Vous le savez, Kali est un Linux spécialisé pour la cybersécurité, qui permet de faire de l’analyse de vulnérabilité, du test d’intrusion, de l’analyse de paquets réseau, du reverse engineering et tout un tas d’autres trucs. Si vous êtes un pentester, vous l’utilisez probablement et vous savez que la création de VM Kali Linux pour chaque mission peut être une tâche un poil relou !
Heureusement, un nouveau projet open source baptisé Kali-automation-install va vous faciliter grandement la vie. Cet outil permet en effet de créer automatiquement une VM Kali Linux avec tous les outils nécessaires pré-installés dessus, le tout en utilisant un simple script bash qui peut être rapidement et facilement modifié. Cela permet de répondre à vos besoins spécifiques sur chacune de vos missions d’expert ;-).
Ce projet a été développé par sKillseries, un habitué du monde offensif cyber et permet aussi de configurer Kali en français pour qu’il fonctionne avec les deux hyperviseurs les plus courants : VirtualBox et VMware.
Pour l’utiliser, vous devrez d’abord installer packer ainsi que l’hyperviseur de votre choix (J’ai choisi Virtualbox pour l’exemple).
apt install packer virtualbox virtuabox-ext-pack
Ensuite, vous pouvez modifier les variables qui sont dans le fichier kali-var.json pour personnaliser votre VM Kali Linux.
{
"iso_url": "<Lien de Téléchargement Kali-Linux>",
"iso_checksum": "<SHA256Checksum de l'ISO>
}
Enfin, une fois ces modifications faites, vous pourrez initier la création de la VM avec une seule commande directement depuis votre terminal ou vos propres scripts.
Vous pouvez même le faire en mode headless si vous le souhaitez (sans interaction) en ajoutant le paramètre suivant au fichier json de votre hyperviseur.
"headless": "1",
Vous trouverez toutes les infos sur ce projet sur sa page Github.
On a tous de vieilles photos qui trainent dans nos archives et notamment de vieux JPEG qui datent d’une époque où la compression d’image était vraiment dégradée. Mais grâce à l’algo DifFace qui utilise de l’IA, il est possible de gérer les dégradations complexes d’une photo pour la restaurer.
Et je dois dire que le résultat est bluffant. Alors tout le code se trouve sur Github et vous pouvez le déployer de votre côté, mais si la flemme est ce qui conditionne l’ensemble de votre vie, le plus simple est encore d’aller sur HuggingFace.
Vous uploadez votre image, vous cliquez sur « Soumettre » et voilà ! vous aurez un super résultat qui fera plaisir à votre petit coeur.
J’ai testé beaucoup d’outils similaires, mais je crois que celui-ci fournit la meilleure des restaurations, y compris quand c’est hyper hyper flou… Même si évidemment, tout n’est pas encore parfait puisqu’en zoomant, on a encore ce petit côté « dessiné sur l’image », mais on y arrive doucement.
Je vous invite vraiment à le tester et à le comparer avec d’autres systèmes similaires.
Vous êtes en ville et autour de vous, ça crépite de réseaux wifi en tous genres ! Et bien bonne nouvelle, vous allez pouvoir analyser et cartographier tout ça comme vous le feriez avec un nmap. Sauf qu’il n’y a pas besoin de se connecter à ces réseaux wifi ni même que ces derniers diffusent un SSID.
L’outil qui permet cet exploit s’appelle TrackerJacker. C’est un outil en ligne de commande qui permet tout simplement de faire du monitoring 802.11 sous Linux (Raspberry Pi aussi) et macOS.
Ça permet comme ça d’avoir non seulement une liste des réseaux wifi, mais également de tous les appareils qui y sont connectés. Sur votre propre réseau wifi, ça peut vous permettre également de trouver l’appareil qui pompe toute la bande passante.
Pour l’installer :
pip3 install trackerjacker
Vous pouvez également traquer certaines adresses MAC si besoin et ensuite déclencher des alertes ou toute sorte de scripts. Imaginez, vous avez l’adresse MAC de quelqu’un qui doit rester loin de vous… Et bien vous pouvez instantanément savoir s’il est dans le coin dès qu’il se connecte à un réseau wifi autour de vous :-).
Pour cartographier tout ce qui est autour de vous, vous pouvez également utiliser la commande suivante en spécifiant l’interface réseau à utiliser (ici eth0) :
trackerjacker -i eth0 --map
Vous récupérerez alors un fichier YAML nommé wifi_map.yaml.
Bref, un bon petit outil développé en Python à tester. Toute la doc est dispo sur Github.
Vous aimez dessiner mais en général, c’est très loin d’être du Picasso et vos amis, vos enfants, vos collègues se moque de vous au premier dessin de pomme de terre que vous faites.
Alors pour les gens sans talent, j’avais déjà recommandé AutoDraw ici. Evidemment, maintenant avec Midjourney, nous sommes tous devenus des illustrateurs de talent. Mais ce n’est pas forcement simple à partir d’un texte, de générer l’image de nos rêves.
Heureusement, Scribble Diffusion est là pour vous aider à obtenir à partir d’un croquis tout moche, son équivalent tout moche généré avec Stable Diffusion.
Vous dessinez le truc que vous avez en tête, vous décrivez ce qu’il y a sur le dessin et tadaaaa ! Vous obtiendrez ce genre de résultats :
Magnifique (non) !
Ce qui est cool, c’est que c’est un projet sous licence libre que vous pouvez héberger sur votre propre serveur (nodeJS). Comme ça votre patate ressemblera à une vraie patate dessinée par un professionnel.
Au travers de mes différents articles en collaboration avec Incogni, je vous ai parlé de son utilité en tant qu’outil pour vous aider à défendre votre vie privée et faire respecter vos droits en ligne. Parce que oui, nous avons le droit légal de ne pas voir nos informations personnelles se vendre sous le manteau auprès de n’importe qui (vilains data brokers). Même si nous avons partagé ces informations en connaissance de cause avec un tiers.
C’est déjà assez compliqué pour nous, en tant qu’adultes, d’anticiper et de surveiller ce partage de nos données alors imaginez pour les plus jeunes. Un exemple partagé sur mon compte Twitter récemment, avec des parents peu regardants. Il est donc plus que nécessaire pour les adultes de se former, mais aussi pour eux d’avoir une discussion avec leurs enfants pour les prévenir des risques qui existent.
Les bambins, ou même les ados, n’ont pas forcément conscience de ce que cela peut impliquer de simplement donner sa véritable identité ou de partager une photo sur n’importe quel réseau social à la mode. Heureusement les solutions existent et nous pouvons prendre les choses en main. Voici donc une petite liste d’actions à mener en famille.
1. Éduquer et sensibiliser
Si vous avez lu mes précédents articles sur Incogni (ceux liés plus haut ou encore par ici et par là), vous savez déjà un peu mieux comment la récolte d’infos personnelles se fait et comment elles peuvent circuler dans tous les coins du web. Tout ce que j’y ai dit s’applique aussi dans la situation présente. La CNIL propose également un dossier assez complet avec pas mal de fiches thématiques spécialement dédiées aux enfants et adolescents.
Une fois que vous êtes assez au fait du sujet et prêt à répondre à toutes leurs questions, il est temps de leur expliquer. Quel que soit l’âge il faudra savoir s’adapter à leur activité, leur expliquer les dangers, comment se comporter (ne pas partager les données des autres, etc.), pourquoi protéger son mot de passe, leur présenter ce qu’est la réputation en ligne, etc. Ce n’est jamais un mal de leur expliquer comment pourrait être détournée n’importe quelle donnée laissée sur le net, comment les metadatas d’une photo peuvent être récupérées, ce qu’est le cyberharcèlement ou comment une vidéo marrante sur le moment peut se retourner contre eux dans le futur. Rappelez-leur aussi qu’en cas de doute il n’y a pas de mal à venir vous demander.
En plus de les sensibiliser sur les risques liés à l’activité en ligne, ce n’est pas non plus déconnant d’aborder la problématique de la dépendance aux écrans et des effets négatifs possibles. J’en profite pour vous rappeler que j’ai écrit un livre sur le sujet (woaw l’autre, l’autopromo de folie), Libérez-vous de votre smartphone, plein de conseils et de petites actions à mettre en place au quotidien. Actions que vous pouvez d’ailleurs tourner sous forme de jeux pour que ce soit encore plus fun pour votre bambin.
2. Surveiller
Légalement pour tout jeune de moins de 15 ans, tout traitement de données personnelles doit être validé par un tuteur légal. Sous cet âge tout consentement à un service ou un site web doit donc être autorisé par un parent (en théorie). Qui le fait ? Qui surveille vraiment ce que fait son enfant lorsqu’il est seul ? Connaissez-vous tous leurs contacts ? Si c’est votre cas, bravo, malheureusement tout le monde ne le fait pas. Toujours selon la CNIL 82% des enfants entre 10 et 14 ans accèdent à Internet sans aucune supervision et plus de 70% (tous âges confondus) y regardent des vidéos sans surveillance. Pire, la moitié des parents ne sont même pas au courant du profil social créé sur tel ou tel réseau par leur gamin (« Depuis quand tu as un TikTok toi ? » « ça fait 6 ans maman » « … mais t’as 8 ans ! » :p).
Selon la sensibilité de chacun sur le sujet et l’âge de l’enfant, il y a un tas d’options qui peuvent être mises en place : contrôle parental, limitation du temps devant l’écran, suivre ses enfants sur les réseaux, garder un oeil sur l’écran, créer une session à accès limités, utiliser des outils comme Xooloo ou mSpy, etc. À chacun de faire sa sauce en fonction de ce qu’il juge nécessaire ou trop invasif (ne devenez pas le parent crépi creepy non plus ^^). Vous pouvez par exemple connecter la machine que l’enfant consulte en wifi avec changement de mot de passe régulier, ainsi vous saurez toujours lorsqu’il a besoin de se connecter puisqu’il devra vous demander l’accès.
3. Utiliser des outils adéquats
Navigateurs, applications de messageries, listes de sites autorisés … tout commence par les outils que vos enfants vont utiliser. Si vous leur installez des services respectueux de la vie privée, il y aura dés le départ moins de fuites potentielles et les data brokers auront moins de choses à récupérer pour créer leurs profils.
Utiliser un navigateur comme Brave ou Firefox plutôt que Google Chrome. Une messagerie comme Signal (ou Session) plutôt que Whatsapp (qui a déjà fuité un tas de fois). Appliquer le filtre SafeSearch sur Google (si ce n’est pas fait par défaut). Créer une liste blanche des sites qu’ils peuvent consulter. Utiliser des services qui retirent d’office les métadonnées des photos/vidéos. S’ils sont déjà sur des réseaux sociaux, leur expliquer les différentes options disponibles en rapport avec la vie privée (à peine un peu plus de la moitié des 12-19 ans activent un paramètre de sécurité) et comment rapporter tout comportement déplacé. Vous avez beaucoup de possibilités. Par contre sauf cas particulier, et sur tous les services utilisés, la localisation devrait être désactivée. La base.
Mais comme pour tous les autres aspects de la vie, vos enfants feront plus attention à ce que vous faites qu’à ce que vous dites. Soyez donc un exemple. Ce sera difficile de leur faire comprendre que cela peut être un problème si de votre côté vous êtes en train de partager publiquement tout votre quotidien sans prendre en compte les risques. Alors oui cela demande du temps et de l’énergie, mais comme vous ne laisseriez pas votre gamin seul dans la rue à se débrouiller par lui-même, il n’y a pas de raison de le faire sur le web.
Et si tout cela ne suffit pas, ou que vous n’avez pris conscience que tardivement de cette problématique … il reste Incogni !
Alors attention Incogni ne peut pas empêcher n’importe quel internaute ou service de récupérer des infos divulguées publiquement par votre enfant. D’ailleurs la plupart des brokers annoncent ne pas récupérer les données des mineurs (légalement il y a des risques). Bon ça c’est la théorie, parce même avec toute la bonne foi du monde il est parfois très difficile de situer l’âge exact d’un internaute. Par contre Incogni va pouvoir prendre le relais dès la majorité atteinte. En gros une fois que les brokers commencent à stocker vos données, il pourra les faire retirer très vite dès qu’elles apparaitront. Adresse mail, nom et prénom, adresse physique, école fréquentée … vous pouvez lui indiquer les différents éléments à faire retirer auprès de ces bases de données.
Il va ensuite analyser les dizaines d’entreprises qu’il surveille et qui auraient déniché et stocké les informations en question. Puis faire valoir vos droits au retrait auprès de chacun d’entre eux. Pour plus de détail sur le fonctionnement concret, je vous renvoie vers mon test du service.
Au fil des semaines vous verrez les brokers supprimer vos données, et Incogni va s’assurer que cela reste bien le cas (pour éviter que le retrait ne soit que temporaire). Chaque demande validée sera une source de problèmes futurs en moins, même si le broker revend ses listes à d’autres, vous ne serez plus dedans.
Si vous faites retirer vos infos persos dès la racine, cela va éviter qu’elles se répandent comme de mauvaises herbes. Il est plus facile de purger une ou 2 bases de données, que d’attendre que vos infos se retrouvent dans 150 d’entre elles et courir après tout le monde. Vous en supprimerez 10, que 5 autres auront repoussées.
Vous l’avez compris, une bonne hygiène numérique est indispensable et votre travail sera de l’inculquer à vos marmots. Il n’est jamais trop tard pour s’y mettre et même si c’est le cas, le service de Surfshark vous aidera à passer un coup de balai sur ce qui traine déjà. En plus c’est un outil simple à utiliser, à petit prix et flexible. Autant se faire zizir !
Et pour vous aider à protéger votre vie privée et celle de vos enfants en ligne, Incogni a une offre spéciale pour vous ! Utilisez le code promo KORBEN55 lors de votre abonnement annuel à Incogni et bénéficiez d’une réduction de 55% sur le prix total de l’abonnement. Cette offre est uniquement valable pour l’abonnement annuel.
