http://yom.retiaire.org/ 2026-04-18T12:10:51+02:00 http://yom.retiaire.org/ http://yom.retiaire.org/lib/tpl/dokuwiki/images/favicon.ico text/html 2006-04-21T18:11:31+02:00 http://yom.retiaire.org/doku.php?id=start:about_me&rev=1145635891&do=diff About me * Guillaume Arcas, 37 ans (déjà !), consultant indépendant. * Ingénierie et Sécurité Unix / réseaux TCP/IP. * <guillaume>.<arcas> <at> <retiaire.org> CV Agenda Où vais-je ? Où étais-je ? A venir * 8/9 novembre 2005 - JSSI CELAR (Rennes) text/html 2008-07-25T17:13:47+02:00 http://yom.retiaire.org/doku.php?id=start:about_this_blog_wiki&rev=1216998827&do=diff * Ce site n'est pas à proprement parlé un blog. C'est un wiki, ou plus précisément un dokuwiki. * Son premier objectif est de mettre à la disposition du visiteur des informations techniques sur les sujets et les outils qui m'intéressent ou avec lesquels je travaille. * Le second objectif de ce site est, ne le cachons pas, de faire ma propre publicité : je suis travailleur indépendant et tout disposé à répondre à d'éventuels appels d'offres pour des missions sur ces mêmes sujets... :-… text/html 2006-04-21T18:11:31+02:00 http://yom.retiaire.org/doku.php?id=start:amazon&rev=1145635891&do=diff Courriel du 12/10/2005 * Le site piégé n'est pas resté suffisamment longtemps en ligne pour que je puisse en faire une capture. Seul l'appât est resté. L'appât (reçu par courriel) * Le piégeur jour sur la peur (“votre compte sera bloqué”) pour forcer la main du piégé. text/html 2006-04-21T18:11:31+02:00 http://yom.retiaire.org/doku.php?id=start:american_red_cross&rev=1145635891&do=diff American Red Cross : à vot' bon (ha)coeur... * Courriel reçu en octobre 2005. * Après le passage des ouragans Katrina et Rita, des courriels de phishing comme celui-ci ont été lancés pour capter une partie des dons en faveur des sinistrés. text/html 2007-04-23T18:59:11+02:00 http://yom.retiaire.org/doku.php?id=start:anatomie_d_une_attaque_virale&rev=1177347551&do=diff * 23 avril 2007 * J'ai reçu ce lundi cette jolie carte postale électronique (eCard en bon english) : * Etant d'un naturel curieux et non méfiant1, je clique sur le lien, avide de savoir ce que me veut cette Juliana que je ne connais pas2. A ma grande déception ce n'est pas un joli minois qui apparait alors mais cette pop-up : text/html 2006-05-17T14:46:44+02:00 http://yom.retiaire.org/doku.php?id=start:bancorp_south&rev=1147870004&do=diff * Rien que du très classique... L'appât Le piège text/html 2006-04-21T18:11:31+02:00 http://yom.retiaire.org/doku.php?id=start:bank_of_america&rev=1145635891&do=diff Bank of America * Courriel reçu le 30/06/2005. * Les auteurs de ce piège jouent sur la peur : “nous pensons que des accès illicites à votre compte se sont produits.” L'appât (reçu par courriel) L'hameçon text/html 2006-04-21T18:11:31+02:00 http://yom.retiaire.org/doku.php?id=start:banques_francaises&rev=1145635891&do=diff Banques françaises * Un beau tir groupé pour cette première opération visant explicitement des établissements bancaires français. * Ce courriel a été reçu le 27 mai 2005. L'appât (reçu par courriel) text/html 2006-04-21T18:11:31+02:00 http://yom.retiaire.org/doku.php?id=start:barclays&rev=1145635891&do=diff * A partir d'un courrier “comme tant d'autres”, j'ai pris le risque inconsidéré d'aller au-delà de la première page du piège... Courriel du 18/11/2005 * Le piège présenté ci-dessous peut être qualififé de sophistiqué. Ses auteurs ont pris le soin de reproduire un véritable “parcours” client non dénué d'humour et de cynisme : la première page comporte une mise en garde... contre la fraude ! Cette pratique devient de plus en plus courante et démontre que les fraudeurs mettent en oeuvre une po… text/html 2007-09-04T09:55:32+02:00 http://yom.retiaire.org/doku.php?id=start:bibliographie&rev=1188892532&do=diff * “Bibliographie” : un grand mot, peut-être, pour désigner en fait la liste des articles et pubications à la rédaction desquelles j'ai pu contribuer d'une manière ou d'une autre. * Linux Magazine HS Virus - ClamAV - Article co-écrit avec Stéphane Clodic text/html 2006-04-21T18:11:31+02:00 http://yom.retiaire.org/doku.php?id=start:bnp_paribas&rev=1145635891&do=diff * Le 20 mars, la banque BNP Paribas a été prise pour support d'une tentative d'hameçonnage “franco-française”. L'appât (reçu par courriel) * La banque BNP Paribas a servi de support à plusieurs tentatives d'hameçonnage durant le week-end du 20 mars. Au moins deux courriels ont ainsi été expédiés. * Techniquement, le message est composé (en HTML) d'une simple image qui pointe vers une site dont l'URL longue est supposée induire l'imprudent internaute en erreur. * Le courriel est accomp… text/html 2006-04-21T18:11:31+02:00 http://yom.retiaire.org/doku.php?id=start:clamav_how-to&rev=1145635891&do=diff FIXME * L'objectif du projet ClamAV est de fournir un moteur antivirus et des signatures à jour. (To be continued...) text/html 2006-04-24T11:20:05+02:00 http://yom.retiaire.org/doku.php?id=start:conseils_de_lecture&rev=1145870405&do=diff * Cette page présente - sans prétention - les livres en rapport - peu ou prou - avec l'informatique et qui ont retenu mon attention, nourri ma formation, ma réflexion ou mon esprit, etc. Généralités * TCP/IP Illustrated - Volume 1 à 3 - W. Richard Stevens. La Bible ! La lecture du Volume 1 et 3 (dans cet ordre) est incontournable. Le Volume 2 peut être réservé au développeur. * Operating Systems Design & Implementation - A. S. Tanenbaum / A. S. Woodhull * Distributed Systems Principles … text/html 2006-04-21T18:11:31+02:00 http://yom.retiaire.org/doku.php?id=start:contournement_d_antivirus&rev=1145635891&do=diff * 20/10/2005 * Je viens de recevoir un courriel qui “met en pratique” ce que nous écrivions dans notre présentation pour SSTIC 2005 dans “Contournement de passerelles antivirus”. * Ce courriel se présente sous la forme d'une publicité pour un site (brésilien) : text/html 2006-04-21T18:11:31+02:00 http://yom.retiaire.org/doku.php?id=start:credit_lyonnais&rev=1145635891&do=diff * Dans la foulée de BNP Paribas, le Crédit Lyonnais est à son tour victime d'une campagne d'hameçonnage le 21 mars. * Le mode opératoire est identique à celui utilisé pour BNP Paribas. L'appât (reçu par courriel) text/html 2006-08-20T09:42:44+02:00 http://yom.retiaire.org/doku.php?id=start:credit_union_national_association&rev=1156059764&do=diff * Courriel reçu le 22 octobre 2005 * Ce piège est très simple, pour ne pas dire simpliste puisque les piègeurs n'ont même pas pris la peine de reproduire la charte graphique du site original ! * Août 2006 : même procédé mais cette fois le “look & feel” du site est respecté. text/html 2008-02-13T14:58:27+02:00 http://yom.retiaire.org/doku.php?id=start:cv&rev=1202911107&do=diff * Guillaume Arcas * <guillaume.arcas> <at> <retiaire.org> * 37 ans * Marié, deux enfants * Nationalité française Version longue de mon CV : Systèmes d'exploitation * UNIX * Sun Solaris / IBM AIX * Linux Red Hat / GNU/Debian * FreeBSD 4.x / OpenBSD 3.x / Mac OS X 10.x * Connaissance des environnements Microsoft text/html 2006-04-21T18:11:31+02:00 http://yom.retiaire.org/doku.php?id=start:detection_d_intrusion&rev=1145635891&do=diff La détection d'intrusion * Cette présentation a été faite lors de la session 2005 du mastère SIS de l'EMIAE (Casablanca, Maroc). Introduction Les IDS (Intrusion Detection System, ou, en bon français, Systèmes de détection d'intrusion) ont fait leur apparition vers la fin des années 90 dans le paysage Sécurité, loin, cependant, derrière les pare-feux ou les solutions antivirus. Ils sont depuis devenus un complément utile (mais non indispensable) à ces outils de sécurité actifs.… text/html 2006-04-21T18:11:31+02:00 http://yom.retiaire.org/doku.php?id=start:deutsche_bank&rev=1145635891&do=diff Courriel du 24/10/2005 * La technique de maquillage de l'URL réellement chargée dans le navigateur utilisée dans ce piège utilise les mêmes artifices que ceux du piège de la Deutsche Postbank (courriel du 20/10/2005). L'appât (reçu par courriel) text/html 2006-04-21T18:11:31+02:00 http://yom.retiaire.org/doku.php?id=start:deutsche_postbank&rev=1145635891&do=diff * Depuis quelques jours, la Postbank allemande est prise pour cible. Courriel du 12/10/2005 * Particularité de ce piège : il pointe vers un domaine identique à l'original mais en .org. L'appât (reçu par courriel) Courriel du 19/10/2005 * Le site sur lequel pointe réellement le lien ne fonctionne pas/plus à cette date. text/html 2006-04-21T18:11:31+02:00 http://yom.retiaire.org/doku.php?id=start:deutsche_postbank_bis&rev=1145635891&do=diff * Courriel reçu le 19/10/2005 * Le site sur lequel pointe réellement le lien ne fonctionne pas/plus à cette date. L'appât (reçu par courriel) text/html 2006-05-16T16:30:36+02:00 http://yom.retiaire.org/doku.php?id=start:e-gold&rev=1147789836&do=diff * e-Gold est un système de paiement en ligne. Courriel du 15 mai 2006 * Une fois encore, un grand classique du genre : L'appât Le piège * Tout au plus peut-on relever l'utilisation du code “image” de confirmation qui donne au formulaire un peu plus de crédibilité (même si on serait en droit de se demander à quoi ce code peut bien servir dans le cas précis !) text/html 2006-04-21T18:11:31+02:00 http://yom.retiaire.org/doku.php?id=start:ebay&rev=1145635891&do=diff Courriel du 28/10/2005 * Une grand “classique” du genre... L'appât (reçu par courriel) L'hameçon Courriel du 06/03/2006 * Variante : “Veuillez vérifier votre numéro de carte bancaire.” Le piège peut être efficace si le courriel aterrit dans la boite d'un titulaire de carte dont les derniers chiffres correspondent à ceux du message. text/html 2006-10-04T14:57:23+02:00 http://yom.retiaire.org/doku.php?id=start:ebay_france&rev=1159966643&do=diff * 04/10/2006 - eBay France est ciblée à son tour par une campagne de phishing rédigée dans la langue de Molière (enfin, approximativement...). L'appât L'hameçon text/html 2006-04-21T18:11:31+02:00 http://yom.retiaire.org/doku.php?id=start:first_credit_union&rev=1145635891&do=diff Courriel du 26/10/2005 L'appât (reçu par courriel) L'hameçon text/html 2006-04-21T18:11:31+02:00 http://yom.retiaire.org/doku.php?id=start:halifax&rev=1145635891&do=diff Courriel du 28/11/2005 L'hameçon (reçu par courriel) L'appât text/html 2006-10-31T17:06:30+02:00 http://yom.retiaire.org/doku.php?id=start:inclassable&rev=1162310790&do=diff Qui osera... * Carte d'embarquement “plus vraie que nature” fournie par un générateur en ligne. * Cette carte ne permet pas d'embarquer sans un ticket dûment acheté mais permet l'accès aux zones dites “réservées”. Réservées à qui ? A à peu près n'importe qui pour l'auteur du générateur : text/html 2007-01-17T19:37:21+02:00 http://yom.retiaire.org/doku.php?id=start:interventions_publiques&rev=1169059041&do=diff * Cette page présente la liste des supports des présentations réalisées à l'occasion d'évènements publics (conférences, salons, etc.) OSSIR * L'OSSIR est une association qui regroupe les utilisateurs intéressés par la sécurité des systèmes d'information et des réseaux. Site officiel text/html 2006-11-27T19:04:33+02:00 http://yom.retiaire.org/doku.php?id=start:john_the_ripper&rev=1164650673&do=diff * MAJ : 24/04/2006 * Article co-écrit avec - et à l'insu de son plein gré - Stéphane Clodic * Note: cet article est un draft de chez draft ! * FIXME FIXME * John The Ripper (ci-après dénommé “JTR”) est l'utilitaire de référence en matière de cassage d'audit de mots de passe. * L'objectif de ce petit article est d'en présenter sous une forme claire (ie: human readable) les options de configuration livrées en standard. * En effet, la lecture du fichier de configuration de JTR redonn… text/html 2006-04-21T18:11:31+02:00 http://yom.retiaire.org/doku.php?id=start:jp_morgan_chase&rev=1145635891&do=diff Courriel du 22/03/2006 L'appât (reçu par courriel) * Le lien vers le piège - LOGIN - utilise une redirection via Google puis une seconde redirection depuis le premier rebond pour noyer le poisson. Courriel du 02/12/2005 L'appât (reçu par courriel) text/html 2006-10-07T19:43:23+02:00 http://yom.retiaire.org/doku.php?id=start:lloyds_tsb&rev=1160243003&do=diff * Un exemple de piège très “lèché”. L'appât L'hameçon text/html 2006-04-21T18:11:31+02:00 http://yom.retiaire.org/doku.php?id=start:mise_a_jour_de_openwrt_rc3_en_rc4&rev=1145635891&do=diff * Nous avons vu précédemment (OpenWRT on Linksys WRT54G How-to) comment installer la version RC3 du firmware Libre OpenWRT sur un routeur Linksys WRT54G. * Cette page décrit brièvement comment mettre à jour ce firmware en version RC4. OpenWRT RC4 Voici les principaux atouts et ajoûts de la version RC4 du firmware OpenWRT : text/html 2006-12-29T09:43:25+02:00 http://yom.retiaire.org/doku.php?id=start:monster.com&rev=1167381805&do=diff 29 décembre 2006 * Monster sert bien involontairement de vecteur viral. L'appât * Grand classique du genre, l'appât se présente sous la forme d'un courriel : * L'internaute peu méfiant est invité à vite installé un nouvel outil s'il veut continuer à utiliser les services du site Monster. text/html 2006-08-20T22:03:37+02:00 http://yom.retiaire.org/doku.php?id=start:national_association_of_federal_credit_unions&rev=1156104217&do=diff Courriel du 20 août 2006 L'appât L'hameçon text/html 2006-04-21T18:11:31+02:00 http://yom.retiaire.org/doku.php?id=start:openvpn_for_openwrt_how-to&rev=1145635891&do=diff text/html 2006-05-12T17:40:17+02:00 http://yom.retiaire.org/doku.php?id=start:openvpn_how-to&rev=1147448417&do=diff * Auteur : G. Arcas <guillaume.arcas> at <free.fr> || <guillaume.arcas> at <retiaire.org> * Date : 26 février 2006 * Version : 1.1 ---------- ToDo Liste * Diagramme des paquets UDP et TCP OpenVPN * Règles de filtrage ---------- * OpenVPN est une solution Libre de mise en oeuvre de VPN (Virtual Private Network, Réseau Privé Virtuel en bon français). * Construite au-dessus de la bibliothèque de fonctions cryptographiques OpenSSL, OpenVPN est une application client/serveur qui s'i… text/html 2006-04-21T18:11:31+02:00 http://yom.retiaire.org/doku.php?id=start:openvpn_openwrt_how-to&rev=1145635891&do=diff * Ce tutoriel présente l'installation et la configuration d'OpenVPN sur un routeur WRT54G tournant sous OpenWRT (Voir OpenWRT on Linksys WRT54G How-to). * OpenVPN nous semble en effet être le compagnon idéal d'OpenWRT pour sécuriser une liaison sans fil. text/html 2006-04-21T18:11:32+02:00 http://yom.retiaire.org/doku.php?id=start:openwrt_on_linksys_wrt54g_how-to&rev=1145635892&do=diff * Cette page décrit l'installation d'OpenWRT sur un routeur Linksys WRT54G fraîchement acquis. La manip' décrite consiste à remplacer le firmware d'origine par une version Libre qui apporte au routeur les mêmes fonctionnalités. * Le matériel utilisé est un routeur Linksys WRT54G version 3.1 avec une firmware d'origine 4.01.1. text/html 2006-04-21T18:11:31+02:00 http://yom.retiaire.org/doku.php?id=start:past_events&rev=1145635891&do=diff * 14/14 octobre 2005 - Hack.lu (Luxembourg) Hack.lu * 21 mars 2005 - EUROSEC 2005 - Intervention : “Une politique anti-virus à l'épreuve du temps” EUROSEC 2005 * 3/4 février 2005 - Linux Expo Paris / Stand OpenBSD OpenBSD * Novembre - JSSI du CELAR 2004. text/html 2006-04-21T18:11:32+02:00 http://yom.retiaire.org/doku.php?id=start:paypal&rev=1145635892&do=diff * PayPal - et plus particulièrement ses clients et utilisateurs - sont les victimes récurrentes d'opérations d'hameçonnage. Octobre 2005 * Le courriel reproduit ci-dessous se promène depuis quelques semaines avec comme Objet : “Suspended Account” ou bien “Upgrade and verify your PayPal account”. text/html 2006-12-29T09:30:27+02:00 http://yom.retiaire.org/doku.php?id=start:paypal_france&rev=1167381027&do=diff Noël 2006 * Nous sommes le 26 décembre 2006, lendemain de Noël. Dans les flashes info ce matin, une nouvelle revient souvent : “15 % des internautes français se déclarent prêts à remettre en vente leurs cadeaux de Noël cette année, selon une étude TNS-Sofres commandée par eBay. C'est deux fois plus qu'en 2005.” * Il semblerait que les pirates lisent les sondages, la preuve en images ci-dessous. text/html 2006-04-21T18:11:32+02:00 http://yom.retiaire.org/doku.php?id=start:paypal_suspended_account&rev=1145635892&do=diff * PayPal - et plus particulièrement ses clients et utilisateurs - sont les victimes récurrentes d'opérations d'hameçonnage. Octobre 2005 * Le courriel reproduit ci-dessous se promène depuis quelques semaines avec comme Objet : “Suspended Account” ou bien “Upgrade and verify your PayPal account”. text/html 2006-12-29T09:44:03+02:00 http://yom.retiaire.org/doku.php?id=start:phishing&rev=1167381843&do=diff * L'objectif de cette page n'est pas de démonter ni d'expliquer les trucs et astuces utilisés pour piéger les internautes : cela a déjà été fait ailleurs et même très bien fait (HSC : Phishing, social engineering et subterfuges ou Le Phishing vu par le CERT-IST). Il s'agit juste d'une “exposition” des courriels que j'ai reçus afin d'illustrer le sujet. text/html 2006-04-21T18:11:32+02:00 http://yom.retiaire.org/doku.php?id=start:presentations_publiques&rev=1145635892&do=diff * Cette page présente la liste des supports des présentations réalisées à l'occasion d'évènements publics (conférences, salons, etc.) OSSIR * L'OSSIR est une association qui regroupe les utilisateurs intéressés par la sécurité des systèmes d'information et des réseaux. Site officiel text/html 2006-05-23T15:06:07+02:00 http://yom.retiaire.org/doku.php?id=start:recreations_virales&rev=1148389567&do=diff * L'idée de cette section m'est venue à la suite d'une (re)lecture de Les virus informatiques : théorie, pratique et applications d'Eric Filiol : * Dans la seconde partie de cet excellent ouvrage (le meilleur à mon sens depuis ceux de Mark Ludwig) l'auteur s'appuie sur des langages tels que le BASH et le PERL pour “illustrer” ses propos. * Je n'ai aucument la prétention ni, à commencer, les compétences de concurrencer de quelque manière que ce soit Mr Filiol. Tout au plus m'exercè-je dan… text/html 2006-04-21T18:11:32+02:00 http://yom.retiaire.org/doku.php?id=start:snort_ids_how-to&rev=1145635892&do=diff FIXME Introduction Il n'est plus nécessaire de présenter Snort qui est devenu la référence de fait des outils de détection d'intrusion Réseau. L'objectif de cet article n'est donc pas d'initier le lecteur en la matière mais de présenter le déploiement d'un IDS au-dessus de sondes Snort dans une optique industrielle. text/html 2006-04-21T18:11:32+02:00 http://yom.retiaire.org/doku.php?id=start:societe_generale&rev=1145635892&do=diff * La Société Générale fut elle aussi touchée par la vague d'attaques des 20 et 21 mars 2006. L'appât (reçu par courriel) * Merci à Xavier pour sa contribution à cette galerie. text/html 2006-04-21T18:11:32+02:00 http://yom.retiaire.org/doku.php?id=start:southtrust&rev=1145635892&do=diff South Trust * Courriel reçu en juin 2005. L'appât (reçu par courriel) L'hameçon text/html 2006-05-30T23:39:07+02:00 http://yom.retiaire.org/doku.php?id=start:supports_de_cours&rev=1149025147&do=diff * Sont proposés ci-dessous les supports des cours dispensés auprès des étudiants de l'EMIAE de Casablanca et de l'ESIAE de Paris dans le cadre des Mastères Spécialisés Sécurité proposés par ces deux écoles. * Cours introductif : * Détection d'intrusion : text/html 2006-08-28T15:45:47+02:00 http://yom.retiaire.org/doku.php?id=start:sur_le_vif&rev=1156772747&do=diff * Quand l'informatique débloque... Paris, aout 2006 * Oups, ce n'est peut-être pas la meilleure façon de louer la fiabilité des OS MS... Site RATP, mars 2006 * 110 km/h en ville : que fait la Police ?! Métro de Madrid, mai 2005 * Where do you want to fail today ?