16099 shaares
132 results
tagged
sécurité
En gros, se méfier des ebooks qui comportent du javascript.
De côté, pas lu
Un script tout con pour générer des tokens OTP sur son desktop/laptop
« git-secret is a bash tool to store your private data inside a git repo. How’s that? Basically, it just encrypts, using gpg, the tracked files with the public keys of all the users that you trust. So everyone of them can decrypt these files using only their personal secret key. Why deal with all this private-public keys stuff? Well, to make it easier for everyone to manage access rights. There are no passwords that change. When someone is out - just delete his public key, reencrypt the files, and he won’t be able to decrypt secrets anymore. »
https://github.com/sobolevn/git-secret
(via https://dooby.fr/links/?rUhRQg)
https://github.com/sobolevn/git-secret
(via https://dooby.fr/links/?rUhRQg)
Mettre en place une double authentification pour le login et la commande sudo avec Google Authenticator.
Pas spécialement chaud pour utiliser un service Google, mais /coude quand même, des fois qu'un jour ça puisse servir.
Pas spécialement chaud pour utiliser un service Google, mais /coude quand même, des fois qu'un jour ça puisse servir.
EDIT : En fait, ça me fait penser qu'il ya peu, je suis tombé sur quelques (vieux, voir très vieux) liens que j'avais de côté à propos des cartes RFID. J'en profite pour garder ça ici à titre indicatif, pour mémoire.
02/2009 > http://bugbrother.blog.lemonde.fr/2009/02/13/les-passeports-rfid-sont-piratables-la-preuve-en-images/ (ouais 2009, pas relu, je sais pas si ce qu'il raconte est tjrs d'actu)
04/2012 > http://www.panoptinet.com/cybersecurite-decryptee/les-puces-rfid-ou-le-pickpocket-electronique/
01/2014 > http://www.acbm.com/inedits/pickpocket-electronique.html (via http://sebsauvage.net/links/?9UP3gg)
05/2014 > http://korben.info/nouvelle-faille-securite-decouverte-les-cartes-bancaires-contact.html
02/2009 > http://bugbrother.blog.lemonde.fr/2009/02/13/les-passeports-rfid-sont-piratables-la-preuve-en-images/ (ouais 2009, pas relu, je sais pas si ce qu'il raconte est tjrs d'actu)
04/2012 > http://www.panoptinet.com/cybersecurite-decryptee/les-puces-rfid-ou-le-pickpocket-electronique/
01/2014 > http://www.acbm.com/inedits/pickpocket-electronique.html (via http://sebsauvage.net/links/?9UP3gg)
05/2014 > http://korben.info/nouvelle-faille-securite-decouverte-les-cartes-bancaires-contact.html
(via http://sebsauvage.net/links/?Fl8NrA)
Et aussi > http://arstechnica.com/civis/viewtopic.php?p=29497693&sid=ddf3e32512932172454de515091db014#p29497693 (via https://twitter.com/pbeyssac/status/631395363644162048)
EDIT : http://www.nextinpact.com/news/96168-lenovo-scandale-autour-dun-outil-installant-automatiquement-pilotes-et-logiciels.htm
Et aussi > http://arstechnica.com/civis/viewtopic.php?p=29497693&sid=ddf3e32512932172454de515091db014#p29497693 (via https://twitter.com/pbeyssac/status/631395363644162048)
EDIT : http://www.nextinpact.com/news/96168-lenovo-scandale-autour-dun-outil-installant-automatiquement-pilotes-et-logiciels.htm
Juste survolé, mais /coude quand même.
(via http://sebw.info/?Z2Lq9g)
(via http://sebw.info/?Z2Lq9g)
Extrait : « Scandale dans le monde de la sécurité informatique : l'auteur du blog spécialisé Krach.in a été condamné fin avril à 750 euros d’amende. En cause, trois articles dans lesquels il détaille par exemple des procédures comme le piratage d’un réseau Wifi, pour mieux expliquer comment le sécuriser. Une condamnation un peu particulière puisqu’il n’y a eu ni procès… ni plainte.
[...] KrachSec n'a même pas pu défendre sa bonne foi devant un tribunal puisqu'il il n’y a eu aucun procès. Le blogueur a reconnu sa culpabilité en choisissant la procédure dite de Comparution sur reconnaissance préalable de culpabilité (CRPC)... pour faire des économies.
Également appelée "plaider-coupable" et réservée à certains délits non violents, cette procédure implique que le prévenu - ici le blogueur, aidé d’un avocat (obligatoire dans cette procédure) -, reconnait les faits qu’on lui reproche. Il se voit alors proposer une peine inférieure à celle encourue par le procureur de la République (peine qui peut dans certains cas être négociée entre les parties). Si le prévenu accepte, la proposition du procureur doit ensuite être homologuée par un juge (si ce dernier refuse, l’affaire est alors jugée lors d’un procès "classique").
[...] Reste à savoir d’où venait la plainte, puisqu’aucune société ni aucun particulier n’étaient visés par les articles. "[Lors de la perquisition], le gendarme n'est pas agressif, il est même plutôt impressionné par les compétences et m'explique qu'ils sont obligés de traiter cette plainte car elle vient d'une sorte de bot [robot ndlr] qui scanne le WEB FR et [relève] des infractions" explique le blogueur.»
En rapport avec http://krach.in/ largement partagé sur shaarli.fr.
EDIT : https://reflets.info/la-justice-des-bots-cest-maintenant/
[...] KrachSec n'a même pas pu défendre sa bonne foi devant un tribunal puisqu'il il n’y a eu aucun procès. Le blogueur a reconnu sa culpabilité en choisissant la procédure dite de Comparution sur reconnaissance préalable de culpabilité (CRPC)... pour faire des économies.
Également appelée "plaider-coupable" et réservée à certains délits non violents, cette procédure implique que le prévenu - ici le blogueur, aidé d’un avocat (obligatoire dans cette procédure) -, reconnait les faits qu’on lui reproche. Il se voit alors proposer une peine inférieure à celle encourue par le procureur de la République (peine qui peut dans certains cas être négociée entre les parties). Si le prévenu accepte, la proposition du procureur doit ensuite être homologuée par un juge (si ce dernier refuse, l’affaire est alors jugée lors d’un procès "classique").
[...] Reste à savoir d’où venait la plainte, puisqu’aucune société ni aucun particulier n’étaient visés par les articles. "[Lors de la perquisition], le gendarme n'est pas agressif, il est même plutôt impressionné par les compétences et m'explique qu'ils sont obligés de traiter cette plainte car elle vient d'une sorte de bot [robot ndlr] qui scanne le WEB FR et [relève] des infractions" explique le blogueur.»
En rapport avec http://krach.in/ largement partagé sur shaarli.fr.
EDIT : https://reflets.info/la-justice-des-bots-cest-maintenant/
Extrait : « Dernier coup bas en date, un responsable d’une banque française explique, dans les colonnes du Canard Enchaîné, qu' « A l’heure actuelle, les Cartes bleues NFC qu’on offre (sic) à nos clients sont moins sécurisées que leur carte de transport » . Bing ! Dans les dents ! »
(via http://shaarli.mydjey.eu/?Z01J3g)
(via http://shaarli.mydjey.eu/?Z01J3g)
Extrait : « Le piratage de TV5 a été effectué via une faille Java. Une faille sur un ordinateur particulier : celui de l’administrateur des réseaux sociaux de la chaîne ou bien un directement connecté à la régie.
Cette faille a permis l’envoi d’un virus au format vbs. Camouflé sous une fausse identité google, le virus crypté était programmé pour se lancer au bout de cinq minutes d’usage du PC. »
Ce qui m'énerve dans cette histoire, c'est que ce (non) événement va être assurément qualifié de cyber-guerre et la seule chose qui sera être retenu par beaucoup, c'est l'origine de l'attaque. Et je ne pense pas trop me mouiller en assurant que la propagande pro-surveillance/pro-sécurité des gouvernements occidentaux ne vont pas oublier de nous le rappeler.
(via Arrêt sur Images)
EDIT : ^^ -> « Si couper l'antenne de TV5 est un acte terroriste, je risque quoi si j'éteins la télé au moment du 20h de TF1 ? » (https://twitter.com/laurentchemla/status/586071556931092480)
EDIT² : Donc oui, apparemment, je me mouillais pas
https://twitter.com/AdrienneCharmet/status/586095755397636098
https://twitter.com/martin_u/status/586143916690374656
EDIT³ : Manach est sceptique concernant l'article de Breaking3zero -> http://www.arretsurimages.net/articles/2015-04-09/Sur-la-piste-des-pirates-de-TV5Monde-id7633 (contenu payant)
EDIT⁴ : http://www.arretsurimages.net/breves/2015-04-11/Lemotdepassedeyoutube-TV5Monde-admet-une-bourde-id18809
http://www.arretsurimages.net/breves/2015-04-10/TV5-documents-militaires-pirates-le-gouvernement-dement-id18808
http://www.arretsurimages.net/articles/2015-04-09/Sur-la-piste-des-pirates-de-TV5Monde-id7633
EDIT⁵ : http://www.lemonde.fr/pixels/article/2015/06/09/piratage-de-tv5-monde-l-enquete-s-oriente-vers-la-piste-russe_4650632_4408996.html
Cette faille a permis l’envoi d’un virus au format vbs. Camouflé sous une fausse identité google, le virus crypté était programmé pour se lancer au bout de cinq minutes d’usage du PC. »
Ce qui m'énerve dans cette histoire, c'est que ce (non) événement va être assurément qualifié de cyber-guerre et la seule chose qui sera être retenu par beaucoup, c'est l'origine de l'attaque. Et je ne pense pas trop me mouiller en assurant que la propagande pro-surveillance/pro-sécurité des gouvernements occidentaux ne vont pas oublier de nous le rappeler.
(via Arrêt sur Images)
EDIT : ^^ -> « Si couper l'antenne de TV5 est un acte terroriste, je risque quoi si j'éteins la télé au moment du 20h de TF1 ? » (https://twitter.com/laurentchemla/status/586071556931092480)
EDIT² : Donc oui, apparemment, je me mouillais pas
https://twitter.com/AdrienneCharmet/status/586095755397636098
https://twitter.com/martin_u/status/586143916690374656
EDIT³ : Manach est sceptique concernant l'article de Breaking3zero -> http://www.arretsurimages.net/articles/2015-04-09/Sur-la-piste-des-pirates-de-TV5Monde-id7633 (contenu payant)
EDIT⁴ : http://www.arretsurimages.net/breves/2015-04-11/Lemotdepassedeyoutube-TV5Monde-admet-une-bourde-id18809
http://www.arretsurimages.net/breves/2015-04-10/TV5-documents-militaires-pirates-le-gouvernement-dement-id18808
http://www.arretsurimages.net/articles/2015-04-09/Sur-la-piste-des-pirates-de-TV5Monde-id7633
EDIT⁵ : http://www.lemonde.fr/pixels/article/2015/06/09/piratage-de-tv5-monde-l-enquete-s-oriente-vers-la-piste-russe_4650632_4408996.html
Extrait : « L'Agence nationale de sécurité américaine (NSA) aurait, selon d'anciens agents du renseignement américain, trouvé le moyen de dissimuler un logiciel espion dans les disques durs fabriqués par les sociétés Western Digital, Seagate, Toshiba et d'autres fabriquants. Ce procédé signifie que la NSA dispose des moyens de contrôler la majeure partie des ordinateurs dans le monde, affirment-ils à l'agence de presse Reuters.
[...]
Kaspersky, qui a mis au jour une série d'opérations de cyberespionnage occidentales, précise que des ordinateurs personnels infectés avec un ou plusieurs programmes espions ont été recensés dans une trentaine de pays. Le pays le plus concerné est l'Iran suivi par la Russie, le Pakistan, l'Afghanistan, la Chine, le Mali, la Syrie, le Yémen et l'Algérie. »
Même sujet : http://pro.clubic.com/it-business/securite-et-donnees/actualite-754505-nsa-dissimule-logiciel-espion-disques-durs.html (via http://sebsauvage.net/links/?jshivQ)
EDIT : http://www.nextinpact.com/news/93094-grayfish-malware-capable-simplanter-dans-firmware-disques-durs.htm
[...]
Kaspersky, qui a mis au jour une série d'opérations de cyberespionnage occidentales, précise que des ordinateurs personnels infectés avec un ou plusieurs programmes espions ont été recensés dans une trentaine de pays. Le pays le plus concerné est l'Iran suivi par la Russie, le Pakistan, l'Afghanistan, la Chine, le Mali, la Syrie, le Yémen et l'Algérie. »
Même sujet : http://pro.clubic.com/it-business/securite-et-donnees/actualite-754505-nsa-dissimule-logiciel-espion-disques-durs.html (via http://sebsauvage.net/links/?jshivQ)
EDIT : http://www.nextinpact.com/news/93094-grayfish-malware-capable-simplanter-dans-firmware-disques-durs.htm
Extrait : « Les 20 et 22 janvier dernier, le serveur de la Quadrature du Net, association de défense des libertés des citoyens sur Internet, dont je suis cofondateur et que ma société héberge gracieusement, a subi des attaques par déni de service réparties. Voici une petite analyse de ce que nous avons pu comprendre de ces attaques ... »
Voir aussi : http://seenthis.net/messages/334731
Voir aussi : http://seenthis.net/messages/334731
« Dans le cadre du plan Vigipirate niveau « alerte attentat », l'accès à internet se fait pas identification. (...) Mot de passe = date de naissance » - Une affiche de la BnF.
On rira (jaune) sur la date de naissance en tant que mot de passe pour tout le monde.
Copie de sauvegarde : https://files.nekoblog.org/uploads/imgs/bnf-vigipirate-internet.jpeg
On rira (jaune) sur la date de naissance en tant que mot de passe pour tout le monde.
Copie de sauvegarde : https://files.nekoblog.org/uploads/imgs/bnf-vigipirate-internet.jpeg
« @Hugues: Oui mon chéri c'est un peu dur à prononcer "Dfg45rt!uêrt!z" comme nom pour ton petit chien, mais pense à la sécurité de ton mail plus tard »
:)
:)
Gogo, un FAI spécialisé dans le wifi à bord des avions pratique le "man in the middle" pour pouvoir espionner leurs clients.
(via http://sebsauvage.net/links/?RWF4Pg)
(via http://sebsauvage.net/links/?RWF4Pg)
Extrait : « De fait, écrire que « la sécurité des VPN est purement virtuelle » ou qu’il n’y a « rien de vraiment sécurisé » dans le « S » de HTTPS est déjà simplificateur. En déduire que « HTTPS est cassé » est tout simplement faux. Comme le disait Snowden lui-même dans sa (fameuse) première interview accordée au Guardian : « Correctement mis en œuvre, les systèmes de cryptographie forte sont une des rares choses auxquelles on peut se fier ». »
Un article d'Amaelle Guiton à propos des récentes révélations de Snowden. #nsa
EDIT : http://rue89.nouvelobs.com/2015/01/04/cryptographie-surveillance-les-revers-paranoia-256897
Un article d'Amaelle Guiton à propos des récentes révélations de Snowden. #nsa
EDIT : http://rue89.nouvelobs.com/2015/01/04/cryptographie-surveillance-les-revers-paranoia-256897
Extrait : « Grâce à quelques lignes de code informatique, il est facile de localiser en temps réel votre téléphone portable, d’intercepter vos appels ou vos SMS, et ce depuis n’importe quel point du globe. C’est le constat pour le moins alarmiste de deux chercheurs en sécurité qui ont présenté leurs travaux, samedi 27 décembre, au Chaos Communication Congress, à Hambourg (Allemagne). »
Extrait : « Les outils dont la robustesse résiste à la NSA sont peu nombreux : GnuPG, qui sert à la protection des courriels, Tails, un système d’exploitation « amnésique », OTR, un protocole informatique protégeant la confidentialité des discussions instantanées, les applications développées par le collectif Whispersystems (comme Signal), Truecrypt, un système de chiffrement des documents dont l’interruption mystérieuse a suscité de nombreuses interrogations et Tor, un navigateur permettant notamment une navigation anonyme sur Internet. »
Voir aussi : http://rue89.nouvelobs.com/2014/12/29/crimes-guerre-decryptage-donnees-nouvelles-revelations-snowden-256794
http://korben.info/nsa-proof-software.html
Et "How crypto reporting works" : https://imgur.com/BoDqA3m
EDIT : http://www.nextinpact.com/news/91557-decryptage-donnees-ou-en-etait-nsa-en-2012-et-aujourdhui.htm
Voir aussi : http://rue89.nouvelobs.com/2014/12/29/crimes-guerre-decryptage-donnees-nouvelles-revelations-snowden-256794
http://korben.info/nsa-proof-software.html
Et "How crypto reporting works" : https://imgur.com/BoDqA3m
EDIT : http://www.nextinpact.com/news/91557-decryptage-donnees-ou-en-etait-nsa-en-2012-et-aujourdhui.htm
Et https://twitter.com/AdrienneCharmet/status/545489787172687872
Je note les 2 tweets : « J'écoute @JJUrvoas sur @franceinter . Qui explique que Snowden a fait du mal car à cause de lui + de gens chiffrent donc + de terrorisme. Allez, dans 5 ans le chiffrement est interdit et considéré comme preuve de danger pour la sécurité de l'Etat. On parie ? #Urvoas #terrorisme »
Stéphane Bortzmeyer rappelle dans les commentaires que c'était déjà le cas il y a 20 ans : http://www.bortzmeyer.org/crypto.html
On peut retrouver le discours d'Urvoas ici (vers la 9ème minute) : http://www.franceinter.fr/emission-interactiv-jean-jacques-urvoas
Copie de sauvegarde : http://files.nekoblog.org/uploads/podcasts/france-inter-7-9-2014.12-urvoas-2.mp3
La page Wikipedia du bonhomme : https://fr.wikipedia.org/wiki/Jean-Jacques_Urvoas
Même si ya des choses "intéressantes" dans son discours, mais forcément, sur cette déclaration à propos du chiffrement, on ne peut s'empêcher de penser à la députée socialiste (Mme Bechtel) qui avait suggérée pendant les débats parlementaires du #pjlterrorisme qu'il « faudra demain agir sur les données cryptées » (https://links.nekoblog.org/?-xyIyA)
EDIT : Ya un autre bout de son interview ici : http://www.franceinter.fr/emission-linvite-jean-jacques-urvoas
Copie de sauvegarde : http://files.nekoblog.org/uploads/podcasts/france-inter-7-9-2014.12-urvoas-1.mp3
Je note les 2 tweets : « J'écoute @JJUrvoas sur @franceinter . Qui explique que Snowden a fait du mal car à cause de lui + de gens chiffrent donc + de terrorisme. Allez, dans 5 ans le chiffrement est interdit et considéré comme preuve de danger pour la sécurité de l'Etat. On parie ? #Urvoas #terrorisme »
Stéphane Bortzmeyer rappelle dans les commentaires que c'était déjà le cas il y a 20 ans : http://www.bortzmeyer.org/crypto.html
On peut retrouver le discours d'Urvoas ici (vers la 9ème minute) : http://www.franceinter.fr/emission-interactiv-jean-jacques-urvoas
Copie de sauvegarde : http://files.nekoblog.org/uploads/podcasts/france-inter-7-9-2014.12-urvoas-2.mp3
La page Wikipedia du bonhomme : https://fr.wikipedia.org/wiki/Jean-Jacques_Urvoas
Même si ya des choses "intéressantes" dans son discours, mais forcément, sur cette déclaration à propos du chiffrement, on ne peut s'empêcher de penser à la députée socialiste (Mme Bechtel) qui avait suggérée pendant les débats parlementaires du #pjlterrorisme qu'il « faudra demain agir sur les données cryptées » (https://links.nekoblog.org/?-xyIyA)
EDIT : Ya un autre bout de son interview ici : http://www.franceinter.fr/emission-linvite-jean-jacques-urvoas
Copie de sauvegarde : http://files.nekoblog.org/uploads/podcasts/france-inter-7-9-2014.12-urvoas-1.mp3
Et la marmotte...
(via http://lehollandaisvolant.net/?id=20141216172525)
(via http://lehollandaisvolant.net/?id=20141216172525)
Extrait : « Comme nous vous le montrons dans le zataz web tv n’5 de cette 4ème saison (ci-dessous, ndlr), le hack de cartes utilisant les connexions sans fil attirent de plus en plus les chercheurs, mais aussi et surtout, les pirates informatiques. Plusieurs techniques ont démontré qu’il y avait des failles à prendre au sérieux. Voici venir la première application voleuse qui exploite le RFID des cartes bancaires. »
(via http://sebsauvage.net/links/?uPGT9w)
Voir aussi : http://www.acbm.com/inedits/pickpocket-electronique.html (via http://deleurme.net/liens/?1b7ZSA)
(via http://sebsauvage.net/links/?uPGT9w)
Voir aussi : http://www.acbm.com/inedits/pickpocket-electronique.html (via http://deleurme.net/liens/?1b7ZSA)
Pas lu.
Extrait : « Detekt is a free tool that scans your Windows computer for traces of known surveillance spyware used to target and monitor human rights defenders and journalists around the world. »
(via http://sebsauvage.net/links/?MIuwOw)
(via http://sebsauvage.net/links/?MIuwOw)
À propos des applications et des comptes en ligne des banques.
(via http://sebsauvage.net/links/?DarbMg)
(via http://sebsauvage.net/links/?DarbMg)
/coude
(via http://genma.free.fr/shaarli/?jEN7ew)
(via http://genma.free.fr/shaarli/?jEN7ew)
Extrait : « Découverte par Ange Albertini, cette méthode permet de cacher du javascript dans un fichier image (et bien sûr l'exécuter). Et grâce à ImageJS, l'outil mis au point par jklmnn vous allez pouvoir vous amuser chez vous. »
(via http://lehollandaisvolant.net/?id=20141117174656)
(via http://lehollandaisvolant.net/?id=20141117174656)
« At least this one is not vulnerable...... »
http://files.nekoblog.org/uploads/imgs/c64-shellshock.jpg
Haha !
#shellshock #commodore64
EDIT : Pour info : http://linuxfr.org/news/une-faille-nommee-shellshock
http://files.nekoblog.org/uploads/imgs/c64-shellshock.jpg
Haha !
#shellshock #commodore64
EDIT : Pour info : http://linuxfr.org/news/une-faille-nommee-shellshock
Oo !!. Se connecter sur une livebox Orange, c'est pouvoir accéder à tout le contenu de la boite mail Orange liée à la box. Sympa la sécurité chez eux, bravo les mecs.
(via http://sebsauvage.net/links/?mftdVQ et https://chabotsi.fr/links/?e88yDw)
(via http://sebsauvage.net/links/?mftdVQ et https://chabotsi.fr/links/?e88yDw)
Extrait : « A friend of mine recently had their site compromised, they were running an older version of IP.Board that is vulnerable to a local file inclusion vulnerability. This post won’t be about IP.Board or any specific php code, it will show you how to locate potential malicious php code hosted on your servers and how to fix it. Finally I will give a brief explanation on what attacker’s are uploading to compromised sites. »
Ça peut toujours servir. /coude.
La part 2 : http://www.gregfreeman.org/2013/steps-to-take-when-you-know-your-php-site-has-been-hacked/
(via http://sebsauvage.net/links/?MRFJtQ)
Ça peut toujours servir. /coude.
La part 2 : http://www.gregfreeman.org/2013/steps-to-take-when-you-know-your-php-site-has-been-hacked/
(via http://sebsauvage.net/links/?MRFJtQ)
Vu au fil d'une de mes pérégrinations sur le web. Rien de nouveau mais c'est toujours rigolo à voir. :)
Extrait : « Webcams, imprimantes, portes de garage... Vous n’avez pas protégé vos objets connectés ? Dommage. Le moteur de recherche Shodan nous a permis d’en prendre les commandes. Nous avons pu prévenir certains d’entre vous. »
(via https://shaarli.e-loquens.fr/shaarli/?Z1jSMA)
Vaguement sur le même sujet : http://nakedsecurity.sophos.com/2014/05/28/yes-your-smartphone-camera-can-be-used-to-spy-on-you/ (via http://sebsauvage.net/links/?EEfdpw)
(via https://shaarli.e-loquens.fr/shaarli/?Z1jSMA)
Vaguement sur le même sujet : http://nakedsecurity.sophos.com/2014/05/28/yes-your-smartphone-camera-can-be-used-to-spy-on-you/ (via http://sebsauvage.net/links/?EEfdpw)
Petite promenade historique et sympathique autour des messages secrets et de la cryptographie. C'est plutôt frais et intéressant.
Une copie de la vidéo : http://files.nekoblog.org/uploads/videos/arte-xenius-2014.06.02-crypto.flv
Une copie de la vidéo : http://files.nekoblog.org/uploads/videos/arte-xenius-2014.06.02-crypto.flv
Extrait : « One of the most seeded copies of Watch Dogs available online is reported to also install a Bitcoin mining virus on the computer of its victims. Blue Screen crashes, additional power consumption, and an overall unstable computer await those unlucky pirates that couldn’t wait for release day or didn’t want to spend the cash for a legit copy of Watch Dogs. »
Apparemment, ya rien de nouveau, on tombe sur des articles datant de 2010 (http://www.freakyacres.com/remove_computrace_lojack). Reste que je connaissais pas (où alors Alzheimer est plus proche que je le pensais).
C'est assez flippant en fait. Et je me pose une question, il n'y a que des machines pré-assemblées par des constructeurs dans la liste (que j'imagine ne pas être exhaustive), qu'en est-il des mobos vendues par les marques qui sont partenaires d'Absolute ?
Ce serait pas un mal que le hardware open-source se développe (même si ça ne protège pas d'une éventuelle corruption du matos par le fabriquant).
(via https://root.suumitsu.eu/links/?9CgtRQ)
EDIT : http://www.tomsguide.fr/actualite/tout-savoir-computrace-suppression,43880.html
C'est assez flippant en fait. Et je me pose une question, il n'y a que des machines pré-assemblées par des constructeurs dans la liste (que j'imagine ne pas être exhaustive), qu'en est-il des mobos vendues par les marques qui sont partenaires d'Absolute ?
Ce serait pas un mal que le hardware open-source se développe (même si ça ne protège pas d'une éventuelle corruption du matos par le fabriquant).
(via https://root.suumitsu.eu/links/?9CgtRQ)
EDIT : http://www.tomsguide.fr/actualite/tout-savoir-computrace-suppression,43880.html
Je viens de recevoir ça par mail. Et d'un coup, ça me rappelle le hack de l'iPhone 5S par le Chaos Computer Club.
Le "En savoir plus" mène vers ça : https://www.paypal-pages.com/samsunggalaxys5/fr/index.html
Ça me donne envie de payer de plus en plus en espèce.
Le "En savoir plus" mène vers ça : https://www.paypal-pages.com/samsunggalaxys5/fr/index.html
Ça me donne envie de payer de plus en plus en espèce.
Extrait : « Il s'agit donc d'un problème d'une envergure très importante et qui touche de nombreux sites, il est donc recommandé de redoubler voire tripler de prudence puisque vos identifiants et vos mots de passes sont en jeu. Cette faille peut toucher les webmails ainsi que les réseaux sociaux, mais également les banques et les sites officiels. Si, comme certains, vous utilisez les mêmes identifiants pour plusieurs sites, alors les conséquences pourraient être encore plus catastrophiques. En effet, un pirate récupérant vos données personnelles pourrait s'en servir sur d'autres sites. »
Tiens, dans le même genre, via bloguelinux.ca (http://www.bloguelinux.ca/emission-47-du-7-novembre-2013-pas-ltemps-de-gosser-avec-ca/), je viens d'apprendre qu'il y avait un ransomware (Windows of course), Cryptolocker, qui chiffre du contenu sur votre PC et qui vous demande une somme d'argent en bitcoin pour la clé de déchiffrement. (https://fr.wikipedia.org/wiki/Cryptolocker)
Le truc, là, c'est qu'à moins d'avoir une sauvegarde de ses données, c'est juste mort pour essayer de les récupérer sans payer.
EDIT : https://decryptcryptolocker.com/ via http://liens.strak.ch/?dKu2dw
Le truc, là, c'est qu'à moins d'avoir une sauvegarde de ses données, c'est juste mort pour essayer de les récupérer sans payer.
EDIT : https://decryptcryptolocker.com/ via http://liens.strak.ch/?dKu2dw
Extrait : « De plus en plus de malwares s’attaquent à la première génération d’objets connectés. Mais le problème pourrait devenir catastrophique quand l’Internet des Objets explosera dans les années à venir. »
Ouais, je re-cite ce que je disais ici (https://links.nekoblog.org/?0v3LZA), « J'attends le jour où on va nous annoncer que nos frigos et nos réveils connectés seront des taupes dans nos LAN.
Les objets connectés, ou la fausse bonne idée. La majorité des gens n'ont déjà quasiment aucune notion de sécurité informatique, si en plus on leur demande de sécurisé leur frigo... »
(via http://strak.ch/liens/?GNWj1A)
Ouais, je re-cite ce que je disais ici (https://links.nekoblog.org/?0v3LZA), « J'attends le jour où on va nous annoncer que nos frigos et nos réveils connectés seront des taupes dans nos LAN.
Les objets connectés, ou la fausse bonne idée. La majorité des gens n'ont déjà quasiment aucune notion de sécurité informatique, si en plus on leur demande de sécurisé leur frigo... »
(via http://strak.ch/liens/?GNWj1A)
Pas mal de recommandations pour améliorer la sécurité de ses sites web. Je copie ici la table des matières :
Qui sont les pirates? / Les droits CHMOD / Protection par htaccess
Installer un blog, cms, wiki / Nommage de fichiers / Les mots de passe
Crypter config.inc.php / Cryptez l'adresse e-mail / Adresses e-mails à éviter
Blocage par mot de passe / Le fichier robots.txt / Protéger CSS et index.php
Sécuriser un script PHP / Sécuriser un script PERL / Contrer l'injection SQL
Liste des fichiers modifiés / Tester la sécurité du site / Piraté sans le savoir?
EDIT : D'autres liens.
https://github.com/phanan/htaccess (copie de sauvegarde : https://files.nekoblog.org/uploads/vrac/htaccess.md )
http://blog.avis-planethoster.com/information/bien-gerer-un-htacces-pour-url-rewriting-ou-loginblocage-dip-1138
Qui sont les pirates? / Les droits CHMOD / Protection par htaccess
Installer un blog, cms, wiki / Nommage de fichiers / Les mots de passe
Crypter config.inc.php / Cryptez l'adresse e-mail / Adresses e-mails à éviter
Blocage par mot de passe / Le fichier robots.txt / Protéger CSS et index.php
Sécuriser un script PHP / Sécuriser un script PERL / Contrer l'injection SQL
Liste des fichiers modifiés / Tester la sécurité du site / Piraté sans le savoir?
EDIT : D'autres liens.
https://github.com/phanan/htaccess (copie de sauvegarde : https://files.nekoblog.org/uploads/vrac/htaccess.md )
http://blog.avis-planethoster.com/information/bien-gerer-un-htacces-pour-url-rewriting-ou-loginblocage-dip-1138
Extrait : « Un système, libre ou privateur, ne peut à lui seul garantir contre l’intrusion d’un tiers. Seules des mesures de protection du contexte peuvent le garantir. Ces mesures sont aussi bien des outils, que des comportements humains. Ces comportements ne peuvent s’acquérir qu’avec l’expérience, l’éducation… et ils trahissent souvent bien plus que les outils eux mêmes. »
Un gros gros +1 sur l'article de Bluetouff.
L'article d'Ecrans cité : http://ecrans.liberation.fr/ecrans/2014/02/24/l-apres-snowden-reprendre-en-main-son-informatique_982609
Un gros gros +1 sur l'article de Bluetouff.
L'article d'Ecrans cité : http://ecrans.liberation.fr/ecrans/2014/02/24/l-apres-snowden-reprendre-en-main-son-informatique_982609
Extrait : "apg est un générateur de mot de passe qui, pour paraphraser la page man, peux utiliser 2 algorithmes différents et qui possède son propre système de générateur de pseudo nombre aléatoire. "
Ooh, cool, Mailpile est arrivé en alpha.
La démo est par là : https://www.mailpile.is/demos/
Et les release notes sont par là : https://github.com/pagekite/Mailpile/wiki/Release-Notes-201401-Alpha
(via http://shaarli.waah.info/?kIzhSA)
La démo est par là : https://www.mailpile.is/demos/
Et les release notes sont par là : https://github.com/pagekite/Mailpile/wiki/Release-Notes-201401-Alpha
(via http://shaarli.waah.info/?kIzhSA)
De l'intérêt d'aller télécharger ses logiciels sur les sites officiels des développeurs et non sur des sites de téléchargement quelconques, Clubic, 01net.com et consort inclus.
(via http://strak.ch/liens/?y6Wonw)
(via http://strak.ch/liens/?y6Wonw)
Extrait : « Je vous propose un enième article sur un sujet bien connu : comment sécuriser des mots de passe dans une base de données. Et au passage, comment éviter de se taper la honte si votre BDD est leakée. Après une longue réflexion, j'ai décidé de présenter ce journal sous forme de niveaux. Deux négatifs (-2 et -1) qui correspondent à des solutions (trop) souvent mises en place mais pas sécurisées du tout. Puis, un niveau 0 qui devrait être la norme, et un niveau 1 pour les grosses BDD qui recèlent des millions d'informations critiques. »
(via http://sebsauvage.net/links/?w-I9Fw)
Et voir aussi : http://codahale.com/how-to-safely-store-a-password/ (via https://links.kevinvuilleumier.net/?sur1Hw)
(via http://sebsauvage.net/links/?w-I9Fw)
Et voir aussi : http://codahale.com/how-to-safely-store-a-password/ (via https://links.kevinvuilleumier.net/?sur1Hw)
Extrait : « Quand j'étais jeune responsable informatique, dans les années 1990, il existait une "tradition" chez les administrateurs réseaux de l'époque: le test des mots de passe des utilisateurs pour vérifier la sécurité du réseau informatique que l'on gérait. (...) C'est aussi à cette époque que j'ai compris l'intérêt de partager des connaissances utiles pour ceux qui souhaitent se protéger, partant du principe que ces connaissances étaient déjà dans les mains de ceux qui veulent attaquer. »
#password
#password
Extrait : « En fin d'année dernière, Microsoft a ajouté la signature d'un client Tor à la liste des logiciels malveillants à supprimer automatiquement par son outil "Malicious Software Removal Tool". Il avait été installé par un malware. »
Guillaume Champeau et ses titres aguicheurs et trompeurs... *soupir*
Reste que l'histoire est intéressante.
Guillaume Champeau et ses titres aguicheurs et trompeurs... *soupir*
Reste que l'histoire est intéressante.
Extrait : « Que ce soit les appareils que l'on porte sur soi, la domotique, les nouveaux appareils électroménager ou les appareils de loisirs, le nombre des gadgets électroniques connectés à "l'Internet des objets" est en train d'exploser. Et d'apporter son lot inédit de problèmes de sécurité. Pour la première fois, un réfrigérateur aurait été piraté récemment pour envoyer du spam. »
J'attends le jour où on va nous annoncer que nos frigos et nos réveils connectés seront des taupes dans nos LAN.
Les objets connectés, ou la fausse bonne idée. La majorité des gens n'ont déjà quasiment aucune notion de sécurité informatique, si en plus on leur demande de sécurisé leur frigo...
J'avais linké un article qui exposait d'autres problèmes de vie privée des objets connectés : https://links.nekoblog.org/?AldNcw
J'attends le jour où on va nous annoncer que nos frigos et nos réveils connectés seront des taupes dans nos LAN.
Les objets connectés, ou la fausse bonne idée. La majorité des gens n'ont déjà quasiment aucune notion de sécurité informatique, si en plus on leur demande de sécurisé leur frigo...
J'avais linké un article qui exposait d'autres problèmes de vie privée des objets connectés : https://links.nekoblog.org/?AldNcw
Extrait : « Good news for anyone who's forgotten a computer password. Researchers at Carleton University have introduced a password alternative that involves logging in with memorable personal stories. Spark producer Dan Misener explains. »
Le fichier mp3 : http://files.nekoblog.org/uploads/podcasts/cbc-spark_20140112-password.mp3
Faudrait que je prenne le temps d'aller à la pêche aux infos sur le sujet.
Le fichier mp3 : http://files.nekoblog.org/uploads/podcasts/cbc-spark_20140112-password.mp3
Faudrait que je prenne le temps d'aller à la pêche aux infos sur le sujet.
Personnellement, j'aurais envie de faire le rapprochement avec cet article : https://links.nekoblog.org/?lzSCYA
Extrait : « Un Américain a voulu prouver l'inefficacité du système en construisant une arme avec des objets achetés dans un terminal, après les contrôles de sécurité. »
(via chépakisorry, certains devraient penser à mettre à jour leur Shaarli pour que le permalien apparaissent dans les flux RSS des shaarli.fr ou des Shaarli River)
(via chépakisorry, certains devraient penser à mettre à jour leur Shaarli pour que le permalien apparaissent dans les flux RSS des shaarli.fr ou des Shaarli River)
Extrait : "Microsoft vient d'indiquer qu'il allait proposer en 2014 une solution de chiffrement des échanges intégrée à son offre Office 365 pour les entreprises. Mais plutôt que de généraliser le support des certificats S/MIME ou PGP à ses services, l'éditeur préfère plutôt se concentrer sur une solution maison : Exchange Hosted Encryption. Votre Microsoft ID devient alors votre clef de sécurité. Rassurant, en plein scandale Prism ?"
Oui, une solution maison, côté serveur... mais bien sûr. J'ai ri. :D
Effectivement, à part pour surfer sur l'affaire Prism/NSA, c'est du bullshit en barre.
(via https://chabotsi.fr/links/?uCS12A et http://sebsauvage.net/links/?JJnmfA)
EDIT : Le premier commentaire de Drepanocytose m'a bien fait rire aussi.
Oui, une solution maison, côté serveur... mais bien sûr. J'ai ri. :D
Effectivement, à part pour surfer sur l'affaire Prism/NSA, c'est du bullshit en barre.
(via https://chabotsi.fr/links/?uCS12A et http://sebsauvage.net/links/?JJnmfA)
EDIT : Le premier commentaire de Drepanocytose m'a bien fait rire aussi.
Description de la vidéo : « Conférence d'introduction à la cryptographie et au chiffrement, sur sa nécessité pour raisons de sécurité et de vie privée. Y compris sur plateformes mobiles (CyanogenMod par exemple).
Par Skhaen (Guillaume Lecoquierre), participant au groupe social auto-géré Telecomix qui a aidé et aide encore des insurgés ou dissidents politiques à communiquer de manière sécurisée malgré les systèmes de surveillance massive et intrusive (Amesys Eagle, etc).
Réalisée et captée en juin 2012 par Silicon Sentier à La Cantine (Paris). lors de l'événement PSES. Titre original : Cryptographie et sécurité. La séance de questions-réponse qui a suivi la conférence, est disponible dans une autre vidéo : https://www.dailymotion.com/video/x124qde .
Quelques sites web cités dans la conférence :
* http://www.cyphercat.eu
* https://guardianproject.info
* https://cryptoanarchy.org »
Par Skhaen (Guillaume Lecoquierre), participant au groupe social auto-géré Telecomix qui a aidé et aide encore des insurgés ou dissidents politiques à communiquer de manière sécurisée malgré les systèmes de surveillance massive et intrusive (Amesys Eagle, etc).
Réalisée et captée en juin 2012 par Silicon Sentier à La Cantine (Paris). lors de l'événement PSES. Titre original : Cryptographie et sécurité. La séance de questions-réponse qui a suivi la conférence, est disponible dans une autre vidéo : https://www.dailymotion.com/video/x124qde .
Quelques sites web cités dans la conférence :
* http://www.cyphercat.eu
* https://guardianproject.info
* https://cryptoanarchy.org »
20 min d'exposé sur l'approche prédictive de la surveillance généralisée à travers la présentation du logiciel Palantir (j'espère que Tolkien se retourne dans sa tombe). J'en avais déjà entendu parlé et je trouve cette appli complètement vertigineuse.
https://en.wikipedia.org/wiki/Palantir_Technologies
Ça fait parti d'un groupe de vidéos autour de la surveillance : http://vimeo.com/groups/166048 (pas encore tout regardé)
(via http://reflets.info/accords-lustre-le-gouvernement-commence-a-lever-le-voile-sur-le-prism-francais/)
EDIT : voir aussi : http://owni.fr/2012/12/11/minority-report-cest-pour-demain/
https://en.wikipedia.org/wiki/Palantir_Technologies
Ça fait parti d'un groupe de vidéos autour de la surveillance : http://vimeo.com/groups/166048 (pas encore tout regardé)
(via http://reflets.info/accords-lustre-le-gouvernement-commence-a-lever-le-voile-sur-le-prism-francais/)
EDIT : voir aussi : http://owni.fr/2012/12/11/minority-report-cest-pour-demain/
Une conférence de 3h30 sur le SSL/TLS par Benjamin Sonntag.
EDIT : Un lien cité dans la conf (vers 58/59min) : https://www.ssllabs.com/projects/best-practices/index.html
Et une apps à tester (cité vers 1h02) : http://www.monkey.org/~dugsong/dsniff/
EDIT² : Vers 1h15 « Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it. »
EDIT : Un lien cité dans la conf (vers 58/59min) : https://www.ssllabs.com/projects/best-practices/index.html
Et une apps à tester (cité vers 1h02) : http://www.monkey.org/~dugsong/dsniff/
EDIT² : Vers 1h15 « Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it. »
Un tuto pour mettre en place le ssl sur son site en utilisant StartSSL. A garder sous le coude, ça pourrait servir.
(via http://sameganegie.biz/shaarli/?afR2fA)
(via http://sameganegie.biz/shaarli/?afR2fA)
Un nouveau panneau routier fait son entrée sur le réseau d'autoroute de New York, le "text stop" qui signalera les "texting zones". Bon, c'est surtout une campagne de sécurité routière pour sensibiliser les gens à s'arrêter sur les aires de repos pour "textoter" leurs sms.
Effectivement, ça peut tjrs servir.
(via http://sebsauvage.net/links/?tH_64g)
(via http://sebsauvage.net/links/?tH_64g)
Je trouve Seb bien courageux d'avoir tenu aussi longtemps, c'est exactement pour les mêmes raisons que j'ai abandonné Certificate Patrol.
EDIT : http://famille-michon.fr/links/?UtqoyQ
EDIT : http://sebsauvage.net/rhaa/index.php?2010/11/08/19/54/41-je-suis-content-d-utiliser-certpatrol
EDIT : http://famille-michon.fr/links/?UtqoyQ
EDIT : http://sebsauvage.net/rhaa/index.php?2010/11/08/19/54/41-je-suis-content-d-utiliser-certpatrol
Extrait : "Security in-a-box est une collaboration de Tactical Technology Collective et de Front Line. Ce projet a été conçu pour répondre aux besoins des défenseurs des droits humains et des médias indépendants en matière de sécurité et de confidentialité numérique. Security in-a-box comprend un Livret pratique, qui aborde un certain nombre d’enjeux de sécurité importants, ainsi qu’une collection de Guides pratiques, chacun portant sur un gratuiciel ou un logiciel de source ouverte particulier. Chaque Guide pratique comporte également un mode d’emploi détaillé pour sécuriser votre ordinateur, protéger vos données ou préserver la confidentialité de vos communications sur Internet."
Juste survolé.
Juste survolé.
Extrait : « Convert a simple webcam to a fancy digital peephole viewer with motion detection features »
(via http://www.nothing-is-3d.com/links/?d2prkQ)
(via http://www.nothing-is-3d.com/links/?d2prkQ)
Bah la question mérite d'être posée. Après autant j'ai une certaine confiance à voir Linus les envoyer chier, autant si la demande était faite à Canonical... (/troll)
#prism #nsa
EDIT : http://www.linux-magazine.com/Online/News/Linus-Says-No-Backdoor-in-Linux
#prism #nsa
EDIT : http://www.linux-magazine.com/Online/News/Linus-Says-No-Backdoor-in-Linux
Extrait : « Un document communiqué par la NSA prouve que l'agence de renseignements américains travaille avec l'entreprise française VUPEN Security, à la réputation sulfureuse. Celle-ci s'est faite une spécialité de vendre à quelques clients à travers le monde les failles de sécurité qu'elle découvre, avant que les correctifs soient publiés. »
Sympa comme business model. >.<
Sympa comme business model. >.<
Extrait : « Bon, j’ai pu observer que bon nombre d’entre nous utilise l’htaccess sans pour autant le comprendre.
Ou l’utilise mal et on ne comprend pas pourquoi cela ne marche pas…
Je vais donc vous lister une partie non exhaustive des commandes que l’on peut utiliser avec des commentaires. »
Ou l’utilise mal et on ne comprend pas pourquoi cela ne marche pas…
Je vais donc vous lister une partie non exhaustive des commandes que l’on peut utiliser avec des commentaires. »
"The new iPhone 5S provides unmatched security with its new Fingerprint lock…"
^^
^^
Extrait : « It is a rarity to watch someone secure a freshly installed server right off the bat, yet the world we live in makes this a necessity. So why do so many people put it off until the end, if at all? I’ve done the exact same thing, and it often comes down to wanting to get right into the fun stuff. Hopefully this post will show that it is far easier than you think to secure a server, and can be quite entertaining to look down from your fortress, when the attacks begin to flow. »
(via http://www.ademcan.net/index.php?mode=links&id=20130914115720)
(via http://www.ademcan.net/index.php?mode=links&id=20130914115720)
Extrait : « There’s a lot of information online on how to create a new GPG keypair. Unfortunately a lot of it is old advice and recommends settings that today might be unsafe.
There also isn’t too much information on how to protect your keypair if you use a laptop that might get lost or stolen.
Protecting your keypair on a laptop is tricky. On one hand, you need your private key with you to decrypt or sign messages.
On the other hand, if your laptop is stolen then you risk losing your entire online identity, perhaps going back years, because the thief would have access to your private key and could then impersonate you.
You’d think that today, where laptops and world travel are commonplace, there’d be a little more information on how to secure a private key you have to travel with. But I could only find one resource: the Debian Wiki entry on subkeys. Fortunately it turns out this wiki page has exactly the solution we need. »
(via http://shaarli.cafai.fr/?pvM8tw)
There also isn’t too much information on how to protect your keypair if you use a laptop that might get lost or stolen.
Protecting your keypair on a laptop is tricky. On one hand, you need your private key with you to decrypt or sign messages.
On the other hand, if your laptop is stolen then you risk losing your entire online identity, perhaps going back years, because the thief would have access to your private key and could then impersonate you.
You’d think that today, where laptops and world travel are commonplace, there’d be a little more information on how to secure a private key you have to travel with. But I could only find one resource: the Debian Wiki entry on subkeys. Fortunately it turns out this wiki page has exactly the solution we need. »
(via http://shaarli.cafai.fr/?pvM8tw)
Extrait : "Internet est dans un sale état. Tout cassé, fragmenté, explosé en parcelles de territoires dont des géants prédateurs se disputent âprement les lambeaux : Google, Apple, Facebook, Amazon, et tous ceux qui sont prêts à tout pour ravir leur monopole ne voient en nous que des profils rentables et dans nos usages que des consommations. La captation par ces entreprises de nos données personnelles a atteint un degré de sophistication auquel il devient difficile d’échapper."
#2 : http://www.framablog.org/index.php/post/chiffrement-maintenant-2
#3 : http://www.framablog.org/index.php/post/chiffrement-maintenant-3
#4 : http://www.framablog.org/index.php/post/chiffrement-maintenant-4
#5 : http://www.framablog.org/index.php/post/chiffrement-maintenant-5
#6 : http://www.framablog.org/index.php/post/chiffrement-maintenant-6
#Récap (pdf & odt) : http://www.framablog.org/index.php/post/2013/10/19/Le-chiffrement-maintenant-compil
#prism
#2 : http://www.framablog.org/index.php/post/chiffrement-maintenant-2
#3 : http://www.framablog.org/index.php/post/chiffrement-maintenant-3
#4 : http://www.framablog.org/index.php/post/chiffrement-maintenant-4
#5 : http://www.framablog.org/index.php/post/chiffrement-maintenant-5
#6 : http://www.framablog.org/index.php/post/chiffrement-maintenant-6
#Récap (pdf & odt) : http://www.framablog.org/index.php/post/2013/10/19/Le-chiffrement-maintenant-compil
#prism
Extrait : « L'adage est bien connu chez les professionnels de la sécurité informatique, toutes les précautions technologiques ne valent rien si la faille se situe entre la chaise et le clavier. Grâce à des informations rendues publiques par la victime, et à une légère faille dans la sécurité d'Amazon, un consultant en cybersécurité a pu obtenir l'accès à toute la vie numérique d'un comédien américain. Lequel, heureusement, avait accepté de se prêter au jeu. Explications. »
Effectivement, joli cas de social engineering.
Effectivement, joli cas de social engineering.
Extrait : « La noyade est presque toujours un événement trompeusement silencieux. Les grands gestes avec les bras, les éclaboussures et les cris auxquels on s’attend à cause du conditionnement spectaculaire de la télévision sont rarement vus dans la vraie vie. »
Putain, ben c'est pas trop tôt.