Journal Stagefright, une faille Android qui va faire mal ?

Posté par . Licence CC by-sa
4
28
juil.
2015

C'est marrant de voir comment toute faille découverte doit avoir son petit nom maintenant. C'est à celui qui aura la plus grosse le plus de succès.

Il n'empêche que celle-ci à l'air pas mal. La société Zimperium a annoncée sur son blog la découverte d'une faille qui toucherait 95% des mobiles Android. Celle-ci permettrait d'exécuter du code à distance uniquement avec un numéro de téléphone, le votre, et un MMS.

La faille se situerait dans la bibliothèque de lecture (...)

Journal Internet Explorer : 4 failles 0 day publiées

Posté par . Licence CC by-sa
22
23
juil.
2015

Petit journal bookmark d'importance pour ceux travaillant dans des environnements avec des machines sous >indows et donc équipées d'Internet Explorer.

Après 120 jours sans correction de la part de Microsoft, le Zero Day Initiative publie 4 failles 0 day. Elle peuvent permettre l'exécution de code à distance avec les droits de l'utilisateur local.

Ils conseillent aussi de ne pas utiliser ce navigateur tant que les corrections ne sont pas disponibles.

Source :
http://www.zone-numerique.com/quatre-failles-zero-day-ne-seraient-toujours-pas-corrigees-au-sein-dinternet-explorer.html

Journal Tame et OpenBSD

Posté par (page perso) . Licence CC by-sa
64
20
juil.
2015

Juste un petit journal pour vous signaler un post intéressant de Theo de Raadt (leader d'OpenBSD) sur la liste "Tech".
Dans ce post il présente tame, un outil sur lequel il travaille depuis un certain temps et qui vise à réduire les droits d'un programme afin de diminuer la surface d'attaque.

Theo commence par évoquer très brièvement les alternatives et pourquoi, selon lui, elles ne conviennent pas.

  • Capsicum nécessite de réécrire profondément le programme qui sera protégé.
  • D'autres approches (...)

Journal [HackingTeam] Oui, il est possible de se rendre davantage ridicule qu'avec le nom de sa société ...

102
8
juil.
2015

Cher journal,
Je sais que le hacking a mauvaise réputation (et beaucoup trop de définition qui s’entremêle) mais aujourd'hui j'aimerai te faire pars de la compromission d'une entreprise italienne qui (au yeux de la population) le mérite. Cette société a pour nom "Hacking Team", et même si un tel nom ne fait pas vraiment sérieux ils n'ont rien de trois gus dans un garage.

Les faits en deux mots.

Tout débute fin du WE (5 juillet 2015) par un tweet (...)

Kernel Recipes 4e édition, à Paris du 30 septembre au 2 octobre 2015, réservez vos dates !

21
23
juin
2015
Noyau

Pour cette 4ème édition, et à la demande des participants, 3 jours de conférences sur le noyau Linux au coeur de Paris : mercredi 30 septembre, jeudi 1er et vendredi 2 octobre. Le format a été conservé : une seule salle, une audience d'une centaine de personnes, ce qui laisse la part belle aux interactions entre participants et avec les intervenants.

Cette année encore, nous vous avons concocté un programme de conférences qui balaie les actualités et les fondamentaux du projet kernel.org : organisation du projet, aller plus loin dans les sous-systèmes, virtualisation, développement, embarqué…

Journal OpenPGP, enlarge your privacy

Posté par . Licence CC by-sa
22
21
juin
2015

Il y a quelques mois, gouttegd nous faisait un cours magistral sur l'usage d'OpenPGP sur les cartes à puce et récidivait sur le sujet de la gestion des clés.

Ce comportement inadmissible mérite que l'on s'y intéresse de plus près. J'ai donc décidé de me lancer dans l'aventure et de générer moi aussi ma clé PGP. J'espère donc ici apporter un complément aux excellents articles pondus par gouttegd en expliquant comment j'ai posé les premières pierres de (...)

Journal Les solutions cryptographiques aujourd'hui : le simple et le compliqué

Posté par (page perso) . Licence CC by-sa
12
12
juin
2015

Bonjour Nal,

C'est vendredi, alors c'est un bon jour !

La cryptographie, c'est compliqué, et sa mise en œuvre est un champs de mines. C'est bien beau tout ça, mais on est en droit d'en attendre quoi aujourd'hui ?

Je vous propose de voir ce qui est simple et ce qui ne l'est pas, d'un point de vu centré sur l'utilisateur.

Chat entre deux personnes (anonyme)

C'est un terrain connu, et l'idée même est déjà utilisée par les réseaux informatiques. OTR est (...)

Journal Voilà comment inciter 25% des internautes à chiffrer leurs mails

17
10
juin
2015

Titre racoleur assumé.

J’étais en train de répondre au journal qui traite de comment on pourrait obtenir une solution de chiffrement accessible à tous quand je me suis dit qu’un journal serait peut-être plus approprié pour mettre en avant ma réflexion sur le sujet.

La question est intéressante, donc prenons le temps d’y réfléchir.

Réflexion

Le chiffrement, qu’il soit symétrique ou asymétrique nécessite des clés de chiffrements.

La possession de ces clés assure la confidentialité, l’intégrité et parfois l’authentification des (...)

Forum général.général [SSL/TLS] Devenir sa propre autorité de certification intermédiaire ?

Posté par . Licence CC by-sa
1
9
juin
2015

Bonjour,

Est-ce qu'il est possible de devenir sa propre autorité de certification intermédiaire ?

Je m'explique. J'ai un certificat wildcard pour *.domaine.tld, et j'aimerais savoir si avec la clé de celui-ci il serait possible de signer des CSR pour pour les sous-domaine de domaine.tld et d'inclure le certificat du wildcard dans la chaîne de certificats.

L'objectif étant de pouvoir isoler la clé privé de mon wildcard sur une machine hors-ligne, et de pouvoir ainsi générer et révoquer des certificats au (...)

Journal Sécurité et accéléromètres de téléphones

Posté par (page perso) . Licence CC by-sa
31
8
juin
2015

Salut,

Un petit journal pour vous parler de problèmes de sécurité liés à la présence d'accéléromètres sur les téléphones.

L'avantage d'une telle attaque, c'est que l'utilisation des accéléromètres passe inaperçu pour l'utilisateur, et qu'il n'y a pas besoin de permissions spéciales sur Google Play, ce qui n'est pas le cas de l'utilisation du GPS ou des caméras frontales et arrières (pour, par exemple, reconstruire une vue tridimensionnelle de l'endroit où vit l'utilisateur, et récupérer des numéros de carte de crédit (...)

Sortie de radare2 0.9.9 - Almost there

58
8
juin
2015
Sécurité

Vous l'attendiez, elle est enfin arrivée, la nouvelle version de radare2, la 0.9.9, nom de code "Almost there"!
Radare est un framework complet d'analyse et de désassemblage de binaires. Plutôt que de vous inviter à lire chaque commit, voici un résumé des nouveautés dans la seconde partie.

Quoi de neuf côté LinuxFr.org

82
4
juin
2015
LinuxFr.org

La dernière dépêche de cette catégorie LinuxFr.org qui ne soit pas une dépêche récurrente type « Les meilleurs journaux du mois » ou « Les prix du mois » ou « Les statistiques de l'année » remonte à mai 2014 pour une mise à jour du serveur. Voici donc, à l'aube de l'été, quelques actualités de type « en coulisses ».

Journal Un journaliste suspecté de terrorisme par Skynet ou les limites des recoupements des méta-données

15
13
mai
2015

Skynet est un autre des nombreux programmes de la National Security Agency qui utilise les méta-données des communications et la localisation pour identifier les terroristes.

Ahmad Muaffaq Zaidan est un journaliste qui a voyagé au Pakistan et en Afghanistan et rencontré des hauts dirigeants d'Al-Qaida y compris Ben Laden.

En analysant une base de données de 55 millions relevés téléphoniques, son nom est ressorti comme terroriste et membre d'Al-Qaida et de la fraternité musulmane.

Mais c'est un journaliste qui ne (...)

épisode de No Limit Secu dédié à l'OWASP

Posté par . Édité par Nils Ratusznik. Modéré par Pierre Jarillon. Licence CC by-sa
7
5
mai
2015
Sécurité

No Limit Secu est un podcast (ou bala(do)diffusion) indépendant, animé par des personnes passionnées qui sont parties prenantes dans le domaine de la cybersécurité à des rôles et dans entreprises diverses.

Le podcast est publié à fréquence hebdomadaire, sur son site web, généralement le dimanche. Une nouvelle thématique est abordée chaque semaine, en présence d'un invité lié de près ou de loin à cette thématique.

L'épisode de cette semaine porte sur la fondation OWASP. L'invité est Sébastien Gioria, qui dirige la division française de l'OWASP.

Logos de la fondation OWASP et du podcast No Limit Secu