Alors on va passer à la première news et la première news c'est Nicolas qui va nous parler de mon très grand ami.
Oui, notre très grand ami Microsoft.
Alors on va pas taper dessus parce que c'est Microsoft mais surtout ce qui leur arrive, ça arrive à beaucoup de monde.
Donc en ce moment il subit une attaque par le groupe APT29.
Donc APT29 vous connaissez peut-être pas, c'est Midnight Blizzard.
Vous connaissez peut-être encore moins, c'est connu aussi sous le nom de Nobellium.
Vous ne connaissez peut-être pas non plus et a priori c'est un groupe russe qui s'attaque aux institutions et organisations européennes et américaines.
Donc il dit bien a priori puisque l'assignation des groupes d'attaquants APT, donc c'est des hackers pour parler autrement, c'est toujours un petit peu difficile.
Je ne vais pas trop m'attarder sur qu'est-ce que c'est comme attaque, machin, etc.
Ce qui m'a pas eu intéressant c'est comment ils ont réussi à commencer à attaquer le système.
C'est qu'a priori c'est des mots de passe qui ont été envoyés par mail.
Et ça me fait toujours bizarre d'entendre qu'on est en 2024, c'est ça.
Il y a des mots de passe qui sont envoyés par mail.
Donc je voulais reparler un petit peu de ça parce que c'est quand même une bonne pratique,
c'est ne jamais transmettre de secret par un canal non sécurisé.
Et quand vous le faites, essayez d'utiliser des moyens de communication différents pour envoyer d'un côté le user et de l'autre côté le passe, des choses comme ça.
Et justement ça m'a donné l'idée de reparler dans les outils de l'épisode.
Donc écoutez bien jusqu'à la fin, j'ai quelques solutions à vous proposer pour vous éviter d'envoyer des mots de passe par mail.
Et toi René, est-ce que tu envoies tes mots de passe par mail ?
Non j'évite, j'évite.
Je suis à la force de t'écouter, je me dis qu'il ne faut pas le faire.
Et non ben, si tu n'es pas au courant de ces nouveautés, tu peux juste dire un petit peu ce qui est au niveau Microsoft.
C'est quelque chose qui dure, ils ont commencé juste deux mois si tu sais.
Alors j'en ai entendu parler ce matin, j'ai creusé un petit peu le contenu de la news.
Donc a priori ce qui s'est passé c'est qu'ils ont dû réussir à prendre le contrôle sur quelques boîtes mail.
Ils se sont servi de décréter dans le show, ce qu'il y avait dans les mails pour se connecter à Office 365 et commencer à exfiltrer plein de données.
Et alors après je crois que ça touche aussi Microsoft parce qu'ils ont dû toucher des trucs.
J'ai pas vraiment creusé, mais a priori ils arrivent à faire pas mal de choses.
Ce qui est intéressant aussi c'est que ça on en a déjà parlé, mais ce qui est important dans une attaque c'est comment on réagit.
Et Microsoft communique assez clairement sur le sujet, il y a un poste de blog qui en parle, qui explique ce qui se passe et comment réagir.
Après j'avoue que j'ai pas vraiment creusé le truc.
Ce qui m'intéressait vraiment c'était le vecteur d'attaque qui a été utilisé.
Alors ils sont sûrement très doués dans le piratage, mais ils ont simplement utilisé des mots de passe qui ont été envoyés en clair.
Donc si jamais un jour on vous envoie un mot de passe en clair,
parce que des fois c'est le moyen le plus simple, le plus rapide et ainsi de suite,
changer le dans la foulée.
Parce que ça peut arriver qu'on envoie un mot de passe par mail.
Moi ça m'arrive, par contre je dis bien à l'utilisateur, changer le tout de suite.
Et comme j'en avais vaut marre d'envoyer les mots de passe en clair,
j'utilise des outils comme OnePassword qui permettent d'envoyer un lien privé
qui est valable que pendant un certain temps, il y a un certain nombre de clics,
et le lien expire automatiquement et ainsi de suite.
Mais ça nécessite OnePassword et je vais vous proposer autre chose tout à l'heure.
Et toi Christophe ?
Alors moi déjà ça me fait penser qu'on a fait un épisode de podcast sur les secrets dans la phrase code
où on parle justement, dedans comment échanger des mots de passe dans notre équipe.
Donc je te renvoie chez un auditeur à notre épisode,
il y aura une fiche YouTube et puis ce sera dans les liens de l'épisode.
En attendant ça, on a oublié en fait que les mails c'est un moyen communication
qui est pas chiffré et qui transite ton clair comme tu l'as dit.
Ce qui fait qu'en plus un mail il peut arriver sur n'importe quel serveur de mail
et être envoyé vers n'importe quel serveur de mail.
Donc n'importe qui qui gère un serveur de mail peut, a priori,
regarder ce qui passe sur son serveur si c'est pas chiffré.
Alors déjà on peut chiffrer les mails mais ça nécessite d'envoyer la clé des chiffrements
à nos interlocuteurs, intercutrices, ça c'est un premier point.
Et moi ce que je fais c'est qu'en effet je fais comme t'as dit,
je n'envoie jamais le mot de passe et l'utilisateur s'il y en a un en même temps et par le même canal.
Donc soit j'utilise le mail pour envoyer le mot de passe
et plus généralement je n'envoie pas le mot de passe,
j'envoie un lien vers mon bitwardon
et souvent ce lien il est protégé par mot de passe,
mot de passe que j'envoie par texto par exemple à la personne.
Donc ça permet justement d'éviter ce genre de choses
sauf si c'est évidemment un mot de passe qui va être changé très rapidement.
Dans ces cas là c'est assez simple, j'utilise l'adresse email de la personne comme mot de passe
et je lui dis bah change là, ton mot de passe,
parce que voilà c'est pas très, c'est pas très secure.
Et puis sinon on utilise le chat, mais comme c'est nous qui gérons notre chat Mattermost,
a priori les cadeaux privés, il y a peu de gens à part nous qui peuvent aller étudier ça.
Mais bon, ça reste à voir.
Et toi alors Nidak, comment tu fais justement les échanges de mot de passe et qu'est ce que tu en penses de cette histoire ?
Je vais parler déjà ma gestion des mot de passe,
donc j'envoie sur deux canaux différents le login sur un canal et le mot de passe sur un autre.
Comme moi je travaille essentiellement dans un environnement Microsoft,
on a une fonctionnalité quand c'est un contactive directeurique qui oblige l'utilisateur à changer son mot de passe.
Donc ce qui nous permet déjà d'assurer un minimum de sécurité,
comme quoi tout n'est pas mauvais chez Microsoft.
Donc généralement c'est login par mail et le mot de passe ce sera soit sur la messagerie,
donc le Teams ou Equivalent, ou carrément par SMS.
De toute façon, quoi qu'il arrive, on a très peu de canaux réellement sécurisés en soi.
Donc c'est vraiment forcé l'utilisateur à changer son mot de passe directement, première connexion,
changement du mot de passe et après c'est au développeur de bien faire leur boulot et d'offrir la fonctionnalité
lors de la première authentification de changer le mot de passe.
Ou encore mieux dire à l'utilisateur, je t'ai mis un mot de passe mais je ne te le donnerai pas,
donc tu vas sur la page pour réinitialiser ton mot de passe
et tout passera par mail, donc comme ça il n'y a rien qui transite de secret et c'est beaucoup plus simple,
mais effectivement il y a des outils qui ne permettent pas de le faire.
De toute façon on ne vit pas dans un monde idéal.
Voilà.
Après il y a quand même...
Ah vas-y.
Pardon excuse-moi.
Non ce que je voulais dire c'est que moi je suis des fois un peu choqué par certains sites
ou tu as des limitations dans les mots de passe que tu peux mettre.
Tu ne peux pas mettre certains caractères, des choses comme ça, ça c'est un truc.
Et je trouve que c'est pas mal sur des sites français et je trouve ça assez...
Voilà, pas génialissime et ça dénote quand même de...
Voilà, ça donne pas une super grande confiance.
Il doit y avoir une super librairie de gestion du chiffrement du mot de passe derrière.
C'est vrai que moi quand je vois des mots de passe qui sont limités à 12 caractères
qui en mettent en 2 déjà de base, je le peste un peu à chaque fois.
Et en effet parfois il y a des mots de passe où on te dit bah voilà tu n'as pas le droit à l'étoile,
tu n'as pas le droit au machin, tu n'as pas le droit au truc.
Et donc là tu es directement avec ton...
parce que évidemment c'est pas mal qui crée des mots de passe,
ça c'est mon logiciel de mot de passe qui l'écrit pour moi.
Et bah tu es en train de te dire un temps, un temps il faut que je le réveille tout ça.
Du coup tu te retrouves parfois, ça m'est arrivé 2-3 fois,
à modifier le mot de passe qui est géré pour coller à ce que nous demande certains sites.
Alors par pitié, si tu développes un site avec gestion des mots de passe, plus de 20 caractères
et puis tous les caractères possibles et imaginables,
si c'est l'unique code évidemment, si c'est pas l'unique code.
Mais bon, je sais pas s'il y a des gens qui mettent des emoji dans leur mot de passe.
Et utilisent une librairie du style B-crypt pour tout faire à ta place
parce que c'est devenu presque un standard et ça va t'éviter pas mal de problèmes.
Et on va peut-être pas parler des banques qui t'oblient jamais de que des chiffres
entre 4 et 6 chiffres parce que sinon on va y passer la soirée.
Oui, je voulais continuer un petit peu sur le côté sécurité.
Les développeurs, arrêtez avec le HESA Chank,
s'il vous plaît aussi pour le... c'est une passoire.
Voilà.
L'attaque de Microsoft date de mi-janvier de mémoire
parce qu'il y a eu le code source aussi, une partie du code source de Microsoft qui a fuité.
Voilà, petit complément d'information.
On verra donc ce que l'avenir nous réserve.
Je vous propose qu'on clôture là sur le risque 5, le risque 5
et que l'on parle du sponsor du mois.
Et ce mois-ci, ce sponsor c'est un collectif de freelance.
C'est mon collectif de freelance celui qui finance les compagnons du DevOps depuis le début de l'aventure.
Lidra donc c'est un collectif d'indépendants qui est spécialisé dans le mouvement DevOps.
On aide les entreprises du numérique à déployer leurs applications rapidement et sans couper leur service.
Donc on a une philosophie qui est simple.
On pense que l'amélioration continue et la collaboration entre les équipes
dans une même entreprise sont essentielles pour atteindre facilement et sereinement les objectifs qu'on sait donner.
On a des spécificités comme on aime le logiciel libre, on aime la souveraineté numérique,
je pense que tu l'auras compris.
On est plutôt spécialisé dans le déploiement continu avec Geeklapse CI en cible et Terraform
et surtout on est membre d'une coopérative d'activité et d'emploi
ou coopérative d'entrepreneuse et d'entrepreneur.
Ça nous permet justement d'être freelance avec le statut très avantageux d'entrepreneurs salariés au régime général.
Donc ça on peut en plus avoir une fiche de paie.
Ça c'est très bien.
Bon nos services ça va de l'audit, on augmentera en passant par la formation et la prestation.
Pour l'instant on est trop freelance.
Donc si tu es freelance et que tu souhaites rejoindre un collectif qui veut grandir,
tu peux nous rejoindre, c'est possible, on est ouvert,
il faut partager nos valeurs, avoir envie de rejoindre notre société
pour profiter justement de ce statut d'entrepreneur salarié,
c'est un statut un peu particulier, mais c'est un statut qui l'est bien.
Donc tu peux aller sur notre site hydra.fr,
regarder ce qu'on fait et puis prendre contact avec moi,
soit sur les réseaux sociaux, soit sur le forum,
tu trouveras comment me contacter, on s'organisera des visions, on papotra.
Et si toi tu es dans une entreprise et que tu cherches des frélands
ou des personnes qui connaissent bien en cibles et GitLab CI,
pense à faire appel à nous, je suis sûr qu'on pourra t'accompagner et t'aider.
A bientôt !