Aller au contenu
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Observabilité & monitoring sans effort de vos infrastructures Cloud avec SquareScale

— Article en partenariat avec SquareScale —

Je vous avais promis 2 belles surprises de la part de SquareScale d’ici la fin de l’année. Et bien aujourd’hui, je vous dévoile la première, qui enlève une belle épine du pied de tous les développeurs et sysadmins sur leurs projets Cloud Native.

Je reviens en vitesse sur SquareScale pour ceux qui découvrent : SquareScale est un outil qui permet de déployer / piloter des infrastructures Cloud Native chez n’importe quel IaaS provider, avec un focus sur la sécurité, qui est aussi capable de générer des infrastructures certifiables (PCI DSS, HDS, SecNumCloud). SquareScale automatise tout, et met à disposition une infrastructure prête pour la prod avec tous les outils dont rêvent les DevOps.

Si vous avez loupé les précédents articles qui présentent SquareScale, le rattrapage, c’est par ici.

Aujourd’hui, SquareScale annonce une nouvelle fonctionnalité: le déploiement en 1 clic d’un environnement d’observabilité et de monitoring de votre infrastructure.

Un des écueils que l’on entend le plus souvent de la part de développeurs qui adoptent une architecture en microservices, c’est la grande difficulté à déboguer l’application, comprendre les interactions entre les services.

La mise en place d’une stack d’observabilité s’avère donc indispensable pour tout projet, aussi bien pendant la phase de dev que celle de production.

Avant d’approfondir le sujet d’observabilité, quelques mots qui rappellent les grandes lignes de SquareScale:

SquareScale va utiliser l’API de l’IaaS provider choisi pour provisionner des VMs, réparties dans plusieurs zones géographiques, configurer l’OS de chaque machine virtuelle, configurer les réseaux, bootstrapper un cluster Nomad, un cluster Consul, un cluster Vault (selon les options sélectionnées), mettre en place le chiffrement TLS sur tous les échanges, configurer un load balancer (IaaS + Traefik), activer les règles de sécurité selon le profil choisi.

Éventuellement, on peut demander à SquareScale de provisionner un service managé spécifique à l’IaaS provider utilisé (Postgresql sur AWS RDS par exemple, éventuellement en HA).

En seulement quelques minutes, on a accès à son infrastructure dédiée complètement prête pour la production, dont toutes les bonnes pratiques de sécurité sont mises en place, complètement reproductible et réplicable à souhait. Et, cerise sur le gâteau, on peut automatiser l’automatisation réalisée par SquareScale via un provider Terraform ou la CLI. Idéal pour du déploiement continu, avec la possibilité de générer un environnement de staging complètement identique à la production de façon automatisée, en quelques minutes seulement.

Pour le monitoring et l’observabilité, ce que propose SquareScale est une option qui va déployer une “time series database”, Prometheus, pour enregistrer toutes les valeurs numériques. Pour les logs, SquareScale met en place Loki, un système d’agrégation de logs multi-tenants. Et pour la visualisation des données, c’est naturellement Grafana qui est déployé.

Il est à souligner que cet environnement va servir à monitorer non seulement tous les composants de l’infrastructure, mais aussi l’application. Les API sont exposées aux développeurs qui peuvent alors bénéficier immédiatement de l’outil pour debugger leur application.

Voyons maintenant comment, le plus simplement du monde, nous pouvons demander à SquareScale de nous offrir toute une stack de monitoring / observabilité.

Dans l’onglet “Summary”, nous allons pour l’exemple créer une nouvelle infrastructure AWS :

Pour prendre un exemple simple, nous créons un cluster de dev (single node), on sélectionne le monitoring Netdata. Cette fonctionnalité existe depuis longtemps, mais on va voir que les données Netdata sont envoyées vers Prometheus.

On sélectionne alors “Prometheus, Loki & Grafana for nodes monitoring” :

Dans la synthèse de l’infrastructure ainsi créée, on voit que les liens pour accéder à Prometheus et Grafana sont ajoutés une fois déployés :

Comme on peut le voir, un ensemble de targets est déjà configuré, et l’on peut observer tout ce qui se passe dans l’infrastructure déployée par SquareScale.

Ici, on voit les applications qui envoient des données à Prometheus: Promtail, Grafana, Prometheus lui-même, Netdata, mais aussi Cadvisor qui est présent pour exposer les métriques des containers, ou encore Node-exporter qui scanne une machine et fournit ses données systèmes :

On peut filtrer très simplement les métriques tracées de façon très précise :

Passons maintenant à Grafana: plusieurs Dashboards sont déjà présents, notamment celui pour le monitoring des containers :

Un autre dashboard permet de visualiser les données issues de cAdvisor :

L’idée n’est pas de faire ici un tutoriel sur Grafana, mais il est utile de rappeler les puissantes fonctionnalités d’exploration de l’outil, permettant de formuler des requêtes avec un langage très puissant :

Exemple ici avec un filtre sur les logs de Nomad :

La puissante interface permet aussi bien de filtrer les logs système que ceux des microservices applicatifs, et dispose d’une visualisation avec zoom chronologique des types de logs :

Vous l’aurez compris, SquareScale apporte ici un degré d’automatisation qu’aucun outil n’a jusque là réussi à atteindre, et ceci sur une infrastructure dédiée.

Pour toute équipe qui veut avancer rapidement, mais ne pas s’enliser dans la mise en place de ces composants très complexes, et surtout qui veut s’assurer d’avoir une infrastructure toujours à jour, avec tous les outils et bonnes pratiques d’ingénierie et de sécurité mises en place, c’est certainement la meilleure réponse du marché aujourd’hui.

Enfin, si vous êtes DevOps, et que vous souhaitez vous éclater dans une équipe très expérimentée, pour relever des challenges passionnants en automatisation d’infrastructures, sachez que SquareScale recrute !

Si vous connaissez Go, avez une solide expérience DevOps, maîtrisez Terraform, ou que les outils de Service Mesh n’ont aucun secret pour vous, vous risquez d’être fortement tenté de rejoindre l’équipe SquareScale. Ils sont ici: https://squarescale.com

Pour finir, SquareScale nous réserve une deuxième surprise pour la fin de l’année. Je n’en dis pas plus, mais vous verrez, c’est du gros !

Le bon goût en matière de site web nous a quitté le 26 octobre 2009 avec la fermeture de Geocities.

Geocities, pour les plus jeunes d’entre vous, était un service gratuit de création de pages perso, lancé en 1994 à l’époque où les sites web n’étaient pas commerciaux, où les blogueurs comme moi s’appelaient webmasters et où les réseaux sociaux et leurs hordes de cons-plotistes n’existaient pas encore.

La bonne époque donc.

Et bien je vous propose de faire revivre cet âge d’or et de bon goût grâce à ce thème « Geo » pour Bootstrap qui vous permettra de donner un look de furieux à votre site.

Ainsi pourquoi ne pas proposé avec votre thème clair et votre thème sombre, un 3e thème : le thème moche !

Comic Sans MS, couleurs criardes, GIFs animés, fond de page qui flash, tableaux, et petites icônes Netscape ou « Site créé avec Notepad« , les formulaires et j’en passe.

Tout y est !

À découvrir ici sur Github.


Cet article n’est en aucun cas un conseil en investissement, mais simplement la présentation d’un projet technique autour de la blockchain.

Qu’est-ce que l’application Metamask ?

MetaMask est l’une des extensions navigateur les plus connues servant à stocker votre Ethereum et d’autres jetons ERC-20 / ERC-721 (pour les NFTs, coucou les cryptokitties !!), mais également servant à interagir avec des applications du web décentralisé (DApps).

C’est donc un wallet (portefeuille cryptomonnaies) qui se présente sous la forme d’une extension Chrome, Firefox, Edge, Brave gratuite et sécurisée. Elle permet aux applications web de lire et d’interagir avec la blockchain d’Ethereum ou d’autres blockchains comme la Binance Smart Chain.

Metamask a été lancé en 2016 la société ConsenSys de Joseph Lubin, un nord-américain qui a été l’un des premiers investisseurs dans Ethereum.

Pourquoi utiliser l’extension de Metamask.io ?

Il existe de très nombreux wallets pour les cryptos mais ils ne sont pas forcement tous supportés par les applications du web décentralisé ni tous très simple à prendre en main pour les utilisateurs. Comme Metamask est la référence, forcément, vous n’aurez pas de souci lorsque vous vous connecterez pour la première fois à un DEX (Exchange Décentralisé) ou tout autre DApp.

Et surtout Metamask est open source. Vous pouvez donc consulter son code ici et il est audité en permanence par les développeurs et des chercheurs en sécurité du monde entier. D’ailleurs, Metamask compte plus de 3 millions d’utilisateurs par mois (chiffre d’avril 2021).

N’oubliez quand même que c’est un wallet logiciel, donc si vous perdez la clé ou si vous vous faites pirater votre ordinateur, vous risquez de perdre vos cryptomonnaies. Il y a donc quelques petites notions de sécurité à savoir, mais ça je vous en parle plus tard.

Quelles crypto peut-on mettre sur son wallet Metamask ? (Ethereum, Binance Smart Chain…)

Metamask supporte tous les tokens (jetons) basés sur Ethereum. Ce sont donc des jetons de type ERC-20, ERC-721…etc. de la blockchain Ethereum, mais également de toutes les blockchains compatibles Ethereum comme la BSC (Binance Smart Chain capable de faire du smart contract tout comme Ethereum).

Où télécharger Metamask pour Chrome, Firefox, Edget et Brave (PC / Mac / Linux) ?

Alors attention lorsque vous téléchargez Metamask. Il y a beaucoup de faux sites qui vous proposent un download donc méfiance. Une seule adresse à connaître pour télécharger Metamask en toute sécurité : le site officiel Metamask.io.

Comment fonctionne et comment utiliser Metamask ? Le tuto !

Étape 1. Comment installez MetaMask sur votre navigateur.

Pour créer un nouveau portefeuille, vous devez d’abord installer l’extension. Vous pouvez la trouver sur les stores d’extension de vos navigateurs Chrome, Firefox, Brave ou Edge, mais le plus simple reste encore de vous rendre directement sur le site de Metamask.io et de cliquer sur « Download Now ».

Cliquez ensuite sur le bouton « Install Metamask ».

Cela vous redirigera vers le bon store d’extensions. Ajoutez ensuite l’extension à votre navigateur en cliquant sur le bouton « Ajouter à Chrome ».

Étape 2. Créez un compte sur l’addon.

Normalement, dès l’installation, Metamask doit vous afficher une page pour commencer la configuration de l’extension, mais si ce n’est pas le cas, vous pouvez cliquer sur la petite icône de l’extension dans le coin supérieur droit pour ouvrir MetaMask.

Cliquez ensuite sur le bouton « Démarrer ».

Metamask vous demandera alors si vous êtes nouveau. Si vous aviez déjà un compte Metamask, cliquez sur le bouton « Importer le portefeuille ».

Vous devriez avoir une seed obtenue lors de votre précédente installation, c’est-à-dire une phrase mnémotechnique à entrer à nouveau dans Metamask pour déverrouiller l’accès au portefeuille.

Maintenant, si c’est la première fois que vous créez un compte Metamask, cliquez sur « Oui, passons à la configuration » pour créer un nouveau portefeuille.

L’outil vous demandera alors si vous acceptez la collecte de données anonymes afin d’améliorer le service. Peu importe ce que vous choisissez. Pour ma part, je vais cliquer sur « No thanks » (non merci).

À ce moment-là, Metamask vous demande de créer un password. C’est un mot de passe utilisé uniquement localement pour protéger l’accès à votre wallet au cas où quelqu’un accéderait à votre ordinateur. Attention, il ne s’agit pas de votre seed.

Une seed ou « Phrase de sauvegarde » est une suite de mots clés qui vous permettra de restaurer l’accès à votre portefeuille. C’est donc quelque chose de primordial à sauvegarder et à ne communiquer à PERSONNE ! JAMAIS !

Votre seed phrase vous sera alors communiquée. Cliquez sur la zone grise avec le petit cadenas pour la voir et la sauvegarder. Le mieux est de conserver cette liste de mots dans un gestionnaire de mots de passe. Ne la gardez pas en clair dans votre ordinateur. Vous pouvez aussi l’écrire sur une feuille la ranger dans un endroit sûr. Certains utilisateurs s’amusent même à la diviser en plusieurs phrases réparties sur plusieurs feuilles de papier cachées à des endroits différents.

Vous pouvez aussi tout simplement la mémoriser, mais là, attention aux trous de mémoire.

Metamask vous demandera ensuite de confirmer votre phrase de sauvegarde. Vous n’avez qu’à cliquer sur les mots dans le bon ordre pour passer à l’étape suivante. Cette procédure permet de s’assurer que vous avez bien conservé une sauvegarde de cette phrase.

Et voilà, félicitations, votre portefeuille est fonctionnel. Vous disposez alors d’une adresse de portefeuille commençant par 0x…

Comment transférer des cryptos sur Metamask ?

Maintenant en cliquant sur l’icône de Metamask dans le coin supérieur droit, vous verrez apparaître votre portefeuille. Vous avez actuellement 0 ETH donc il va falloir alimenter votre compte en Ether. Metamask propose des moyens d’acheter des Ether en cliquant sur le bouton « Buy ».

Autrement, vous pouvez acheter des ETH sur le site de Bitpanda, Binance ou sur LiteBit puis les envoyer à l’adresse de votre portefeuille Metamask

Vous trouverez cette adresse de réception en cliquant ici.

L’extension de navigateur MetaMask sera toujours disponible dans la barre d’outils de votre navigateur, et vous pourrez la connecter aux différents sites sur lesquels vous voudrez vendre ou acheter vos NFT.

Avec Metamask, vous pouvez donc acheter des Ethereum, en envoyer, en recevoir et également en swapper, c’est-à-dire échanger une cryptomonnaie contre une autre cryptomonnaie. Vous pouvez également signer numériquement des autorisations si certains sites web l’exigent.

Maintenant si vous formatez votre ordinateur et que vous voulez restaurer votre portefeuille Metamask, vous n’aurez qu’à recommencer cette procédure en entrant la phrase de récupération que vous avez précieusement sauvegardée et vous retrouverez l’accès à votre portefeuille et à vos fonds.

Comment se connecter avec Metamask à Binance DEX ?

Malheureusement, Binance DEX, la version décentralisée de Binance ne supporte pas Metamask. C’est une volonté de Binance pour pousser uniquement son Wallet dispo sur Chrome aux utilisateurs de la blockchain. Donc si vous voulez connecter votre Wallet avec Binance Dex, il faut installer Binance Chain Wallet ou un autre wallet mobille comme Trust Wallet ou SafePal.

Comment se connecter à PancakeSwap avec Metamask ?

Mais pourquoi aller sur Binance pour faire de la DeFi (Finance décentralisée) quand on peut aller sur PancakeSwap ?

Cliquez ici pour aller sur PancakeSwap puis cliquez sur le bouton « Connect Wallet » qui se situe en haut à droite du site.

Au moment de la connexion, il vous demandera de choisir un wallet. Ici ce sera donc Metamask.

Et également d’ajouter le réseau Binance Smart Chain Mainnet. Rien de compliqué, vous approuvé et c’est rajouté.

Et voilà, vous êtes connecté à PancakeSwap.

Vous l’aurez remarqué, pas besoin de vous créer un compte avec un login / mot de passe, ni d’entrer la moindre information personnelle. C’est là tout l’intérêt de la DeFi. Vous êtes anonyme et responsable de vos fonds. C’est vos clés de chiffrement qui font la loi.

D’où l’importance de mettre en sécurité votre seed. (petit rappel OKLM)

Une fois que vous aurez effectué vos premières transactions, vous pourrez les voir dans l’onglet « Activity » au sein de Metamask. Attention, il s’agit uniquement des transactions effectuées depuis votre ordinateur et pas TOUTES les transactions liées à votre adresse 0x.

Comment ajouter la Binance Smart Chain dans Metamask ?

Ici 2 méthodes possibles : La première c’est aller sur PancakeSwap et de connecter votre wallet comme je vous l’ai montré ci-dessus. Ça se fera tout seul et vous pourrez alors consulter le solde et faire des transactions sur la BSC.

La seconde possibilité c’est de l’ajouter manuellement. Pour cela, allez dans les options de Metamask -> Réseau et cliquez sur « Ajouter un réseau« .

Entrez ensuite les informations suivantes :

  • Nom du réseau : Binance Smart Chain Mainnet
  • URL du Réseau : https://bsc-dataseed1.ninicoin.io
  • ID de la chaine : 56
  • Symbole : bnb
  • URL de l’explorateur de blocs : https://bscscan.com

Comment ajouter un jeton non listé sur Metamask ?

Par défaut, Metamask reconnait beaucoup de Token. Mais si vous voulez en ajouter un qui n’est pas encore listé, pas de panique c’est possible. Voici comment.

Ouvrez Metamask et cliquez sur « Import Token ».

Il vous faudra l’adresse de contrat du jeton à ajouter. Vous le trouverez sur des sites comme Bscscan, mais attention à celui que vous sélectionnez, car il y en a également des faux / copies / arnaques. Donc soyez toujours bien sûr que le contrat et le bon et correspond à ce qui est communiqué par les porteurs officiels du projet.

Vous indiquez le symbole du jeton, puis le nombre de décimales dont vous avez besoin et voilà ! Ainsi vous aurez vos tokens ajoutés dans Metamask.

Notez que votre wallet peut recevoir des jetons ERC-20 (fongible) et ERC-721 (non-fongible) ou jetons compatibles comme le BEP-20 (fongible), le BEP-721 (non-fongible) et le BEP-1155 qui mixe les deux. Et pas besoin d’ajouter le token comme je viens de vous le montrer pour en recevoir via vos transactions.

Votre wallet peut TOUT recevoir, mais pour voir les montants de ce que vous avez reçu, ce sera ajouté automatiquement dans Metamask si la valeur est listée. Sinon, il faudra l’ajouter manuellement comme ce que je viens de vous montrer.

Et si vous n’avez vraiment pas envie de vous compliquer la vie, il existe un site baptisé Chainlist qui permet d’ajouter d’un simple clic le réseau de votre choix.

Comment sécuriser son Metamask, mon avis ?

La sécurité de Metamask passe selon moi par 2 aspects.

Le premier est bien évidemment la mise en sécurité de votre seed (Phrase de sauvegarde). Cette seed doit être conservée en lieu sûr, et n’être accessible en clair que de vous. Cela peut être votre gestionnaire de mot de passe préféré ou un coffre à la banque (non j’rigole !).

Comme Metamask est ce qu’on appelle un « hot wallet », c’est-à-dire un portefeuille logiciel, le plus gros risque c’est que votre ordinateur soit défectueux / piraté / prenne feu. Pour l’ordinateur qui tombe en panne ou prend feu, si vous avez votre seed, rien de dramatique. Il suffit de restaurer votre compte.

Mais si vous êtes négligeant sur la sécurisation de votre PC / Mac, un malware ou une personne mal intentionnée pourrait accéder à votre wallet et détourner vos fonds. Vous devez donc prendre soin de votre hygiène numérique. C’est-à-dire ne pas installer n’importe quoi et disposer d’un antivirus. Je vous invite fortement à lire ce guide que j’avais écrit sur le sujet de la sécurité personnelle.

Veillez également à ne pas connecter votre Metamask sur n’importe quel site. Car c’est sites pourraient faire approuver des smarts contracts malicieux et vous vous feriez voler vos cryptomonnaies.

Comment restaurer / récupérer un compte Metamask ?

Pour récupérer un compte Metamask, il suffit d’installer Metamask et arrivé à cette étape de la configuration du plugin, de cliquer sur « Non, j’ai déjà une phrase mnémotechnique ». Et de rentrer votre seed.

Et voilà, vous aurez à nouveau accès à vos cryptomonnaies.

Comment swapper avec Metamask ?

Chose amusante, Metamask embarque son propre système de Swapping. Alors qu’est-ce que le swapping ?

Derrière ce terme barbare, rien de bien compliqué. Il s’agit simplement d’échanger des jetons contre d’autres jetons. Plus besoin de passer par un exchange centralisé pour faire vos transactions et vous gardez le contrôle de vos données.

Le swapping de Metamask permet d’avoir les meilleurs tarifs, car il consulte en temps réel différents agrégateurs et places de marché. Évidemment, Metamask prend des frais de service qui sont de 0,875 %. Frais qui sont ensuite réinvestis dans le développement du plugin.

Comment connecter sa Ledger sur Metamask ?

Pour rappel, un Ledger ou Trezor est un wallet hardware utilisé pour conserver votre clé privée crypto et ainsi accéder à vos fonds.

C’est hyper simple ! Il suffit d’aller dans les options de Metamask et de cliquer sur « Connecter un portefeuille hardware«

Ensuite, vous aurez le choix de connecter un Ledger ou Trezor (cold wallet).

Et voilà, vous pourrez ainsi profiter de la DeFi et des exchanges décentralisés et autres DApps du web décentralisé avec votre clé hardware. Selon moi, c’est le meilleur des 2 mondes puisqu’un d’un côté vous aurez accès à tous les services compatibles avec Metamask sans mettre en danger vos fonds en crypto dans un hot wallet.

Et Metamask mobile (Android APK / iOS) ?

Oui, Metmask est également disponible sur nos smartphones pour iOS et Android. Perso, je ne suis pas un grand fan de la version mobile. Je trouve qu’elle ne fonctionne pas super bien et je lui préfère Trust Wallet ou SafePal.

De plus, je n’ai pas trop confiance dans les smartphones pour conserver des cryptomonnaies.

Bref, vive les wallets hardware comme Ledger ou Trezor.


Envie de faire la révolution ? De combattre un système propriétaire à armes égales en utilisant du logiciel libre ?

Alors pourquoi ne pas vous intéresser à Revolt, une plateforme de messagerie instantanée qui reprend l’UX et l’UI de Discord, sauf que c’est totalement open source et maintenu par une communauté très active qui propose donc cette plateforme à installer côté serveur, mais également des clients, des API, un serveur vocal, un serveur de fichiers, une application desktop…etc., etc., le tout dans presque toutes les langues de la terre.

Le projet a été lancé en 2019 par 3 étudiants et depuis, il commence à rencontrer son petit succès avec quelques serveurs (les serveurs français ont d’ailleurs des noms rigolos). Pour déployer Revolt sur votre serveur, il vous faudra un serveur équipé de Node, Rust, Docker…etc.

Le serveur API de Revolt s’appelle Delta et vous pourrez la trouver ici. Et le premier client s’appelle Revite et il est dispo là. Vous pouvez d’ailleurs avoir une démo ici : https://app.revolt.chat/

Il existe également quelques bots, dont un qui permet de faire passerelle entre Discord et Revolt.

On est encore à des années lumières d’un vrai Discord mais les fans de logiciels libres vont s’éclater à mettre ça en place sur leur serveur et monter leurs communautés alternatives.

Par contre, ce n’est ni décentralisé ni fédéré. C’est juste un gros script que vous pouvez déployer sur votre serveur et sur lequel vos utilisateurs pourront créer leurs espaces de discussion.

À découvrir ici.


L’histoire de L0phtcrack

L0pthcrack est sorti en novembre 1997. À l’époque, c’était l’un des premiers outils d’audit de mots de passe du système d’exploitation Windows. « Audit » pour ne pas dire « cracking » car à l’époque, il y avait quand même plus de hackers que d’experts en sécurités légaux. Ainsi, un mot de passe Windows de 8 caractères était facilement crackable en moins de 24h avec un petit PC de l’époque (genre un Pentium 100 Mhz) grâce a une technique de bruteforce.

À cause ou grâce à L0pthcrack, Microsoft a même changé son algorithme de hashage de passwords Windows de l’époque (LANMAN) pour passer à NTLM. Évidemment, L0phtcrack s’est ensuite adapté pour proposé également le support de NTLM. Au début de sa vie, le logiciel n’était qu’un proof of concept qui rassemblait un moteur de cracking développé par Mudge (Peter Zadko), une interface graphique développée par Weld Pond et des petits bouts de softs tiers comme PWDUMP de Jeremy Allison.

La version 1.5 de L0pthcrack sortie en décembre 1997 a été rapidement le tournant de quelque chose de plus commercial, de mieux finalisé. Enfin un outil de pentest tout-en-un avec une interface graphique ! Autant dire une révolution pour l’époque !

Une grosse nouveauté en 2001 a été de proposer du cracking distribué, c’est-à-dire utilisant la puissance de plusieurs machines. L0phtcrack a ensuite été décliné en plusieurs versions et vendu sous licence.

Ce fut vrai succès jusqu’en mai 2001 où L0pht Heavy Industries a fusionné avec la société de sécurité @Stake. À partir de là, les mises à jour ont été beaucoup plus espacées, jusqu’au rachat de la société @Stake par Symantec en 2004.

4 années passent et le 31 décembre 2008, L0phtcrack est racheté par ses créateurs Mudge (Peter Zatko), Chris Wysopal (Veracode), et Christien Rioux de Symantec. Le logiciel d’audit de mots de passe revient alors sous pavillon L0pht Heavy Industries. Puis en 2020, la société Terahash rachète L0phtCrack.

Comme vous pouvez vous en douter, ça se passe mal et L0phtCrack est alors racheté une nouvelle fois par ses fondateurs via une holding (L0pht Holdings). Les développements sont alors totalement gelés et L0phtcrack n’évoulue plus.

Puis, surprise ! Le 17 octobre 2021, L0phtcrack passe en open source ! L’outil utilise toujours du brute force et des dictionnaires (tables rainbow) et peut coupler les 2 méthodes pour mener à bien des attaques hybrides (hybrid attacks) sur des mots de passe Windows et des mots de passe Linux. Évidemment, vous pouvez sélectionner les méthodes dont vous avez besoin.

Où télécharger L0phtcrack ? Download gratuit et pas besoin de crack !

Pour télécharger et installer L0phtcrack, vous devez être équipé d’un ordinateur sous Windows et vous rendre sur cette URL.

Vous y trouverez le code source de L0phtcrack, mais également des versions compilées (.exe) pour Windows 32 bits et 64 bits. Comme l’outil est distribué en open source, il est devenu gratuit et vous n’avez plus besoin de crack pour L0phtcrack 😉 .

D’ailleurs, les sources sont ici sur Gitlab (un concurrent de Github dont j’ai déjà parlé ici.)

Comment utiliser Lophtcrack sous Windows 7, 10 et 11 ? Le tutoriel !

Pour utiliser L0phtcrack, rien de plus simple. Lancez l’outil et cliquez sur le bouton « Password Auditing Wizard ».

Le Wizard est tout simplement un assistant qui vous guidera étape par étape pour vous permettre d’auditer / cracker les mots de passe Windows d’une machine.

La première question qui vous sera posée c’est sur quel système d’exploitation vous voulez récupérer les hashs de mots de passe. Car oui, avec L0phtcrack, vous pouvez également audit des mots de passe Unix / Linux en plus de Windows.

Pour ce tutoriel L0phtcrack, j’ai choisi une machine Windows. Sélectionnez ensuite la machine sur laquelle vous voulez procéder à l’attaque. Ça peut être la machine locale, mais également une machine distante sur laquelle vous pouvez agir (vous devez être admin et la machine doit être dans un domaine).

Vous pouvez également porter l’attaque sur un dump réalisé avec PWDump, FGDump…etc.

À ce moment-là vous devez indiquer un compte Windows capable de procéder à l’extraction des hash du Windows. C’est un compte admin local ou distant.

À vous ensuite de choisir le type d’audit que vous voulez mener. Soit un audit rapide avec un petit dictionnaire ou des audits de plus en plus complexes avec bruteforce et attaques hybrides.

Pour le rapport, vous pouvez choisir un export en CSV, HTML ou XML et surtout indiquer si vous voulez ou non que les mots de passe découverts et leurs hashs soient affichés.

Il ne reste plus qu’à lancer l’attaque ou à programmer son lancement à plus tard. Par exemple la nuit quand vous n’utilisez pas votre machine.

Et voilà ! L0phtcrack lancera alors le cracking de mot de passe Windows / Unix. Le reste n’est plus qu’une question de temps et de puissance machine.

J’espère que ce tutoriel vous aura plu.


Globalement, grâce à FUSE, il est possible de faire des systèmes de fichiers (FS) à partir de n’importe quoi. Je pense par exemple à FFmepgfs, un système de fichiers qui convertit vos vidéos. A SecureFS ou EncFS qui proposent des systèmes de fichiers chiffrés. Ou encore BTFS qui utilise Bittorrent comme système de fichiers.

Toutefois aujourd’hui, je tiens à vous présenter GitFS.

GitFS est un système de fichiers de type FUSE qui s’intègre totalement à l’outil Git. Ainsi, vous pouvez monter localement la branche d’un dépôt distant, et toute modification apportée aux fichiers sera automatiquement commitée sur le dépôt distant.

Cela permet à des gens qui ne sont pas forcément familiers avec Git, de garder une trace de tous vos fichiers et de leurs évolutions. GitFS permet ainsi la validation automatique des modifications : création, suppression, mise à jour des fichiers et de leurs métadonnées.

Vous pourrez également parcourir l’index ou l’historique des commits, fusionner des fichiers, regrouper les pushs pour réduire le nombre de commits et un cache vous permettra de faire tout cela beaucoup plus rapidement.

Pour l’installer sous Linux :

sudo add-apt-repository ppa:presslabs/gitfs
sudo apt-get update
sudo apt-get install gitfs

Pour l’installer sous macOS :

brew install gitfs

Ensuite, y’a plus qu’à monter le dépôt Git dans le point de montage de votre choix :

gitfs http://your.com/repository.git /mount/directory

Pour plus d’infos, la doc est là.


Mes gazouillis

📣 En live : Mission digestion tech geek chill (et on va causer de Metamask) ! https://t.co/2C0TauLjfu #kbn #twitch
Cloudfilt – Comment protéger votre site web des bots malicieux – Korben https://t.co/hFsFGPEuPv #kbn