Lien Dependency Confusion: How I Hacked Into Apple, Microsoft and Dozens of Other Companies
11
fév.
2021
Contrat vaccinal Commission européenne / AstraZeneca, comment (ne pas) masquer les infos d'un PDF
31
jan.
2021
En 2012, j’avais écrit cette dépêche Rapport PDF de l’Hadopi, ou comment (ne pas) masquer une adresse IP qui montrait une erreur de caviardage d’information d’un document au format PDF par l’HADOPI, et qui discutait ensuite des deux mythes autour des fichiers PDF : une prétendue inaltérabilité et le caviardage à la truelle.
L’actualité récente nous permet de revenir une nouvelle fois sur le sujet.
- cela pourrait être à propos de cette discussion surréaliste sur un réseau social bien connu (« (question) vous pensez qu’on peut lire sous le bloc noir de ce document administratif ? (réponse) des fois le caviardage est mal fait (riposte) arrêtez d’aider les administrations ») ;
- mais je pense surtout à la Commission européenne qui a publié une version caviardée du contrat vaccinal avec AstraZeneca, version qui est plus bavarde que prévu. L’info serait accessible « en utilisant simplement la fonction signets d’Acrobat Reader », comme évoqué là ou plus largement dans la presse 1, 2, 3, 4, 5, 6, ou 7), et si le document en ligne a été remplacé, une copie de la première version est toujours en ligne.
Profitons-en pour rappeler que depuis sa version 6.3, LibreOffice offre une fonction de caviardage (voir les annonces dans ce journal et cette dépêche).
Journal Comment j'ai (presque) réussi à ne plus retenir de mot de passe pour mes services en ligne
21
jan.
2021
Après quelques années d'errance, je suis presque au bout de mon périple pour atteindre l'objectif suivant:
- Ne plus avoir de mot de passe à retenir
- Avoir un niveau de sécurité supérieur ou égal au niveau de sécurité offert par un mot de passe seul
- Avoir un spectre de moyens d'authentification suffisamment large pour pouvoir me connecter depuis différents supports.
Ce journal est donc un retour d'expérience et une description des différents outils que j'ai mis en place pour atteindre l'objectif (…)
Journal Retour sur rC3, le 37e CCC mais en distant
16
jan.
2021
Entre les fêtes de fin d’année devait avoir lieu le traditionnel Chaos Communication Congress (CCC), le 37ᵉ, par le Chaos Computer Club (CCC). Mais pour cause de pandémie, l’événement a eu lieu en ligne et a été rebaptisé rC3. Les sujets abordés sont variés : féminisme, Bruce Schneier, manifestations en Bulgarie, rançongiciel, conflit Arménie/Azerbaïdjan, AES, Cory Doctorow, jeu vidéo, les Yes Men, fuzzing, contenus pédagogiques, climat, rayons X, chaîne de blocs, Wikileaks, brevets, matériel ouvert, Digital Service (…)
Sortie de Snuffleupagus 0.7.0 - Los Elefantes
6
jan.
2021
Snuffleupagus est un module pour PHP, version 7+ et maintenant 8+, qui a pour but d’augmenter drastiquement la difficulté des attaques contre les sites Web. Cela s’obtient, entre autres, via la désactivation de fonctions et de classes, et en fournissant un système de correctifs virtuels, permettant à l’administrateur de corriger des vulnérabilités spécifiques sans modifier le code PHP.
La version 0.7.0 sortie aujourd’hui, est un excellent prétexte pour reparler de ce projet sur LinuxFr.org
Quelques logiciels libres pour sécuriser le travail collaboratif en ligne
26
déc.
2020
Cette dépêche est initialement basée sur le journal de MariePa, qui a été complété et enrichi pour lister des solutions libres pour le travail collaboratif sécurisé. Il y est donc question de clients libres, de serveurs libres, de chiffrement bout en bout, de confidentialité des données, etc.
Journal 4 outils open-source pour sécuriser le travail collaboratif en ligne
16
déc.
2020
Ce journal a été promu en dépêche : Quelques logiciels libres pour sécuriser le travail collaboratif en ligne .
L’année 2020 nous a prouvé la nécessité des outils digitaux qui permettent de maintenir la communication personnelle et professionnelle à distance. En même temps, cet épanouissement de collaboration en ligne rend le problème de sécurité et de confidentialité de données traitées, partagées, transférées en ligne encore plus aigu. Comment les protéger contre les parties tierces (hackers, fournisseurs des services cloud, services gouvernementaux, etc.) ? Le chiffrement de bout-en-bout, une forme de communication dans laquelle personne d'autre que l'utilisateur final ne (…)
KeePass, ou apprendre à gérer correctement ses mots de passe
26
nov.
2020
J’ai découvert KeePass par l’entremise du « store » de mon entreprise, et surtout d’un collègue qui me l’a chaudement conseillé.
Alors que les entreprises complexifient régulièrement la composition des mots de passe, elles mettent peu en avant la possibilité de les gérer sereinement. D’aucuns s’en sortent par des astuces mnémotechniques, d’autres avec des post‑it, des fichiers, etc. Bref, artisanalement. C’est alors que KeePass peut intervenir…
Forum Linux.débutant Devenir un hacker
18
déc.
2020
Bonjour à tous, je suis passionné par l’informatique et j’aimerais bien travailler dans la cyber sécurité, devenir en quelque sort un hacker ethics. J’aimerais savoir comment cracker des mots de passes, pirater un réseau… etc du bon côté évidemment 😁. Bien sûr je ne vous demande pas un tuto , mais j’aimerais savoir ce que je doit apprendre , par où commencer… etc
J’ai quelques connaissances en python
Et j’ai Kali Linux en dual boot sur mon pc.
Qd je (…)
Sortie de CrowdSec 1.0 : tutoriel d’utilisation
15
déc.
2020
Le mois dernier, nous vous présentions CrowdSec, un logiciel de sécurité gratuit et open source déployable sur votre serveur, qui permet de détecter et bloquer les adresses IP malveillantes et de les partager avec toute la communauté d’utilisateurs.
Alors que la release de la v.1.0 est désormais disponible, et en attendant le paquet Debian qui arrivera très bientôt, nous vous invitons à découvrir les nouvelles fonctionnalités de la solution.
Lien Comment Apple pourrait entièrement contrôler les ordinateurs de ses utilisateurs
30
nov.
2020
Lien HCAPTCHA. Une solution non libre mais pas GAFAM
30
oct.
2020
Lien Ne copier-coller pas dans le shell depuis une page web
20
oct.
2020
Lien Curl avec une gestion mémoire sécurisée
9
oct.
2020
Journal CPU Ex0144 Lockpicking
1
oct.
2020
(ou “crochetage de serrure” pour ceux qui n'ont pas les clés anglaises)
Dans notre release de cette semaine : Des crochets, des peignes, une serrure récalcitrante et cette clé toujours perdue. Nos invités sont Dusport et Verax, dompteurs de serrures mécaniques.
Une version longue de cette interview est disponible.
Podcast, max de liens et transcription des chroniques : http://cpu.pm/0144
Chapitres :