Adrien

ETW Patching : Neutraliser la Télémétrie Windows

Mon, 20 Apr 2026 00:00:00 +0000

Les EDR (Endpoint Detection and Response) modernes ne reposent plus uniquement sur des signatures statiques. Ils s’appuient sur la télémétrie fournie par ETW (Event Tracing for Windows), le mécanisme de traçage natif de Windows, pour obtenir une visibilité comportementale sur ce qui s’exécute en mémoire. Neutraliser cette télémétrie est devenu une étape courante dans le développement d’outils offensifs et de frameworks de post-exploitation — et comprendre ce mécanisme est tout aussi utile pour les défenseurs.

A2 – Solutions HIPS : Host Intrusion Prevention System

Tue, 07 Apr 2026 00:00:00 +0000

Un HIPS (Host Intrusion Prevention System) est un logiciel de sécurité installé directement sur un équipement (serveur, poste de travail) qui surveille et analyse en temps réel le comportement du système pour détecter et bloquer toute activité malveillante ou suspecte.

Contrairement aux solutions réseau qui analysent le trafic en transit, le HIPS agit au cœur même de l’hôte. Il surveille les appels système, les modifications de fichiers critiques, les accès au registre, les comportements applicatifs anormaux et les tentatives d’exploitation de vulnérabilités. Il constitue une dernière ligne de défense lorsqu’une menace a réussi à pénétrer le périmètre réseau.

A3 – Solutions NIDS : Network Intrusion Detection System

Tue, 07 Apr 2026 00:00:00 +0000

Un NIDS (Network Intrusion Detection System) est un équipement ou logiciel qui analyse passivement le trafic réseau circulant sur un segment pour identifier des signatures d’attaques, des anomalies comportementales ou des violations de politiques de sécurité.

Le NIDS est placé en mode écoute (passif) sur le réseau, généralement via un port SPAN (port miroir) d’un commutateur ou un TAP réseau. Il ne modifie pas le trafic — il l’analyse et génère des alertes. Cette approche passive garantit qu’une défaillance du NIDS n’impacte pas la disponibilité du réseau, ce qui est crucial pour protéger un service web critique.

A4 – Solutions NIPS : Network Intrusion Prevention System

Tue, 07 Apr 2026 00:00:00 +0000

Un NIPS (Network Intrusion Prevention System) est l’évolution active du NIDS. Contrairement à ce dernier qui se contente de détecter et alerter, le NIPS est placé en mode inline (dans le flux réseau) et dispose de la capacité de bloquer, rejeter ou modifier en temps réel les paquets malveillants avant qu’ils n’atteignent leur cible.

NIDS vs NIPS : le NIDS observe le trafic via port miroir et génère des alertes sans jamais intervenir sur le flux. Le NIPS est placé inline dans le chemin des données — tout paquet doit passer par lui avant d’atteindre sa destination.

A5 – Solutions SIEM : Security Information and Event Management

Tue, 07 Apr 2026 00:00:00 +0000

Un SIEM (Security Information and Event Management) est une solution qui combine deux approches historiquement distinctes et complémentaires de la sécurité informatique, fusionnées au milieu des années 2000 par Gartner sous ce terme générique.

Composante	Sigle	Rôle
Security Information Management	SIM	Collecte, archivage long terme et analyse des logs pour forensique et conformité réglementaire
Security Event Management	SEM	Corrélation d’événements en temps réel pour la détection d’incidents de sécurité

Le SIEM agrège les journaux provenant de toutes les sources de l’infrastructure (pare-feux, switches, serveurs, applications, IDS/IPS, endpoints) et applique des règles de corrélation pour identifier des scénarios d’attaque complexes qui seraient invisibles si les événements étaient analysés isolément. Il constitue le cœur opérationnel d’un SOC (Security Operations Center).

Alerte intrusion

Tue, 25 Nov 2025 10:00:00 +0000

Dans le cadre de cet AP, j’ai mis en place un système de détection d’intrusion (IDS) afin de surveiller le trafic réseau et d’alerter en cas d’activité suspecte. L’objectif était de détecter des tentatives d’intrusion, de scans de ports ou d’exploitations de vulnérabilités connues.

J’ai configuré le moteur de détection avec des règles adaptées à l’infrastructure en place, défini les seuils d’alerte et mis en place un système de notification pour informer l’administrateur en temps réel lors de la détection d’une anomalie.

Ansible – Automatisation de l'infrastructure

Sat, 22 Nov 2025 10:00:00 +0000

Dans le cadre de cet AP, j’ai utilisé Ansible pour automatiser le déploiement et la configuration de serveurs Linux. Ansible est un outil d’automatisation agentless qui permet de gérer des configurations de manière reproductible via des fichiers appelés playbooks.

J’ai rédigé des playbooks pour automatiser des tâches récurrentes : installation de paquets, configuration de services réseau, gestion des utilisateurs et déploiement de fichiers de configuration. Cette approche Infrastructure as Code garantit la cohérence des environnements et réduit les erreurs de configuration manuelle.

Keepalived – Haute disponibilité avec VRRP

Fri, 21 Nov 2025 10:00:00 +0000

Dans le cadre de cet AP, j’ai déployé Keepalived pour assurer la haute disponibilité d’un service réseau. Keepalived implémente le protocole VRRP (Virtual Router Redundancy Protocol), permettant de partager une adresse IP virtuelle entre plusieurs serveurs : si le serveur principal tombe en panne, un serveur secondaire prend automatiquement le relais.

J’ai configuré Keepalived sur deux machines Linux, défini les priorités et les scripts de vérification de l’état du service. Des tests de bascule ont été réalisés pour valider la continuité du service en conditions de panne.

RADIUS – Authentification réseau centralisée

Thu, 20 Nov 2025 15:37:46 +0000

Dans le cadre de cet AP, j’ai déployé un serveur FreeRADIUS afin de centraliser l’authentification des utilisateurs sur le réseau. Le protocole RADIUS (Remote Authentication Dial-In User Service) permet de contrôler l’accès au réseau filaire ou Wi-Fi via le standard 802.1X.

J’ai configuré le serveur RADIUS, intégré une base d’utilisateurs, puis paramétré les équipements réseau (switches, borne Wi-Fi) pour déléguer l’authentification au serveur. Les tests ont été réalisés depuis des postes clients Windows.

Spanning Tree Protocol

Thu, 20 Nov 2025 13:04:18 +0000

Dans le cadre de cet AP, j’ai étudié et configuré le Spanning Tree Protocol (STP/RSTP) sur un réseau commuté. Ce protocole est essentiel pour éviter les boucles de niveau 2 dans une infrastructure avec des liens redondants, tout en permettant une bascule rapide en cas de panne.

J’ai configuré les rôles des ports (Root, Designated, Blocked), défini le commutateur racine via les priorités, et vérifié la convergence du protocole lors de simulations de pannes.

Superviz

Wed, 19 Nov 2025 10:00:00 +0000

Dans le cadre de cet AP, j’ai mis en place une solution de supervision afin de monitorer en temps réel l’état des équipements et services de l’infrastructure. La supervision permet de détecter rapidement les pannes, de suivre les performances et d’anticiper les incidents.

J’ai configuré la collecte de métriques sur les équipements réseau et serveurs (charge CPU, utilisation mémoire, disponibilité des services, trafic réseau), mis en place des tableaux de bord pour la visualisation, et paramétré des alertes automatiques en cas de dépassement de seuils critiques.

Infrasite

Tue, 18 Nov 2025 13:16:32 +0000

Cet AP a consisté à déployer l’infrastructure réseau et serveur d’un site d’entreprise à partir du schéma d’architecture défini en amont. J’ai procédé à la configuration des équipements actifs (switches, routeurs), au paramétrage des VLANs et au déploiement des services réseau essentiels (DNS, DHCP, partage de fichiers).

Le déploiement a été documenté étape par étape afin de permettre une reproduction et une maintenance facilitées.

Document – Infrasite

Archisite

Tue, 18 Nov 2025 09:28:51 +0000

Dans le cadre de cet AP, j’ai conçu l’architecture réseau complète d’un site d’entreprise. Le travail a consisté à définir le plan d’adressage IP, la segmentation en VLANs, le routage inter-VLAN ainsi que le schéma de câblage logique et physique.

L’objectif était de produire une documentation technique claire et complète, utilisable comme base pour le déploiement de l’infrastructure.

Document – Archisite Document – Dossier de test

EP1 – Épreuve Professionnelle

Thu, 13 Nov 2025 11:17:30 +0000

L’EP1 est l’épreuve professionnelle de BTS SIO, évaluant la capacité à mener des missions techniques en autonomie. J’ai réalisé les missions 7 et 8, portant sur la configuration et le maintien d’une infrastructure réseau en environnement professionnel simulé.

Ces missions m’ont permis de mobiliser l’ensemble des compétences acquises au cours des deux années de formation : administration système, configuration réseau, sécurité et documentation technique.

Document PDF – EP1 Missions 7 & 8

HSRP – Haute disponibilité des passerelles

Fri, 24 Oct 2025 09:47:30 +0000

Dans le cadre de cet AP, j’ai mis en place le protocole HSRP (Hot Standby Router Protocol) sur une infrastructure Cisco. Ce protocole permet de créer une passerelle virtuelle partagée entre deux routeurs : si le routeur actif tombe en panne, le routeur en veille prend le relais automatiquement, sans interruption pour les utilisateurs.

J’ai configuré les priorités, le préemption et les mécanismes de bascule, puis validé le bon fonctionnement via des tests de coupure.

Segment Selectors : Mécanisme de Contournement des Signatures Antivirus

Mon, 08 Sep 2025 00:00:00 +0000

Sujet de veille : Reverse engineering

Le reverse engineering est un domaine qui me passionne profondément. Son utilisation pour analyser, protéger et sécuriser des applications joue un rôle crucial dans l’avenir de la cybersécurité. Face à des attaques toujours plus sophistiquées, ces technologies représentent un véritable défi, tant sur le plan technique que stratégique. Je suis convaincu qu’elles occuperont une place centrale dans les innovations visant à garantir la confidentialité, la protection des données et la résilience des applications. C’est pourquoi j’ai choisi ce thème pour mes veilles technologiques.

AP3 – Cloud et WiFi

Mon, 05 May 2025 14:46:24 +0000

CentreCall est une entreprise de télémarketing opérant sur cinq centres d’appels distincts, interconnectés via un réseau de classe B (172.18.0.0/16). Face à une collaboration fragmentée et des échanges de fichiers peu fiables entre sites, l’entreprise souhaitait moderniser son système d’information tout en gardant la maîtrise de ses données.

Solution cloud : stockage privé

Pour répondre au besoin de partage de fichiers inter-sites, j’ai déployé une instance Nextcloud auto-hébergée. Ce choix permet à CentreCall de bénéficier des avantages du cloud (accès distant, synchronisation, partage) sans dépendre d’un prestataire externe, et donc sans exposer ses données sensibles à l’extérieur.

Reverse Engineering & Rétrocomputing

Thu, 01 May 2025 00:00:00 +0000

Le reverse engineering, ou ingénierie inverse, est un pilier incontournable de la rétroinformatique. En remontant le fil du code, des circuits imprimés et des systèmes oubliés, des passionnés du monde entier redonnent vie à des technologies anciennes. Ces derniers mois, plusieurs projets impressionnants ont vu le jour : décompilation de systèmes d’exploitation historiques, décodage de BIOS propriétaires, ou encore reconstruction de consoles emblématiques.

Plongeons dans les projets les plus marquants du rétrocomputing par reverse engineering, observés entre novembre 2024 et mai 2025.

AP2 – GSBIntranet

Sat, 05 Apr 2025 14:46:20 +0000

GSB est un laboratoire pharmaceutique né de la fusion de Galaxy et Swiss Bourdin. Cette fusion a mis en évidence la nécessité de moderniser et d’unifier les outils informatiques pour coordonner les équipes terrain (visiteurs médicaux) et les équipes techniques (développeurs).

Besoins identifiés

Un site intranet accessible aux visiteurs médicaux pour consulter leurs fiches de frais, rapports et informations internes
Un accès FTP sécurisé réservé aux développeurs pour déposer les mises à jour du site sans passer par un accès SSH direct
Une architecture hébergée en interne pour garder le contrôle total sur les données sensibles du laboratoire

Infrastructure mise en place

Sur un serveur Debian, j’ai installé et configuré :

AP1 - NetworkSI

Wed, 02 Apr 2025 14:20:46 +0000

Je travaille chez NetworkSI, entreprise prestataire missionnée par la Maison des Ligues de Lorraine. Face à une croissance rapide de leurs effectifs, la gestion poste par poste est devenue ingérable : installations manuelles, mots de passe non centralisés, aucune politique de sécurité homogène.

Solution déployée

Nous avons mis en place un serveur Windows Server 2022 hébergeant plusieurs rôles :

Active Directory Domain Services (AD DS) : création d’un domaine, organisation des utilisateurs en Unités d’Organisation (OU) par service, gestion centralisée des comptes et mots de passe
Serveur de fichiers : partages réseau avec permissions NTFS différenciées par groupe d’utilisateurs
GPO (Group Policy Objects) : déploiement automatique de logiciels (MSI) au login, mappage des lecteurs réseau, configuration des postes de travail à distance
RDP (Remote Desktop Protocol) : accès distant sécurisé au serveur pour l’administration

Compétences mobilisées

Ce projet m’a permis de comprendre le fonctionnement d’un annuaire Active Directory en entreprise, la logique de délégation des droits et l’importance des GPO pour standardiser un parc informatique sans intervention manuelle sur chaque poste.

Tony Hawk, strcpy : Une Faille Classique

Mon, 17 Mar 2025 00:00:00 +0000

Introduction : Un exploit sur Tony Hawk met en lumière une faille classique

Une faille de sécurité a récemment été découverte dans Tony Hawk’s Pro Skater 4, un jeu sorti en 2002, exploitant une vulnérabilité présente dans le moteur RenderWare. Ce problème, mis en lumière par le chercheur en sécurité GrimDoomer à travers son projet TonyHawksProStrcpy, repose sur l’utilisation dangereuse de la fonction strcpy() en langage C.

En exploitant cette faiblesse, il est possible d’injecter et d’exécuter du code arbitraire sur une console ou un PC, permettant ainsi de prendre le contrôle total du système ciblé.

CodeDefender : L'Obfuscateur bin2bin Révolutionnaire Prêt à Surpasser Themida et VMProtect ?

Wed, 01 Jan 2025 00:00:00 +0000

Le marché des solutions de protection logicielle bin2bin est dominé depuis des années par des outils tels que Themida et VMProtect, reconnus pour leur capacité à sécuriser les applications contre l’ingénierie inverse, la falsification et les attaques. Cependant, un nouvel acteur, CodeDefender, fait son entrée en promettant des innovations technologiques qui pourraient redéfinir les standards de l’industrie. Avec une approche novatrice basée sur une obfuscation avancée, une stabilité accrue et une compatibilité avec les dernières technologies de sécurité, CodeDefender ambitionne de dépasser les limites des solutions existantes. Mais cette solution est-elle réellement à la hauteur de ses promesses ? Et surtout, peut-elle rivaliser avec des géants comme Themida et VMProtect ?

AP8 – Automatiser l’adressage IP grâce à un serveur GNU/Linux

Tue, 26 Nov 2024 19:50:47 +0000

Dans le cadre de cet AP, j’ai configuré un serveur DHCP sous GNU/Linux (ISC DHCP Server) pour automatiser l’attribution d’adresses IP à des machines virtuelles Windows. Le serveur distribue dynamiquement les adresses, masques, passerelles et serveurs DNS selon les plages définies.

Dans un second temps, j’ai mis en place un mécanisme de haute disponibilité entre deux serveurs DHCP afin d’assurer la continuité du service en cas de défaillance de l’un d’eux, grâce à la configuration du failover DHCP.

AP7 – IP et sous-réseaux

Tue, 19 Nov 2024 19:50:40 +0000

Dans le cadre de cet AP, j’ai développé une application WinForms en C# permettant de réaliser des calculs réseau directement depuis une interface graphique, sans passer par des outils en ligne ou des calculs manuels.

Fonctionnalités

L’application prend en entrée une adresse IP au format CIDR (ex. 192.168.1.0/24) et calcule automatiquement :

L’adresse réseau et l’adresse de broadcast
Le masque de sous-réseau (notation décimale et binaire)
La plage d’adresses hôtes disponibles et le nombre d’hôtes utilisables
Le nouveau CIDR après découpage en sous-réseaux : l’utilisateur saisit le nombre de sous-réseaux souhaité, et l’application détermine le masque adapté et liste chaque sous-réseau généré

Implémentation

La logique repose sur des opérations bit-à-bit sur les entiers 32 bits représentant les adresses IPv4. C’était l’occasion de comprendre concrètement comment le CPU manipule les adresses réseau, ce qui fait directement écho à mes intérêts en programmation bas niveau.

Packers PE : Anatomie d'une Protection Binaire et Techniques de Dépaquetage

Tue, 15 Oct 2024 00:00:00 +0000

Le reverse engineering d’un binaire protégé commence souvent par une frustration : Ghidra ou IDA Pro affichent une entrée incompréhensible, la décompilation ne retourne que du bruit, et les chaînes de caractères sont illisibles. La plupart du temps, le binaire est packé. Comprendre les packers — leur fonctionnement, leurs astuces et les méthodes pour les contourner — est une compétence fondamentale en analyse binaire.

Qu’est-ce qu’un packer PE ?

Un packer est un outil qui transforme un exécutable Windows (format PE, Portable Executable) en un autre exécutable auto-extractible. L’exécutable original est compressé et/ou chiffré, puis encapsulé dans un stub : un petit programme dont le seul rôle est de restaurer le code original en mémoire au moment de l’exécution, avant de lui céder le contrôle.

AP4 – Gestion des médicaments

Tue, 08 Oct 2024 19:50:25 +0000

Dans le cadre de cet AP, j’ai développé une application console en C# permettant la gestion d’un stock de médicaments. L’application intègre des fonctionnalités d’achat, de vente et de suivi des stocks, avec des contrôles de saisie pour éviter les erreurs utilisateur.

L’objectif était de mettre en pratique les bases de la programmation orientée objet en C# : classes, collections, boucles et gestion des exceptions.

AP3 – Les bases de la programmation web

Tue, 24 Sep 2024 19:50:19 +0000

Introduction

Dans le cadre de cet AP, j’ai travaillé sur la création du site vitrine pour CentreCall, une société fictive pour laquelle j’ai dû concevoir cinq pages. Mon objectif était de mettre en avant les services et l’organisation de l’entreprise tout en respectant une charte graphique harmonieuse que j’ai définie. J’ai réalisé une page d’accueil avec un menu permettant de naviguer vers les autres sections : Organisation, Prestataire, Description du SI, et une page Enquête. Pour cette dernière, j’ai d’abord conçu une maquette validée par mon professeur avant de créer le formulaire en HTML et CSS.

AP2 – Démontage et remontage d’un serveur

Tue, 17 Sep 2024 19:50:11 +0000

Dans le cadre de cet AP, j’ai eu l’opportunité d’examiner en détail un serveur HP ProLiant ML110 G6, une machine tour destinée aux petites entreprises. L’objectif était d’acquérir une connaissance concrète des composants matériels d’un serveur physique, souvent abstraits lors de l’administration à distance.

Composants observés

J’ai procédé au démontage complet du serveur, en identifiant et documentant chacun des éléments suivants :

Processeur : Intel Xeon E3 (socket LGA1156), dédié aux charges serveur avec support ECC
Mémoire RAM DDR3 ECC : barrettes à correction d’erreur, critiques pour la fiabilité en production
Contrôleur RAID intégré : permet la redondance des disques pour la continuité de service
Disques durs : bays hot-swap pour remplacement à chaud sans arrêt du serveur
Alimentation redondante : deux blocs d’alimentation pour éliminer ce point de défaillance unique
Carte réseau iLO (Integrated Lights-Out) : interface de gestion dédiée permettant l’administration à distance même hors tension OS

Bilan

Après remontage, j’ai rédigé une fiche technique décrivant le rôle de chaque composant et ses spécifications. Ce travail m’a permis de comprendre les différences architecturales entre un serveur et un poste de travail, notamment en matière de redondance et de fiabilité.