Un petit condensé des en-tête de sécurité sur HTTP(S) : raison, fonctionnement, mise en place.
Un outil pour débarrasser Windows 10 de pas mal de merdes. À garder sous le coude.
Un service qui permet de voir si son empreinte de navigateur est unique, juste avec les informations qu'il envoie.
Donc, même sans cookie, j'ai une empreinte unique. Bim.
Chier.
via : https://twitter.com/bortzmeyer/status/932255493476831232
Bordel, Amesys continue tranquillement son bordel. De façade seulement les politiques français s'étaient exprimés. Encore beaucoup d'hypocrisie.
Combien de morts encore ?
Très intéressant : le minimum de sécurité sur un système Linux avec éventuellement de l'hébergement). J'aime bien ce genre de liste, même si c'est parfois grossier, discutable ou limité. Ça fait au moins une sorte de checklist utile.
EDIT : le son est ici, si on veut écouter.
via : https://mastodon.social/users/maliciarogue/updates/2537747
Le RFC des bonnes pratiques TLS.
Indispensable & pratique !
Les règles en matière de surveillance, fouille des bagages, palpation de sécurité. Où l'on apprend que beaucoup d'agents sont dans l'illégalité, et certains décrets attaquables.
via : https://twitter.com/blog83629/status/857000709589434373
Beau. L'amour au temps du numérique, de l'espionnage massif, de la pérennité de la moindre donnée. Une histoire d'amour et de hackers. Je n'ai pas lu le récit, mais ça donne envie.
via : https://twitter.com/Maitre_Eolas/status/853940456853471232
Wow, Let's Encrypt est un véritable succès. Il est actuellement sur une croissance quadratique avec un fort taux de pénétration.
Résultat : d'après Firefox, on passe de 38% environ de pages chiffrées en Novembre 2015, à 51.5% actuellement. Ça ne suit pas exactement l'ampleur du mouvement, mais je suppose que les gros sites de GAFA représentent une part importante des pages chargées.
Trop bien. Pensez à faire un don.
Hmmm, j'suis un peu déçu là, du rôle du ssh-agent. C'est la première fois que j'en mets un en place, et en fait c'est juste un process en mémoire qui conserve les clés déchiffrées et qui les restitue entièrement au client demandeur.
Sachant qu'en gros n'importe quel programme apte à lire le socket de l'agent pourra requérir les clés. Bref, pas secure du tout.
Je pensais honnêtement, vu le boulot qui a été fait (et bien fait) autour de SSH, que l'agent était capable de répondre aux requêtes du client (signe-moi ça, calcule-moi ce hash, etc.) En gros, il conserverait la clé privée mais fournirait une API pour accéder aux primitives cryptographiques.
Bon, heureusement, il y a un agent un chouilla plus sécurisé dans KeePass (keeagent) : il peut demander une interaction à chaque utilisation, mais ça n'empêche pas complètement les usages délictueux.
J'espère qu'une sorte de v2 sortira un jour :)
EDIT : changer le vocable autour des routines cryptographiques
Excellent boulot ce site ! Il liste et catégorise les lois relatives à la cryptographie dans le monde (utilisation, import, export, limitations d'usage, etc.). Il y a une jolie carte et c'est extrêmement bien sourcé.
D'ailleurs, ça fait chaud au cœur de voir d'où l'on vient en France et qu'il y a eu pas mal de progrès.
Il y a aussi un truc à noter : je me souviens de la gueulante terrible des internautes sur la LCEN en 2004. Pour une raison que j'ignorais. Pas parce que je trouvais que c'était un beau projet de loi, mais plutôt parce que je ne m'intéressais pas beaucoup à la question. Finalement, le nombre de progrès importants qui ont été enregistrés par cette loi me font dire que c'était une très bonne loi, bien qu'également le cache-sexe de lois bien horribles qui sont sorties en même temps ou par la suite.
Bref, si quelqu'un se souviens des motivations des militants du "contre" je suis tout à fait preneur.
EDIT : Bon, en fait je suis allé faire un tour sur Wikipedia pour m'informer sur la LCEN. Les raisons de la polémique étaient en fait tout à fait valables. Point positif : il semble que la démocratie ait fonctionné plutôt bien cette fois, et d'ailleurs je confirme que la LCEN est une bonne loi telle qu'elle fût adoptée.
Woké. Apparemment, un logiciel est désormais capable de synthétiser la voix d'une autre personne, et ça semble assez fiable. Super flippant.
via : https://twitter.com/Padre_Pio/status/828198923416301568
À quoi ressemble un gouvernement qui n'a plus d'idées ? À ça : StreetPress s'est intéressé aux décorés de la légion d'honneur, édition du premier janvier 2017 (la dernière sous Hollande donc).
Au menu : des fraudeurs fiscaux, des manif' pour tous, des vendeurs de softs d'espionnage à des dictatures, des vendeurs d'armes à des dictatures (ou presque), etc.
Gerbant.
via : https://twitter.com/MatMolard/status/822093034070441984
Intéressant : suite aux nombreux problèmes des DNS chez les FAI français (je soupçonne des mesures de censure en cours de déploiement) beaucoup on recommandé de passer sur des résolveurs publics. Comme OpenDNS (arf), GoogleDNS (arf) ou ceux de FDN…
Mais tout cela a de nombreux inconvénients listés ici par Bortzmeyer (a.k.a. môssieur DNS).
Il recommande donc d'utiliser son propre résolveurs puis de rebondir en récursif sur des DNS non-menteurs mais avec une connexion chiffrée (DNS over TLS).
Il y a par exemple ceux de Lorraine Data Network.
Ouch, je ne connaissais pas cette faille des navigateurs : l'autofill ne rempli pas seulement les champs visibles, donc peut potentiellement leaker des informations personnelles (adresse perso par exemple…).
Chaud.
Wow, une étape de plus a été franchie dans le délire censeur des majors et des FAI. Bouygues Telecom intercepte les requêtes DNS et ment sur les réponses !
Va maintenant falloir passer par des résolveurs qui supportent le chiffrement.
C'est plus du tout du net neutre là.
via : https://twitter.com/JohnShaftFr/status/807600947639762944
OK génial, il faut maintenant que des gens dont c'est le métier, se signalent auprès de leur direction pour pouvoir surfer librement sur le net. Ouch.
Ceci dit, si le CNRS garde effectivement confidentielle cette liste en attendant une enquête sur telle ou telle personne, ils le font aussi pour protéger leur personnel… le problème est ailleurs.
via : https://twitter.com/CamillePolloni/status/805891278877626369
Encore quelques conseils de l'ANSSI, cette fois pour les périphériques (clé USB, téléphones, ordinateurs) lors de voyages, notamment dans des zones craignos.
Pas de règles particulièrement compliquées ici, simplement du bon sens et une dose de paranoïa utile.
(idéalement, pour les voyages d'affaires avec des données critiques, il vaudrait mieux utiliser un matériel dédié qui sera complètement reseté au retour)
Ce matin, on m'a demandé 8 empreintes de doigts (et notamment index) pour faire mon passeport… Alors que depuis fin 2011, ils ne doivent prendre plus que deux empreintes.
Du coup, en cherchant ce qu'il en est (pour signalement à la CNIL) je trouve ce joli article où l'on voit un certain Jean-Jacques Urvoas s'opposer au fichage.
J'avais fini par oublier que ce mec était autrefois du bon côté. Mais c'était une autre époque, un autre vent, qui depuis a tourné…
Envisagez-donc un petit don à Let's Encrypt, pour lui permettre de vivre et d'être indépendant, mais surtout parce qu'au delà des discours, il est une vrai solution au problème d'espionnage massif aujourd'hui. Du concret cette fois.
via : https://twitter.com/MaliciaRogue/status/799561497424830464