Root-me: Rémunération des challenges de hacking et naissance de Root-me.pro

Posté par  . Édité par Nÿco, Xavier Teyssier, ZeroHeure et palm123. Modéré par Ontologia. Licence CC By‑SA.
Étiquettes :
32
11
mar.
2016
Sécurité

Root-me est un MOOC (Massive Open Online Course) de sécurité informatique. Root Me permet à chacun de tester et d’améliorer ses connaissances dans le domaine de la sécurité informatique et du hacking. Cette communauté met librement à disposition une plateforme dédiée à l’apprentissage du ethical hacking.

Nouveautés et évolution pour Root-Me.org :

  • nouveau design ;
  • rémunération pour les créateurs de challenge sur une liste pré-établie par le staff ;
  • une boutique en ligne en partenariat avec Spreadshirt ;
  • la possibilité aux membres de la communauté de cotiser pour l'association et de bénéficier de privilèges supplémentaires ;
  • de nombreux environnements virtuels ont été ajout ;
  • et bien sur toujours plus de challenges…

Root-Me.pro

Pour répondre aux fortes demandes des entreprises, notamment pour des challenges inter-entreprises et d'autres spécificités, Root-me.pro est né :

  • scoreboard dédié ;
  • sélection de challenge ;
  • support dédié.

Journal PyPI et les projets critiques

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
32
11
juil.
2022

Demat' iNal,

En fin de semaine dernière, je reçois un courriel (oh, ce terme doucement désuet) des mainteurs de PyPI me félicitant pour mes trois projets promus "projets critiques", ce qui, à l'instar de mère-grand félicitant un jeune homme d'être costaud, puis s'empressant de lui demander de ranger sa valise dans le wagon TGV, me demande de mettre en place une authentification à deux-facteurs pour mon compte PyPI.

Petit retour sur cette expérience.

Déjà on comprend la motivation : Il (…)

Journal Un miroir SourceForge a été compromis

Posté par  .
Étiquettes :
32
26
sept.
2012

http://www.phpmyadmin.net/home_page/security/PMASA-2012-5.php

Une backdoor a été trouvée dans le package PhpMyAdmin qui se trouvait sur le miroir cdnetworks-kr-1 de SourceForge.net.

Il est probable que d'autres packages présents sur ce miroir ait été modifiés pour inclure des backdoors, je vous suggères donc de vérifier et revérifier la source de vos différents packages si vous avez téléchargé des packages de SourceForge dernièrement.

NdM : journal promu en dépêche.

Journal Bercy dit être victime de piratage informatique

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
31
7
mar.
2011

Ce seraient les documents du G20 qui intéresseraient les pirates du Net
http://www.leparisien.fr/economie/g20-bercy-reconnait-que-ses-ordinateurs-ont-ete-espionnes-07-03-2011-1347144.php

Encore une administration qui a oublié d'installer le pare-feu OpenOffice. Je pense qu'on devrait leur couper la connexion Internet pour négligence caractérisée !

Quand a ceux qui incriminerait la sécurité intrinsèque de Windows, Outlook et Internet Explorer, je les arrêtes net. Je rappelle que Balmer a eu la légion d'honneur, lui il « comprend les valeurs humanistes de la France et de l’Europe » ! Rien a (…)

Journal Sécurité et accéléromètres de téléphones

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
31
8
juin
2015

Salut,

Un petit journal pour vous parler de problèmes de sécurité liés à la présence d'accéléromètres sur les téléphones.

L'avantage d'une telle attaque, c'est que l'utilisation des accéléromètres passe inaperçu pour l'utilisateur, et qu'il n'y a pas besoin de permissions spéciales sur Google Play, ce qui n'est pas le cas de l'utilisation du GPS ou des caméras frontales et arrières (pour, par exemple, reconstruire une vue tridimensionnelle de l'endroit où vit l'utilisateur, et récupérer des numéros de carte de crédit (…)

Sortie de LDAP Tool Box Self Service Password 1.0

Posté par  (site web personnel, Mastodon) . Édité par Davy Defaud, Benoît Sibaud et Nils Ratusznik. Modéré par Benoît Sibaud. Licence CC By‑SA.
Étiquettes :
31
18
oct.
2016
Sécurité

Le logiciel Self Service Password est développé au sein du projet LDAP Tool Box. Il fournit une interface permettant aux utilisateurs de changer leur mot de passe dans un annuaire LDAP, y compris Active Directory ou Samba 4.

Outre le changement de mot de passe simple, l’interface propose de réinitialiser son mot de passe en cas de perte, soit par l’envoi d’un courriel, soit par la réponse à des questions, soit par l’envoi d’un SMS.

Les contraintes de qualité du mot de passe sont paramétrables : taille minimale, maximale, présence de différentes classes de caractères, caractères interdits, contrôle de la valeur par rapport à l’ancien mot de passe ou à l’identifiant.

Le logiciel Self Service Password est écrit en PHP et est sous licence publique générale GNU. La version 1.0 est sortie le 14 octobre 2016.

Journal La solidité des mots de passe

Posté par  .
Étiquettes :
31
20
juil.
2011

Je viens de lire une analyse à propos de mots de passe réels. On y trouve confirmation à grande échelle de ce que chaque utilisation de Jack The Ripper montre: la plupart des mots de passe, c'est du basique.http://www.troyhunt.com/2011/07/science-of-password-selection.html

Beaucoup dissertent au sujet des mots de passe super solides. Alors que je trouve, c'est un point de vue personnel, qu'un mot de passe relativement simple suffit. A partir du moment où il n'est pas possible de faire des millions (…)

Journal Déchiffrement de disque racine avec carte à puce GPG sous Debian

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
31
9
fév.
2022

Une installation standard de Debian permet de déchiffrer son disque / au démarrage à l'aide d'une carte à puce GPG (type yubikey, nitrokey, librem key ou autre). Ce journal vise à mettre en avant cette option méconnue.

Configuration

En partant d'une installation Debian standard avec chiffrement (le disque / est alors placé sous /dev/sda5, le déverrouillage se fait initialement par mot de passe), il faut modifier le fichier /etc/crypttab :

sda5_crypt UUID=... /etc/cryptsetup-initramfs/root_key.asc luks,discard,keyscript=/lib/cryptsetup/scripts/decrypt_gnupg-sc

Il faut ensuite (…)

Contrat vaccinal Commission européenne / AstraZeneca, comment (ne pas) masquer les infos d'un PDF

Posté par  (site web personnel) . Édité par Ysabeau 🧶 🧦 et Pierre Jarillon. Modéré par Ysabeau 🧶 🧦. Licence CC By‑SA.
Étiquettes :
31
31
jan.
2021
Sécurité

En 2012, j’avais écrit cette dépêche Rapport PDF de l’Hadopi, ou comment (ne pas) masquer une adresse IP qui montrait une erreur de caviardage d’information d’un document au format PDF par l’HADOPI, et qui discutait ensuite des deux mythes autour des fichiers PDF : une prétendue inaltérabilité et le caviardage à la truelle.

L’actualité récente nous permet de revenir une nouvelle fois sur le sujet.

  • cela pourrait être à propos de cette discussion surréaliste sur un réseau social bien connu (« (question) vous pensez qu’on peut lire sous le bloc noir de ce document administratif ? (réponse) des fois le caviardage est mal fait (riposte) arrêtez d’aider les administrations ») ;
  • mais je pense surtout à la Commission européenne qui a publié une version caviardée du contrat vaccinal avec AstraZeneca, version qui est plus bavarde que prévu. L’info serait accessible « en utilisant simplement la fonction signets d’Acrobat Reader », comme évoqué ou plus largement dans la presse 1, 2, 3, 4, 5, 6, ou 7), et si le document en ligne a été remplacé, une copie de la première version est toujours en ligne.

Profitons-en pour rappeler que depuis sa version 6.3, LibreOffice offre une fonction de caviardage (voir les annonces dans ce journal et cette dépêche).

Journal Suspicion de backdoor gouvernemental allemand

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
30
9
oct.
2011

Le Chaos Computing Club vient d'annoncer la découverte in the wild d'un backdoor gouvernemental allemand pour Windows.
Dans son analyse d'une vingtaine de page, le CCC signale de nombreuses failles permettant à de tierces parties d'obtenir le contrôle sans autorisation de la machine infectée.

La firme F-Secure a rajouté la signature de ce backdoor sous le nom Backdoor:W32/R2D2.A.

Il semblerait que les dev de ce code soient des fans de StarWars:

Journal la rouille et la comtesse

Posté par  (site web personnel, Mastodon) . Licence CC By‑SA.
Étiquettes :
30
17
nov.
2021

Salut 'nal.

Il y a quelques mois, je me suis mis au langage Rust qui était alors le plus plébiscité de StackOverflow (et ce quatre années de suite…) et qui arrive second au dernier AOC sur Redit.
Les début de la noce furent belle. Cependant, après moins d'une semaine, j'ai du faire une pose qui dura plus longtemps que prévu, et au retour il ne fut pas aisé de se remettre dans la syntaxe cryptique. Ce n'est pas le (…)

Revue de presse de l'April pour la semaine 42 de l'année 2015

Posté par  (site web personnel, Mastodon) . Édité par Benoît Sibaud. Modéré par bubar🦥. Licence CC By‑SA.
Étiquettes :
30
20
oct.
2015
Internet

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

Sommaire

Journal Ce qui devait arriver Aréva

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
30
29
sept.
2011

Le "fleuron français de l'industrie nucléaire", l'ancienne COGEMA actuellement nommé Aréva, est un expert en sûreté nucléaire.
On nous le rappelle sur tous les supports médiatiques existants à chaque 'incident' que ce soit dans le Gard ou au Japon.
Ses installations se doivent d'être irréprochables, et ce, dans tous les compartiments de son métier.

En particulier l'informatique. C'est un élément primordial dans la gestion d'un système tel qu'un réacteur nucléaire.

Qu'apprend-t-on aujourd'hui ?

http://lexpansion.lexpress.fr/entreprise/areva-victime-d-une-attaque-informatique-de-grande-ampleur_263462.html#xtor=AL-189

Qu'ils sont "hackés" depuis, au moins, (…)

PacketFence version 9 est disponible

Posté par  (site web personnel) . Édité par bubar🦥, Davy Defaud, BAud et ZeroHeure. Modéré par Pierre Jarillon. Licence CC By‑SA.
Étiquettes :
30
26
mai
2019
Sécurité

PacketFence est une solution de conformité réseau (NAC) et de contrôle d’accès aux réseaux, supportée et reconnue. Le logiciel est publié sous licence GPL v2. PacketFence procure une liste impressionnante de fonctionnalités et de gestion d’équipements réseau. PacketFence peut être utilisé pour sécuriser efficacement aussi bien des réseaux de petite taille que de très grands réseaux hétérogènes.

Logo de PacketFence

Inverse a annoncé le 15 mai 2019 la sortie de la version 9 de PacketFence, puis de sa première mise à jour, v9.0.1 vendredi dernier. Cette dépêche propose de passer en revue la liste des nouveautés de cette version majeure.

Journal Have I Been Pwned n'est plus à vendre

Posté par  . Licence CC By‑SA.
Étiquettes :
30
4
mar.
2020

Mais oui, vous le connaissez ce projet : https://haveibeenpwned.com/

Troy Hunt était à la recherche d'un acheteur, avec tout un tas de critères bien stricts. Mais finalement, pas d'acheteur : https://www.troyhunt.com/project-svalbard-have-i-been-pwned-and-its-ongoing-independence/

Pour résumé, il n'en est resté qu'un qui, après de longs mois de négociations exclusives, a changé de modèle commercial, et ne correspondait plus aux critères. Ce qui a été reconnu par les deux parties d'ailleurs.

Troy est fatigué, et ne veut pas recommencer ce long processus, et (…)