Vidéo très clean, les explications sont très claires et j'apprends beaucoup grâce à toi ! Je serai heureux de voir de nouvelles vidéos sur de la sécurité web :) Merci pour ton magnifique travail !
Hormis le titre marketing sauce 2022 (révoltant, et qui m'a poussé à regarder la vidéo pour initialement aller y chercher des éléments de langages et techniques incorrectes), et en tant que professionnel du secteur depuis 1999), le contenu, les explications, les sources citées etc sont impeccables. Bravo.
Ahah, exactement pareil 😬 . J'ai vu le titre, ça m'a énervé, donc j'ai voulu relever tous les détails techniques incorrects et les imprécisions pour pinailler. Je suis finalement tombé sur une vidéo très correcte, bien écrite et bien faite. Quelle frustration.
google ce document m3aawg-forward-secrecy-recommendations-2016-01-french.pdf, youtube supprime les commentaires avec un lien https educatif Ce document indique clairement en conclusion que l'echange de cle ephemere (Diffie-Hellman3 Ephémère) ne protege uniquement que si la cle prive du serveur est decouverte apres la capture des donnees chiffrees. Si l'attaquant dispose de la cle prive avant la capture, il peut tout decoder en live donc https n'est pas sur à 100% surtout si on parle de volume de traffic ou les maintreams representent une vaste part de marché cad que sur les gafa on est en slip, sans même avoir de backdoor sur leur serveur.
@@sebastienl2140 À ma connaissance, tous les serveurs et clients web un minimum "récents" savent négocier un cipher TLS permettant la forward secrecy depuis très longtemps (98.8% des serveurs en 2020 d'après SSL Labs). Les serveurs et clients moins récents doivent de toute façon être vulnérables à plein d'autres choses pas ultra funs. Si la préoccupation est les GAFA, compromettre la SK pour déchiffrer les communications semble quand même être une attaque inutilement sophistiquée alors qu'ils possèdent tous une autorité de certification racine reconnue par les systèmes d'exploitation du monde entier, ce qui leur permet basiquement de faire du man-in-the-middle à peu près partout. La limite d'HTTPS sur est plutôt là à mon humble avis, côté client : le pouvoir démesuré conféré aux autorités racine ou le fait que les clients donnent plus de crédit à un site en HTTP plutôt qu'à un site utilisant un certificat auto-signé. L'approche de SSH me semble bien plus saine, mais peut-être contre-productive pour le grand public.
@@Madinko12 c'est vrai que le man in middle par le vol d'identite serveur est sans aucun doute une realité mais si on veut enregistrer, stocker, decortiquer la data à large echelle pour en faire plein d'outils qui donne plein de super pouvoir geopolitique et d'intelligence technico economique, compromettre la clé privee reste optimal = pas de flux supplementaire sur le reseau, pas de routage complexe de la capture in middle, pas de preuves tangible coté administrateurs infra serveurs donc facilité à forcer la main. C'est un peu trop recurent les ecoutes de cables sousmarins, les supers centre de stockage pour debusquer les talibans, les points reseau ou etrangement tout le traffic passe à des centaines de km à la ronde (un americain avait fait sauté un noeud à priori important), les boites noires FAI, ect ... Internet est quand même bien deglingué avec leur obscession du controle pour si peu de resultat contre la delinquence, il est important de poser un diagnostique pour voir emerger de possible solutions
Vidéo très intéressente ! Le montage est lean, tes explications n'ont rien à voir avec des profs spécialisés en sécurité informatique. Tu expliques même beaucoup mieux qu'eux ! Continue comme ça... Regarder tes vidéos est un vrai régal😁
Bonjour, je me pose une question depuis un bout de temps... Pour établir une connection securisée avec un serveur, le client et ce dernier doivent échanger un handshake ? un code qui leur permettra de dechiffrer les communications, ce code peut-il etre intercepté par un acteur malveillant ce qui lui permettra d'acceder aux requetes?
Instinctivement je me dis que si j'étais développeur de navigateur WEB je coderais une fonction qui imposerait de d'abord tenter une connexion https quand l'adresse saisie est en http ... puis de basculer sur http si le https n'a pas répondu. Est-ce que ce comportement de https "par défaut" poserait problème ?
Avant let's encrypt on ne devait pas payer pour avoir https, on devait payer pour avoir un certificat valide. En effet, on peut très bien avoir une connexion sécurisée sans certificat mais le navigateur affichera une erreur que l'on peut choisir d'ignorer et donc naviguer sur le site.
Super vidéo, toujours très intéressant même pour moi qui reste très débutant. Est-ce que quelqu’un connaît un peu les mac M1/M2 etc car j’aimerai savoir si ce choix de pc est possible pour travailler en cybersécurité car le processeur M1 et les autres sont compatible avec seulement quelques machines virtuelles (Virtualbox ou UTM par exemple) mais j’aimerais savoir si la machine règle le problème du processeur pour la compatibilité avec les logiciels par exemple est-ce qu’un mac M1 saura faire fonctionner Nmap (ou un autre logiciel) sur Kali Linux sur une machine virtuelle. Merci d’avance pour toutes les informations que vous avez à m’apporter sur ces puces.
Bonjour je ne sais pas si c'est vraiment fait pour la cyber securité je penses que c'est plus pour la création. Par contre si c'est possible de faire de la cyber securité prend le.
La grande question justement c’est est-ce que c’est possible et/ou recommandé car les nouvelles puces M1 sont très attrayantes mais j’ai peur de faire un achat que je regretterai dans ma future vie professionnelle
La grande question justement c’est est-ce que c’est possible et/ou recommandé car les nouvelles puces M1 sont très attrayantes mais j’ai peur de faire un achat que je regretterai dans ma future vie professionnelle.
@@user-nono Si la question c'est "est-ce que c'est possible", la réponse est certainement oui. Kali peut tourner en natif sur ARM64 et peut aussi probablement être virtualisé dans n'importe quel hyperviseur supportant ARM64 (c'est-à-dire désormais presque tous sur MacOS j'imagine). Cependant, le support hardware reste médiocre pour le moment. La situation tend à s'améliorer (notamment grâce aux super taf des développeurs d'Asahi Linux), mais ça reste léger à mon sens si ton activité principale sera du pentesting. À noter que tous les outils disponibles normalement dans Kali ne le sont pas nécessairement dans la distribution ARM64/M1/M2.
La condition est que le client doit forcement se connecter en HTTP, ce qui n'est pas evident. Par contre une telle attaque ne rend pas le HTTPS vulnerable!
Dsl mais ton titre est un peu racoleur, HTTPS n'est pas vulnérable, si je me base sur tes argumentations ce sont les navigateurs, les serveurs web et par-dessous tout l'utilisateur qui sont vulnérables. Pas le protocole en lui-même.
Oui, si vous le voulez :) Cependant comme je l'ai indiqué a la fin de la vidéo (sans plus de précision), certaines versions de TLS et SSL sont vulnérables a certaines attaques.
Pour le client : S'il ne fait pas attention Pour le site : S'il ne prend pas de précaution En somme, le titre n'est pas "racoleur". Le contenu pourrait ne pas suprendre des vétérans. C'est mon avis.
@@iancarter724 Pour préciser, j'ai fait preuve d'euphémisme, en disant un PEU racoleur, mais je réitère une vérité : HTTPS n'est pas cassé, il n'y a pas de vulnérabilités, donc racoleur, si ce que je dis est faux, alors merci de me donner la CVE qui n'est pas corrigée, je serais le premier à l'exploiter si c'est le cas, cdt
Faut juste avoir confiance que le serveur ait reussi à garder une cle privé non compromise. On y croit fort avec les gafa, personne n'est jamais aller discuter avec ces mainstreams pour leur expliquer que pour lutter pour de nobles causes, ce serait normal qu'il est un petit trou de securité qui permette à une personne chanceuse et bien attentionné de tomber sur vos cles privés.
Yo, Hafnuim est t'il possible de fake la sécurité. Je m'explique admettons que je click sur un lien que je voit Https est que le cadna y soit en haut à gauche. Mais qu'en faite ça soit pas le cas est que le site derrière soit en http. Je sais pas si ces compréhensible ^^
@@HafniumSecuriteInformatique En gros faire croire a l'utilisateur qu'il est en site HTTPS alors que non. Genre un phishing seulement au niveau du cadenas
bonjour, disons, qu'ils ont une porte d'entrée en moins mais ils leurs restent encore bcp de possibilités d'attaques. je tiens à préciser que c'est pas parce qu'un site est en HTTPS qu'il est fiable... quant à la vidéo, good explications, juste expliquer ce que j'ai dis sur la ligne juste au dessus ;) et ca aurait été parfait.
Le HSTS est majoritairement utile dans le fait de jouer le rôle de "policier" ssl, c-a-d que sans hsts, l'utilisateur peut se permettre de poser une exception sur une alerte de certificat invalide.. avec hsts activé, impossible de continuer la navigation avec un certificat invalide
Vidéo très clean, les explications sont très claires et j'apprends beaucoup grâce à toi !
Je serai heureux de voir de nouvelles vidéos sur de la sécurité web :)
Merci pour ton magnifique travail !
Hormis le titre marketing sauce 2022 (révoltant, et qui m'a poussé à regarder la vidéo pour initialement aller y chercher des éléments de langages et techniques incorrectes), et en tant que professionnel du secteur depuis 1999), le contenu, les explications, les sources citées etc sont impeccables. Bravo.
Ahah, exactement pareil 😬 . J'ai vu le titre, ça m'a énervé, donc j'ai voulu relever tous les détails techniques incorrects et les imprécisions pour pinailler. Je suis finalement tombé sur une vidéo très correcte, bien écrite et bien faite. Quelle frustration.
google ce document m3aawg-forward-secrecy-recommendations-2016-01-french.pdf, youtube supprime les commentaires avec un lien https educatif
Ce document indique clairement en conclusion que l'echange de cle ephemere (Diffie-Hellman3 Ephémère) ne protege uniquement que si la cle prive du serveur est decouverte apres la capture des donnees chiffrees.
Si l'attaquant dispose de la cle prive avant la capture, il peut tout decoder en live donc https n'est pas sur à 100% surtout si on parle de volume de traffic ou les maintreams representent une vaste part de marché cad que sur les gafa on est en slip, sans même avoir de backdoor sur leur serveur.
@@sebastienl2140 À ma connaissance, tous les serveurs et clients web un minimum "récents" savent négocier un cipher TLS permettant la forward secrecy depuis très longtemps (98.8% des serveurs en 2020 d'après SSL Labs). Les serveurs et clients moins récents doivent de toute façon être vulnérables à plein d'autres choses pas ultra funs.
Si la préoccupation est les GAFA, compromettre la SK pour déchiffrer les communications semble quand même être une attaque inutilement sophistiquée alors qu'ils possèdent tous une autorité de certification racine reconnue par les systèmes d'exploitation du monde entier, ce qui leur permet basiquement de faire du man-in-the-middle à peu près partout. La limite d'HTTPS sur est plutôt là à mon humble avis, côté client : le pouvoir démesuré conféré aux autorités racine ou le fait que les clients donnent plus de crédit à un site en HTTP plutôt qu'à un site utilisant un certificat auto-signé. L'approche de SSH me semble bien plus saine, mais peut-être contre-productive pour le grand public.
@@Madinko12 c'est vrai que le man in middle par le vol d'identite serveur est sans aucun doute une realité mais si on veut enregistrer, stocker, decortiquer la data à large echelle pour en faire plein d'outils qui donne plein de super pouvoir geopolitique et d'intelligence technico economique, compromettre la clé privee reste optimal = pas de flux supplementaire sur le reseau, pas de routage complexe de la capture in middle, pas de preuves tangible coté administrateurs infra serveurs donc facilité à forcer la main.
C'est un peu trop recurent les ecoutes de cables sousmarins, les supers centre de stockage pour debusquer les talibans, les points reseau ou etrangement tout le traffic passe à des centaines de km à la ronde (un americain avait fait sauté un noeud à priori important), les boites noires FAI, ect ...
Internet est quand même bien deglingué avec leur obscession du controle pour si peu de resultat contre la delinquence, il est important de poser un diagnostique pour voir emerger de possible solutions
*Une voix très ASMR ( reposante ) facile à écouter ... C'est un PLUS !*
Merci du compliment :)
Vidéo très intéressente ! Le montage est lean, tes explications n'ont rien à voir avec des profs spécialisés en sécurité informatique. Tu expliques même beaucoup mieux qu'eux ! Continue comme ça... Regarder tes vidéos est un vrai régal😁
Merci :)
Quel bonheur de voir une nouvelle vidéo de ta part ! merci bcp
Ta vidéo est comme toujours passionnante, force à toi!
Content que tu sortes une nouvelle vidéo 🎉 😊 Super d’ailleurs
Je ne sais pas comment j'ai fais pour louper cette chaine depuis tous ce temps 😭
Je me sens déjà progressé merci 😣
très belle vidéo force à toi
Video tres intéressante.
Question: pourquoi ne peut on pas afficher un site web en https avec son adresse IP ?
Tres bon contenu merci!
Merci pour ton travail
Bonjour, je me pose une question depuis un bout de temps... Pour établir une connection securisée avec un serveur, le client et ce dernier doivent échanger un handshake ? un code qui leur permettra de dechiffrer les communications, ce code peut-il etre intercepté par un acteur malveillant ce qui lui permettra d'acceder aux requetes?
non c'est tout l'intérêt, je t'invite à te renseigner sur les algo d'échange de clé, en l'occurrence éphémère
Puis-je vous contacter sur Instagram ou Facebook ?
Très bonne vidéo. Merci
Instinctivement je me dis que si j'étais développeur de navigateur WEB je coderais une fonction qui imposerait de d'abord tenter une connexion https quand l'adresse saisie est en http ... puis de basculer sur http si le https n'a pas répondu.
Est-ce que ce comportement de https "par défaut" poserait problème ?
très bonne vidéo je m'abonne
Avant let's encrypt on ne devait pas payer pour avoir https, on devait payer pour avoir un certificat valide. En effet, on peut très bien avoir une connexion sécurisée sans certificat mais le navigateur affichera une erreur que l'on peut choisir d'ignorer et donc naviguer sur le site.
Trop cool💪
Super vidéo, toujours très intéressant même pour moi qui reste très débutant. Est-ce que quelqu’un connaît un peu les mac M1/M2 etc car j’aimerai savoir si ce choix de pc est possible pour travailler en cybersécurité car le processeur M1 et les autres sont compatible avec seulement quelques machines virtuelles (Virtualbox ou UTM par exemple) mais j’aimerais savoir si la machine règle le problème du processeur pour la compatibilité avec les logiciels par exemple est-ce qu’un mac M1 saura faire fonctionner Nmap (ou un autre logiciel) sur Kali Linux sur
une machine virtuelle. Merci d’avance pour toutes les informations que vous avez à m’apporter sur ces puces.
Bonjour je ne sais pas si c'est vraiment fait pour la cyber securité je penses que c'est plus pour la création. Par contre si c'est possible de faire de la cyber securité prend le.
La grande question justement c’est est-ce que c’est possible et/ou recommandé car les nouvelles puces M1 sont très attrayantes mais j’ai peur de faire un achat que je regretterai dans ma future vie professionnelle
La grande question justement c’est est-ce que c’est possible et/ou recommandé car les nouvelles puces M1 sont très attrayantes mais j’ai peur de faire un achat que je regretterai dans ma future vie professionnelle.
@@user-nono Si la question c'est "est-ce que c'est possible", la réponse est certainement oui. Kali peut tourner en natif sur ARM64 et peut aussi probablement être virtualisé dans n'importe quel hyperviseur supportant ARM64 (c'est-à-dire désormais presque tous sur MacOS j'imagine). Cependant, le support hardware reste médiocre pour le moment. La situation tend à s'améliorer (notamment grâce aux super taf des développeurs d'Asahi Linux), mais ça reste léger à mon sens si ton activité principale sera du pentesting. À noter que tous les outils disponibles normalement dans Kali ne le sont pas nécessairement dans la distribution ARM64/M1/M2.
La condition est que le client doit forcement se connecter en HTTP, ce qui n'est pas evident. Par contre une telle attaque ne rend pas le HTTPS vulnerable!
Dsl mais ton titre est un peu racoleur, HTTPS n'est pas vulnérable, si je me base sur tes argumentations ce sont les navigateurs, les serveurs web et par-dessous tout l'utilisateur qui sont vulnérables. Pas le protocole en lui-même.
Oui, si vous le voulez :)
Cependant comme je l'ai indiqué a la fin de la vidéo (sans plus de précision), certaines versions de TLS et SSL sont vulnérables a certaines attaques.
Pour le client :
S'il ne fait pas attention
Pour le site :
S'il ne prend pas de précaution
En somme, le titre n'est pas "racoleur".
Le contenu pourrait ne pas suprendre des vétérans.
C'est mon avis.
@@iancarter724 Pour préciser, j'ai fait preuve d'euphémisme, en disant un PEU racoleur, mais je réitère une vérité : HTTPS n'est pas cassé, il n'y a pas de vulnérabilités, donc racoleur, si ce que je dis est faux, alors merci de me donner la CVE qui n'est pas corrigée, je serais le premier à l'exploiter si c'est le cas, cdt
Oui c'est pas trop grave vue que le contenu est intéressant
Faut juste avoir confiance que le serveur ait reussi à garder une cle privé non compromise. On y croit fort avec les gafa, personne n'est jamais aller discuter avec ces mainstreams pour leur expliquer que pour lutter pour de nobles causes, ce serait normal qu'il est un petit trou de securité qui permette à une personne chanceuse et bien attentionné de tomber sur vos cles privés.
Chui débutant j'aimerais savoir la où à commence
Yo, Hafnuim est t'il possible de fake la sécurité. Je m'explique admettons que je click sur un lien que je voit Https est que le cadna y soit en haut à gauche. Mais qu'en faite ça soit pas le cas est que le site derrière soit en http. Je sais pas si ces compréhensible ^^
La question est difficilement compréhensible.
@@HafniumSecuriteInformatique En gros faire croire a l'utilisateur qu'il est en site HTTPS alors que non. Genre un phishing seulement au niveau du cadenas
Bonjour Halfium! 🙂, dans le cas où nous avons un VPN comme Cyberghost, nous sommes normalement protégés contre ces pirates?
Un VPN chiffre les communications donc oui dans ce cas la.
bonjour, disons, qu'ils ont une porte d'entrée en moins mais ils leurs restent encore bcp de possibilités d'attaques.
je tiens à préciser que c'est pas parce qu'un site est en HTTPS qu'il est fiable...
quant à la vidéo, good explications, juste expliquer ce que j'ai dis sur la ligne juste au dessus ;) et ca aurait été parfait.
Bonjour hafnium je veux avoir accès à la formation "hacking révolution" !! Mais je veux payer les frais en crypto !! C'est possible !??
Il est possible de vous contacter directement ???
@@brigitteanagonou5534 Bonjour,
contactez moi par e-mail : contact@hacking-autodidacte.fr
Je vous donnerai les instructions.
Bonsoir, est-il possible de prendre contact avec vous en privé ?
Bonjour,
Sur mon site internet (dans la description), vous avez mon adresse e-mail.
@@HafniumSecuriteInformatique merci pour votre réponse je viens de vous envoyer un mail
Top ta vidéo, mais la musique est trop forte je trouve
J'aimerais en savoir plus sur ce sujet comment faire pouvez vous m'aider ?
J'ai mis des liens dans la description.
Tu participes au DGHack 2022 ?
moi oui
non
@@HafniumSecuriteInformatique SINON POURQUOI JE RECOIS PAS LES COURS DE LA LETTRE U HACKER
qui ecrit encore les protocol avec l'url de nos jours ?
😛salut un grand merci pour la réponse par e-mail sa fait plaisir
sûr ceux très bonne journée à vous et au plaisir .
La musique de mr robot quelle dingz
Le HSTS est majoritairement utile dans le fait de jouer le rôle de "policier" ssl, c-a-d que sans hsts, l'utilisateur peut se permettre de poser une exception sur une alerte de certificat invalide.. avec hsts activé, impossible de continuer la navigation avec un certificat invalide
👍
Petit bug à 6:44 lol
Bien sûr http est vulnérable mais pas https.
wsh hafnium comment t aller sur serv disc mdrr
Je ne suis sur aucun serveur discord
@@HafniumSecuriteInformatique att tu connais getfenv()[\(★ω★)/] lui apparament cest un hacker
Go protocole IPSF ✋