16099 shaares
132 results
tagged
sécurité
En gros, se méfier des ebooks qui comportent du javascript.
De côté, pas lu
Un script tout con pour générer des tokens OTP sur son desktop/laptop
« git-secret is a bash tool to store your private data inside a git repo. How’s that? Basically, it just encrypts, using gpg, the tracked files with the public keys of all the users that you trust. So everyone of them can decrypt these files using only their personal secret key. Why deal with all this private-public keys stuff? Well, to make it easier for everyone to manage access rights. There are no passwords that change. When someone is out - just delete his public key, reencrypt the files, and he won’t be able to decrypt secrets anymore. »
https://github.com/sobolevn/git-secret
(via https://dooby.fr/links/?rUhRQg)
https://github.com/sobolevn/git-secret
(via https://dooby.fr/links/?rUhRQg)
Mettre en place une double authentification pour le login et la commande sudo avec Google Authenticator.
Pas spécialement chaud pour utiliser un service Google, mais /coude quand même, des fois qu'un jour ça puisse servir.
Pas spécialement chaud pour utiliser un service Google, mais /coude quand même, des fois qu'un jour ça puisse servir.
EDIT : En fait, ça me fait penser qu'il ya peu, je suis tombé sur quelques (vieux, voir très vieux) liens que j'avais de côté à propos des cartes RFID. J'en profite pour garder ça ici à titre indicatif, pour mémoire.
02/2009 > http://bugbrother.blog.lemonde.fr/2009/02/13/les-passeports-rfid-sont-piratables-la-preuve-en-images/ (ouais 2009, pas relu, je sais pas si ce qu'il raconte est tjrs d'actu)
04/2012 > http://www.panoptinet.com/cybersecurite-decryptee/les-puces-rfid-ou-le-pickpocket-electronique/
01/2014 > http://www.acbm.com/inedits/pickpocket-electronique.html (via http://sebsauvage.net/links/?9UP3gg)
05/2014 > http://korben.info/nouvelle-faille-securite-decouverte-les-cartes-bancaires-contact.html
02/2009 > http://bugbrother.blog.lemonde.fr/2009/02/13/les-passeports-rfid-sont-piratables-la-preuve-en-images/ (ouais 2009, pas relu, je sais pas si ce qu'il raconte est tjrs d'actu)
04/2012 > http://www.panoptinet.com/cybersecurite-decryptee/les-puces-rfid-ou-le-pickpocket-electronique/
01/2014 > http://www.acbm.com/inedits/pickpocket-electronique.html (via http://sebsauvage.net/links/?9UP3gg)
05/2014 > http://korben.info/nouvelle-faille-securite-decouverte-les-cartes-bancaires-contact.html
(via http://sebsauvage.net/links/?Fl8NrA)
Et aussi > http://arstechnica.com/civis/viewtopic.php?p=29497693&sid=ddf3e32512932172454de515091db014#p29497693 (via https://twitter.com/pbeyssac/status/631395363644162048)
EDIT : http://www.nextinpact.com/news/96168-lenovo-scandale-autour-dun-outil-installant-automatiquement-pilotes-et-logiciels.htm
Et aussi > http://arstechnica.com/civis/viewtopic.php?p=29497693&sid=ddf3e32512932172454de515091db014#p29497693 (via https://twitter.com/pbeyssac/status/631395363644162048)
EDIT : http://www.nextinpact.com/news/96168-lenovo-scandale-autour-dun-outil-installant-automatiquement-pilotes-et-logiciels.htm
Juste survolé, mais /coude quand même.
(via http://sebw.info/?Z2Lq9g)
(via http://sebw.info/?Z2Lq9g)
Extrait : « Scandale dans le monde de la sécurité informatique : l'auteur du blog spécialisé Krach.in a été condamné fin avril à 750 euros d’amende. En cause, trois articles dans lesquels il détaille par exemple des procédures comme le piratage d’un réseau Wifi, pour mieux expliquer comment le sécuriser. Une condamnation un peu particulière puisqu’il n’y a eu ni procès… ni plainte.
[...] KrachSec n'a même pas pu défendre sa bonne foi devant un tribunal puisqu'il il n’y a eu aucun procès. Le blogueur a reconnu sa culpabilité en choisissant la procédure dite de Comparution sur reconnaissance préalable de culpabilité (CRPC)... pour faire des économies.
Également appelée "plaider-coupable" et réservée à certains délits non violents, cette procédure implique que le prévenu - ici le blogueur, aidé d’un avocat (obligatoire dans cette procédure) -, reconnait les faits qu’on lui reproche. Il se voit alors proposer une peine inférieure à celle encourue par le procureur de la République (peine qui peut dans certains cas être négociée entre les parties). Si le prévenu accepte, la proposition du procureur doit ensuite être homologuée par un juge (si ce dernier refuse, l’affaire est alors jugée lors d’un procès "classique").
[...] Reste à savoir d’où venait la plainte, puisqu’aucune société ni aucun particulier n’étaient visés par les articles. "[Lors de la perquisition], le gendarme n'est pas agressif, il est même plutôt impressionné par les compétences et m'explique qu'ils sont obligés de traiter cette plainte car elle vient d'une sorte de bot [robot ndlr] qui scanne le WEB FR et [relève] des infractions" explique le blogueur.»
En rapport avec http://krach.in/ largement partagé sur shaarli.fr.
EDIT : https://reflets.info/la-justice-des-bots-cest-maintenant/
[...] KrachSec n'a même pas pu défendre sa bonne foi devant un tribunal puisqu'il il n’y a eu aucun procès. Le blogueur a reconnu sa culpabilité en choisissant la procédure dite de Comparution sur reconnaissance préalable de culpabilité (CRPC)... pour faire des économies.
Également appelée "plaider-coupable" et réservée à certains délits non violents, cette procédure implique que le prévenu - ici le blogueur, aidé d’un avocat (obligatoire dans cette procédure) -, reconnait les faits qu’on lui reproche. Il se voit alors proposer une peine inférieure à celle encourue par le procureur de la République (peine qui peut dans certains cas être négociée entre les parties). Si le prévenu accepte, la proposition du procureur doit ensuite être homologuée par un juge (si ce dernier refuse, l’affaire est alors jugée lors d’un procès "classique").
[...] Reste à savoir d’où venait la plainte, puisqu’aucune société ni aucun particulier n’étaient visés par les articles. "[Lors de la perquisition], le gendarme n'est pas agressif, il est même plutôt impressionné par les compétences et m'explique qu'ils sont obligés de traiter cette plainte car elle vient d'une sorte de bot [robot ndlr] qui scanne le WEB FR et [relève] des infractions" explique le blogueur.»
En rapport avec http://krach.in/ largement partagé sur shaarli.fr.
EDIT : https://reflets.info/la-justice-des-bots-cest-maintenant/
Extrait : « Dernier coup bas en date, un responsable d’une banque française explique, dans les colonnes du Canard Enchaîné, qu' « A l’heure actuelle, les Cartes bleues NFC qu’on offre (sic) à nos clients sont moins sécurisées que leur carte de transport » . Bing ! Dans les dents ! »
(via http://shaarli.mydjey.eu/?Z01J3g)
(via http://shaarli.mydjey.eu/?Z01J3g)
Extrait : « Le piratage de TV5 a été effectué via une faille Java. Une faille sur un ordinateur particulier : celui de l’administrateur des réseaux sociaux de la chaîne ou bien un directement connecté à la régie.
Cette faille a permis l’envoi d’un virus au format vbs. Camouflé sous une fausse identité google, le virus crypté était programmé pour se lancer au bout de cinq minutes d’usage du PC. »
Ce qui m'énerve dans cette histoire, c'est que ce (non) événement va être assurément qualifié de cyber-guerre et la seule chose qui sera être retenu par beaucoup, c'est l'origine de l'attaque. Et je ne pense pas trop me mouiller en assurant que la propagande pro-surveillance/pro-sécurité des gouvernements occidentaux ne vont pas oublier de nous le rappeler.
(via Arrêt sur Images)
EDIT : ^^ -> « Si couper l'antenne de TV5 est un acte terroriste, je risque quoi si j'éteins la télé au moment du 20h de TF1 ? » (https://twitter.com/laurentchemla/status/586071556931092480)
EDIT² : Donc oui, apparemment, je me mouillais pas
https://twitter.com/AdrienneCharmet/status/586095755397636098
https://twitter.com/martin_u/status/586143916690374656
EDIT³ : Manach est sceptique concernant l'article de Breaking3zero -> http://www.arretsurimages.net/articles/2015-04-09/Sur-la-piste-des-pirates-de-TV5Monde-id7633 (contenu payant)
EDIT⁴ : http://www.arretsurimages.net/breves/2015-04-11/Lemotdepassedeyoutube-TV5Monde-admet-une-bourde-id18809
http://www.arretsurimages.net/breves/2015-04-10/TV5-documents-militaires-pirates-le-gouvernement-dement-id18808
http://www.arretsurimages.net/articles/2015-04-09/Sur-la-piste-des-pirates-de-TV5Monde-id7633
EDIT⁵ : http://www.lemonde.fr/pixels/article/2015/06/09/piratage-de-tv5-monde-l-enquete-s-oriente-vers-la-piste-russe_4650632_4408996.html
Cette faille a permis l’envoi d’un virus au format vbs. Camouflé sous une fausse identité google, le virus crypté était programmé pour se lancer au bout de cinq minutes d’usage du PC. »
Ce qui m'énerve dans cette histoire, c'est que ce (non) événement va être assurément qualifié de cyber-guerre et la seule chose qui sera être retenu par beaucoup, c'est l'origine de l'attaque. Et je ne pense pas trop me mouiller en assurant que la propagande pro-surveillance/pro-sécurité des gouvernements occidentaux ne vont pas oublier de nous le rappeler.
(via Arrêt sur Images)
EDIT : ^^ -> « Si couper l'antenne de TV5 est un acte terroriste, je risque quoi si j'éteins la télé au moment du 20h de TF1 ? » (https://twitter.com/laurentchemla/status/586071556931092480)
EDIT² : Donc oui, apparemment, je me mouillais pas
https://twitter.com/AdrienneCharmet/status/586095755397636098
https://twitter.com/martin_u/status/586143916690374656
EDIT³ : Manach est sceptique concernant l'article de Breaking3zero -> http://www.arretsurimages.net/articles/2015-04-09/Sur-la-piste-des-pirates-de-TV5Monde-id7633 (contenu payant)
EDIT⁴ : http://www.arretsurimages.net/breves/2015-04-11/Lemotdepassedeyoutube-TV5Monde-admet-une-bourde-id18809
http://www.arretsurimages.net/breves/2015-04-10/TV5-documents-militaires-pirates-le-gouvernement-dement-id18808
http://www.arretsurimages.net/articles/2015-04-09/Sur-la-piste-des-pirates-de-TV5Monde-id7633
EDIT⁵ : http://www.lemonde.fr/pixels/article/2015/06/09/piratage-de-tv5-monde-l-enquete-s-oriente-vers-la-piste-russe_4650632_4408996.html
Extrait : « L'Agence nationale de sécurité américaine (NSA) aurait, selon d'anciens agents du renseignement américain, trouvé le moyen de dissimuler un logiciel espion dans les disques durs fabriqués par les sociétés Western Digital, Seagate, Toshiba et d'autres fabriquants. Ce procédé signifie que la NSA dispose des moyens de contrôler la majeure partie des ordinateurs dans le monde, affirment-ils à l'agence de presse Reuters.
[...]
Kaspersky, qui a mis au jour une série d'opérations de cyberespionnage occidentales, précise que des ordinateurs personnels infectés avec un ou plusieurs programmes espions ont été recensés dans une trentaine de pays. Le pays le plus concerné est l'Iran suivi par la Russie, le Pakistan, l'Afghanistan, la Chine, le Mali, la Syrie, le Yémen et l'Algérie. »
Même sujet : http://pro.clubic.com/it-business/securite-et-donnees/actualite-754505-nsa-dissimule-logiciel-espion-disques-durs.html (via http://sebsauvage.net/links/?jshivQ)
EDIT : http://www.nextinpact.com/news/93094-grayfish-malware-capable-simplanter-dans-firmware-disques-durs.htm
[...]
Kaspersky, qui a mis au jour une série d'opérations de cyberespionnage occidentales, précise que des ordinateurs personnels infectés avec un ou plusieurs programmes espions ont été recensés dans une trentaine de pays. Le pays le plus concerné est l'Iran suivi par la Russie, le Pakistan, l'Afghanistan, la Chine, le Mali, la Syrie, le Yémen et l'Algérie. »
Même sujet : http://pro.clubic.com/it-business/securite-et-donnees/actualite-754505-nsa-dissimule-logiciel-espion-disques-durs.html (via http://sebsauvage.net/links/?jshivQ)
EDIT : http://www.nextinpact.com/news/93094-grayfish-malware-capable-simplanter-dans-firmware-disques-durs.htm
Extrait : « Les 20 et 22 janvier dernier, le serveur de la Quadrature du Net, association de défense des libertés des citoyens sur Internet, dont je suis cofondateur et que ma société héberge gracieusement, a subi des attaques par déni de service réparties. Voici une petite analyse de ce que nous avons pu comprendre de ces attaques ... »
Voir aussi : http://seenthis.net/messages/334731
Voir aussi : http://seenthis.net/messages/334731
« Dans le cadre du plan Vigipirate niveau « alerte attentat », l'accès à internet se fait pas identification. (...) Mot de passe = date de naissance » - Une affiche de la BnF.
On rira (jaune) sur la date de naissance en tant que mot de passe pour tout le monde.
Copie de sauvegarde : https://files.nekoblog.org/uploads/imgs/bnf-vigipirate-internet.jpeg
On rira (jaune) sur la date de naissance en tant que mot de passe pour tout le monde.
Copie de sauvegarde : https://files.nekoblog.org/uploads/imgs/bnf-vigipirate-internet.jpeg
« @Hugues: Oui mon chéri c'est un peu dur à prononcer "Dfg45rt!uêrt!z" comme nom pour ton petit chien, mais pense à la sécurité de ton mail plus tard »
:)
:)
Gogo, un FAI spécialisé dans le wifi à bord des avions pratique le "man in the middle" pour pouvoir espionner leurs clients.
(via http://sebsauvage.net/links/?RWF4Pg)
(via http://sebsauvage.net/links/?RWF4Pg)
Extrait : « De fait, écrire que « la sécurité des VPN est purement virtuelle » ou qu’il n’y a « rien de vraiment sécurisé » dans le « S » de HTTPS est déjà simplificateur. En déduire que « HTTPS est cassé » est tout simplement faux. Comme le disait Snowden lui-même dans sa (fameuse) première interview accordée au Guardian : « Correctement mis en œuvre, les systèmes de cryptographie forte sont une des rares choses auxquelles on peut se fier ». »
Un article d'Amaelle Guiton à propos des récentes révélations de Snowden. #nsa
EDIT : http://rue89.nouvelobs.com/2015/01/04/cryptographie-surveillance-les-revers-paranoia-256897
Un article d'Amaelle Guiton à propos des récentes révélations de Snowden. #nsa
EDIT : http://rue89.nouvelobs.com/2015/01/04/cryptographie-surveillance-les-revers-paranoia-256897
Extrait : « Grâce à quelques lignes de code informatique, il est facile de localiser en temps réel votre téléphone portable, d’intercepter vos appels ou vos SMS, et ce depuis n’importe quel point du globe. C’est le constat pour le moins alarmiste de deux chercheurs en sécurité qui ont présenté leurs travaux, samedi 27 décembre, au Chaos Communication Congress, à Hambourg (Allemagne). »
Extrait : « Les outils dont la robustesse résiste à la NSA sont peu nombreux : GnuPG, qui sert à la protection des courriels, Tails, un système d’exploitation « amnésique », OTR, un protocole informatique protégeant la confidentialité des discussions instantanées, les applications développées par le collectif Whispersystems (comme Signal), Truecrypt, un système de chiffrement des documents dont l’interruption mystérieuse a suscité de nombreuses interrogations et Tor, un navigateur permettant notamment une navigation anonyme sur Internet. »
Voir aussi : http://rue89.nouvelobs.com/2014/12/29/crimes-guerre-decryptage-donnees-nouvelles-revelations-snowden-256794
http://korben.info/nsa-proof-software.html
Et "How crypto reporting works" : https://imgur.com/BoDqA3m
EDIT : http://www.nextinpact.com/news/91557-decryptage-donnees-ou-en-etait-nsa-en-2012-et-aujourdhui.htm
Voir aussi : http://rue89.nouvelobs.com/2014/12/29/crimes-guerre-decryptage-donnees-nouvelles-revelations-snowden-256794
http://korben.info/nsa-proof-software.html
Et "How crypto reporting works" : https://imgur.com/BoDqA3m
EDIT : http://www.nextinpact.com/news/91557-decryptage-donnees-ou-en-etait-nsa-en-2012-et-aujourdhui.htm
Et https://twitter.com/AdrienneCharmet/status/545489787172687872
Je note les 2 tweets : « J'écoute @JJUrvoas sur @franceinter . Qui explique que Snowden a fait du mal car à cause de lui + de gens chiffrent donc + de terrorisme. Allez, dans 5 ans le chiffrement est interdit et considéré comme preuve de danger pour la sécurité de l'Etat. On parie ? #Urvoas #terrorisme »
Stéphane Bortzmeyer rappelle dans les commentaires que c'était déjà le cas il y a 20 ans : http://www.bortzmeyer.org/crypto.html
On peut retrouver le discours d'Urvoas ici (vers la 9ème minute) : http://www.franceinter.fr/emission-interactiv-jean-jacques-urvoas
Copie de sauvegarde : http://files.nekoblog.org/uploads/podcasts/france-inter-7-9-2014.12-urvoas-2.mp3
La page Wikipedia du bonhomme : https://fr.wikipedia.org/wiki/Jean-Jacques_Urvoas
Même si ya des choses "intéressantes" dans son discours, mais forcément, sur cette déclaration à propos du chiffrement, on ne peut s'empêcher de penser à la députée socialiste (Mme Bechtel) qui avait suggérée pendant les débats parlementaires du #pjlterrorisme qu'il « faudra demain agir sur les données cryptées » (https://links.nekoblog.org/?-xyIyA)
EDIT : Ya un autre bout de son interview ici : http://www.franceinter.fr/emission-linvite-jean-jacques-urvoas
Copie de sauvegarde : http://files.nekoblog.org/uploads/podcasts/france-inter-7-9-2014.12-urvoas-1.mp3
Je note les 2 tweets : « J'écoute @JJUrvoas sur @franceinter . Qui explique que Snowden a fait du mal car à cause de lui + de gens chiffrent donc + de terrorisme. Allez, dans 5 ans le chiffrement est interdit et considéré comme preuve de danger pour la sécurité de l'Etat. On parie ? #Urvoas #terrorisme »
Stéphane Bortzmeyer rappelle dans les commentaires que c'était déjà le cas il y a 20 ans : http://www.bortzmeyer.org/crypto.html
On peut retrouver le discours d'Urvoas ici (vers la 9ème minute) : http://www.franceinter.fr/emission-interactiv-jean-jacques-urvoas
Copie de sauvegarde : http://files.nekoblog.org/uploads/podcasts/france-inter-7-9-2014.12-urvoas-2.mp3
La page Wikipedia du bonhomme : https://fr.wikipedia.org/wiki/Jean-Jacques_Urvoas
Même si ya des choses "intéressantes" dans son discours, mais forcément, sur cette déclaration à propos du chiffrement, on ne peut s'empêcher de penser à la députée socialiste (Mme Bechtel) qui avait suggérée pendant les débats parlementaires du #pjlterrorisme qu'il « faudra demain agir sur les données cryptées » (https://links.nekoblog.org/?-xyIyA)
EDIT : Ya un autre bout de son interview ici : http://www.franceinter.fr/emission-linvite-jean-jacques-urvoas
Copie de sauvegarde : http://files.nekoblog.org/uploads/podcasts/france-inter-7-9-2014.12-urvoas-1.mp3
Et la marmotte...
(via http://lehollandaisvolant.net/?id=20141216172525)
(via http://lehollandaisvolant.net/?id=20141216172525)
Extrait : « Comme nous vous le montrons dans le zataz web tv n’5 de cette 4ème saison (ci-dessous, ndlr), le hack de cartes utilisant les connexions sans fil attirent de plus en plus les chercheurs, mais aussi et surtout, les pirates informatiques. Plusieurs techniques ont démontré qu’il y avait des failles à prendre au sérieux. Voici venir la première application voleuse qui exploite le RFID des cartes bancaires. »
(via http://sebsauvage.net/links/?uPGT9w)
Voir aussi : http://www.acbm.com/inedits/pickpocket-electronique.html (via http://deleurme.net/liens/?1b7ZSA)
(via http://sebsauvage.net/links/?uPGT9w)
Voir aussi : http://www.acbm.com/inedits/pickpocket-electronique.html (via http://deleurme.net/liens/?1b7ZSA)
Pas lu.
Extrait : « Detekt is a free tool that scans your Windows computer for traces of known surveillance spyware used to target and monitor human rights defenders and journalists around the world. »
(via http://sebsauvage.net/links/?MIuwOw)
(via http://sebsauvage.net/links/?MIuwOw)