JUGW – Meeting samedi 11 mars 2017

La présentation générale de la journée se trouve sur https://slides.jugwallonie.be

1. Présentation sécurité – hacking

image

La présentation de Jurgen est disponible sur Slideshare : https://www.slideshare.net/JurgenGaeremyn/l33t-h4×0rz.

Jurgen revient sur l’état d’esprit de certaines personnes : “Pourquoi un hacker viendrait-il hacker mon site de l’école de Vilvoorde ?”. L’idée tellement généralisée et fausse que les hackeurs viennent pirater uniquement des sites “intéressants” alors que les hackeurs sont, d’abord, des robots, des scripts, qui hackent à tout va à la recherche d’un site failible pour, ensuite, en exploiter ses ressources (envoi de spam, vol de réputation SEO, phising, …).

1.1. Outils

Eric, membre de la Commission de Protection de la Vie Privée, insiste fortement sur le caractère illégal de l’utilisation de ces outils sur des sites tiers : pour simplifier; on ne peut les utiliser qu’à des fins éducationnelles; sur sa machine locale et jamais sur d’autres serveurs, même ceux de ses clients et même si on est mandaté par ce dernier.

Jurgen nous montre une distribution sur Linux regroupant, prêt à l’emploi, des outils permettant de hacker, de rechercher des informations sur une personne, sur un serveur, … Cette distribution est “ready-to-use” et met donc des outils puissants à la portée de tous : scripts kiddies.

Une fois pénétrés, les ordinateurs/serveurs deviennent des zombies.

Suite à cette démo, on comprend vraiment bien qu’il ne faut pas être “un site important” afin d’être hacké : ces outils scannent à tout va, “au petit bonheur la chance” et il suffit d’avoir un nom de domaine (et donc une présence sur internet) pour que ces outils trouvent votre site et tentent d’en mettre à mal la sécurité (=penetration tests).

1.2. WIFI

Jurgen nous parle aussi de la technique sous-jacente au réseau WIFI : toutes les communications WIFI passent par le router qui contacte alors toutes les machines connectées à ce WIFI : “Est-ce toi qui a demandé telle information ?” et chaque machine répond alors “Oui, c’est moi” ou “Non, ce n’est pas moi”. Une machine malhonnête connectée au même WIFI voit donc passer le trafic des autres machines connectées au même WIFI. Cette machine malhonnête peut donc voir, analyser et enregistrer vos échanges à votre insu.

D’où l’extrême importance de crypter ses informations avant même de les transmettre sur un WIFI et là l’utilité du certificat SSL : une connexion https est cryptée au départ de la machine; transmettre ainsi son login et son mot de passe d’administration n’est pas lisible sur le WIFI.

Transmettre un email via WIFI avec un protocole non sécurisé comme POP ou SMTP : votre email, vos identifiants à votre messagerie, … tout passe en clair ! Comme si vous envoyiez une carte postale. Idem si vous faites du FTP, que vous vous connectez sur votre Facebook, webmail, … tout passe en clair sur le WIFI et peut être écouté.

Jurgen recommande l’utilisation de logiciel type VPN qui permettent de crypter toute l’échange entre votre appareil et le réseau.

1.3. Outils d’analyse

1.4. Quelques recommandations :

La sécurité n’est pas un projet mais un day-to-day task.

1.5. Quelques lectures

Si vous souhaitez approfondir la question de la sécurité, voici quelques liens :

2. Présentation Joomla 3.7 / Preview Joomla 4

Survol des fonctionnalités par Marc Dechèvre.

A priori, la version 3.7 est prévue, en version stable, fin mars et la version 4 fin de l’année (=ceci est une estimation, cette date est sujette à modification).

Joomla 4 vient avec une toute nouvelle interface d’administration avec un nouveau menu à gauche.

2.1. Joomla 3.7 > sources officielles

2.2. Joomla 3.7 > en résumé

2.3. Joomla 3.7 > source JoomlaShack

2.4. Joomla 3.7 > source Brian Teeman

2.5. Joomla 3.7 > sources diverses

2.6. Joomla 3.7 > sources vidéos

2.7. Joomla 3.8

2.8. Joomla 4.0 dev

2.9. Media Manager

2.10. Joomla X

Personnes ayant participés à la rédaction de ce compte-rendu : Christophe Avonture, Marc Dechèvre, Jean-Luc Bourgogne et Eric Gheur. Merci !