Fou à lier
Nuage de tags
Mur d'images
Quotidien
Flux RSS
  • Flux RSS
  • ATOM Feed
  • Daily Feed
Liens par page
  • 20 links
  • 50 links
  • 100 links
page 1 / 5
100 results tagged sécurité  ✕
xkcd : Complexité du mot de passe, in : Persévérons
30/09/2019 17:18:53 archive.org
QRCode
cluster icon
  • Secret Question | CommitStrip - Blog relating the daily life of web agencies developers : Excellent. Une façon comme une autre de renforcer à l'avenir les mots de passe.
  • CiMKd4AXEAAx2vu.jpg (Image JPEG, 361 × 300 pixels) : Ahah, très drôle. Une reprise du célèbre dessin de xkcd (sudo make me a sandwich) avec le 49-3. via : https://twitter.com/bluetouff/status/73073840...
  • Comment savoir si votre entreprise est DevOps | CommitStrip - Blog relating the daily life of web agencies developers : Différence entre DevOps et pas-DevOps Drôle :)
  • Connexion sécurisé base de donnée sans mot de passe depuis compte linux : Intéressant : connexion mysql sécurisée sans mot de passe. J'avais besoin de faire ça depuis longtemps ! Malheureusement, je n'ai pas réussi à utilis...
  • Des spécifications très complètes et très précises : Bien vu, c'est tout à fait ça :) ![spécifications versus code](http://www.commitstrip.com/wp-content/uploads/2016/08/Strip-Les-specs-cest-du-code-650...

C'est bien vu ça. Un calcul d'entropie peut vite nous montrer qu'on se trompe lorsque l'on cherche à créer un mot de passe compliqué de tête.
Mot de passe

C'est pour ça qu'il faut utiliser un générateur / gestionnaire.

BD dessin informatique mots-de-passe sécurité xkcd
http://xkcd.lapin.org/index.php?number=936
Appcanary - Everything you need to know about HTTP security headers
20/12/2018 12:00:21 archive.org
QRCode
cluster icon
  • Hygiène numérique pour l’administrateur système : Très intéressant : le minimum de sécurité sur un système Linux avec éventuellement de l'hébergement). J'aime bien ce genre de liste, même si c'est par...
  • 1314332 – Web of TrusT (WOT) Addon is malicious according to news reports : Oh non, quelle tristesse. WOT c'est vraiment une super extension, je suis vraiment dégouté de lire ça. Et donc de la dégager… Snifff. > (Note: I'm ...
  • HOPE, rencontres du onzième type – Techn0polis : Très bon compte-rendu de la conférence HOPE (que je ne connaissais pas, mais qui donne envie du coup). À lire. via : https://twitter.com/Zythom/sta...
  • IP/DNS Detect - What is your IP, what is your DNS, what informations you send to websites. : J'suis totalement clean. Super ce test. C'est toujours fou de voir tout ce qu'on peut récolter rien qu'en se connectant sur un site. Je pense d'ail...
  • Information on BCP 195 » RFC Editor : Le RFC des bonnes pratiques TLS. Indispensable & pratique ! via : https://www.bortzmeyer.org/8143.html

Un petit condensé des en-tête de sécurité sur HTTP(S) : raison, fonctionnement, mise en place.

HTTPS informatique pratique privacy sécurité
https://blog.appcanary.com/2017/http-security-headers.html#csp
Passage de ce blog à Let's Encrypt
28/11/2018 16:08:07 archive.org
QRCode
cluster icon
  • Let's Encrypt Stats - Let's Encrypt - Free SSL/TLS Certificates : Wow, Let's Encrypt est un véritable succès. Il est actuellement sur une croissance quadratique avec un fort taux de pénétration. Résultat : d'après F...
  • Blog Stéphane Bortzmeyer: RFC 6844: DNS Certification Authority Authorization (CAA) Resource Record : Explications claires du nouveau champ DNS CAA, sa mise en place et son utilité. En même temps, ça vient de Bortzmeyer.
  • Blog Stéphane Bortzmeyer: Le mystère DNS Free rebondit : Raaa. Effectivement, j'ai eu ce problème avec les résolveurs de Free. Résultat : j'ai du mettre un nom sur un champ A plutôt que sur un CNAME. Mais au...
  • Blog Stéphane Bortzmeyer: RFC 6186: Use of SRV Records for Locating Email Submission/Access services : Trop super ! Je cherchais à implémenter l'autoconfiguration POP/IMAP pour mon courrier depuis les DNS (et depuis au moins un an). J'avais fini par la...
  • Blog Stéphane Bortzmeyer: Utiliser un résolveur DNS public ? : Intéressant : suite aux nombreux problèmes des DNS chez les FAI français (je soupçonne des mesures de censure en cours de déploiement) beaucoup on rec...

C'est intéressant ce genre de retour d'expérience. Bortzmeyer a passé son blog sur Let's Encrypt, avec deux difficultés techniques :

  • il y a trois machines pour le servir, donc il faut obtenir le même certificat partout, sans accès au root des deux machines esclaves ;
  • il faut que DANE fonctionne (DANE-EE) donc la clé privée ne doit pas changer dans le temps.

Il y a aussi la possibilité de mettre à jour le DNS pour la clé DANE mais cela obligerait à scripter d'avantage. La solution ici est assez élégante, faute de mieux.

Bortzmeyer DANE DNS informatique Lets-Encrypt sécurité TLS
https://www.bortzmeyer.org/passage-blog-lets-encrypt.html
Synology SRM 1.2 - Threat Prevention - Cachem
01/11/2018 10:55:15 archive.org
QRCode
cluster icon
  • Attaque par démarrage à froid ou : Impressionnant : qu'est-ce qu'une attaque informatique « à froid ». Où on apprend que la RAM peut conserver ses données plusieurs minutes après extinc...
  • Développer un contrat/programme sur Ethereum - pses2016-contrats-ethereum-SHOW.pdf : La conf de Bortzmeyer sur Ethereum (et le carnage TheDAO) en quelques slides (bimer). C'est super, c'est la première fois que je trouve un document u...
  • Let's Encrypt Stats - Let's Encrypt - Free SSL/TLS Certificates : Wow, Let's Encrypt est un véritable succès. Il est actuellement sur une croissance quadratique avec un fort taux de pénétration. Résultat : d'après F...
  • WordPress Security Plugin | Wordfence : Je recommande chaudement ce plugin Wordpress : Wordfence. Il gère les aspects sécurité de l'installation, et ils sont nombreux : - defacing (payant) ...
  • Hygiène numérique pour l’administrateur système : Très intéressant : le minimum de sécurité sur un système Linux avec éventuellement de l'hébergement). J'aime bien ce genre de liste, même si c'est par...

Super outil de sécurité profonde (avec du DPI) mis à disposition par Synology sur ses routeurs. C'est réellement très efficace, même si la prise en main et l'adaptation aux menaces est un peu long.

Il s'agit surtout au départ d'ajouter au fur et à mesure des règles d'exceptions aux signatures ET. Par exemple :

  • l'outil signalait un trojan potentiel sur une machine (paquet HTTP avec un faux user-agent Mozilla, à destination d'un réseau à faible réputation). Il s'agissait en réalité d'un ping de vérification de mise-à-jour pour MediaCoder ;
  • des requêtes DNS émises étaient signalées pour des .tk ou .pw qui sont considérés comme des nids à pirates. Du coup, j'ai adapté la stratégie pour ne plus être alerté (sinon c'est la fin du monde) ;
  • etc.

Bref, un outil puissant, dont je suis curieux de voir l'avenir. C'est encore frais, ça ajoute pas mal d'overload pour l'instant (trop, vu ma connexion) mais ça reste très utile. D'ailleurs mon serveur derrière a vu ses attaques (notam. sur SMTP, HTTP(S) et SSH) diminuer drastiquement (presque totalement en fait).

DPI firewall imba informatique parefeu routeur Synology sécurité
https://www.cachem.fr/synology-srm-1-2-threat-prevention/
HOWTO: Use Wireshark over SSH (Linux and Windows) | kaischroed
21/03/2018 12:29:47 archive.org
QRCode
cluster icon
  • Decrypting TLS Browser Traffic With Wireshark – The Easy Way! | Jim Shaver : Doh: Firefox & Chrome peuvent enregistrer les premaster-keys des sessions TLS directement dans un fichier. Pratique pour déchiffrer à la volée du tra...
  • Firefox exploit found in the wild | Mozilla Security Blog : Encore une publicité qui diffuse un exploit. Et Mozilla qui réagit en moins de 24h. Bravo. Le problème vient du lecteur PDF intégré… Mise à jour à fa...
  • Google Authenticator For SSH | Linux.org : Intéressant. Un outil qui permet de rajouter la Google-authentification sur SSH. Pour l'instant je filtre certains accès à mon serveur avec la double ...
  • SSHFP tutorial: how to get SSHFP records, DNSSEC, and VerifyHostKeyDNS=yes to work. - Tony Finch - GuiGui's Show : Excellent how-to (ici le résumé) pour l'enregistrement SSHFP au niveau du DNS. Tout y est, notamment la partie "résolution DNSSEC" et pourquoi on ne ...
  • ssh-agent - Wikipedia : Hmmm, j'suis un peu déçu là, du rôle du ssh-agent. C'est la première fois que j'en mets un en place, et en fait c'est juste un process en mémoire qui ...

Comment utiliser Wireshark et son GUI a travers un tunnel SSH (il suffit que l'hôte dispose de tcpdump et qu'on puisse l'exécuter)

Nice !
(j'ai horreur de tcpdump en ligne de commande)

SSH sécurité tcpdump Wireshark
https://kaischroed.wordpress.com/2013/01/28/howto-use-wireshark-over-ssh/
Decrypting TLS Browser Traffic With Wireshark – The Easy Way! | Jim Shaver
21/03/2018 12:05:29 archive.org
QRCode
cluster icon
  • RFC 6698 - The DNS-Based Authentication of Named Entities (DANE) Transport Layer Security (TLS) Protocol: TLSA : Je découvre qu'avec DNSSEC, le champ TLSA permet de vérifier le certificat émis par le serveur, à la place de, ou en complément du / des CA. C'est ...
  • guide_tls_v1.1.pdf : Le guide des bonnes pratiques TLS par l'ANSSI. Pour quelqu'un qui s'intéresse au sujet, il y a beaucoup de redites, mais également quelques perles, co...
  • Bienvenue à CAcert.org : C'est bizarre : de temps en temps j'ai besoin de réinstaller le root de CAcert (autorité de certification indépendante et en WOT, qui certifie notamme...
  • Changement de certificat serveur non signalé : Tiens tiens… Étrange comportement de notre ami Firefox : j'ai une page ouverte, en SSL, et qui fait tourner de l'AJAX. Je change le certificat du ser...
  • CryptCheck, vérifiez vos implémentations de TLS : Excellent article sur la sécurité de TLS (via OpenSSL). Ça m'a permis de changer le chiffrement d'un outil que je développe (non critique, bien heure...

Doh: Firefox & Chrome peuvent enregistrer les premaster-keys des sessions TLS directement dans un fichier.
Pratique pour déchiffrer à la volée du trafic TLS vers un serveur.

Bon, c'est pas rassurant niveau sécurité, parce qu'il faut simplement mettre une variable utilisateur dans l'environnement (utilisateur, même pas système !!)

Il est aussi possible, si on a la main sur le serveur, de demander au démon SSL d'exporter ces secrets, mais côté client ça devient plus difficile : il faudra un canal SSH pour lire les secrets dans Wireshark.

Chrome Firefox pratique SSL sécurité tcpdump TLS Wireshark
https://jimshaver.net/2015/02/11/decrypting-tls-browser-traffic-with-wireshark-the-easy-way/
[Épisode 49] La Threat Intelligence : Le Comptoir Sécu
10/03/2018 15:30:06 archive.org
QRCode
cluster icon
  • SSTIC_2017-06-09_P09.mp4 : Présentation de l'attaque de TV5 Monde + analyse + remédiation par les équipes de l'ANSSI, qui sont intervenues en mode pompier. Je suis surpris qu...
  • Quatre confidences d'un ancien espion - Libération : Entendu et ré-entendu, mais cette fois validé par l'ancien directeur technique de la DGSE : les USA ont piraté pendant longtemps l'Élysée. Ils ont tou...
  • Twitter / daniel_bilar : Partial Stuxnet Attack Graph ... : Un graphe _partiel_ du mode opératoire du virus Stuxnet. Et à part ça, c'est un mec qui a fait ça dans son garage. Mouais. On nous prendrait par po...
  • 1314332 – Web of TrusT (WOT) Addon is malicious according to news reports : Oh non, quelle tristesse. WOT c'est vraiment une super extension, je suis vraiment dégouté de lire ça. Et donc de la dégager… Snifff. > (Note: I'm ...
  • ActiveSync : Incroyable. C'est la première fois que je tente d'utiliser le service Exchange ActiveSync sur mon téléphone (perso je précise). C'est totalement dingu...

Émission en podcast sur la Threat Intelligence.
Je ne connaissais pas ce podcast. C'est très intéressant, loin du marketing, drôle et à la fois accessible et très pointu. Bref, j'ai passé deux heures superbes.

cyber-défense cyberwar OSINT sécurité threat-intelligence
https://www.comptoirsecu.fr/podcast/%C3%A9pisode-49-la-threat-intelligence/
Blog Stéphane Bortzmeyer: RFC 6844: DNS Certification Authority Authorization (CAA) Resource Record
13/10/2017 19:18:15 archive.org
QRCode
cluster icon
  • Blog Stéphane Bortzmeyer: Utiliser un résolveur DNS public ? : Intéressant : suite aux nombreux problèmes des DNS chez les FAI français (je soupçonne des mesures de censure en cours de déploiement) beaucoup on rec...
  • Let's Encrypt is Trusted : Hmmmm, moi qui doit renouveler mes certificats très prochainement, je vais me pencher sur Let's Encrypt. Mais à l'heure actuelle, je ne sais pas si c'...
  • Passage de ce blog à Let's Encrypt : C'est intéressant ce genre de retour d'expérience. Bortzmeyer a passé son blog sur Let's Encrypt, avec deux difficultés techniques : - il y a trois m...
  • CryptCheck, vérifiez vos implémentations de TLS : Excellent article sur la sécurité de TLS (via OpenSSL). Ça m'a permis de changer le chiffrement d'un outil que je développe (non critique, bien heure...
  • Crypto : le webdoc’ | Agence nationale de la sécurité des systèmes d'information : Pour plus tard : l'ANSSI vient de réaliser un webdoc sur la cryptologie en abordant pas mal de facettes différentes. À voir certainement. via : htt...

Explications claires du nouveau champ DNS CAA, sa mise en place et son utilité.
En même temps, ça vient de Bortzmeyer.

CAA DNS informatique sécurité TLS TODO
https://www.bortzmeyer.org/6844.html
SSTIC_2017-06-09_P09.mp4
07/08/2017 23:15:00 archive.org
QRCode
cluster icon
  • Attaque par démarrage à froid ou : Impressionnant : qu'est-ce qu'une attaque informatique « à froid ». Où on apprend que la RAM peut conserver ses données plusieurs minutes après extinc...
  • Crypto : le webdoc’ | Agence nationale de la sécurité des systèmes d'information : Pour plus tard : l'ANSSI vient de réaliser un webdoc sur la cryptologie en abordant pas mal de facettes différentes. À voir certainement. via : htt...
  • OVH News - La goutte DDoS n'a pas fait déborder le VAC* : OVH communique sur une attaque DDoS d'ampleur qu'ils ont subi il y a quelques jours, et en profite pour faire un peu de pédagogie auprès de nos amis (...
  • Une étude de l’écosystème TLS | Agence nationale de la sécurité des systèmes d'information : Une thèse intéressante sur la pile TLS. Je conseille la version de synthèse. Bon, je suis un peu circonspect sur l'utilité de l'énorme travail qui a ...
  • [Épisode 49] La Threat Intelligence : Le Comptoir Sécu : Émission en podcast sur la *Threat Intelligence*. Je ne connaissais pas ce podcast. C'est très intéressant, loin du marketing, drôle et à la fois acc...

Présentation de l'attaque de TV5 Monde + analyse + remédiation par les équipes de l'ANSSI, qui sont intervenues en mode pompier.

Je suis surpris que ce ne soit pas très surprenant.

via : https://mastodon.xyz/users/Sniperovitch/updates/208016

ANSSI attaque cyber-défense cyberwar informatique sécurité TV5-Monde
https://static.sstic.org/videos2017/SSTIC_2017-06-09_P09.mp4
Hygiène numérique pour l’administrateur système
31/05/2017 17:41:22 archive.org
QRCode
cluster icon
  • Information on BCP 195 » RFC Editor : Le RFC des bonnes pratiques TLS. Indispensable & pratique ! via : https://www.bortzmeyer.org/8143.html
  • Let's Encrypt Stats - Let's Encrypt - Free SSL/TLS Certificates : Wow, Let's Encrypt est un véritable succès. Il est actuellement sur une croissance quadratique avec un fort taux de pénétration. Résultat : d'après F...
  • WordPress Security Plugin | Wordfence : Je recommande chaudement ce plugin Wordpress : Wordfence. Il gère les aspects sécurité de l'installation, et ils sont nombreux : - defacing (payant) ...
  • ddrescue, dd_rescue, myrescue : récupérer ses données après un crash disque - LinuxFr.org : Super utile ! Méthode et outils pour sauver un disque mourant. À garder définitivement sous le coude. via : http://sebsauvage.net/links/?YqhZOA
  • Attaque par démarrage à froid ou : Impressionnant : qu'est-ce qu'une attaque informatique « à froid ». Où on apprend que la RAM peut conserver ses données plusieurs minutes après extinc...

Très intéressant : le minimum de sécurité sur un système Linux avec éventuellement de l'hébergement). J'aime bien ce genre de liste, même si c'est parfois grossier, discutable ou limité. Ça fait au moins une sorte de checklist utile.

EDIT : le son est ici, si on veut écouter.

via : https://mastodon.social/users/maliciarogue/updates/2537747

imba informatique Linux pratique privacy sécurité TLS utile
https://confs.imirhil.fr/20170513_root66_securite-admin-sys/
Avec Emmanuel Macron, le "Sauveur" à Berlin - Quotidien avec Yann Barthès - TMC
17/05/2017 16:00:24 archive.org
QRCode
cluster icon
  • SI VOUS HÉSITEZ À VOTER MACRON, REGARDEZ ÇA : Bonne vidéo, malgré quelques approximations, sur l'arnaque Macron. Et notamment sur les milliards du CICE dépensés pour … rien (*a minima*) Bref, c...
  • Paris 2024: les millions s'envolent déjà - Page 1 | Mediapart : À quoi ressemble la France des *winners* qui gagnent de Macron ? À une facture de 1.5 millions d'euros pour transporter à l'autre bout du monde 300 pe...
  • Co-VyAPWcAAVtx3.png:large (Image PNG, 1512 × 923 pixels) : L'impôt sur les sociétés en France est très faible. Et c'est l'OCDE qui le dit (pas la plus gauchiste des institutions). ![Impôts sur les sociétés da...
  • Décret n° 2015-1514 du 20 novembre 2015 portant transfert de crédits | Legifrance : L'histoire retiendra que, le 20 novembre 2015, soit 7 jours précisément après les attentats de Paris, un premier ministre de la république a signé un ...
  • EDF fait payer au prix fort la centrale de Fessenheim | Mediapart : Le scandale de la fermeture annoncée de Fessenheim. Article très intéressant pour comprendre les tenants et aboutissants de cette décision. D'abord, l...

Ces conneries de convois pour des hommes politiques. C'est tellement monarchique et ridicule.

via : https://twitter.com/Qofficiel/status/864565871603322880

argent convois finances France politique président sécurité
https://www.tf1.fr/tmc/quotidien-avec-yann-barthes/videos/emmanuel-macron-sauveur-a-berlin.html
Information on BCP 195 » RFC Editor
04/05/2017 16:17:48 archive.org
QRCode
cluster icon
  • guide_tls_v1.1.pdf : Le guide des bonnes pratiques TLS par l'ANSSI. Pour quelqu'un qui s'intéresse au sujet, il y a beaucoup de redites, mais également quelques perles, co...
  • Hygiène numérique pour l’administrateur système : Très intéressant : le minimum de sécurité sur un système Linux avec éventuellement de l'hébergement). J'aime bien ce genre de liste, même si c'est par...
  • RFC 6698 - The DNS-Based Authentication of Named Entities (DANE) Transport Layer Security (TLS) Protocol: TLSA : Je découvre qu'avec DNSSEC, le champ TLSA permet de vérifier le certificat émis par le serveur, à la place de, ou en complément du / des CA. C'est ...
  • Blog Stéphane Bortzmeyer: Utiliser un résolveur DNS public ? : Intéressant : suite aux nombreux problèmes des DNS chez les FAI français (je soupçonne des mesures de censure en cours de déploiement) beaucoup on rec...
  • IP/DNS Detect - What is your IP, what is your DNS, what informations you send to websites. : J'suis totalement clean. Super ce test. C'est toujours fou de voir tout ce qu'on peut récolter rien qu'en se connectant sur un site. Je pense d'ail...

Le RFC des bonnes pratiques TLS.
Indispensable & pratique !

via : https://www.bortzmeyer.org/8143.html

best-practices bonnes-pratiques pratique privacy sécurité TLS utile
https://www.rfc-editor.org/info/bcp195
Inspection et fouille des bagages: beaucoup d'agents de sécurité privée dans l'illégalité ! - Le blog de la sécurité privée
26/04/2017 15:13:54 archive.org
QRCode
cluster icon
  • Creepy Long Pat-down of Child by Creepy TSA Officer - YouTube : *Is that thing real ?* :fearful: Comment on en est arrivé là ? via : https://twitter.com/MarkRuffalo/status/847681057700823040
  • 1314332 – Web of TrusT (WOT) Addon is malicious according to news reports : Oh non, quelle tristesse. WOT c'est vraiment une super extension, je suis vraiment dégouté de lire ça. Et donc de la dégager… Snifff. > (Note: I'm ...
  • Blog Stéphane Bortzmeyer: La cryptographie nous protège t-elle vraiment de l'espionnage par la NSA ou la DGSE ? : Pas mal cet article synthétique de Bortzmeyer. Il rappelle les limites de la cryptographie pour protéger nos secrets. Petite précision de fin d'art...
  • Blog Stéphane Bortzmeyer: Utiliser un résolveur DNS public ? : Intéressant : suite aux nombreux problèmes des DNS chez les FAI français (je soupçonne des mesures de censure en cours de déploiement) beaucoup on rec...
  • Crypto Law Survey - Page 2 : Excellent boulot ce site ! Il liste et catégorise les lois relatives à la cryptographie dans le monde (utilisation, import, export, limitations d'usag...

Les règles en matière de surveillance, fouille des bagages, palpation de sécurité. Où l'on apprend que beaucoup d'agents sont dans l'illégalité, et certains décrets attaquables.

via : https://twitter.com/blog83629/status/857000709589434373

contrôle droits fouille palpation privacy société sécurité
http://www.83-629.fr/2017/04/inspection-fouille-et-palpation-par-des-agents-de-securite-incoherence-totale.html
Creepy Long Pat-down of Child by Creepy TSA Officer - YouTube
19/04/2017 17:29:28 archive.org
QRCode
cluster icon
  • Inspection et fouille des bagages: beaucoup d'agents de sécurité privée dans l'illégalité ! - Le blog de la sécurité privée : Les règles en matière de surveillance, fouille des bagages, palpation de sécurité. Où l'on apprend que beaucoup d'agents sont dans l'illégalité, et ce...
  • 1314332 – Web of TrusT (WOT) Addon is malicious according to news reports : Oh non, quelle tristesse. WOT c'est vraiment une super extension, je suis vraiment dégouté de lire ça. Et donc de la dégager… Snifff. > (Note: I'm ...
  • Attaques à Paris : « J’ai senti comme un pétard qui explosait dans mon bras » : Horrible nuit, horribles images (attention, la vidéo est terrible), horrible récit. Et bon courage à ce journaliste qui s'est pris une balle dans le b...
  • Brésil / vidéo : policiers maquillant une scène de crime - Arrêt sur images : Des policiers brésiliens qui maquillent une scène d'homicide. Pris en flag. Un vrai intérêt des téléphones portables avec caméra partout.
  • Déchéance de nationalité : les multiples volte-face des ténors socialistes en vidéo : Ce sont vraiment des guignols. Ils disent tout, et l'inverse de tout 5 ans après. Putain, qu'on les supprime. JPP via : https://twitter.com/marc...
YouTube thumbnail

Is that thing real ? :fearful:
Comment on en est arrivé là ?

via : https://twitter.com/MarkRuffalo/status/847681057700823040

aéroport contrôle enfant fouille sécurité triste vidéo
https://www.youtube.com/watch?v=hCAb3ebzfjA
Let's Encrypt Stats - Let's Encrypt - Free SSL/TLS Certificates
22/02/2017 18:35:29 archive.org
QRCode
cluster icon
  • Hygiène numérique pour l’administrateur système : Très intéressant : le minimum de sécurité sur un système Linux avec éventuellement de l'hébergement). J'aime bien ce genre de liste, même si c'est par...
  • Let's Encrypt - Free SSL/TLS Certificates : Youpi, Let's Encrypt, ça me fait vraiment plaisir. D'abord, parce que c'est gratuit, et automatisé. Ensuite, parce qu'ils implémentent le protocole C...
  • Passage de ce blog à Let's Encrypt : C'est intéressant ce genre de retour d'expérience. Bortzmeyer a passé son blog sur Let's Encrypt, avec deux difficultés techniques : - il y a trois m...
  • 1314332 – Web of TrusT (WOT) Addon is malicious according to news reports : Oh non, quelle tristesse. WOT c'est vraiment une super extension, je suis vraiment dégouté de lire ça. Et donc de la dégager… Snifff. > (Note: I'm ...
  • Attaque par démarrage à froid ou : Impressionnant : qu'est-ce qu'une attaque informatique « à froid ». Où on apprend que la RAM peut conserver ses données plusieurs minutes après extinc...

Wow, Let's Encrypt est un véritable succès. Il est actuellement sur une croissance quadratique avec un fort taux de pénétration.
Résultat : d'après Firefox, on passe de 38% environ de pages chiffrées en Novembre 2015, à 51.5% actuellement. Ça ne suit pas exactement l'ampleur du mouvement, mais je suppose que les gros sites de GAFA représentent une part importante des pages chargées.
croissance Let's Encrypt

Trop bien. Pensez à faire un don.

croissance imba informatique Lets-Encrypt privacy succès sécurité TLS
https://letsencrypt.org/stats/
ssh-agent - Wikipedia
17/02/2017 16:12:48 archive.org
QRCode
cluster icon
  • Blog Stéphane Bortzmeyer: La cryptographie nous protège t-elle vraiment de l'espionnage par la NSA ou la DGSE ? : Pas mal cet article synthétique de Bortzmeyer. Il rappelle les limites de la cryptographie pour protéger nos secrets. Petite précision de fin d'art...
  • Ceci n'est pas un blog: Le challenge du logo ANSSI : Excellent. Je ne savais pas que l'ANSSI avait glissé un challenge dans l'un de ses fonds d'écran. Awesome. via : https://twitter.com/Klaire/status/...
  • CryptCheck, vérifiez vos implémentations de TLS : Excellent article sur la sécurité de TLS (via OpenSSL). Ça m'a permis de changer le chiffrement d'un outil que je développe (non critique, bien heure...
  • Crypto Law Survey - Page 2 : Excellent boulot ce site ! Il liste et catégorise les lois relatives à la cryptographie dans le monde (utilisation, import, export, limitations d'usag...
  • Google Authenticator For SSH | Linux.org : Intéressant. Un outil qui permet de rajouter la Google-authentification sur SSH. Pour l'instant je filtre certains accès à mon serveur avec la double ...

Hmmm, j'suis un peu déçu là, du rôle du ssh-agent. C'est la première fois que j'en mets un en place, et en fait c'est juste un process en mémoire qui conserve les clés déchiffrées et qui les restitue entièrement au client demandeur.
Sachant qu'en gros n'importe quel programme apte à lire le socket de l'agent pourra requérir les clés. Bref, pas secure du tout.

Je pensais honnêtement, vu le boulot qui a été fait (et bien fait) autour de SSH, que l'agent était capable de répondre aux requêtes du client (signe-moi ça, calcule-moi ce hash, etc.) En gros, il conserverait la clé privée mais fournirait une API pour accéder aux primitives cryptographiques.

Bon, heureusement, il y a un agent un chouilla plus sécurisé dans KeePass (keeagent) : il peut demander une interaction à chaque utilisation, mais ça n'empêche pas complètement les usages délictueux.

J'espère qu'une sorte de v2 sortira un jour :)

EDIT : changer le vocable autour des routines cryptographiques

clé connexion crypto cryptographie Linux privacy protocole SSH sécurité
https://en.wikipedia.org/wiki/Ssh-agent
Crypto Law Survey - Page 2
10/02/2017 22:54:55 archive.org
QRCode
cluster icon
  • C'est l'histoire de trois jihadistes - Authueil : On nous emmerde de lois antiterroristes et voila ce qui arrive (quand-même) Désolant. via : https://twitter.com/Maitre_Eolas/status/51563574816737...
  • Face à TrueCrypt : L'article 132-79 est une véritable saloperie. Afin de condamner plus fortement les coupables qui auraient refuser de donner leurs clés de chiffrement...
  • Loi renseignement : le Conseil constitutionnel en valide l’essentiel - Rue89 - L'Obs : Nom de dieu. Comment ? Je comprends pas ? Pourtant je suis un ayatollah de la DDHC et je me demande comment ça a pu être validé, notamment eu égard ...
  • CryptCheck, vérifiez vos implémentations de TLS : Excellent article sur la sécurité de TLS (via OpenSSL). Ça m'a permis de changer le chiffrement d'un outil que je développe (non critique, bien heure...
  • LA NSA aurait payé RSA pour modifier son outil de chiffrement : Affreux. La NSA aurait payé 10M$ à la société RSA pour utiliser un algorithme faible. Et la société aurait accepté. Il est loin le temps des barbus...

Excellent boulot ce site ! Il liste et catégorise les lois relatives à la cryptographie dans le monde (utilisation, import, export, limitations d'usage, etc.). Il y a une jolie carte et c'est extrêmement bien sourcé.

D'ailleurs, ça fait chaud au cœur de voir d'où l'on vient en France et qu'il y a eu pas mal de progrès.

Il y a aussi un truc à noter : je me souviens de la gueulante terrible des internautes sur la LCEN en 2004. Pour une raison que j'ignorais. Pas parce que je trouvais que c'était un beau projet de loi, mais plutôt parce que je ne m'intéressais pas beaucoup à la question. Finalement, le nombre de progrès importants qui ont été enregistrés par cette loi me font dire que c'était une très bonne loi, bien qu'également le cache-sexe de lois bien horribles qui sont sorties en même temps ou par la suite.
Bref, si quelqu'un se souviens des motivations des militants du "contre" je suis tout à fait preneur.

EDIT : Bon, en fait je suis allé faire un tour sur Wikipedia pour m'informer sur la LCEN. Les raisons de la polémique étaient en fait tout à fait valables. Point positif : il semble que la démocratie ait fonctionné plutôt bien cette fois, et d'ailleurs je confirme que la LCEN est une bonne loi telle qu'elle fût adoptée.

accords carte chiffrement commerce cryptographie exportation importation justice LCEN loi politique privacy réglementation sécurité
http://www.cryptolaw.org/cls2.htm#fr
SSHFP tutorial: how to get SSHFP records, DNSSEC, and VerifyHostKeyDNS=yes to work. - Tony Finch - GuiGui's Show
09/02/2017 22:06:39 archive.org
QRCode
cluster icon
  • RFC 6698 - The DNS-Based Authentication of Named Entities (DANE) Transport Layer Security (TLS) Protocol: TLSA : Je découvre qu'avec DNSSEC, le champ TLSA permet de vérifier le certificat émis par le serveur, à la place de, ou en complément du / des CA. C'est ...
  • WordPress Security Plugin | Wordfence : Je recommande chaudement ce plugin Wordpress : Wordfence. Il gère les aspects sécurité de l'installation, et ils sont nombreux : - defacing (payant) ...
  • Hygiène numérique pour l’administrateur système : Très intéressant : le minimum de sécurité sur un système Linux avec éventuellement de l'hébergement). J'aime bien ce genre de liste, même si c'est par...
  • Administration et optimisation générales Mysql : Une bonne page pour l'optimisation générale de MySQL (dont InnoDB). Ça liste un peu toutes les variables importantes et ce qu'il faut faire.
  • Analyser votre connexion internet - Liens en vrac de sebsauvage : Très pratique cet outil pour tester sa connexion internet (notamment les tentatives de détournement, etc.)

Excellent how-to (ici le résumé) pour l'enregistrement SSHFP au niveau du DNS.
Tout y est, notamment la partie "résolution DNSSEC" et pourquoi on ne peut pas pointer les enregistrements via un champ CNAME.

authentification DNS DNSSEC informatique pratique SSH SSHFP sécurité tutoriel utile
http://shaarli.guiguishow.info/index.php?QWcOtQ
Blog Stéphane Bortzmeyer: Utiliser un résolveur DNS public ?
20/01/2017 15:06:18 archive.org
QRCode
cluster icon
  • Espionnage : comment Orange et les services secrets coopèrent : « « Le rapport entre France Télécom et la DGSE n'est pas de même nature que celui révélé dans le programme Prism de la NSA, qui a des liens contractue...
  • Blog Stéphane Bortzmeyer: RFC 6844: DNS Certification Authority Authorization (CAA) Resource Record : Explications claires du nouveau champ DNS CAA, sa mise en place et son utilité. En même temps, ça vient de Bortzmeyer.
  • "Moi, censuré par la France pour mes opinions politiques" : Bon bah voilà. On y est. 5 sites bloqués, et visiblement déjà un truc qui tourne pas rond. On pouvait pas passer par un juge ? Demander le retrait à l...
  • Analysez le réseau de votre opérateur / FAI « Korben Korben : J'ai testé ce soft d'analyse réseau sur mon réseau mobile (Free). Résultat : PPTP bloqué, résol DNSSEC qui pose problème :-\ …, et deux enregistrem...
  • Des nouvelles de nos amis d'Orange : Ceux qui me suivent savent à quel point je conchie Orange et tout leur business de merde. L'actualité nous l'apprend chaque jour, avec notamment le Wi...

Intéressant : suite aux nombreux problèmes des DNS chez les FAI français (je soupçonne des mesures de censure en cours de déploiement) beaucoup on recommandé de passer sur des résolveurs publics. Comme OpenDNS (arf), GoogleDNS (arf) ou ceux de FDN…

Mais tout cela a de nombreux inconvénients listés ici par Bortzmeyer (a.k.a. môssieur DNS).
Il recommande donc d'utiliser son propre résolveurs puis de rebondir en récursif sur des DNS non-menteurs mais avec une connexion chiffrée (DNS over TLS).

Il y a par exemple ceux de Lorraine Data Network.

censure DNS FAI Free Internet Orange privacy sécurité TLS TODO
https://www.bortzmeyer.org/dns-resolveurs-publics.html
Viljami Kuosmanen ⭐ sur Twitter : "This is why I don't like autofill in web forms. #phishing #security #infosec https://t.co/mVIZD2RpJ3"
05/01/2017 16:27:27 archive.org
QRCode
cluster icon
  • 1314332 – Web of TrusT (WOT) Addon is malicious according to news reports : Oh non, quelle tristesse. WOT c'est vraiment une super extension, je suis vraiment dégouté de lire ça. Et donc de la dégager… Snifff. > (Note: I'm ...
  • Blog Stéphane Bortzmeyer: La cryptographie nous protège t-elle vraiment de l'espionnage par la NSA ou la DGSE ? : Pas mal cet article synthétique de Bortzmeyer. Il rappelle les limites de la cryptographie pour protéger nos secrets. Petite précision de fin d'art...
  • Blog Stéphane Bortzmeyer: Utiliser un résolveur DNS public ? : Intéressant : suite aux nombreux problèmes des DNS chez les FAI français (je soupçonne des mesures de censure en cours de déploiement) beaucoup on rec...
  • Crypto Law Survey - Page 2 : Excellent boulot ce site ! Il liste et catégorise les lois relatives à la cryptographie dans le monde (utilisation, import, export, limitations d'usag...
  • Fund: A public TrueCrypt Audit - Fundfill : Quand le crowdfunding rejoint le courant OpenSource. Un crowd pour financer un audit public de TrueCrypt. Faudra voir quels experts de revu de code cr...

Ouch, je ne connaissais pas cette faille des navigateurs : l'autofill ne rempli pas seulement les champs visibles, donc peut potentiellement leaker des informations personnelles (adresse perso par exemple…).
Chaud.

via : https://twitter.com/edasfr/status/816995456400101376

autofill navigateur privacy sécurité
https://twitter.com/anttiviljami/status/816585860661518336
page 1 / 5
2412 links
Shaarli - Le gestionnaire de marque-page personnel, minimaliste, et sans base de données par la communauté Shaarli - Theme by kalvn