Excellent. Une façon comme une autre de renforcer à l'avenir les mots de passe.
Mais lol.
« Les gadgets ne sont plus disponibles sur notre site Web, car la plateforme du Volet Windows de Windows 7 et Windows Vista présente de graves vulnérabilités. Microsoft a supprimé la fonctionnalité dans les nouvelles versions de Windows. Les gadgets peuvent être exploités pour endommager votre ordinateur, accéder à vos fichiers, afficher du contenu répréhensible ou encore changer de comportement à tout moment. Un attaquant peut même utiliser un gadget pour prendre le contrôle intégral de votre PC. Si vous vous interrogez sur la sécurité des gadgets que vous avez téléchargés, obtenez plus d'informations sur les gadgets et les mesures à prendre pour protéger votre PC. »
= "pardonnez-nous, on s'est rendu compte trop tard d'avoir merdé"
Des backdoors dans des routeurs grand publics. Une fois de plus. On nous marche à la gueule et on nous chie dessus.
Marques à boycotter bien sûr.
« En balançant le message qu'il faut sur ce port, il lui a été possible de récupérer le mot de passe du routeur en clair. »
Tiens, bien fait. Ça vous apprendra à tourner sous Windows. Ça coûte cher, et l'option d'exécution automatique des supports amovibles est en opt-out.
Pfff… J'te jure.
@SebSauvage (s'il me lit) : je suppose que vous avez dû en voir de bien bonnes en travaillant sur les SI des banques, non ? Un petit article, s'il y a pas de NDA, serait bienvenu :) :) :)
Ahahahahah. Cette histoire me fait rire. Au moins, ces hackeurs me font rire.
Des pirates ont utilisé des photos de nus de Carla Bruni-Sarkozy-Tedesci-… pour obtenir les accès de représentants du G20. La faille : l'utilisateur (et sa faiblesse pour les femmes à poil, d'autant plus quand ce sont des épouses d'anciens présidents :) )
Une pétition pour que des élus saisissent le conseil constitutionnel à propos de la LPM (loi de programmation militaire) Cette loi a considérablement ouvert les vannes pour que n'importe qui surveille massivement vos communications.
Ouch, ça fait mal. Une faille 0-day dans XP et 2003, activement exploitée.
Un graphe partiel du mode opératoire du virus Stuxnet.
Et à part ça, c'est un mec qui a fait ça dans son garage. Mouais. On nous prendrait par pour des jambons ??
EDIT : le background de Daniel Bilard sur Twitter : https://si0.twimg.com/profile_background_images/308827684/doc4.jpg
Un manuel pour apprendre et comprendre le crochetage de serrures.
Si j'avais un vieux barillet sous la main, j'aurais bien tenté.
J'ai testé ce soft d'analyse réseau sur mon réseau mobile (Free).
Résultat : PPTP bloqué, résol DNSSEC qui pose problème :-\ …, et deux enregistrements DNS qui sont falsifiés…
… wait for it …
ad.doubleclick et googleadservice (j'ai activé l'option de blocage publicitaire)
Bon, j'ai voulu tester ces deux extensions.
Mailvelope me paraît pas mal du tout. WebPG est déjà sur le store, mais je n'ai pas réussi à le faire fonctionner.
Pour l'instant, je supprime les deux, mais il faudrait que je prolonge le test avec des partenaires (je pense à Adrian et PA surtout). On tente ? Je crois en plus que j'ai encore mes masters keys GPG dans un coin qqu'part.
via : http://sebsauvage.net/links/?dCNzvA et http://sebsauvage.net/links/?9ZYoRg
Incroyable. C'est la première fois que je tente d'utiliser le service Exchange ActiveSync sur mon téléphone (perso je précise). C'est totalement dingue :
- lors du paramétrage, ça m'informe que des identificateurs vont être transmis à Samsung (marque du téléphone) puis redistribués aux ayants droits pour le paiement de la licence Exchange (Microsoft donc)
- le paramétrage est transparent vis-à-vis des droits qu'il demande, il vaut mieux d'ailleurs, car :
- ça demande des droits exclusifs d'administration du périphérique. Notamment, dans la stratégie de sécurité définie par mon entreprise :
- spécification des mots de passe autorisés
- changement régulier de mot de passe de déverrouillage de l'écran
- reset usine en cas d'un grand nombre d'erreur de mot de passe (aïe !)
- désactivation de fonctions dans certains cas d'usage (ça concerne le WiFi, les accès POP/IMAP/SMTP/HTTP, la mise en veille, etc.)
- en clair, ça applique la stratégie de sécurité définie par l'entreprise.
En fait, je suis partagé entre admiration et agacement. Admiration, parce que c'est assez dingue qu'une appli de syncro (mails/calendar/etc.) puisse faire ça. Et la façon dont ça marche. C'est certainement très pratique à l'heure du "BYOD" [Bring Your Own Device]
Cependant, c'est hyper intrusif, et le périphérique (perso à la base) devient presque un périphérique de l'entreprise. On perd le contrôle sur son propre périph.
Je laisse donc tomber cette configuration, et pour ma part j'vais plutôt tenter de choper un BlackBerry de l'entreprise. De toute façon, ce n'est peut-être pas une bonne chose que de mélanger pro et perso.
Quand le crowdfunding rejoint le courant OpenSource. Un crowd pour financer un audit public de TrueCrypt. Faudra voir quels experts de revu de code crypto seront embauchés.
Intéressant. Un outil qui permet de rajouter la Google-authentification sur SSH. Pour l'instant je filtre certains accès à mon serveur avec la double auth, mais pas encore SSH (qui est pourtant pas mal victime d'attaques)
Je vais peut être mettre ça en place.
Pas mal cet article synthétique de Bortzmeyer. Il rappelle les limites de la cryptographie pour protéger nos secrets.
Petite précision de fin d'article qui m'a tout de même beaucoup fait rire : « Merci surtout au relecteur anonyme qui a fait l'essentiel de la relecture mais ne souhaite pas que son nom apparaisse. »
Tiens, intéressant.
Le cryptosystème de Paillier est un cryptosystème pour le chiffrement homomorphique.
Soient A, B et C tels que A + B = C et A_c, B_c, C_c leurs versions chiffrées respectives. Soit +_c l'opération isomorphe à + pour le chiffrement c.
Alors dans un cryptosystème homomorphique pour l'addition, on a : A_c +_c B_c = C_c
Bref, ça permet de manipuler des données sur un serveur distant sans jamais les déchiffrer. Sympa pour le Cloud.
Pour revenir au système de Paillier, on voit qu'il reprend "seulement" la théorie des groupes isomorphes en l'appliquant au chiffrement. Donc en fait, il ne faut pas changer grand chose aux fonctions de chiffrements asymétriques actuels. Je pensais que c'était beaucoup plus tordu comme truc. Du coup, je n'avais jamais jeté d'œil dessus (mon cerveau a démissionné)
Tiens, ça a l'air pas mal comme outil.
Retroshare. Permet de faire un peu tout, à base de P2P, PGP et PPP.
via : http://sebsauvage.net/links/?Irw-SA qui en a marre non de Dieu !
« According to another top official also involved with the program, the NSA made an enormous breakthrough several years ago in its ability to cryptanalyze, or break, unfathomably complex encryption systems employed by not only governments around the world but also many average computer users in the US. »
Bad…
Je parlais hier de StartSSL qui fournit des certificats gratuits.
Il existe aussi CAcert que j'apprécie beaucoup : il fournit des certificats x509 classiques, authentifiés par le CA. Mais son réel avantage, outre sa gratuité, c'est qu'il calque le principe PGP (un web of trust) pour l'authentification des personnes (physiques ou morales) Donc, c'est complètement communautaire : il faut donner des preuves à un maximum de participants pour obtenir des points de confiance (je fais court)
Seul inconvénient : l'autorité racine n'est pas reconnue dans la plupart des navigateurs, y compris Firefox. Du coup, j'l'add à chaque nouvelle install
Malheureusement, il n'est pas reconnu en natif