Le pakistan a interdit les VPN chiffrés, et demande aux FAI de dénoncer les utilisateurs qui utiliseraient ces VPN
http://www.pcinpact.com/actu/news/65396-pakistan-vpn-censure-liberte-expression.htm
J'applaudis cette mesure qui est un pas de plus vers un internet civilisé. D'ailleurs nos dirigeants devraient s'en inspirer pour chasser hors d'internet les vils pirates qui tuent nos artistes.
L'Electronic Frontier Foundation (EFF), qui défend la liberté d'expression sur Internet, a publié hier un article concernant l'attaque Man-in-the-middle contre les utilisateurs de Google en Iran, qui a eu lieu en douce pendant deux mois.
Une nouvelle fois, la vulnérabilité des systèmes de chiffrement sur le web basés sur des autorités de certification est mis en lumière : encore une fois l'attaquant a obtenu un certificat frauduleux d'une autorité (cette fois-ci DigiNotar). L'attaque a été détectée via le navigateur Google Chrome car celui-ci embarque en dur des vérifications pour les certificats de Google.
Pour mémoire je vous rappelle les deux entrées dans l'aide du site LinuxFr.org concernant le certificat SSL/TLS de LinuxFr.org et alertes dans les navigateurs et la réponse à la question Pourquoi ne prenez pas un certificat SSL/TLS gratuit ou payant de chez Machin qui est par défaut dans un navigateur ? Ce dernier lien comporte notamment des pointeurs vers des affaires précédentes autour des certificats SSL/TLS et des autorités de confiance (Comodo, Microsoft et Tunisie, Defcon 2010, CCC 2010, Verisign 2003/2004).
Après 2 ans et 2 mois de travaux, la version finale de Matriux a pointé le bout de son nez mi-août, j'ai nommé Matriux Krypton.
Il s'agit d'un système d'exploitation basé sur Debian GNU/Linux et qui regroupe tout un tas d'outils spécialisés pour la sécurité informatique.
Il permet en autres de réaliser de tests de pénétration, ethical hacking, administration de système et de réseau, recherches légales, récupération de données, et caetera.
Cela fait quelques temps que je m’interroge sur le modèle de sécurité du web actuel, basé sur la politique de même origine. J'aimerais proposer un modèle de sécurité différent, qui pourrait rendre beaucoup plus robuste les applications web. Mais il faut la coopération des navigateurs. Voici mon idée:
Petit résumé de la situation
A l'heure actuelle, une page web n'a pas le droit de faire une requête XmlHttpRequest sur un autre domaine. Par exemple, si example.com essaye de charger facebook.com (…)
Un bug exploitable à distance a récemment été découvert sur le serveur HTTP Apache et affecterait toutes les versions depuis la 1.3.
Le bug provient de la façon dont Apache traite une requête HTTP demandant plusieurs rangées de données se chevauchant. En effet, il est possible de spécifier dans l'en-tête HTTP la rangée des données que l'on veut recevoir au lieu des données complètes. Ceci est notamment utilisé lors du téléchargement d'un fichier et permet de reprendre le téléchargement là (…)
L'outil WinAdminPassword permet de générer des mots de passe en fonction d'une clef secrète et du numéro de série de l'ordinateur sur lequel il est lancé.
Son objectif principal est de déployer des mots de passe différents pour les comptes d'administration, et cela sur tous les systèmes de son parc informatique (Microsoft Windows, Linux, BSD, POSIX…).
Les mots de passe générés contiennent quatre types de caractères (majuscules, minuscules, chiffres et caractères spéciaux) et ne sont pas sauvegardés dans une base de données (Les seules informations à enregistrer dans votre gestionnaire ou base de mots de passe sont les clefs secrètes de génération des mots de passe).
Licence : GPLv3
Version courante : 1.5
Systèmes testés : Debian 6, Ubuntu 11.04, CentOS 5, RHEL 5, Fedora 15, OpenSuze 11.4, Mandriva Linux 2010.2, Microsoft Windows XP and Microsoft Windows 7 (x86 and x64)
Le projet ayant fait le sujet d'un journal vient d'ouvrir son wiki
Prestashop est une application web de boutique en ligne. C'est une application opensource écrite en php. Pour des raisons évidentes de déontologie, je ne m'attarderais pas sur le fait que les créateurs de l'application soient d'anciens élèves d'Epitech.
Devant faire un design pour la boutique d'un marchand de drogue, amis de longue date, j'ai installé cette magnifique application en local. Mais après avoir un peu bidouillé l'application, je me suis rendu compte qu'elle était très très lente. Comptez environ 2 (…)
EncFS est une couche de chiffrement au dessus du système de fichiers. Comme FUSE est utilisé, le chiffrement est transparent. N'importe quelle application — que ce soit votre explorateur de fichiers, éditeur de texte, shell — peut accéder au contenu déchiffré, alors que les données ne sont jamais stockées en clair sur le disque.
Il faut d'abord créer un dossier qui servira pour le stockage du contenu chiffré, puis un dossier "point de montage" dans lequel les fichiers déchiffrés (…)
Je viens de lire une analyse à propos de mots de passe réels. On y trouve confirmation à grande échelle de ce que chaque utilisation de Jack The Ripper montre: la plupart des mots de passe, c'est du basique.http://www.troyhunt.com/2011/07/science-of-password-selection.html
Beaucoup dissertent au sujet des mots de passe super solides. Alors que je trouve, c'est un point de vue personnel, qu'un mot de passe relativement simple suffit. A partir du moment où il n'est pas possible de faire des millions (…)
Pour des raisons de sécurités, évidemment. D'après cet article du Register, tous les sous-domaines de co.cc auraient été supprimés des résultats du moteur de recherche. Ce fournisseur de services Internet serait utilisé par des programmes malicieux.
Protéger le pauvre utilisateur sans défense sur le grand méchant Internet. Est-ce de la responsabilité à Google de protéger l'utilisateur (dans ce cas particulier) ? Non. Actuellement la sécurité informatique est un gag, un énorme gag même, pour la simple est bonne raison (…)
Un journal quasi-bookmark pour signaler une belle initiative visant à renforcer la sécurité du noyau.
Solar Designer (le leader de la distribution Openwall) a annoncé en avril dernier que 5 projets avaient été acceptés dans le cadre du Google Summer of Code. Mail d'annonce : http://www.openwall.com/lists/announce/2011/04/26/1
L'un de ces étudiants est Vasiliy Kulikov et il travaille sur la sécurisation du noyau. Essentiellement cela consiste à essayer de faire remonter vers la branche principale (celle de Linus) les patchs qui (…)
L'association GOALL (Groupe d'organismes acteurs du Libre en Lorraine) propose de rédiger et de diffuser sous licence libre un document avec des conseils généraux pour mettre en place une politique de sécurité informatique. Ce document est destiné aux responsables d'entreprise.
Bonjour à tous,
Hier, le service Dropbox s'est transformé en passoire, en laissant n'importe qui se connecter sans mot de passe.
Ils en font l'aveu sur leur propre blog: http://blog.dropbox.com/?p=821
On me dira peut-être que Dropbox n'est pas libre, et que par conséquent la nouvelle n'a rien à faire ici, mais comme je suppose que le nombre de moules utilisatrices du bidule est non-nul, je préfère relayer l'information.
C'est dommage, je trouvais leur système bien fait (on installe puis on (…)
Comme chaque année, les Rencontres Mondiales du Logiciel Libre proposent conférences, ateliers, tables rondes ou spectacles à des milliers de participants.
Un thème « sécurité » y figure depuis le début. Cette année, nous avons souhaité promouvoir les thématiques suivantes :