Workshop : 5 Novembre 2020

# Workshop : 5 Novembre 2020 ## Sommaire * **Cover Your Tracks** * L’importance de limiter ses empreintes numériques * Couvrir sa navigation * Sécuriser sa vie numérique * Création de Burner Accounts * **OSINT** * Google Dorks * Username Search * Source Code Searcher * Buckets Amazon * Yandex * PETIT CADEAU --- ## Cover Your Tracks ### L’importance de limiter ses empreintes * Contrôler son image numérique publique * Contrôler ses données collectées et vendus * Être moins vulnérables au monde extérieur > **Votre vie privée ne regarde que vous** > **L’anonymat n’est pas un crime** > **Ne faites confiance à aucune entreprise avec votre vie privée** ### Couvrir sa navigation * **Connexion à Internet** * [TOR Box](https://www.torbox.ch) - est un routeur anonyme facile à utiliser, basé sur un Raspberry Pi. TorBox crée un WiFi séparé qui achemine les données chiffrées du réseau sur le réseau Tor. Pour les plus riches il existe un produit déja finit fait par [Anonabox](https://www.anonabox.com). * Virtual Private Network - VPN (no-log) * [ProtonVPN](https://protonvpn.com) est un VPN sécurisé envoie votre trafic Internet par un tunnel VPN chiffré, de sorte que vos mots de passe et vos données confidentielles restent en sécurité, il n'enregistrons pas les activités des utilisateurs et ne partageons pas les données avec des tiers. * [ExpressVPN](https://www.expressvpn.com/) est un service fiable et digne de confiance qui offre de nombreuses fonctionnalités. * [NordVPN](https://nordvpn.com) offre le meilleur rapport qualité/prix. Excellent service VPN privé, rapide et sécurisé. * [PrivateVPN](https://privatevpn.com) est un service VPN sans journaux, établi en Suède et grand favori des consommateurs pour sa capacité à débloquer tous les services de streaming. * [Private Internet Access](privateinternetaccess.com) est depuis longtemps un service VPN grand favori des membres des forums de confidentialité de Reddit. * [Perfect Privacy]() est un excellent choix. Bien qu’il puisse sembler un peu trop technique pour certains utilisateurs, Perfect Privacy offre néanmoins un certain nombre de fonctionnalités très avancées. Cela au détriment, il est vrai, d’une certaine convivialité. * [Surfshark](https://surfshark.com) chiffre tout le trafic Internet reçu et envoyé. Masque également l'adresse IP en plus de bloquer les pubs, les trackers, les programmes malveillants et les tentatives de phishing. * **Navigateur Internet** * [Tor](https://www.torproject.org) est un navigateur vise à ce que tous les utilisateurs se ressemblent, de sorte qu'il est difficile de prendre vos empreintes digitales en fonction des informations relatives à votre navigateur et à votre appareil. * [Brave](https://brave.com) est un navigateur web rapide, privé et sécurisé offre une navigation plus rapide et sans publicité qui permet d'économiser des données et de préserver la batterie en bloquant les logiciels de suivi. * [Firefox](https://www.mozilla.org) est un navigateur web créé par une communauté mondiale, à but non lucratif, qui œuvre pour que les utilisateurs gardent le contrôle de leur vie en ligne. * [Iridium](https://iridiumbrowser.de) est un navigateur est basé sur le code de base Chromium. Toutes les modifications améliorent la confidentialité de l'utilisateur La transmission automatique de requêtes partielles, de mots clés et de mesures aux services centraux est empêchée et ne se fait qu'avec l'accord de l'utilisateur. * [Chromium](https://www.chromium.org) est un projet de navigateur open-source qui vise à construire une manière plus sûre, plus rapide et plus stable pour tous les utilisateurs de faire l'expérience du web. #### Effacer les données de navigations * Paramètres de Chrome Supprimer les données de navigations Google Chrome propose différents paramètres pour limiter et effacer les cookies pendant ou à la fin de votre navigation: ![](https://i.imgur.com/GxnKr3f.png) Sous l'onglet **Confidentialité et sécurité** des paramètres de Chrome se trouve quelques options intéressantes, comme bloqués les cookies tiers, laissant les cookies essentiels (sessions) mais empêche l'accès aux données et activités sur les autres sites. Une autre options permets d'**effacer les cookies et données de site en quittant Chrome**, ou encore une option envoyant des demande d'"**intedire le suivi**" lors de la navigation interdisant aux sites sur lesquelles vous naviguez de vous pister et de profiter de vos données pour proposer des publicités ciblés notamment. * [uBlock Origin](https://ublockorigin.com) n'est pas seulement un "ad blocker", c'est un bloqueur de contenu à large spectre dont la caractéristique principale est l'efficacité du processeur et de la mémoire. * [HTTPS Everywhere](https://www.eff.org/fr/https-everywhere) est une extension pour Firefox, Chrome et Opera qui chiffre vos communications sur de nombreux sites majeurs, rendant votre navigation plus sûre. * [Cookie Autodelete](https://github.com/Cookie-AutoDelete/Cookie-AutoDelete), lorsqu'un onglet se ferme, les cookies non utilisés sont automatiquement supprimés. * [NoScript](https://noscript.net) est une extention Firefox qui offre une protection supplémentaire pour Firefox, Seamonkey et les autres navigateurs basés sur mozilla : ce module complémentaire gratuit et open source permet à JavaScript, Java, Flash et autres plugins d'être exécutés uniquement par des sites web de confiance de votre choix. ### Sécuriser sa vie numérique #### Boîte mail * [ProtonMail](https://mail.protonmail.com) est un service de messagerie basé en Suisse, il a commencé à être populaire à la suite des révélations de Snowden et a été largement promu par les médias américains comme « le seul système de messagerie électronique auquel la NSA ne peut pas accéder ». * [Tutanota](https://posteo.de) est un courrier électronique chiffré de bout en bout, de sorte que même l’entreprise ne peut pas le lire. Cependant, Tutanota va encore plus loin et chiffre automatiquement la ligne d’objet des courriels. * [Posteo](https://posteo.de) est un fournisseur de messagerie innovant misant sur la durabilité et la protection de la vie privée. * [StartMail](https://www.startmail.com) est un service de messagerie électronique sécurisé, exploité par les personnes qui opèrent également le moteur de recherche privé Startpage.com. * [Mailbox](https://mailbox.org) est un fournisseur d’e-mail privé basé en Allemagne, une juridiction généralement considérée comme excellente pour la confidentialité, bien que membre de l’alliance “14 Yeux”. #### Gestionnaire de mots de passe * [Bitwarden](https://bitwarden.com) est un gestionnaire de mots de passe chiffré de bout en bout, gratuit et open-source, aussi élégant et facile à utiliser et ajoute des fonctionnalités telles que le partage sécurisé et l’authentification à deux facteurs. * [Dashlane](https://www.dashlane.com) est l'un des gestionnaires de mots de passe complet et agréable à utiliser avec des fonctions inédites comme la reconnaissance biométrique sur ordinateur toutefois avec 50 mots de passe et un seul appareil disponible sur la version gratuite. * [1Password](https://1password.com) est un bon gestionnaire de mots de passe qui propose de nombreuses fonctionnalités, une interface claire et beaucoup d'options pour la gestion avancée des mots de passe. * [LastPass](https://www.lastpass.com) est une séduisante solution de gestion de mots de passe et la version "gratuite" pourra amplement suffir pour une utilisation classique et autonome. #### Stocker vos fichiers * [Cryptomator](https://cryptomator.org), la clé de vos données est entre vos mains. Cryptomator chiffre vos données rapidement et facilement. Ensuite, vous les téléchargez protégées vers votre service cloud. * [Nextcloud](https://nextcloud.com) est la première plateforme de collaboration de contenu sur site entièrement intégrée sur le marché, prête pour une nouvelle génération d'utilisateurs qui attendent des capacités de collaboration en ligne sans faille dès le départ. * [Tresorit](https://tresorit.com) est une option de stockage cloud chiffrée de bout en bout et extrêmement conviviale basée en Suisse. * [Sync](https://www.sync.com) offre une solution de stockage en cloud sécurisée et chiffré pour les entreprises et les particuliers. #### Partage de fichier temporaire ou anonyme * [Anonfiles](https://anonfiles.com) permet de télécharger nos fichiers anonymement et gratuitement avec une limite de taille de fichiers de 20 Go et une bande passante illimitée. * [Swiss Transfer](https://www.swisstransfer.com/) est le moyen le plus sécurisé et facile de partager des fichiers en toute sécurité dans le monde. #### Messagerie * [Telegram](https://telegram.org) vous permet d'accéder à vos chats à partir de plusieurs appareils. Rapide. Le télégramme permet de transmettre des messages plus rapidement que toute autre application. Puissant. Telegram n'a pas de limites quant à la taille de vos médias et de vos chats. * [Signal](https://www.signal.org) utilise la connexion de données de votre téléphone pour vous éviter les frais de SMS et MMS. Parlez librement Passez des appels vocaux et vidéo d'une clarté cristalline à des personnes qui vivent de l'autre côté du monde. --- ### Création de Burner Accounts > **Un Burner Account est un compte « jetable » créé dans le but de ne pas remonter au propriétaire du compte** #### Boîte mail temporaire * [Gmailnator](https://gmailnator.com) est le service de courrier électronique temporaire le plus avancé sur le web, car il vous propose d'utiliser une adresse électronique Gmail dans laquelle les autres fournisseurs de courrier électronique temporaire ne sont pas pris en charge. * [Owlymail](https://owlymail.com) est le générateur de faux e-mails temporaire gratuit. C'est le seul site où vous pouvez enregistrer des listes de diffusion et OwlyMail est le seul générateur de courrier électronique temporaire gratuit qui envoie des notifications à ses utilisateurs lors de la réception de courriers électroniques. Sur les autres sites, vous ne pouvez pas utiliser le courriel une fois créé, mais sur OwlyMail, vous pouvez l'utiliser encore et encore autant de fois que vous le souhaitez. * [Yopmail](http://www.yopmail.com) vous propose une fausse adresse mail temporaire et anonyme. Ce mail jetable et gratuit vous aidera à contrer le spam. Adresse email jetable anti-spam. #### SMS * [SMS-Online](https://sms-online.co) est un service gratuit qui permet de recevoir des sms en ligne. Il ne vous faut ni abonnement ni téléphone. Choisissez simplement un des numéros de la liste. * [Receive SMS Online](http://receive-sms-online.info) est un service gratuit pour recevoir des messages SMS en ligne, basé sur REAL SIM et vous montre l'information exacte reçue par le modem avec Dynamic Sender ID. * [OnOff](https://web.onoff.app) vous permet d'utiliser plusieurs numéros de téléphone sur votre téléphone, instantanément. Obtenez un numéro de téléphone prépayé pour les rencontres, un deuxième numéro de téléphone pour le travail, un numéro de téléphone temporaire pour la vie privée. Le tout dans une application facile à utiliser. #### Générer un fausse identité * [Fake It](https://fake-it.ws), votre faux générateur de données. Aujourd'hui, de plus en plus de données sont demandées sur les sites web. Si vous êtes un développeur qui doit tester la saisie de données et le flux de travail ou si vous êtes simplement soucieux de votre vie privée et que vous ne voulez pas donner vos données personnelles à chaque site web * [Fakenamegenerator](https://www.fakenamegenerator.com), les utilisateurs connectés peuvent consulter les numéros de sécurité sociale complets et peuvent enregistrer leurs faux noms pour les utiliser plus tard. * [Username Generator](https://jimpix.co.uk/words/random-username-generator.asp), les noms d'utilisateur sont générés avec deux mots réunis, chacun choisi dans une des listes de catégories au préalable. --- ## OSINT > **Le renseignement d'origine sources ouvertes est le recueil et l'analyse d'information obtenue à partir de source d'information publique.** ### Google Dorks | Dork | explication | | -------- | -------- | | intitle | Cherche dans les titres des pages | | inurl | Cherche dans l'URL des pages | | intext | Cherche dans ce qu'il y a dans la page | | filetype | Cherche les type de fichier (pdf, docx, ...) | | site | Limite la recherche à un site | Exemple : ``` inurl:kali filetype:pdf ``` ### Username Search * [Name Checkup](https://namecheckup.com) trouve le nom d'utilisateur et le domaine des médias sociaux disponibles pour votre start-up, votre entreprise, votre marque personnelle. * [Instant Username](https://instantusername.com) recherche instantanément le nom d'utilisateur, vérifie si votre nom d'utilisateur est disponible sur plus de 100 sites de médias sociaux. ### Source Code Searcher * [Search Code](https://searchcode.com) est un moteur de recherche de code source libre. Les extraits de code et les dépôts de logiciels libres sont indexés et peuvent faire l'objet de recherches. * [Public www](https://publicwww.com) est un moteur de recherche de code source. Trouvez tout extrait alphanumérique, signature ou mot-clé dans les pages web en code HTML, JS et CSS. Recherche : syntaxe de la requête : RegEx, ccTLDs, etc. ### Yandex Image [Yandex](https://yandex.com/images/) recherche des images similaires ou identiques sur le web, la reconnaissance faciale y est intégrée pour les personnes connues. ### Bucket Amazon [Gray Hat Warfare](https://buckets.grayhatwarfare.com) recherche les seaux s3 d'Open Amazon et leur contenu Tous les mots clés sont traités comme des ET logiques. Si vous souhaitez exclure un mot-clé, vous pouvez ajouter -keyword. secret - renvoie tous les fichiers contenant secret dans le nom de fichier ; secret -html - renvoie tous les fichiers contenant secret et ne contenant pas de html dans le nom de fichier. ### La référence [OSINT Framework](https://osintframework.com) s'est concentré sur la collecte d'informations à partir d'outils ou de ressources gratuits. L'objectif est d'aider les gens à trouver des ressources OSINT gratuites. Certains des sites inclus peuvent nécessiter un enregistrement ou offrir plus de données pour $$$. ### Tips Facebook [FBI] (https://github.com/xHak9x/fbi) les informations sensibles peuvent être facilement recueillies même si la cible convertit toute sa vie privée en (seulement moi), Informations sensibles sur la résidence, la date de naissance, la profession, le numéro de téléphone et l'adresse e-mail. **Attention** > Changer de mot de passe avant de le faire !!! par un mot de passe temporaire car facebook détecte cette manipulation et vous demande de le changer par sécurité, là vous pourrez remettre l'ancien et repartir sereinement.