique. Les plus jeunes ne connaissent pas les blogs, et plus personne ne se souvient du SICOB où je regardais avec des yeux d’adolescent admiratif de grosses imprimantes matricielles cracher des dessins ASCII sur du papier perforé…

Le regard du monde de l’entreprise sur les plus de 60 ans est assez terrible : pour beaucoup, les plus de 60 ans sont des retraités. Et dans l’imaginaire collectif, un retraité, c’est une personne inactive en vacances perpétuelles, qui pense que c’était mieux avant et qui râle sur ces jeunes, tous des incapables.

Je soigne un peu mon aspect physique pour éviter d’être trop vite catalogué « petit vieux ». Je me suis rasé complètement la tête pour éviter de laisser apparaître ma calvitie entourée de cheveux blancs. Les chauves sont mieux acceptés, aujourd’hui, qu’à l’époque de Jules César.

J’ai accumulé une énorme expérience que je mets à la disposition de mes alternants et de mon équipe cyber, et en particulier de ma red team. Je pense qu’ils apprécient que je leur reconnaisse une bien meilleure maîtrise technique que moi, et de temps en temps je les surprend avec une commande qu’ils ne connaissent pas, ou avec un outil qui vient de sortir. Je reste dans la course.

Le jargon de l’entreprise est également un marqueur générationnel que je prends soin d’éviter, souvent à mon grand regret : les anglicismes pullulent, aussi bien dans les sigles que dans les mots. J’aime beaucoup les expressions désuètes, mais celui qui les utilise est vite catalogué senior. J’ai donc fini par abandonner mes « visuels » et « transformation numérique », pour utiliser les « slides » et « transfo digitale » utilisés par tous les autres. Il y a longtemps que je ne dis plus « je vais vous présenter quelques transparents » 😉

Enfin, il y a les références sociétales très utiles à la machine à café, mais souvent je n’ai pas « la réf » : je ne connais pas Nicocapone, ni le dernier clash à la mode sur les réseaux sociaux depuis que j’ai drastiquement réduit ma consommation… Mon univers social se réduit de plus en plus à celui de mes 20 ans : l’IA, les bidouilles sur mes ordis, le hacking. En ce moment, j’explore mon entourage hertzien avec mon flipper zéro. Retour à la case nerd.

Je suis un soixantenerd.

Image générée par un LLM

Passage de Debian 12 (Bookworm) à Debian 13 (Trixie)

Publié le par

Petit mémo de mon passage de Debian 12 (Bookworm) à Debian 13 (Trixie) en quelques commandes. Tout d’abord, et avant tout, pensez à faire une sauvegarde complète de votre système pour pouvoir revenir en arrière en cas de problème (si votre machine est une VM, faites en un clone par exemple).

Etape 1 : partir d’un système propre
sudo apt update
sudo apt upgrade
sudo apt full-upgrade
sudo apt –purge autoremove
sudo reboot

Etape 2 : préparer la migration
cat /etc/debian_version
mkdir ~/apt.old
cp /etc/apt/sources.list ~/apt.old
cp -r /etc/apt/sources.list.d/ ~/apt.old
sudo sed -i ‘s/bookworm/trixie/g’ /etc/apt/sources.list
sudo sed -i ‘s/bookworm/trixie/g’ /etc/apt/sources.list.d/*

Etape 3 : faire une mise à jour minimale
sudo apt update
sudo apt upgrade –without-new-pkgs

Etape 4 : si tout va bien, faire la mise à jour complète
sudo apt full-upgrade
sudo reboot

Etape 5 : nettoyer derrière vous
sudo apt –purge autoremove
sudo apt autoclean

cat /etc/debian_version
Vous voici à la tête d’une machine Debian 13 Trixie 🙂

Un tricératops bleu articulé, inspiré de Trixie (Toy Story 3), avec une bouche expressive, des articulations visibles, un style cartoon fidèle à Pixar, ambiance lumineuse et colorée.
Image générée par un LLM


Casser les mots de passe de ses utilisateurs avec le plus gros dictionnaire français du monde

Publié le par

En tant que responsable de la sécurité des systèmes d’information de mon entreprise, j’ai plusieurs missions, dont celle de la sensibilisation à la sécurité informatique de mes utilisateurs. Pour cela, j’utilise plusieurs approches : les messages de sensibilisation (phishing, ransomware, etc.), les messages opportunistes lorsqu’une crise (chez les autres) est médiatisée, les vidéos de sensibilisation, les interventions dans les services, auprès du COMEX, etc.

Je fais intervenir des sociétés spécialisées dans les attaques éthiques, pour aller plus vite et pour avoir un regard externe, regard externe qui est souvent mieux perçu que celui du local de l’étape. Mais je mène parfois des audits internes moi-même. Voici un retour d’expérience que je partage avec vous, parce que cela illustre (pour les jeunes) l’un des aspects de la cybersécurité, et parce que cela peut peut-être aider un ou deux RSSI débutants qui passeraient par là, sait-on jamais.

Je précise que la méthode que je présente ici n’est qu’une des nombreuses méthodes existantes.

1ère étape : Récupérer la base de données des utilisateurs

Dans l’environnement de mon entreprise, comme c’est souvent le cas, les comptes des utilisateurs sont gérés par Microsoft Active Directory. Problème, il faut des droits particuliers pour pouvoir accéder à la base de données des utilisateurs. Or, le RSSI que je suis ne dispose pas de droits permettant cet accès…

Il m’a donc fallu contourner le problème : je suis passé par la console de gestion de mon antivirus++ que l’on appelle un EDR. En effet, la console de gestion de mon EDR me permet d’exécuter des commandes sur toutes les machines sur lesquelles cet EDR est installé.

Je me suis donc connecté sur un contrôleur de domaine secondaire pour y ouvrir un terminal particulier via la console EDR et j’ai exécuté la commande suivante :

ntdsutil "ac i ntds" "ifm" "create full c:\temp\SSI" quit quit

Cette commande crée une copie des fichiers NTDS.dit et SYSTEM qui contiennent toutes les informations utiles pour moi et les place dans le répertoire c:\temp\SSI du contrôleur de domaine. J’ai ensuite compressé ce répertoire dans une archive avec mot de passe. Puis j’ai supprimé tout le contenu de ce répertoire, par sécurité.

Problème : ma console EDR ne me permet pas de télécharger le fichier c:\temp\SSI.7z car il dépasse la taille autorisée… Il m’a donc fallu demander un peu d’aide : j’ai attendu 24h puis j’ai ouvert un ticket de demande de récupération du fichier SSI.ZIP au support informatique à partir des sauvegardes quotidiennes de cette machine. C’est passé crème.

Attention, le fait d’avoir mis les fichiers NTDS.dit et SYSTEM dans une archive avec mot de passe permet de garantir la confidentialité de ces données, surtout qu’elles se sont trouvées dans plusieurs sauvegardes, sur l’ordinateur de l’ingénieur qui a traité ma demande ET sur mon propre ordinateur…

2e étape : Constitution du plus gros dictionnaire de mots français du monde

J’ai déjà évoqué sur ce blog en détail comment j’ai eu l’idée d’utiliser tout le contenu du site Wikipédia français. Vous trouverez le résumé dans le billet intitulé « Dictionnaire français pour hashcat« , et le détail technique sur mon dépôt GitHub

Voici les commandes utilisées :

wget https://dumps.wikimedia.org/frwiki/latest/frwiki-latest-pages-articles-multistream.xml.bz2
bzcat frwiki-latest-pages-articles-multistream.xml.bz2 | tr "\040\041\042\043\044\045\046\047\050\051\052\053\054\056\057\060\061\062\063\064\065\066\067\070\071\072\073\074\075\076\077\100\133\134\135\136\137\140\173\174\175\176" "\n" > toto
cat toto | tr -s "\n" | awk '!x[$0]++' | sort > wikipedia.fr.txt

Voir aussi dans ce billet l’explication de la commande awk utilisée.

Le fichier wikipedia.fr.txt ainsi obtenu contient plus de 29 millions de mots, incluant tous les mots de la langue française, mais aussi les noms de lieux ou lieux dits, les prénoms, les noms de famille, les mots surannées, le jargon de toutes les professions, les mots d’argots ou de patois, les sigles, les marques, beaucoup de mots latins ou en grec ancien, et des mots en d’autres langues courantes (anglais, allemand…) ou moins courantes (breton, corse, leetspeak…).

Bref, vous voici avec un fichier quasi parfait pour une attaque par dictionnaire.

3e étape : Préparer une machine de calcul

Pour craquer des mots de passe par une attaque par dictionnaire, il est préférable d’utiliser une machine performante. Dans mon cas, mon entreprise ne me donne pas accès à une telle machine, mais mon radiateur oui.

Les lecteurs de ce blog savent que je me suis fabriqué un radiateur qui me chauffe l’hiver tout en minant des cryptomonnaies. Ceux qui veulent en savoir plus peuvent lire ce billet. L’hiver étant fini, j’ai une machine disponible avec plusieurs cartes GPU (anciennes). Mais une machine de gamer actuelle suffirait.

La machine est sous Windows, avec WSL, mais une machine GNU/Linux serait aussi bien quand on maîtrise bien l’installation des drivers des cartes graphiques.

J’ai ensuite installé hashcat par le cassage des mots de passe, VeraCrypt pour garder en sécurité à l’abri des regards tous les fichiers et mots de passe découverts et le packet Impacket pour utiliser le script Python secretsdump.py que j’installe dans WSL.

Enfin, je récupère la règle OneRuleToRuleThemAll que je place dans le répertoire « rules » de hashcat.

4e étape : A L’ATTAAAAQUE

Je décompresse mon fichier SSI.7z protégé par mot de passe, dans mon containeur sécurité VeraCrypt et récupère le fichier NTDS.dit et SYSTEM

J’exécute ensuite la commande suivante dans WSL sous Windows :

secretsdump.py LOCAL -ntds NTDS.dit -system SYSTEM -outputfile hash.txt

Le fichier hash.txt contient les mots de passe de mes utilisateurs, chiffrés sous forme de hashs. Je peux enfin lancer la commande suivante :

hashcat -m 1000 -a 0 -w 1 hash.txt wikipedia.fr.txt -r rules/OneRuleToRuleThemAll.rule

Je peux laisser la machine travailler, et quatre heures après, j’ai cassé environ 10% des mots de passe de mes utilisateurs.

Conclusions

Il y a beaucoup de choses à dire, et sans doute beaucoup de monde à son avis sur le sujet, mais voici les actions que j’ai menées suite à la découverte (en quelques heures) de 10% des mots de passe de mes utilisateurs :

  • Tous les utilisateurs sont protégés par une authentification multifactorielle. La faiblesse de leur mot de passe n’est pas en soit catastrophique. Je n’ai donc pas obligé les utilisateurs dont j’ai pu craquer le mot de passe à en changer, sauf pour les comptes de service et les utilisateurs à privilèges (admin, etc.) où les mots de passe peuvent être réellement aléatoires et gérés par des coffres forts de mots de passe.
  • J’ai communiqué auprès de l’ensemble des utilisateurs pour les prévenir qu’il ne faut pas utiliser des mots de passe du type « AbracaDabra@2025! » qui, bien que longs et complexes (17 signes mélangeant majuscules, minuscules, chiffres, caractères spéciaux), sont trouvés par une attaque par dictionnaire. Le message est difficile à entendre, donc merci le MFA.
  • J’ai fait modifier les vérifications lors du changement de mot de passe, pour diminuer la probabilité de succès d’une attaque par dictionnaire.

Si vous avez des réactions constructives à ce billet, n’hésitez pas à laisser un commentaire.

pc202504

Héberger son serveur chez soi

Publié le par

J’aime bien mettre les mains dans la technique, d’abord parce que ce n’est pas sale, mais aussi parce que je suis curieux et que j’aime tester des trucs.

Lorsque j’ai ouvert ce blog, il était hébergé sur une plateforme de blogs et je n’avais presque rien à faire. Mais j’étais très dépendant du bon vouloir de la plateforme de garder ce service ouvert, surtout qu’il s’agissait d’un service gratuit proposé par le « G » de GAFAM, habitué à fermer des services, y compris ceux rencontrant un certain succès.

C’est donc autant par curiosité, par envie d’apprendre, que par soucis de la maîtrise de ce blog, que je l’ai migré sur un serveur que j’héberge chez moi.

J’ai donc installé un serveur Debian sous forme de machine virtuelle sur mon NAS et un WordPress sur lequel j’ai migré mon blog. Debian parce que c’est la distribution GNU/Linux que j’apprécie le plus, et en place dans les différentes entreprises dans lesquelles j’ai travaillé comme RSSI, et WordPress parce qu’il s’agit du CMS le plus utilisé dans le monde, et que j’avais envie d’étudier sa sécurisation, également pour le travail.

J’ai donc configuré toutes les protections possibles sur ce WordPress, même si je sais qu’il sera piraté un jour. J’ai fait au mieux des connaissances que j’ai pu acquérir.

J’ai ensuite mis en place un système de sauvegarde du serveur et du WordPress, vers un autre NAS et vers un stockage en ligne.

Mais exposer un serveur sur internet depuis l’adresse IP attribuée par mon fournisseur d’accès à internet pose plusieurs problèmes :
– j’ai une fibre Free avec IP fixe (ce qui est pratique), mais sujette à quelques coupures de temps en temps.
– il est facile de retrouver mon identité réelle à partir de cette adresse IP, ce qui en soit n’est pas un problème car mon identité n’est pas secrète, mais je souhaite segmenter le plus possible mes activités de blogueur de mes activités professionnelles et personnelles.
– certains billets rencontrent parfois un succès, surtout si un « gros compte » des réseaux sociaux le met en valeur. Un gros afflux de visiteurs crée une sorte d’attaque DDoS qui met en difficulté ma liaison internet.

J’ai donc fait le choix d’utiliser le CDN Cloudflare, car celui-ci propose un compte gratuit pour un nom de domaine unique, avec presque toutes les fonctionnalités. Comme je suis curieux, cela m’a permis d’apprendre beaucoup de choses sur le paramétrage relativement complexe d’un CDN, et de régler les problèmes de coupure (grâce aux caches), d’anonymisation de mon adresse IP et d’attaque DDoS.

Il y a néanmoins plusieurs défauts dans ce choix : le premier (et le plus important) est de dépendre d’un acteur tiers supplémentaire (Cloudflare) en plus de mon FAI (Free), de mon registraire (BookMyName). Le deuxième est que je confie à ce partenaire beaucoup d’informations sur mes lecteurs. Le troisième est que ce partenaire peut changer très vite sa politique de service. Et enfin, tout le paramétrage se fait « sur la prod » puisque je n’ai pas d’environnement de tests (tester, c’est douter ^^).

Plusieurs lecteurs de ce « vieux » blog viennent lire les billets grâce à son flux RSS, et m’ont signalé des difficultés d’accès à ce flux RSS. Après enquête dans les logs fournis par Cloudflare, je me suis rendu compte que deux options anti-bots cochées par mes soins bloquaient aléatoirement le flux RSS des billets du blog :

Capture decran 2025 02 18 135651
Les deux options fautives

Normalement tout doit être rentré dans l’ordre maintenant, et vous devriez pouvoir utiliser vos lecteurs de flux RSS préférés.

Prochain objectif : abandonner le front WordPress pour le remplacer par un site statique, beaucoup plus rapide. Mais ça, c’est une autre histoire.

La cyber, c’est super

Publié le par

Quand on fait de la sensibilisation à la cybersécurité, tous les slogans sont intéressants, dès lors qu’ils marquent les esprits et contribuent à faire prendre conscience à chacun qu’il a un rôle à jouer dans la sécurité informatique de l’entreprise.

Lors des réunions d’échanges avec mes confrères et consœurs RSSI, je note souvent quelques punchlines que je trouve intéressantes, et je les teste sur mes collègues de travail ou sur les utilisateurs de mon entreprise.

Par exemple, j’aime assez la phrase d’autodérision suivante : « Avant une attaque cyber, on se demande souvent à quoi sert le RSSI. Et après une attaque cyber, on se demande à quoi il a servi… »

Autres exemples que je place dans mes visuels de sensibilisation :
– La sécurité commence par votre esprit, pas par votre clé secrète.
– Protégez votre vie privée et votre tranquillité d’esprit.
– Lock it down, protect it up, and block the hackers.
– Stay safe online. Don’t be quick to click
– Secure your data, secure your future
– Vous fermez bien votre porte à clé, alors pourquoi ne pas verrouiller votre poste de travail ?

Un jour, lors d’une petite intervention devant mes collègues, j’ai terminé ma présentation par une pirouette assez triviale en disant :
J’ai la chance d’avoir la plus grande équipe de l’entreprise, car *tous* les salariés travaillent pour la sécurité informatique. Et oui, la cyber, c’est super !

Sans que je m’y attende, mes collègues se sont appropriés cette dernière phrase, et me font souvent un clin d’œil quand on se croise, ponctué d’un « la cyber, c’est super« . J’ai donc adopté cette petite phrase que j’utilise presqu’à chaque fois pour finir une intervention, ce que je vais faire dans ce billet :

Et pour résumer mon intervention, retenez bien ceci :
[silence de deux secondes]
La cyber, c’est super

hacker souriant
Source image Microsoft Designer

Se faire croissanter

Publié le par

Il y a une tradition que j’aime bien et que je retrouve sous une forme ou sous une autre dans toutes les entreprises dans lesquelles je suis intervenu et qui illumine le quotidien des responsables cybersécurité.

Mais avant, je dois rappeler le contexte : vous pouvez mettre en place tous les systèmes de sécurité possibles, il faut bien qu’à un moment ou à un autre, l’utilisateur puisse travailler… Car, après avoir vérifié son badge à l’entrée de l’entreprise, après lui avoir autorisé l’accès à la porte de son bureau, après lui avoir demandé son (dernier) mot de passe valide, puis un deuxième facteur d’authentification par un moyen alternatif, et enfin après un redémarrage pour l’installation des mises à jour de sécurité qui l’oblige à ressaisir son mot de passe (s’il n’a pas expiré entre temps) et son deuxième facteur d’authentification, vous êtes bien obligé de le laisser accéder à son ordinateur de travail.

Sauf que, l’utilisateur est une personne qui a la bougeotte : il lui prend parfois l’envie de s’éloigner de son ordinateur pour un temps supérieur à la seconde, en le laissant sans surveillance ou pire, sous la surveillance de ces collègues de l’openspace.

Et là, je me permets une courte citation d’un sonnet de Pierre de Ronsard :

De soupirs et de pleurs il convient de me repaistre,
Te voyant au cercueil, hélas ! trois fois hélas !

Source BNF

Car le responsable cyber est fourbe par nature et par construction, il sait profiter de la faiblesse humaine, comme les assaillants contre lesquels il lutte souvent seul. Et il est gourmand.

La règle est donc : toute personne laissant son ordinateur sans surveillance avec sa session ouverte se verra croissanté.

Car, une personne malveillante (un collègue) ou le responsable cyber (forcément malveillant) se fera un malin plaisir de s’installer devant l’ordinateur laissé seul avec une session ouverte, afin d’envoyer sous l’identité de l’utilisateur imprudent un email à tous ses collègues de travail, les informant qu’il amènera des croissants pour tout le monde dans la matinée du prochain jour ouvré…

Variante : envoyer un email à toute l’entreprise pour informer qu’une souris à boule à port ps/2 est à vendre, faire proposition.

Variante 2 : proposer d’amener des petits pains, mais attention à la polémique avec les collègues qui utilisent (à tord) l’expression « pains au chocolat » ou « chocolatines ». Mais les polémiques, c’est bien aussi, cela permet de sensibiliser l’utilisateur imprudent.

Conseils : quand vous vous faites croissanter, ne vous vexez pas. Prenez le comme une incitation à être plus vigilant. Si vous êtes « croissanteur », ne piégez pas « méchamment » un collègue en envoyant un email à toute la Direction, restez soft, car un jour aussi, vous serez croissanté 🙂

Pour finir, je précise que je ne me suis pas encore fait croissanter, mais que cela arrivera forcément un jour. Et ce jour là, vous sentirez une faiblesse dans La Force.

hacker avec croissant

Source Bing image creator

L’incendie intérieur

Publié le par

J’ai étudié le fonctionnement du cerveau humain lorsque j’ai travaillé avec des neurologues et des éducateurs de jeunes enfants, pendant ma thèse sur les réseaux de neurones formels. Cela me passionnait et la complexité du cerveau humain me fascine toujours, surtout quand il s’agit du fonctionnement de mon propre cerveau. Je suis d’ailleurs un adepte de l’introspection.

L’introspection (du latin « introspectus ») désigne l’activité mentale que l’on peut décrire métaphoriquement comme l’acte de « regarder à l’intérieur » de soi, par une forme d’attention portée à ses propres sensations, états ou pensées.
Il s’agit en psychologie de la connaissance intérieure que nous avons de nos perceptions, actions, émotions, connaissances, différente en ce sens de celle que pourrait avoir un spectateur extérieur.
Source Wikipédia

Hélas, l’introspection a ses limites, car comme l’a si bien écrit Auguste Comte : « On ne peut pas se mettre à la fenêtre pour se regarder passer dans la rue« . Et j’en ai fait l’amère expérience.

Remontons un peu dans le temps, de quelques mois. En tant que responsable de la cybersécurité, je dois mener à bien dans mon entreprise beaucoup de projets de sécurité informatique, et ces projets m’amènent à travailler avec beaucoup de personnes. Comme dans toutes les entreprises, cela se passe parfois bien, et parfois moins bien : je me heurte à des résistances ou des comportements hostiles.

Rien de neuf sous le soleil, mais cette fois j’ai eu à gérer un comportement très hostile qui m’a demandé beaucoup d’énergie. Sans entrer dans des détails inutiles, je me suis attaché à remplir mes missions et à garder une attitude professionnelle, mais la collaboration se passait très mal. J’ai changé mes méthodes, mes analyses, mes outils, mes arguments. Je me suis remis en cause, j’ai travaillé plus, et plus longtemps. Et, sans vraiment m’en rendre compte, je me suis mis à tourner comme un hamster dans sa cage : beaucoup d’énergie dépensée pour peu de résultats.

Ma hiérarchie demande des résultats, et c’est bien normal puisqu’en échange je touche un salaire avec une partie liée à des objectifs. Donc, moins j’avais de résultats, plus je déployais d’efforts, d’analyses, de stratégies, de techniques de contournement, pour arriver à avancer sur mes projets. Petit à petit, la pression augmentait. J’essayais de remettre en cause mes compétences, mes connaissances, mon savoir-faire, mon savoir-être, mais rien n’y faisait.

Mon regard introspectif et ma logique d’analyse de mes propres sensations ne me donnaient aucun indice sur ce qui était en train de se passer dans mon cerveau : une petite voix intérieure me soufflait de stopper cette spirale infernale d’épuisement mental.

Quand j’écris « petite voix intérieure », le lecteur que je suis (comme vous, je lis ce texte, je suis même le premier à le lire), le lecteur que je suis, donc, imagine quelqu’un qui parle à voix basse, comme une sorte de diablotin/ange posé sur l’épaule. Mais ce n’est pas cela du tout : la partie consciente de mon cerveau, celle qui tient les commandes, est seule à la manœuvre.

la conscience serait un phénomène mental caractérisé par un ensemble d’éléments plus ou moins intenses et présents selon les moments : un certain sentiment d’unité lors de la perception par l’esprit ou par les sens (identité du soi), le sentiment qu’il y a un arrière-plan en nous qui « voit », un phénomène plutôt passif et global contrairement aux activités purement intellectuelles de l’esprit, actives et localisées, et qui sont liées à l’action (par exemple la projection, l’anticipation, l’histoire, le temps, les concepts…).
Extrait de la page « conscience » de Wikipedia

La conscience s’appuie sur un ensemble complexe de circuits neuronaux qui s’organisent en réseaux pour traiter les entrées sensorielles, les relayer jusqu’au cortex, puis les traduire en sorties comportementales ou psychiques. La variété des comportements nécessite que certains réseaux soient sélectionnés en fonction des différents types de situations vécues. Cette sélection est réalisée par les neurones dits modulateurs, qui libèrent de la sérotonine, de la noradrénaline ou de la dopamine.

La conjonction de plusieurs disciplines – l’anatomie, la neurobiologie comportementale et la neuropharmacologie – a permis de définir une entité dénommée « circuit de la récompense », constituée de structures cérébrales en interrelation (noyau accumbens, septum, amygdale, hippocampe, cortex préfrontal), elles-mêmes sous la dépendance des afférences dopaminergiques venant de l’aire tegmentale ventrale.
Le cortex préfrontal est impliqué dans la motivation et la focalisation de l’attention, l’amygdale est considérée comme étant le centre des émotions, et l’hippocampe serait le régulateur de la mémoire. Quant au noyau accumbens, il jouerait un rôle d’interface entre les émotions et les sorties motrices. Toutes ces structures se projettent sur l’hypothalamus, qui régule les fonctions neurovégétatives de l’organisme, c’est-à-dire les fonctions vitales telles que le rythme cardiaque ou la régulation thermique, des fonctions métaboliques comme la faim et la soif, et également la reproduction. L’aire tegmentale ventrale, enfin, reçoit les informations de plusieurs régions cérébrales, dont l’hypothalamus, et transmet ses ordres au noyau accumbens et au reste du circuit de la récompense en modifiant la libération de dopamine
Source « Le circuit de la récompense » de Jean-Pol Tassin

Un stress intense peut briser le circuit de la récompense en modifiant la libération de dopamine.

Non seulement j’étais de plus en plus déprimé en quittant mon travail, mais j’y allais de plus en plus « avec la boule au ventre ». Plus le temps passait, plus le fonctionnement « normal » de mon cerveau se dégradait et j’en étais le spectateur inconscient. La dopamine est indispensable à la survie de l’individu car elle joue un rôle dans la motivation. Ma « petite voix intérieure » me soufflait de plus en plus fort de tout arrêter PAR TOUS LES MOYENS et mon angoisse se transformait en pensées sombres.

Je me mettais à transpirer abondamment en pleine réunion, ou à balbutier en pleine intervention, comme une crise de panique sans raison. Je dormais beaucoup mais mal, je me réveillais au milieu de la nuit sans pouvoir me rendormir. J’étais tout le temps fatigué.

Les gens sont parfois victimes d’incendie, tout comme les immeubles. Sous la tension produite par la vie dans notre monde complexe leurs ressources internes en viennent à se consumer comme sous l’action des flammes, ne laissant qu’un vide immense à l’intérieur, même si l’enveloppe externe semble plus ou moins intacte.
Herbert J. Freudenberger, psychologue et psychothérapeute américain

Vous l’avez compris, j’ai été victime d’un épuisement professionnel (je vous invite à lire cette page très intéressante de Wikipédia car elle décrit beaucoup d’autres situations très différentes de la mienne).

Bref, j’ai fait un « burn-out« .

Si j’ai décidé d’écrire ce billet, c’est parce que je m’en suis sorti grâce à deux RSSI qui ont osé briser le tabou du silence et témoigner lors d’une conférence à laquelle j’ai assisté. Je n’oserai sans doute pas faire de même car j’ai encore du mal à en parler, mais j’ai la chance d’avoir ce blog qui me sert de thérapie.

Je m’en suis sorti grâce au soutien de Mme Zythom qui a su m’entourer de son amour sans me juger ni me donner les conseils bateaux du type « non mais ça va aller » ou « il y a plus à plaindre que toi ». Le burn-out est un incendie intérieur ne laissant qu’un vide immense.

Je m’en suis sorti grâce à l’intervention de mon nouveau chef qui a su reconnaître ma situation d’épuisement et prendre les bonnes décisions de soutien.

Ce qui est sûr, c’est que je ne m’en suis pas sorti grâce à mon cerveau.

00004660

La revue Next INpact vit ses derniers instants sauf si

Publié le par

Parmi les rares abonnements payants auxquels j’ai souscrits, celui de Next INpact arrive loin devant : c’est pour moi une revue tenue par des journalistes spécialisés de très haut niveau et particulièrement compétents. C’est aussi la seule revue dont je lis les commentaires publiés sous les articles, car les abonnés partagent une passion commune, celle de l’informatique.

Si j’écris ce billet, c’est parce qu’après 23 années d’existence, la revue risque de disparaître, et que j’ai la chance de pouvoir atteindre quelques milliers d’internautes à travers ce blog, non seulement pour vous encourager à vous abonner à cette revue qui ne vous imposera aucune publicité, mais surtout pour aller voir les financiers de votre entreprise et leur parler de mécénat et défiscalisation :

Nous pouvons être sauvés grâce au soutien des acteurs du numérique, à l’aide de mécénats défiscalisables – le mécénat d’entreprises ouvrant droit à une réduction d’impôt égale à 60 % du montant du don (IR ou IS) dans la limite de 0,5 % du chiffre d’affaires ou 20 000 euros maximum en cas de dépassement de cette limite.
Je reste convaincu que certains souhaiteraient que nous poursuivions notre aventure aussi longtemps que possible. Une fois que la société INpact mediagroup sera fermée, il ne sera plus possible de revenir en arrière. Si vous souhaitez nous aider, c’est maintenant ou jamais.

Si vous connaissez Bernard Arnaud (ou son conseiller fiscal), ou si vous travaillez dans une entreprise du numérique capable de comprendre les enjeux autour de cette formidable équipe, ne tardez pas.

journalistes