Un petit condensé des en-tête de sécurité sur HTTP(S) : raison, fonctionnement, mise en place.
— Permalien
Un outil pour débarrasser Windows 10 de pas mal de merdes. À garder sous le coude.
— Permalien
Un service qui permet de voir si son empreinte de navigateur est unique, juste avec les informations qu'il envoie.
Donc, même sans cookie, j'ai une empreinte unique. Bim.
Chier.
via : https://twitter.com/bortzmeyer/status/932255493476831232
— Permalien
Bordel, Amesys continue tranquillement son bordel. De façade seulement les politiques français s'étaient exprimés. Encore beaucoup d'hypocrisie.
Combien de morts encore ?
— Permalien
Très intéressant : le minimum de sécurité sur un système Linux avec éventuellement de l'hébergement). J'aime bien ce genre de liste, même si c'est parfois grossier, discutable ou limité. Ça fait au moins une sorte de checklist utile.
EDIT : le son est ici, si on veut écouter.
via : https://mastodon.social/users/maliciarogue/updates/2537747
— Permalien
Le RFC des bonnes pratiques TLS.
Indispensable & pratique !
Les règles en matière de surveillance, fouille des bagages, palpation de sécurité. Où l'on apprend que beaucoup d'agents sont dans l'illégalité, et certains décrets attaquables.
via : https://twitter.com/blog83629/status/857000709589434373
— Permalien
Beau. L'amour au temps du numérique, de l'espionnage massif, de la pérennité de la moindre donnée. Une histoire d'amour et de hackers. Je n'ai pas lu le récit, mais ça donne envie.
via : https://twitter.com/Maitre_Eolas/status/853940456853471232
— Permalien
Wow, Let's Encrypt est un véritable succès. Il est actuellement sur une croissance quadratique avec un fort taux de pénétration.
Résultat : d'après Firefox, on passe de 38% environ de pages chiffrées en Novembre 2015, à 51.5% actuellement. Ça ne suit pas exactement l'ampleur du mouvement, mais je suppose que les gros sites de GAFA représentent une part importante des pages chargées.
Trop bien. Pensez à faire un don.
— Permalien
Hmmm, j'suis un peu déçu là, du rôle du ssh-agent. C'est la première fois que j'en mets un en place, et en fait c'est juste un process en mémoire qui conserve les clés déchiffrées et qui les restitue entièrement au client demandeur.
Sachant qu'en gros n'importe quel programme apte à lire le socket de l'agent pourra requérir les clés. Bref, pas secure du tout.
Je pensais honnêtement, vu le boulot qui a été fait (et bien fait) autour de SSH, que l'agent était capable de répondre aux requêtes du client (signe-moi ça, calcule-moi ce hash, etc.) En gros, il conserverait la clé privée mais fournirait une API pour accéder aux primitives cryptographiques.
Bon, heureusement, il y a un agent un chouilla plus sécurisé dans KeePass (keeagent) : il peut demander une interaction à chaque utilisation, mais ça n'empêche pas complètement les usages délictueux.
J'espère qu'une sorte de v2 sortira un jour :)
EDIT : changer le vocable autour des routines cryptographiques
— Permalien
Excellent boulot ce site ! Il liste et catégorise les lois relatives à la cryptographie dans le monde (utilisation, import, export, limitations d'usage, etc.). Il y a une jolie carte et c'est extrêmement bien sourcé.
D'ailleurs, ça fait chaud au cœur de voir d'où l'on vient en France et qu'il y a eu pas mal de progrès.
Il y a aussi un truc à noter : je me souviens de la gueulante terrible des internautes sur la LCEN en 2004. Pour une raison que j'ignorais. Pas parce que je trouvais que c'était un beau projet de loi, mais plutôt parce que je ne m'intéressais pas beaucoup à la question. Finalement, le nombre de progrès importants qui ont été enregistrés par cette loi me font dire que c'était une très bonne loi, bien qu'également le cache-sexe de lois bien horribles qui sont sorties en même temps ou par la suite.
Bref, si quelqu'un se souviens des motivations des militants du "contre" je suis tout à fait preneur.
EDIT : Bon, en fait je suis allé faire un tour sur Wikipedia pour m'informer sur la LCEN. Les raisons de la polémique étaient en fait tout à fait valables. Point positif : il semble que la démocratie ait fonctionné plutôt bien cette fois, et d'ailleurs je confirme que la LCEN est une bonne loi telle qu'elle fût adoptée.
— Permalien
Woké. Apparemment, un logiciel est désormais capable de synthétiser la voix d'une autre personne, et ça semble assez fiable. Super flippant.
via : https://twitter.com/Padre_Pio/status/828198923416301568
— Permalien
À quoi ressemble un gouvernement qui n'a plus d'idées ? À ça : StreetPress s'est intéressé aux décorés de la légion d'honneur, édition du premier janvier 2017 (la dernière sous Hollande donc).
Au menu : des fraudeurs fiscaux, des manif' pour tous, des vendeurs de softs d'espionnage à des dictatures, des vendeurs d'armes à des dictatures (ou presque), etc.
Gerbant.
via : https://twitter.com/MatMolard/status/822093034070441984
— Permalien
Intéressant : suite aux nombreux problèmes des DNS chez les FAI français (je soupçonne des mesures de censure en cours de déploiement) beaucoup on recommandé de passer sur des résolveurs publics. Comme OpenDNS (arf), GoogleDNS (arf) ou ceux de FDN…
Mais tout cela a de nombreux inconvénients listés ici par Bortzmeyer (a.k.a. môssieur DNS).
Il recommande donc d'utiliser son propre résolveurs puis de rebondir en récursif sur des DNS non-menteurs mais avec une connexion chiffrée (DNS over TLS).
Il y a par exemple ceux de Lorraine Data Network.
— Permalien
Ouch, je ne connaissais pas cette faille des navigateurs : l'autofill ne rempli pas seulement les champs visibles, donc peut potentiellement leaker des informations personnelles (adresse perso par exemple…).
Chaud.
via : https://twitter.com/edasfr/status/816995456400101376
— Permalien
Wow, une étape de plus a été franchie dans le délire censeur des majors et des FAI. Bouygues Telecom intercepte les requêtes DNS et ment sur les réponses !
Va maintenant falloir passer par des résolveurs qui supportent le chiffrement.
C'est plus du tout du net neutre là.
via : https://twitter.com/JohnShaftFr/status/807600947639762944
— Permalien
OK génial, il faut maintenant que des gens dont c'est le métier, se signalent auprès de leur direction pour pouvoir surfer librement sur le net. Ouch.
Ceci dit, si le CNRS garde effectivement confidentielle cette liste en attendant une enquête sur telle ou telle personne, ils le font aussi pour protéger leur personnel… le problème est ailleurs.
via : https://twitter.com/CamillePolloni/status/805891278877626369
— Permalien
Encore quelques conseils de l'ANSSI, cette fois pour les périphériques (clé USB, téléphones, ordinateurs) lors de voyages, notamment dans des zones craignos.
Pas de règles particulièrement compliquées ici, simplement du bon sens et une dose de paranoïa utile.
(idéalement, pour les voyages d'affaires avec des données critiques, il vaudrait mieux utiliser un matériel dédié qui sera complètement reseté au retour)
— Permalien
Ce matin, on m'a demandé 8 empreintes de doigts (et notamment index) pour faire mon passeport… Alors que depuis fin 2011, ils ne doivent prendre plus que deux empreintes.
Du coup, en cherchant ce qu'il en est (pour signalement à la CNIL) je trouve ce joli article où l'on voit un certain Jean-Jacques Urvoas s'opposer au fichage.
J'avais fini par oublier que ce mec était autrefois du bon côté. Mais c'était une autre époque, un autre vent, qui depuis a tourné…
— Permalien
Envisagez-donc un petit don à Let's Encrypt, pour lui permettre de vivre et d'être indépendant, mais surtout parce qu'au delà des discours, il est une vrai solution au problème d'espionnage massif aujourd'hui. Du concret cette fois.
via : https://twitter.com/MaliciaRogue/status/799561497424830464
— Permalien
Des chercheurs parviennent à découvrir les mots de passes tapés sur un téléphone, en utilisant les perturbations des ondes WiFi par la main du sujet. Ouch !
via : https://twitter.com/adriancolyer/status/796631232318701568
— Permalien
Oh non, quelle tristesse. WOT c'est vraiment une super extension, je suis vraiment dégouté de lire ça. Et donc de la dégager… Snifff.
]]>(Note: I'm the original author of this extension, but haven't been affiliated with it for the past few years, during which time I believe there's been an ownership change.)
[…]
However, the actual issue that's being widely discussed in German media, which both you and AMO reviewers at the time appear to have completely missed was introduced in 2015 in this commit:
https://github.com/mywot/firefox-xul/commit/0df107cae8ac18901bd665acace4b369c244a3f9This change adds logging of each visited URL and clearly attempts to obfuscate the traffic with double Base-64 encoding. Definitely sounds like something that should have been indicated to users.
Un bel exercice de pédagogie en BD et en humour pour expliquer ce que sont ces "algorithmes" dont on parle tout le temps. Au menu :
Bref, du bien bon, c'est signé Gee dont je recommande tous les dessins.
via : https://twitter.com/AdrienneCharmet/status/783696940584275968
— Permalien
Donc, maintenant la NSA utilise des moyens actifs pour espionner ses alliés (ici, la France) et la France fait de même au Canada. Ça va être bien la suite, continuez comme ça. Le monde va vraiment devenir calme.
Pendant ce temps, que fait l'ONU ? Elle n'a pas pour mandat de conserver de bonnes relations entre les pays pour faciliter la paix et les échanges ?
via : https://twitter.com/MerryLaballe/status/772003114455068672
— Permalien
Très bon compte-rendu de la conférence HOPE (que je ne connaissais pas, mais qui donne envie du coup). À lire.
via : https://twitter.com/Zythom/status/762917370876796928
— Permalien
Comparatif très intéressant de la sécurité des messageries instantanées les plus populaires. Et c'est fait par l'EFF, donc j'ai confiance.
Cependant, la page est vieille (outdatée, d'ailleurs c'est dit dès l'introduction) et mériterait une mise-à-jour, d'autant plus que ça change vite. Notamment pour What's App qui s'est grandement armé ces derniers mois.
Lire aussi, l'article de SebSauvage (dans le via)
ConnectedPDF Technology, The Better Way to PDF
Rien que cette phrase est un condensé de la pire merde de toute la merde actuelle (d'ailleurs, je vous conseille vivement Silicon Valley). Connected
? Pour lire un PDF, c'est-à-dire un putain de fichier sur ma machine ? Ensuite, un terme à la mode, comme Technology (WTF), puis une promesse de révolution.
Merde, j'veux juste un lecteur simple, et Foxit était pas mal jusqu'à ce qu'ils décident de pourrir complètement ce soft (pour se faire de la thune).
À l'instant, j'ouvre un PDF, je commence à lire. Une pop-up de merde que je n'ai pas sollicité apparaît. Premier emmerdement. Puis elle reste là "en chargement…". Pour finalement me proposer leur "ConnectedPDF Technology" (sans toujours savoir ce que ça propose) et de bien cliquer ici pour partager toute ma vie et mes empreintes de bite avec eux.
va bien te faire foutre
Bref, je suis à la recherche d'un lecteur PDF, non connecté, sans Spell Check, sans possibilité de modifier le fichier, etc. Juste ergonomique et rapide. Quelqu'un a ça sous la main ?
— Permalien
Cette histoire est facepalmesque. Je comprends pas, c'est de la pure naïveté ou bien ?
]]>Youpi, Let's Encrypt, ça me fait vraiment plaisir.
D'abord, parce que c'est gratuit, et automatisé. Ensuite, parce qu'ils implémentent le protocole Certificate Transparency qui permet d'être sûr qu'ils ne se sont pas fait pirater.
Mais surtout parce qu'ils sont en train de réussir le challenge énorme qui se posait, et en très peu de temps. En manageant quelques sites et blogs, j'utilise des outils pour vérifier les liens cassés dans les pages. Et en ce moment, c'est une pluie de liens qui sont marqués "redirection" parce que l'ancien lien http://domain.tld/path devient https://domain.tld/path !
Et après quelques vérifications au hasard, il s'agit toujours de certificats signés par Let's Encrypt.
Et bientôt, DANE s'imposera et les CA disparaitront en majorité, comme il se doit (mais pas totalement, heureusement) : http://www.commitstrip.com/fr/2016/06/13/the-end-of-an-expensive-era/
Merci aux sponsors (parmi lesquels Mozilla, Akamai, Cisco, Chrome, Gemalto, OVH, Free, Gandi, HP)
(ça fait plaisir en ce moment de voir qu'on peut œuvrer pour quelque chose de bien à plusieurs)
— Permalien
Les petits mensonges de notre « ministre des interceptions administratives, des grenades de désencerclement et des coups de tonfa dans la tronche, Bernard Cazeneuve »
J'en peux plus.
— Permalien
WTF. C'est Facebook qui m'a amené sur cette page.
Je comprends pas trop comment ça marche… Peut-être un directory global pour interdire le retargeting. No lo sé.
— Permalien
Putain. Twitter qui décide à ma place quels sont les tweets qu'il juge important de me montrer (donc de cacher les autres je suppose ?)
Pffffiou, depuis qu'il a découvert l'algorithmie avancée, le monde fait de la merde. Et c'est pas fini.
Mandieu. Facepalm terrible en matière de sécurité : non, le "logo Verisign" n'est pas une preuve de sécurité. Surtout en l'absence de SSL sur la connexion.
— Permalien
Merci Korben pour ce texte. J'ai la nausée aussi, et tout ça est bien expliqué. Je n'arrive même plus à trouver les mots.
C'est vraiment le chef des internets.
— Permalien
Reparlons des boîtes noires et de l'algo magique : cette infographie illustre la problématique en terme de probas.
Même en prenant des hypothèses hyper-optimistes (du genre, l'armée développe le meilleur algo de machine-learning qui n'aie jamais existé ET la science bien de faire un saut en avant) on obtient moins de 1% des terroristes détectés et plusieurs centaines de milliers d'innocents emmerdés par la police. Shit happen.
Font chier les maths.
— Permalien
Ainsi donc ce truc n'était pas une rumeur.
Comment une agence de renseignement d'un seul pays arrive à imposer à l'exportation ce genre de truc ? Pfff…
— Permalien
Je copie/colle ici ces réflexions intéressantes sur la publicité :
Bien dit.
— Permalien
La fracture temporelle, par Laurent Chemla. À lire.
via : https://twitter.com/Korben/status/640895092493025280
— Permalien
Faisez un don les gens. Va y avoir encore plus besoin.
— Permalien
Nom de dieu. Comment ? Je comprends pas ?
Pourtant je suis un ayatollah de la DDHC et je me demande comment ça a pu être validé, notamment eu égard au principe de proportionnalité, ou au principe de séparation des pouvoirs d'enquête et de justice.
Hmmm, j'attends une analyse poussée.
— Permalien
Très bonne couverture du journal “The Independent” anglais.
— Permalien
Une femme qui a voulu se cacher du tracking permanent sur Internet à des fins de publicités … a eue quelques soucis ensuite. Visiblement, se cacher, c'est avoir quelque chose à se reprocher.
— Permalien
Notre bon gouvernement de bien à gauche qui se fait prendre la main dans le sac en train d'acheter des saloperies. Belle époque.
via : https://twitter.com/bluetouff/status/618345670538170370
— Permalien
Une page Github qui explique ce qu'il faut faire dans le about:config de Firefox pour respecter la privacy. Utile !
Pour ma part, Pocket et Google Safe Browsing (j'ai déjà une version EME-Free).
via : https://twitter.com/sam_et_max/status/614484153279582208
— Permalien
Le mec de la PJL qui se revendique de Gandhi ? On aura tout vu.
Le passé est mutable et nos politiques usent de doublepensée. L'ignorance, c'est la force. (oui, je viens de lire 1984 pour me spoiler un peu la suite)
via : https://twitter.com/epelboin/status/614959444095537152
— Permalien
« M.Bourquin, sénateur PS ayant voté pour le #pjlrenseignement a été écouté par la NSA. Sa réaction... #Rienàcacher ? »
Ahahah, facepalm.
— Permalien
Visualisation des déplacements des français, grâce à leurs téléphones portables. Année 2007. Génial.
— Permalien
Dans un premier temps, j'ai ri. À en pleurer. Surtout quand il dit « l'exploitation ne peut être faite que par un tri mathématique … algorisme »
Un tri mathématique
Dans un second temps, je me suis demandé comment on pouvait voter une loi sans comprendre ni les tenants, ni les aboutissants. Sans s'être renseigné au préalable auprès d'un expert objectif et non partisan. Je me suis dit que dans une entreprise, il y aurait eu licenciement pour faute grave, à tout le moins une démobilisation de la mission. Puis je me suis rappelé que certainement, aucun de ces messieurs (pardon pour les très rares femmes qui se trouvent dans cette maison de ret… dans cette assemblée machiste et gérontophile) n'avait sans doute posé un orteil dans une vraie entreprise (je compte pas celle de papa)
Je suis triste. C'est donc ça, la démocratie.
via : https://twitter.com/dzogrim/status/607289273612681216
— Permalien
Entendu au SSTIC par des gens qui y étaient : « Pour ne pas rater l'aiguille, ils stockent toutes les bottes de foin »
Une excellente comparaison.
— Permalien
Ahah. Est-ce parce que j'ai paramétré mes appareils pour bloquer un maximum de données sur moi (Ghostery, AdBlock, DoNotTrack, verrouillage d'applis, utilisation massive de YopMail/autre, réponses aléatoires dans les questionnaires, et surtout paramétrage des applications, etc.) ou est-ce parce que Google n'est pas si bon (j'en doute) mais je me suis rendu sur la page Google dédiée aux paramètres des annonces.
En gros, ils calculent ou obtiennent certaines données sur vous, comme l'âge, le sexe etc. (c'est bon) et infèrent des centres d'intérêt. Et malgré mon utilisation importante de YouTube et une multitude de produits Google, les centres d'intérêt sont complètement faux. Presque tous.
Apparemment, j'aime la musique pop / industrie musicale, est assez friand de vêtements de sport (big lol), ou encore de mode, de films d'action, de Jeux Olympiques, de Reggae (but WTF) et de smartphones !
Ahahah. C'est tellement diamétralement opposé à mes vrais centres d'intérêt.
Pour le coup, je pense qu'Amazon en sait plus que Google.
EDIT : et évidemment, la plupart des paramètres de Google sont persistants. Mais comme de par hasard, pas le ciblage des publicités sur le web. Qui dépend donc d'un cookie.
— Permalien