Quantcast
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

De retour des Assises de la Sécurité 2019

Comme tous les ans, j’ai eu le plaisir cette année de me rendre à Monaco pour assister aux Assises de la Sécurité. Si vous ne connaissez pas encore, cet événement regroupe durant 3 jours de nombreux experts de la cybersécurité et un très grand nombre de sociétés venues présenter leurs solutions technologiques.

Lors de son discours d’introduction, Guillaume Poupard de l’ANSSI a abordé le thème de la « peur ». Dans la sécurité en général, secouer le spectre de la peur est très vendeur. Evidemment, les risques sont réels et les enjeux très élevés donc la peur ressentie est loin d’être imaginaire mais Guillaume Poupard souhaite que les experts en sécurité imaginent de nouveaux discours moins anxiogènes et plus positifs afin que le milieu de la cybersécurité ne s’ankylose pas.

Je comprends cette envie d’insuffler de la « positive attitude » dans la cybersécurité mais je sais aussi que l’humain est par définition un être qui aime rester la plupart du temps dans sa zone de confort et malheureusement, rien n’est plus efficace que de saupoudrer un peu de « peur » dans son cerveau pour qu’il adopte certaines mesures afin justement de rester dans cette zone.

C’est regrettable mais c’est comme ça. Donc je doute fortement que demain les sociétés abandonnent ce discours axé en partie la peur. La peur est partout… Dans la bouche de nos dirigeants, sur les réseaux sociaux, dans les médias, et dans le cerveau de ma voisine. La peur paralyse, hypnotise et fait vendre. Vous pouvez trouver cela triste mais c’est la nature humaine qui est ainsi faite.

Et même si j’adhère totalement au discours de Guillaume Poupard en faveur de l’adoption d’une mentalité et d’un discours « cybersécurité » plus positif tout en étant hyper conscient du monde réel, des risques et des enjeux (pas de bisounours ici, je vous rassure), j’ai du mal à voir comment ce souhait pourrait se réaliser tant le bénéfice « commercial » de la peur est fort.

Côté technique, l’ANSSI a adopté depuis un petit moment déjà l’open source et croit dur comme fer à l’ouverture et au partage du code. Et c’est à mon sens par là qu’il faut se diriger. Pour les libristes ou les lecteurs de Korben.info, ce n’est pas nouveau mais croyez moi, nombreux sont ceux qui croient encore qu’en fermant leur code, ils sont hors de portée des cybercriminels. Que ce soit avec Clip OS, OpenCTI, DFIR ORC ou encore Wookey…etc, l’ANSSI n’est pas en reste sur la publication et l’ouverture de ses codes sources. Et les sociétés, qu’elles soient cyber ou non devraient s’inspirer de cet exemple car cela permet de faire grimper le niveau de sécurité de tous ainsi que la qualité des outils.

Durant son discours, il a aussi abordé l’état actuel de la menace cyber dans le monde, en expliquant que nous étions quasiment en guerre. Des groupes de cybercriminels visiblement rattachés à des gouvernements se positionnent activement non pas uniquement pour espionner comme c’est d’ordinaire le cas, mais pour agir « militairement » le moment venu. Une véritable poudrière d’après Guillaume Poupard.

On peut voir dans cette analyse également un message de peur opposé à son discours « injectons de la positivité » et c’est vrai qu’il y a un peu de ça. Mais c’est aussi un discours lucide basé sur de l’observation (pas de bisounours ici, j’ai dit) qui malheureusement peut générer de la peur chez celui qui l’écoute.

Entre alerter avec conviction sur l’état réel de la menace et insuffler la peur, la différence est très subtile et je ne suis pas certain que nous arriverons tous à la saisir…

Je pense que pour essayer de réduire la peur, il va falloir éclaircir la menace, la rendre plus palpable, la désacraliser afin que chacun en ai conscience tout en gardant son sang froid et en travaillant dans le bon sens. Donc pour que les discours cyber deviennent un jour des discours « positifs » et moins « vendeurs de peur » (soyons utopiques 2 secondes, voulez-vous), il va falloir apprendre dès maintenant à regarder en face le risque cyber, à le considérer pour ce qu’il est réellement et à l’appréhender avec des solutions concrètes tout en éduquant et démystifiant le sujet pour tous les acteurs concernés, des experts aux dirigeants, en passant par les employés, mais aussi les particuliers.

Bref y’a du boulot !

Autrement, j’ai croisé pas mal de boites sympas et j’ai notamment pu discuter un peu avec Yubico qui fabrique la Yubikey. Ils en ont sorti des nouvelles depuis quelques mois compatibles avec du NFC mais aussi un connecteur Lightning. Je n’ai jamais pris le temps de tester cela mais je pense que je vais m’en procurer une et faire quelques tests. On verra si je trouve le temps.

J’ai assisté aussi à une conférence très intéressante sur le déploiement en entreprise d’une politique PasswordLess, c’est à dire d’authentification sans mot de passe. C’était très intéressant et je pense que c’est clairement l’avenir car les oublis, les réinitialisations ou le vol de mot de passe coûtent vraiment cher à beaucoup d’entreprises.

Et sur le côté plus « hack », j’ai participé à un atelier organisé par Kaspersky Lab qui nous a exposé les méthodologies de reconnaissance et d’attaque de Fin7, un APT ciblant pas mal de boites en Europe et en Amérique du Nord. C’est intellectuellement et techniquement passionnant de voir comment ces derniers procèdent et sont organisés. Au delà de la technique, ces groupes de cybercriminels créent de toutes pièces de fausses sociétés de cybersécurité avec un faux site, un faux nom de domaine, des fausses boites mails…etc pour poster de vraies annonces d’emploi et recruter des admins sys, des développeurs mais aussi des traducteurs, afin de les aider à développer leurs malwares, gérer leur infra C&C et même traduire les emails de phishing. Dingue !

Je me suis régalé, j’ai croisé beaucoup de personnes supers sympas, et revu quelques amis avec qui j’ai pris plaisir à discuter. C’était une très bonne édition ;-).


On fête la rentrée avec NordVPN ! [Bon plan] -68%

-68% 3,3€/mois durant 2 ans

Protection en un clic, fonctionnalité Kill Switch, masquage de votre adresse IP, prise en charge des partages de fichiers en p2p, protection contre les malwares et les pubs, streaming sans interruption, test de fuite DNS et même possibilité de coupler l’outil avec l’anonymat de The Onion Router … sont quelques-unes des autres options disponibles.

À noter que cet été l’outil a passé avec succès l’audit d’une société indépendante (PricewaterhouseCoopers) concernant leur politique de non-conservation de registre d’activité, validant que NordVPN ne conservait pas l’activité de ses utilisateurs sur le web.

De plus une licence NordVPN vous permet de protéger jusqu’à 6 appareils et cela, quelle que soit la plateforme sur laquelle ces derniers tournent (android où iOS, Windows, Linux ou macOS, android TV).

En Savoir +



Un korbenaute trouve son nouveau job via Laou et ça c’est cool

— Article sponsorisé par Laou (mais basé sur des faits réels) —

Salut les amis, vous vous souvenez de mes articles concernant le service Laou ? Et bien j’ai appris récemment qu’au moins un de mes lecteurs (les meilleurs lecteurs du monde à la base donc ils ont un bonus en charisme) a trouvé un nouveau travail grâce à ça. Et ça fait vraiment, mais alors vraiment, plaisir.

Lorsqu’un de mes tutos permet de débloquer une situation ou que je fais découvrir un nouveau site, ça fait zizir et j’ai l’impression d’avoir été utile de manière concrète. Mais si quelqu’un trouve un travail grâce à une de mes infos c’est forcément encore mieux. Parce que l’impact sur la vie de la personne en question est beaucoup plus grand. D’ailleurs, aider les gens à trouver un emploi a toujours été une de mes envies, raison pour laquelle j’ai lancé RemixJobs dès 2010 (longtemps site de référence pour le recrutement web et informatique). Et si ce dernier vient de mourir de sa belle mort, il est possible que je vous réserve l’une ou l’autre surprise sur le sujet bientôt.

Laou recherche d'emploi dans le numérique

Tout ça pour en revenir à Laou. Pour les nouveaux venus je rappelle qu’il s’agit d’une plateforme de recrutement spécialisée dans l’IT en région. Si vous voulez découvrir le travail en province et/ou quitter le stress de la capitale, Laou vous aidera non seulement à trouver un nouvel emploi sur mesure, mais prendra aussi un tas de « soucis » à sa charge : vous trouver un logement, trouver un boulot à votre conjoint, gérer le déménagement, vous faire découvrir votre ville d’adoption … Et cerise sur le gâteau tous les frais sont à la charge de votre futur employeur.

Maintenant la partie la plus cool de l’histoire. Elle concerne Steven, développeur fullstack de 25 ans.

Sans trop entrer dans des détails perso, Steven est originaire du sud de la France et était monté à Paris pour se faire une expérience pro. Il n’y arrive pas vraiment et a un peu de mal à s’y faire un cercle d’amis. Du coup il se dit que Laou pourrait être une option et qu’il va essayer de trouver son boulot rêvé : gameplay developper dans le secteur du jeu vidéo. Sans succès dans un premier temps, car sans expérience c’est tout de suite plus compliqué.

Quitter Paris en 2020 avec Laou

En discutant un peu avec Charlotte, la personne en charge de son dossier, il se rend compte qu’il est plus important pour lui de quitter Paris et d’avoir un cadre de vie adapté que de trouver l’intitulé de boulot exact qu’il recherche. Il est prêt à faire ses classes avant. Et là BAM tout décolle, il reçoit plusieurs propositions dans diverses régions de l’hexagone.

Après plusieurs échanges et un suivi, régulier Laou lui paie une nuit d’hôtel pour lui permettre de rencontrer ce qui sera son futur employeur, be-ys. En plus c’est situé à Clermont-Ferrand #AuvergneRepresent. Juste pour vous situer un peu le dévouement de Laou, le train de Steven est arrivé avec 3 heures de retard à Clermont, et pour s’assurer que tout se passerait bien pour lui, Charlotte était à la gare, de nuit, juste pour l’accueillir. C’est ça le service Laou, du sur mesure et de la flexibilité.

Service Settlesweet

Une fois le contrat signé c’est au tour de Settlesweet de prendre le relais. Settlesweet est le partenaire de Laou pour tout ce qui se touche à la recherche de logement, ce sont eux qui prennent en charge cet aspect de A à Z. Le principe est simple : leur algorithme va analyser une quinzaine de sites d’annonces selon vos critères personnalisés afin de vous trouver le logement le plus adapté à vos envies.

Ensuite, un Home Matcher dédié à votre recherche se chargera de prendre rendez-vous pour les visites et de déposer vos candidatures, le tout en vous tournant les pouces. Settlesweet est entièrement gratuit pour les déménagements dans le cadre d’un nouvel emploi ou d’une mutation. 

Au final il se sera passé quelques mois entre la lecture de mon article et son premier jour de travail. Ce qui est plutôt pas mal, surtout en considérant la pandémie qui a retardé beaucoup de choses. J’espère que Steven lira cet article et qu’il n’hésitera pas à nous partager avec ses mots la manière dont il a vécu tout le processus, ça ferait plaisir !


On fête la rentrée avec NordVPN ! [Bon plan] -68%

-68% 3,3€/mois durant 2 ans

Protection en un clic, fonctionnalité Kill Switch, masquage de votre adresse IP, prise en charge des partages de fichiers en p2p, protection contre les malwares et les pubs, streaming sans interruption, test de fuite DNS et même possibilité de coupler l’outil avec l’anonymat de The Onion Router … sont quelques-unes des autres options disponibles.

À noter que cet été l’outil a passé avec succès l’audit d’une société indépendante (PricewaterhouseCoopers) concernant leur politique de non-conservation de registre d’activité, validant que NordVPN ne conservait pas l’activité de ses utilisateurs sur le web.

De plus une licence NordVPN vous permet de protéger jusqu’à 6 appareils et cela, quelle que soit la plateforme sur laquelle ces derniers tournent (android où iOS, Windows, Linux ou macOS, android TV).

En Savoir +


Rejoindre la discussion sur Korben Communauté