Chaque année dans mon école d'ingénieur, nous devions réaliser un projet "majeur". Le projet majeur de 1ère année est la réalisation d'une étude scientifique sur un sujet de notre choix en rapport avec la cybersécurité.

L'objectif du projet était de nous introduire au monde de la recherche scientifique en nous apprenant comment trouver des articles intéressants pour notre sujet dans les bases de recherches (IEE / arxiv / ACM / Springer ...), comment croiser les articles scientifiques (google scholar / zotero ...) et comment écrire un article scientifique avec le langage LaTeX.

Pour ce projet j'ai décidé d'écrire un article scientifique concernant les différentes méthodes de création et de détection du Deepfake.

Les articles des étudiants ayant obtenus la note maximale ont été soumis à la relecture par les pairs à de vrais chercheurs (afin d'être potentiellement publié dans un journal scientifique). Plusieurs étudiants ont obtenus la note maximale, ce fût également mon cas, malheureusement aucun étudiant n'a été publié cette année.

Configurateur

Création d'une investigation

Listing des processus

Marquage des preuves

Génération du rapport

Previous Next

OffGrid est une plateforme décentralisée basée sur l'outil Volweb permettant de configurer des clés Bash Bunny pour l’extraction de RAM.

L'idée est de permettre à n'importe quel technicien d'effectuer une extraction de la mémoire vive d'une machine corrompue sans attendre un expert forensique.

OffGrid permet aussi d'analyser la RAM récupérée via la clé Bash Bunny et de générer un rapport forensique signé recevable par la justice.

Offgrid pourrait également contenir d'autres profils de configuration pour des tâches d'administration système / réseaux ou de hardening (ces profils n'ont pas été écrits).

Previous Next

Locked Shields est considéré comme l'exercice de cybersécurité le plus important au monde. Chaque année, il est organisé pour entraîner les équipes de l'OTAN, 40 nations différentes réunissant plus de 3000 experts s'affrontent durant 4 jours.

Pour mon projet de dernière année d'école d'ingénieur j'ai eu la chance de participer à l'organisation de cet exercice, en collaboration avec l'université de Tallinn (Estonie) et le CCDCOE (Centre d'excellence de cyberdéfense coopérative de l'OTAN).

Nous faisions partis de la Green Team (équipe de développement), notre rôle a été d'implémenter une solution WebSSO utilisée pendant le scénario de l'exercice. Cette solution devait répondre à des contraintes très précises pour intéragir avec le SI global (notamment être déployable avec Ansible).

Les membres de l'équipe se sont rendus sur place avant et pendant l'exercice pour assurer la disponibilité de la solution livrée.

Listing des articles d'un chercheur

Création d'un "trigger"

Previous Next

OnlineLib est un service de gestion de documentation scientifique écrit en Java et utilisant la libraire JDBC. Ce projet a été réalisé dans le cadre de mes études en DUT Informatique à l'IUT Charlemagne.

L'objectif était de gérer une base de données via une application Java avec interface graphique.

Dans cette application l'utilisateur pouvait stocker des documents scientifiques sous formes de fichiers (pdf, docx, txt ...) ou de liens. Il pouvait les consulter, les extraire ou les supprimer de la base de données.

Chaque document possède une liste de chercheurs / lieux de recherches associés. Il est également possible de créer des alertes (trigger) lorsqu'un nouveau document avec un titre ou des notes en particulier est ajouté à la base de données.

Création d'une liste de cadeaux

Exemple de liste

Previous Next

MyWishList est une application PHP dédiée à la création, au partage et à la gestion de listes de cadeaux. Ce projet a été réalisé dans le cadre de mes études en DUT Informatique à l'IUT Charlemagne.

L'objectif du projet était de créer une application PHP avec un système d'authentification simple (jetons d'accès) ainsi qu'un système de droits (chaque jeton donnait des droits précis à l'utilisateur).

L'application permet de créer des listes de cadeaux, de les partager à des utilisateurs authentifiés ou non et de gérer leurs droits (écriture, lecture, partage...)

Page d'accueil

JukeBox vide

Previous Next

JBox est une application Node.js pensée pour les propriétaires d'établissements (bars, restaurants, bowling ...) voulant instaurer une ambiance musicale personnalisée par les clients. Ce projet était le dernier réalisé dans le cadre de mes études en DUT Informatique à l'IUT Charlemagne.

Le propriétaire peut créer un Jukebox et diffuser un QR Code permettant à n'importe qui de le rejoindre. Une fois que l'utilisateur à rejoint le Jukebox, il peut ajouter une musique présent dans la base de données, celle-ci sera ajoutée à la liste d'attente du Jukebox.

La fonctionnalité permettant d'ajouter n'importe quel fichier audio à la base de données n'a pas été finalisé par manque de temps et jugée trop dangereuse à la livraison du projet. C'est pourquoi la liste des musiques est restreinte à la base de données incluse.

Le créateur du Jukebox peut "skipper" des musiques ou expulser des utilisateurs si besoin.

Page d'accueil

Exemple de page de jeu

Suite de la page

Previous Next

HeyNow est le premier site web que j'ai réalisé. Ce projet a été réalisé dans le cadre de mes études en DUT Informatique à l'IUT Charlemagne.

Le but était de coder un site HTML et CSS à la main sans aucun plugins et de le rendre responsive en 1 mois.

Dans celui-ci vous trouverez 10 fiches présentant des jeux vidéos regroupées en 3 catégories : les Jeux PC, les Jeux Console et les Jeux Smartphone.

Le but est de présenter ces jeux via des images de gameplay et des bulles de résumés, il y a également des maquettes du site réalisés avant de le concevoir dans la page "A propos".

Action "dormir"

Action "combat"

Action "courir"

Previous Next

ShrekLife est le premier script Javascript que j'ai écrit. Ce projet a été réalisé dans le cadre de mes études en DUT Informatique à l'IUT Charlemagne.

Le but était de rendre un site web interactif en 1 semaine, sur le site en question nous contrôlons un monstre (ici Shrek). Chaque bouton correspond à une action que le monstre peut faire.

Par exemple l'action "travailler" vous fait gagner de l'argent mais perdre de la vie, tandis que l'action "manger" vous fait perdre de l'argent mais gagner de la vie. Le site est programmé pour générer des actions aléatoirement également, votre but est de survivre le plus longtemps possible.

Premier étage

Dernier étage

Page "game over"

Page "Shrek"

Previous Next

Zeldiablo est le premier projet Java avec interface graphique que j'ai réalisé. Ce projet a été réalisé dans le cadre de mes études en DUT Informatique à l'IUT Charlemagne.

L'objectif était de créer un jeu Java avec le moteur graphique qui nous était donné. Ici nous avons opté pour un labyrinthe comportant des monstres et des cases avec différentes actions.

Nous voulions utiliser des "sprites" des jeux Zelda et Diablo à la base (d'où le nom) mais nous avons fini par utiliser ceux du jeu Megaman

Le labyrinthe est constitué de plusieurs étages (prédéfinis), le joueur contrôle Megaman et doit éviter les monstres. La présence de case donnant un bonus ou malus de vitesse ainsi que des téléporteurs / pièges rendent le jeu plus complexe.

Pour réussir le jeu il faut atteindre la case trophée se trouvant au dernier étage, cependant nous avons également ajouter une case invisible qui fait gagner le joueur, celle-ci fait apparaître l'écran de victoire avec Shrek !

Avant

Après

Previous Next

SSI Actus est une revue d'actualités hebdomadaire traitant de sujets lié à la cybersécurité dans le milieu hospitalier. La revue est diffusée sur l'intranet du GHBS.

La revue a été créée par Dana Hussein Hassan, un autre apprenti du GHBS.

J'ai proposé de reprendre la rédaction de la revue et de la moderniser. Le projet a été validé par le pôle communication du GHBS et étendu à d'autres établissement de santé, tel que l'hôpital psychiatrique EPSM Charcot.

Exemple de résultats

Previous Next

IDSniffer est un script Python permettant de lister tous les fichiers contenant des identifiants en clair depuis un dossier racine.

J'ai écrit ce script Python peu de temps après avoir été recruté comme apprenti ingénieur cybersécurité au GHBS. En effet, j'ai remarqué la présence de nombreux fichiers contenant des identifiants en clair dans les dossiers partagés du GHBS.

Le script liste les fichiers contenant des chaînes de caractères faisant référence à des identifiants (exemple : "mot de passe = " / "creds are" / "password:" ...)
Le script est capable de lire les fichiers avec les extensions suivantes :
["csv", "docx", "doc", "gif", "jpg", "json", "html", "msg", "odt", "pdf", "png", "pptx", "txt", "xlsx", "xls"]

Une vérification humaine est cependant nécessaire sur les résultats car le script remonte de nombreux faux-positifs, aucun processus pour ignorer ces faux-positifs n'a encore été mis en place.

Mon Projet de Fin d'Études (PFE), consistait à réaliser des audits techniques internes et externes du GHBS puis de corriger les vulnérabilités trouvées dans le cadre du programme CaRE.

Pour les audits internes, je me suis appuyé sur les outils : Oradad et PingCastle ainsi que sur mes propres connaissances.

Pour les audits externes, j'ai réalisé une étude comparative de plusieurs outils pour l'Agence du Numérique en Santé (ANS) :

• AlgoLightHouse de l'éditeur AlgoSecure
• BearEye de l'éditeur BearOps
• Patrowl
• Uncovery (choix retenu)

Ce PFE m'a conforté dans l'idée de continuer ma carrière dans le domaine de l'audit technique.

Avant

Après

Previous Next

J'ai effectué un stage de 3 mois au Centre de Formation d'Apprentis de l'Université de Lorraine pendant mon DUT Informatique.

Ma mission était de réaliser la migration du framework CodeIgniter vers le framework Symfony pour l'application de gestion web du CFA.

Pendant ce stage j'ai notamment appris à utiliser le framework PHP Symfony et CodeIgniter ainsi que les libraires javascript Twig / React / jQuery.

Page d'accueil

Page "CTF"

Exemple de post

Previous Next

Blog où je poste du contenu lié à la cybersécurité, notamment les writeups des CTF auxquels j’ai participé.

Création du personnage

Rendu

Previous Next

Petit jeu vidéo réalisé sur le moteur UE4, le joueur incarnait Shrek dans un monde ouvert, son but était d'enquêter sur une force mystérieuse qui perturbait l'équilibre du royaume.

Le projet m'aura permis de prendre en main le moteur UE4 et Unity, ainsi que le logiciel de DAO/CAO Blender. Malheureusement il n'aura jamais abouti par manque de temps.

Envoi des mails

Création des mails

Vérification des mails

Previous Next

Ryoshi est un programme Python permettant d'envoyer des mails de Phishing personnalisés via une interface graphique, tout en contournant les protocoles SPF / DKIM / DMARC.

L'objectif du projet était d'appronfondir mes connaissances sur la sécurité des mails, en effet j'ai réalisé ce projet en même temps que la mise en place d'une politique DMARC dans mon entreprise.

Ryoshi permet de vérifier si un mail existe (grâce à Holehe), il permet également de créer / personnalisé son propre mail de phishing et bien sûr de l'envoyer avec une fausse adresse mail.

Ryoshi signifie "pêcheur" en japonais, il s'inspire grandement de l'outil espoofer présenté à la conférence BlackHat USA 2020.