C'est bien vu ça. Un calcul d'entropie peut vite nous montrer qu'on se trompe lorsque l'on cherche à créer un mot de passe compliqué de tête.
C'est pour ça qu'il faut utiliser un générateur / gestionnaire.
Un petit condensé des en-tête de sécurité sur HTTP(S) : raison, fonctionnement, mise en place.
C'est intéressant ce genre de retour d'expérience. Bortzmeyer a passé son blog sur Let's Encrypt, avec deux difficultés techniques :
Il y a aussi la possibilité de mettre à jour le DNS pour la clé DANE mais cela obligerait à scripter d'avantage. La solution ici est assez élégante, faute de mieux.
Super outil de sécurité profonde (avec du DPI) mis à disposition par Synology sur ses routeurs. C'est réellement très efficace, même si la prise en main et l'adaptation aux menaces est un peu long.
Il s'agit surtout au départ d'ajouter au fur et à mesure des règles d'exceptions aux signatures ET. Par exemple :
Bref, un outil puissant, dont je suis curieux de voir l'avenir. C'est encore frais, ça ajoute pas mal d'overload pour l'instant (trop, vu ma connexion) mais ça reste très utile. D'ailleurs mon serveur derrière a vu ses attaques (notam. sur SMTP, HTTP(S) et SSH) diminuer drastiquement (presque totalement en fait).
Comment utiliser Wireshark et son GUI a travers un tunnel SSH (il suffit que l'hôte dispose de tcpdump et qu'on puisse l'exécuter)
Nice !
(j'ai horreur de tcpdump en ligne de commande)
Doh: Firefox & Chrome peuvent enregistrer les premaster-keys des sessions TLS directement dans un fichier.
Pratique pour déchiffrer à la volée du trafic TLS vers un serveur.
Bon, c'est pas rassurant niveau sécurité, parce qu'il faut simplement mettre une variable utilisateur dans l'environnement (utilisateur, même pas système !!)
Il est aussi possible, si on a la main sur le serveur, de demander au démon SSL d'exporter ces secrets, mais côté client ça devient plus difficile : il faudra un canal SSH pour lire les secrets dans Wireshark.
Émission en podcast sur la Threat Intelligence.
Je ne connaissais pas ce podcast. C'est très intéressant, loin du marketing, drôle et à la fois accessible et très pointu. Bref, j'ai passé deux heures superbes.
Explications claires du nouveau champ DNS CAA, sa mise en place et son utilité.
En même temps, ça vient de Bortzmeyer.
Présentation de l'attaque de TV5 Monde + analyse + remédiation par les équipes de l'ANSSI, qui sont intervenues en mode pompier.
Je suis surpris que ce ne soit pas très surprenant.
via : https://mastodon.xyz/users/Sniperovitch/updates/208016
Très intéressant : le minimum de sécurité sur un système Linux avec éventuellement de l'hébergement). J'aime bien ce genre de liste, même si c'est parfois grossier, discutable ou limité. Ça fait au moins une sorte de checklist utile.
EDIT : le son est ici, si on veut écouter.
via : https://mastodon.social/users/maliciarogue/updates/2537747
Ces conneries de convois pour des hommes politiques. C'est tellement monarchique et ridicule.
via : https://twitter.com/Qofficiel/status/864565871603322880
Le RFC des bonnes pratiques TLS.
Indispensable & pratique !
Les règles en matière de surveillance, fouille des bagages, palpation de sécurité. Où l'on apprend que beaucoup d'agents sont dans l'illégalité, et certains décrets attaquables.
via : https://twitter.com/blog83629/status/857000709589434373
Is that thing real ? :fearful:
Comment on en est arrivé là ?
via : https://twitter.com/MarkRuffalo/status/847681057700823040
Wow, Let's Encrypt est un véritable succès. Il est actuellement sur une croissance quadratique avec un fort taux de pénétration.
Résultat : d'après Firefox, on passe de 38% environ de pages chiffrées en Novembre 2015, à 51.5% actuellement. Ça ne suit pas exactement l'ampleur du mouvement, mais je suppose que les gros sites de GAFA représentent une part importante des pages chargées.
Trop bien. Pensez à faire un don.
Hmmm, j'suis un peu déçu là, du rôle du ssh-agent. C'est la première fois que j'en mets un en place, et en fait c'est juste un process en mémoire qui conserve les clés déchiffrées et qui les restitue entièrement au client demandeur.
Sachant qu'en gros n'importe quel programme apte à lire le socket de l'agent pourra requérir les clés. Bref, pas secure du tout.
Je pensais honnêtement, vu le boulot qui a été fait (et bien fait) autour de SSH, que l'agent était capable de répondre aux requêtes du client (signe-moi ça, calcule-moi ce hash, etc.) En gros, il conserverait la clé privée mais fournirait une API pour accéder aux primitives cryptographiques.
Bon, heureusement, il y a un agent un chouilla plus sécurisé dans KeePass (keeagent) : il peut demander une interaction à chaque utilisation, mais ça n'empêche pas complètement les usages délictueux.
J'espère qu'une sorte de v2 sortira un jour :)
EDIT : changer le vocable autour des routines cryptographiques
Excellent boulot ce site ! Il liste et catégorise les lois relatives à la cryptographie dans le monde (utilisation, import, export, limitations d'usage, etc.). Il y a une jolie carte et c'est extrêmement bien sourcé.
D'ailleurs, ça fait chaud au cœur de voir d'où l'on vient en France et qu'il y a eu pas mal de progrès.
Il y a aussi un truc à noter : je me souviens de la gueulante terrible des internautes sur la LCEN en 2004. Pour une raison que j'ignorais. Pas parce que je trouvais que c'était un beau projet de loi, mais plutôt parce que je ne m'intéressais pas beaucoup à la question. Finalement, le nombre de progrès importants qui ont été enregistrés par cette loi me font dire que c'était une très bonne loi, bien qu'également le cache-sexe de lois bien horribles qui sont sorties en même temps ou par la suite.
Bref, si quelqu'un se souviens des motivations des militants du "contre" je suis tout à fait preneur.
EDIT : Bon, en fait je suis allé faire un tour sur Wikipedia pour m'informer sur la LCEN. Les raisons de la polémique étaient en fait tout à fait valables. Point positif : il semble que la démocratie ait fonctionné plutôt bien cette fois, et d'ailleurs je confirme que la LCEN est une bonne loi telle qu'elle fût adoptée.
Excellent how-to (ici le résumé) pour l'enregistrement SSHFP au niveau du DNS.
Tout y est, notamment la partie "résolution DNSSEC" et pourquoi on ne peut pas pointer les enregistrements via un champ CNAME.
Intéressant : suite aux nombreux problèmes des DNS chez les FAI français (je soupçonne des mesures de censure en cours de déploiement) beaucoup on recommandé de passer sur des résolveurs publics. Comme OpenDNS (arf), GoogleDNS (arf) ou ceux de FDN…
Mais tout cela a de nombreux inconvénients listés ici par Bortzmeyer (a.k.a. môssieur DNS).
Il recommande donc d'utiliser son propre résolveurs puis de rebondir en récursif sur des DNS non-menteurs mais avec une connexion chiffrée (DNS over TLS).
Il y a par exemple ceux de Lorraine Data Network.
Ouch, je ne connaissais pas cette faille des navigateurs : l'autofill ne rempli pas seulement les champs visibles, donc peut potentiellement leaker des informations personnelles (adresse perso par exemple…).
Chaud.
Le guide des bonnes pratiques TLS par l'ANSSI. Pour quelqu'un qui s'intéresse au sujet, il y a beaucoup de redites, mais également quelques perles, comme le "aller plus loin" de la R27.
Pour une même terminaison, il est recommandé d’utiliser autant de certificats
que de versions et de méthodes d’échange de clés acceptées.
(relou ce truc)
via : https://twitter.com/ANSSI_FR/status/794572049364766720
Des chercheurs parviennent à découvrir les mots de passes tapés sur un téléphone, en utilisant les perturbations des ondes WiFi par la main du sujet. Ouch !
via : https://twitter.com/adriancolyer/status/796631232318701568
Une thèse intéressante sur la pile TLS. Je conseille la version de synthèse.
Bon, je suis un peu circonspect sur l'utilité de l'énorme travail qui a consisté à fouiller tout l'espace IPv4 à la recherche de HTTPS (puis de parser les échanges pour découvrir le comportement de chaque pile).
Mais la dernière partie est vraiment bien, sur ce qui concerne l'implémentation, la mitigation, etc.
via : https://twitter.com/ANSSI_FR/status/794481666676981760
Oh non, quelle tristesse. WOT c'est vraiment une super extension, je suis vraiment dégouté de lire ça. Et donc de la dégager… Snifff.
(Note: I'm the original author of this extension, but haven't been affiliated with it for the past few years, during which time I believe there's been an ownership change.)
[…]
However, the actual issue that's being widely discussed in German media, which both you and AMO reviewers at the time appear to have completely missed was introduced in 2015 in this commit:
https://github.com/mywot/firefox-xul/commit/0df107cae8ac18901bd665acace4b369c244a3f9This change adds logging of each visited URL and clearly attempts to obfuscate the traffic with double Base-64 encoding. Definitely sounds like something that should have been indicated to users.
Pour plus tard : l'ANSSI vient de réaliser un webdoc sur la cryptologie en abordant pas mal de facettes différentes. À voir certainement.
via : https://twitter.com/ANSSI_FR/status/783612493147082752
OVH communique sur une attaque DDoS d'ampleur qu'ils ont subi il y a quelques jours, et en profite pour faire un peu de pédagogie auprès de nos amis (hem) journalistes.
Du coup, on en apprend un peu sur les techniques utilisées pour mitiger les attaques, et que notamment leur prochain VAC utilisera du FPGA :)
C'est vraiment une sacré belle boîte, et je les soutiens à 100% dans leur démarche et leur boulot.
Le Canard Enchaîné raconte la visite de l'ASN dans la centrale nucléaire de Dampierre-en-Burly. C'est vraiment sympa de voir comment on traite ce genre de choses.
Et qui c'est qui ramasse ? Les employés précaires du nucléaire pardi.
Et ils soulignent que les doses maximales de radiations autorisées ont été dépassées pour certains techniciens.
via : https://twitter.com/EmilieSchmitt_/status/771743025273905152
Très bon compte-rendu de la conférence HOPE (que je ne connaissais pas, mais qui donne envie du coup). À lire.
Super cette plateforme pour l'apprentissage du hacking. Il y a tout plein de challenges, du "simple" au carrément "retord"
J'ai lancé deux petits challenges pour voir, c'est déjà pas mal compliqué :grimacing:
Hmmm, intéressant. Un service qui authentifie les identités en ligne pour les mapper avec des clés (GPG, etc.)
Comparatif très intéressant de la sécurité des messageries instantanées les plus populaires. Et c'est fait par l'EFF, donc j'ai confiance.
Cependant, la page est vieille (outdatée, d'ailleurs c'est dit dès l'introduction) et mériterait une mise-à-jour, d'autant plus que ça change vite. Notamment pour What's App qui s'est grandement armé ces derniers mois.
Lire aussi, l'article de SebSauvage (dans le via)
La conf de Bortzmeyer sur Ethereum (et le carnage TheDAO) en quelques slides (bimer).
C'est super, c'est la première fois que je trouve un document un peu plus technique pour parler de ce truc assez inatteignable : la blockchain.
Très inspirant, ça me donnerait presque envie d'essayer.
Cette histoire est facepalmesque. Je comprends pas, c'est de la pure naïveté ou bien ?
Ahah, ouais. Effectivement, les CA ont les chtouilles.
D'ailleurs, j'ai reçu un mail assez intéressant de la CA que j'utilisais (encore un peu en fait) : StartSSL / StartCom. À qui je ne reproche rien d'ailleurs, sauf peut-être de flipper de voir tous les clients partir. Ils vont implémenter l'outil Let's Encrypt pour faire leur propre autorité automatisée. Seul problème : ils souhaitent appliquer le protocole à l'Extended Validation (EV-3). Je ne suis pas sûr du tout que ce soit une bonne idée…
Youpi, Let's Encrypt, ça me fait vraiment plaisir.
D'abord, parce que c'est gratuit, et automatisé. Ensuite, parce qu'ils implémentent le protocole Certificate Transparency qui permet d'être sûr qu'ils ne se sont pas fait pirater.
Mais surtout parce qu'ils sont en train de réussir le challenge énorme qui se posait, et en très peu de temps. En manageant quelques sites et blogs, j'utilise des outils pour vérifier les liens cassés dans les pages. Et en ce moment, c'est une pluie de liens qui sont marqués "redirection" parce que l'ancien lien http://domain.tld/path devient https://domain.tld/path !
Et après quelques vérifications au hasard, il s'agit toujours de certificats signés par Let's Encrypt.
Et bientôt, DANE s'imposera et les CA disparaitront en majorité, comme il se doit (mais pas totalement, heureusement) : http://www.commitstrip.com/fr/2016/06/13/the-end-of-an-expensive-era/
Merci aux sponsors (parmi lesquels Mozilla, Akamai, Cisco, Chrome, Gemalto, OVH, Free, Gandi, HP)
(ça fait plaisir en ce moment de voir qu'on peut œuvrer pour quelque chose de bien à plusieurs)
Ahah, moi qui avait peur des limitations de Let's Encrypt…
En fait, on peut générer une quantité phénoménale de certificats.
Franchement, je viens d'essayer avec mon domaine et l'agent Let's, c'est juste AWESOME. Intégration immédiate et sans action manuelle.
Je prédis la mort des petites CA payantes, et probablement la fin du business basé sur les certificats gratuits (StartSSL & others)
Chaud cette histoire de faille dans les extensions Firefox. En cause : la non isolation des différentes apps.
via : https://twitter.com/bluetouff/status/717378238268448769
Mouarf, quelle histoire. Trois "anonymous" comparaissaient pour un piratage avec un préjudice : les identités et coordonnées de syndicalistes policiers dans la nature. Bref, une connerie.
« les convictions politiques exprimées aujourd’hui avec un peu de maladresses expliquent le mobile. Eux ont compris ce que les plus de 20 ans ne comprennent pas : le prochain Jean Moulin sera un geek ! Ils se sont quelque peu embourgeoisés depuis, mais l’histoire leur donne déjà raison. »
Au passage, l'état qui demande 21600 euros pour la remise en état de deux sites défacés me fait froid dans le dos : ils n'ont pas l'air de négocier leurs prestations correctement.
Je recommande chaudement ce plugin Wordpress : Wordfence. Il gère les aspects sécurité de l'installation, et ils sont nombreux :
Et là, après avoir changé les enregistrements DNS pour faire un peu le ménage, il m'a informé de changements ;)
J'en parlais déjà ici : http://foualier.gregory-thibault.com/?eLLA0A
Ce putain de site met dans un iFrame la page de billeterie. Du coup, impossible de savoir si c'est bien en HTTPS (sauf à bricoler avec des clics droits) et si le certificat est bien valide.
Re-lou.
Je découvre qu'avec DNSSEC, le champ TLSA permet de vérifier le certificat émis par le serveur, à la place de, ou en complément du / des CA.
C'est aussi utile par exemple, pour vérifier le CA signataire (à la place du certificat du serveur) afin de limiter le risque qu'une CA piratée ou malveillante forge un fake-certificat.
EDIT : on peut aussi utiliser ce champ pour accorder sa confiance à une autorité qui ne serait pas "de confiance" dans le root du logiciel client. Encore faut-il que ce dernier requête en DNSSEC et implémente ces méthodes (assez récentes)
Une grande avancée je trouve, et un bon compromis CA / non-CA.
Pratique !
Les données personnelles de 191 millions de votants des USA ont été exposées. Bravo le vote électronique !
Mandieu. Facepalm terrible en matière de sécurité : non, le "logo Verisign" n'est pas une preuve de sécurité. Surtout en l'absence de SSL sur la connexion.
F*ing st. Une injection DLL dans Keepass… Crénondedjiou.
Les liaisons dynamiques des DLL sous Windows, c'est la plaie…
Du coup, j'suis pas sûr qu'il passe encore la certification ANSSI (même s'il me semble qu'elle concernait la version 1.x qui doit certainement être sensible au même problème).
J'espère que ce sera corrigé vite.
Hmmmm, moi qui doit renouveler mes certificats très prochainement, je vais me pencher sur Let's Encrypt. Mais à l'heure actuelle, je ne sais pas si c'est supporté par tous les navigateurs (enfin, les plus gros quoi). Let's see ;)
Impressionnant : qu'est-ce qu'une attaque informatique « à froid ». Où on apprend que la RAM peut conserver ses données plusieurs minutes après extinction. Également, comment mitiger l'attaque ? Et finalement, Tail est vraiment une distribution sécurisée ;)
via : https://twitter.com/CyvispaSec/status/652814600774283264
Excellent article sur la sécurité de TLS (via OpenSSL).
Ça m'a permis de changer le chiffrement d'un outil que je développe (non critique, bien heureusement) et qui utilisait du AES-CBC (soumis à la faille POODLE, mais pas dans ce cas ; donc juste pour une best-practice)
En réponse : il s'agit de la 7.1a (petite coquille)
Mais sinon, il y a truecrypt.ch qui poursuit le développement, fait financer les audits et évoluer le logiciel. C'est le fork le plus "officiel" pour le moment.
Mais je préfère VeraCrypt qui ont fait évoluer de façon importante (et surtout en tenant compte des résultats d'audit) le logiciel. À tel point que les conteneurs eux-mêmes perdent (si on souhaite des options avancées de sécurité) la rétrocompatibilité.
C'est un choix à faire aujourd'hui, et perso je préfère le choix VeraCrypt pour sa sécurité : ils ont enfin implémenté une technique anti brute-force sur les conteneurs (et plein d'autres choses intéressantes)
Liens :
Encore une publicité qui diffuse un exploit. Et Mozilla qui réagit en moins de 24h. Bravo.
Le problème vient du lecteur PDF intégré… Mise à jour à faire.
Alors là, chapeau bas. Je suis ravi de cette extension. C'est une solution de sécurité très complète pour Wordpress, peu invasive, paramétrable à souhait et en grande partie gratuite. Les options payantes sont des options pour des sites qui n'auront pas de problème à payer.
Un point très appréciable : je passe un temps fou, quelque soit le système (Androïd, Linux, Windows, etc.) et lorsque j'installe une application à régler les options. Je suis du genre à tout fouiller. En général, je change beaucoup de choses, j'aime customiser. Mais du coup, je suis aussi obliger de noter ce que je fais quelque part dans un doc de réversibilité quelconque, pour reproduire plus rapidement ensuite mes réglages favoris.
Ici ? Que nenni. J'ai installé l'app, vu la grande quantité de paramètres, remis à plus tard. Puis en fouillant plus tard, je n'ai quasiment rien changé. C'est sans doute du jamais vu à ce niveau.
Toutes les options un peu intrusives (nécessairement) sont globalement désactivées. C'est un niveau de sécurité avancé, mais sans fonction très avancée et donc lourdes, qui est ainsi mis en place par défaut.
Bref, je recommande 1000 fois. J'ai même envie de faire un don (mais je ne trouve pas) même si je pense qu'ils font leur blé avec des sites d'une autre envergure que les miens.