C'est bien vu ça. Un calcul d'entropie peut vite nous montrer qu'on se trompe lorsque l'on cherche à créer un mot de passe compliqué de tête.
C'est pour ça qu'il faut utiliser un générateur / gestionnaire.
Un petit condensé des en-tête de sécurité sur HTTP(S) : raison, fonctionnement, mise en place.
C'est intéressant ce genre de retour d'expérience. Bortzmeyer a passé son blog sur Let's Encrypt, avec deux difficultés techniques :
- il y a trois machines pour le servir, donc il faut obtenir le même certificat partout, sans accès au root des deux machines esclaves ;
- il faut que DANE fonctionne (DANE-EE) donc la clé privée ne doit pas changer dans le temps.
Il y a aussi la possibilité de mettre à jour le DNS pour la clé DANE mais cela obligerait à scripter d'avantage. La solution ici est assez élégante, faute de mieux.
Super outil de sécurité profonde (avec du DPI) mis à disposition par Synology sur ses routeurs. C'est réellement très efficace, même si la prise en main et l'adaptation aux menaces est un peu long.
Il s'agit surtout au départ d'ajouter au fur et à mesure des règles d'exceptions aux signatures ET. Par exemple :
- l'outil signalait un trojan potentiel sur une machine (paquet HTTP avec un faux user-agent Mozilla, à destination d'un réseau à faible réputation). Il s'agissait en réalité d'un ping de vérification de mise-à-jour pour MediaCoder ;
- des requêtes DNS émises étaient signalées pour des .tk ou .pw qui sont considérés comme des nids à pirates. Du coup, j'ai adapté la stratégie pour ne plus être alerté (sinon c'est la fin du monde) ;
- etc.
Bref, un outil puissant, dont je suis curieux de voir l'avenir. C'est encore frais, ça ajoute pas mal d'overload pour l'instant (trop, vu ma connexion) mais ça reste très utile. D'ailleurs mon serveur derrière a vu ses attaques (notam. sur SMTP, HTTP(S) et SSH) diminuer drastiquement (presque totalement en fait).
Comment utiliser Wireshark et son GUI a travers un tunnel SSH (il suffit que l'hôte dispose de tcpdump et qu'on puisse l'exécuter)
Nice !
(j'ai horreur de tcpdump en ligne de commande)
Doh: Firefox & Chrome peuvent enregistrer les premaster-keys des sessions TLS directement dans un fichier.
Pratique pour déchiffrer à la volée du trafic TLS vers un serveur.
Bon, c'est pas rassurant niveau sécurité, parce qu'il faut simplement mettre une variable utilisateur dans l'environnement (utilisateur, même pas système !!)
Il est aussi possible, si on a la main sur le serveur, de demander au démon SSL d'exporter ces secrets, mais côté client ça devient plus difficile : il faudra un canal SSH pour lire les secrets dans Wireshark.
Émission en podcast sur la Threat Intelligence.
Je ne connaissais pas ce podcast. C'est très intéressant, loin du marketing, drôle et à la fois accessible et très pointu. Bref, j'ai passé deux heures superbes.
Explications claires du nouveau champ DNS CAA, sa mise en place et son utilité.
En même temps, ça vient de Bortzmeyer.
Présentation de l'attaque de TV5 Monde + analyse + remédiation par les équipes de l'ANSSI, qui sont intervenues en mode pompier.
Je suis surpris que ce ne soit pas très surprenant.
via : https://mastodon.xyz/users/Sniperovitch/updates/208016
Très intéressant : le minimum de sécurité sur un système Linux avec éventuellement de l'hébergement). J'aime bien ce genre de liste, même si c'est parfois grossier, discutable ou limité. Ça fait au moins une sorte de checklist utile.
EDIT : le son est ici, si on veut écouter.
via : https://mastodon.social/users/maliciarogue/updates/2537747
Ces conneries de convois pour des hommes politiques. C'est tellement monarchique et ridicule.
via : https://twitter.com/Qofficiel/status/864565871603322880
Le RFC des bonnes pratiques TLS.
Indispensable & pratique !
Les règles en matière de surveillance, fouille des bagages, palpation de sécurité. Où l'on apprend que beaucoup d'agents sont dans l'illégalité, et certains décrets attaquables.
via : https://twitter.com/blog83629/status/857000709589434373
Is that thing real ? :fearful:
Comment on en est arrivé là ?
via : https://twitter.com/MarkRuffalo/status/847681057700823040
Wow, Let's Encrypt est un véritable succès. Il est actuellement sur une croissance quadratique avec un fort taux de pénétration.
Résultat : d'après Firefox, on passe de 38% environ de pages chiffrées en Novembre 2015, à 51.5% actuellement. Ça ne suit pas exactement l'ampleur du mouvement, mais je suppose que les gros sites de GAFA représentent une part importante des pages chargées.
Trop bien. Pensez à faire un don.
Hmmm, j'suis un peu déçu là, du rôle du ssh-agent. C'est la première fois que j'en mets un en place, et en fait c'est juste un process en mémoire qui conserve les clés déchiffrées et qui les restitue entièrement au client demandeur.
Sachant qu'en gros n'importe quel programme apte à lire le socket de l'agent pourra requérir les clés. Bref, pas secure du tout.
Je pensais honnêtement, vu le boulot qui a été fait (et bien fait) autour de SSH, que l'agent était capable de répondre aux requêtes du client (signe-moi ça, calcule-moi ce hash, etc.) En gros, il conserverait la clé privée mais fournirait une API pour accéder aux primitives cryptographiques.
Bon, heureusement, il y a un agent un chouilla plus sécurisé dans KeePass (keeagent) : il peut demander une interaction à chaque utilisation, mais ça n'empêche pas complètement les usages délictueux.
J'espère qu'une sorte de v2 sortira un jour :)
EDIT : changer le vocable autour des routines cryptographiques
Excellent boulot ce site ! Il liste et catégorise les lois relatives à la cryptographie dans le monde (utilisation, import, export, limitations d'usage, etc.). Il y a une jolie carte et c'est extrêmement bien sourcé.
D'ailleurs, ça fait chaud au cœur de voir d'où l'on vient en France et qu'il y a eu pas mal de progrès.
Il y a aussi un truc à noter : je me souviens de la gueulante terrible des internautes sur la LCEN en 2004. Pour une raison que j'ignorais. Pas parce que je trouvais que c'était un beau projet de loi, mais plutôt parce que je ne m'intéressais pas beaucoup à la question. Finalement, le nombre de progrès importants qui ont été enregistrés par cette loi me font dire que c'était une très bonne loi, bien qu'également le cache-sexe de lois bien horribles qui sont sorties en même temps ou par la suite.
Bref, si quelqu'un se souviens des motivations des militants du "contre" je suis tout à fait preneur.
EDIT : Bon, en fait je suis allé faire un tour sur Wikipedia pour m'informer sur la LCEN. Les raisons de la polémique étaient en fait tout à fait valables. Point positif : il semble que la démocratie ait fonctionné plutôt bien cette fois, et d'ailleurs je confirme que la LCEN est une bonne loi telle qu'elle fût adoptée.
Excellent how-to (ici le résumé) pour l'enregistrement SSHFP au niveau du DNS.
Tout y est, notamment la partie "résolution DNSSEC" et pourquoi on ne peut pas pointer les enregistrements via un champ CNAME.
Intéressant : suite aux nombreux problèmes des DNS chez les FAI français (je soupçonne des mesures de censure en cours de déploiement) beaucoup on recommandé de passer sur des résolveurs publics. Comme OpenDNS (arf), GoogleDNS (arf) ou ceux de FDN…
Mais tout cela a de nombreux inconvénients listés ici par Bortzmeyer (a.k.a. môssieur DNS).
Il recommande donc d'utiliser son propre résolveurs puis de rebondir en récursif sur des DNS non-menteurs mais avec une connexion chiffrée (DNS over TLS).
Il y a par exemple ceux de Lorraine Data Network.
Ouch, je ne connaissais pas cette faille des navigateurs : l'autofill ne rempli pas seulement les champs visibles, donc peut potentiellement leaker des informations personnelles (adresse perso par exemple…).
Chaud.