Forum général.général [SSL/TLS] Devenir sa propre autorité de certification intermédiaire ?

Posté par (page perso) . Licence CC by-sa
1
9
juin
2015

Bonjour,

Est-ce qu'il est possible de devenir sa propre autorité de certification intermédiaire ?

Je m'explique. J'ai un certificat wildcard pour *.domaine.tld, et j'aimerais savoir si avec la clé de celui-ci il serait possible de signer des CSR pour pour les sous-domaine de domaine.tld et d'inclure le certificat du wildcard dans la chaîne de certificats.

L'objectif étant de pouvoir isoler la clé privé de mon wildcard sur une machine hors-ligne, et de pouvoir ainsi générer et révoquer des certificats au (...)

Journal Sécurité et accéléromètres de téléphones

Posté par (page perso) . Licence CC by-sa
31
8
juin
2015

Salut,

Un petit journal pour vous parler de problèmes de sécurité liés à la présence d'accéléromètres sur les téléphones.

L'avantage d'une telle attaque, c'est que l'utilisation des accéléromètres passe inaperçu pour l'utilisateur, et qu'il n'y a pas besoin de permissions spéciales sur Google Play, ce qui n'est pas le cas de l'utilisation du GPS ou des caméras frontales et arrières (pour, par exemple, reconstruire une vue tridimensionnelle de l'endroit où vit l'utilisateur, et récupérer des numéros de carte de crédit (...)

Sortie de radare2 0.9.9 - Almost there

58
8
juin
2015
Sécurité

Vous l'attendiez, elle est enfin arrivée, la nouvelle version de radare2, la 0.9.9, nom de code "Almost there"!
Radare est un framework complet d'analyse et de désassemblage de binaires. Plutôt que de vous inviter à lire chaque commit, voici un résumé des nouveautés dans la seconde partie.

Quoi de neuf côté LinuxFr.org

85
4
juin
2015
LinuxFr.org

La dernière dépêche de cette catégorie LinuxFr.org qui ne soit pas une dépêche récurrente type « Les meilleurs journaux du mois » ou « Les prix du mois » ou « Les statistiques de l'année » remonte à mai 2014 pour une mise à jour du serveur. Voici donc, à l'aube de l'été, quelques actualités de type « en coulisses ».

Journal Un journaliste suspecté de terrorisme par Skynet ou les limites des recoupements des méta-données

15
13
mai
2015

Skynet est un autre des nombreux programmes de la National Security Agency qui utilise les méta-données des communications et la localisation pour identifier les terroristes.

Ahmad Muaffaq Zaidan est un journaliste qui a voyagé au Pakistan et en Afghanistan et rencontré des hauts dirigeants d'Al-Qaida y compris Ben Laden.

En analysant une base de données de 55 millions relevés téléphoniques, son nom est ressorti comme terroriste et membre d'Al-Qaida et de la fraternité musulmane.

Mais c'est un journaliste qui ne (...)

épisode de No Limit Secu dédié à l'OWASP

Posté par . Édité par Nils Ratusznik. Modéré par Pierre Jarillon. Licence CC by-sa
7
5
mai
2015
Sécurité

No Limit Secu est un podcast (ou bala(do)diffusion) indépendant, animé par des personnes passionnées qui sont parties prenantes dans le domaine de la cybersécurité à des rôles et dans entreprises diverses.

Le podcast est publié à fréquence hebdomadaire, sur son site web, généralement le dimanche. Une nouvelle thématique est abordée chaque semaine, en présence d'un invité lié de près ou de loin à cette thématique.

L'épisode de cette semaine porte sur la fondation OWASP. L'invité est Sébastien Gioria, qui dirige la division française de l'OWASP.

Logos de la fondation OWASP et du podcast No Limit Secu

Journal ulimits: appliquer des limitations de ressources sans PAM

Posté par (page perso) . Licence CC by-sa
28
4
mai
2015

Je présente ici un petit outil sans prétention de mon cru, ulimits, qui permet d’appliquer des limitations de ressources aux utilisateurs de systèmes dépourvus de PAM.

Les limitations de ressources

Les « limitations de ressources » (resource limits) sont un mécanisme permettant d’empêcher un utilisateur de faire un usage abusif des ressources d’une machine. Il est ainsi possible d’empêcher un utilisateur de créer trop de processus, de créer des fichiers trop gros, de poser trop de verrous, de consommer (...)

Remonter une attaque et trouver la faille avec les logs d'Apache2

60
4
mai
2015
Sécurité

Nous allons voir dans cet article comment remonter une attaque suite au piratage d'un site avec les logs d'Apache. On partira du principe que Apache est déjà configuré pour mettre ses logs dans /var/log/apache2 et dans les fichiers access.log et error.log.

OpenBSD 5.7 « Blues Brothers »

53
1
mai
2015
OpenBSD

Le premier mai, OpenBSD est de sortie, comme chaque année.

OpenBSD est un système d'exploitation orienté sécurité et réseau, dont les principaux avantages sont la stabilité, grâce aux audits sur le code source, mais également l'ensemble très large de fonctionnalités réseau qu’il fournit.

Le changement majeur de cette version est dans la continuité du fork d’OpenSSL, LibreSSL (cf. Bob Beck, LibreSSL - The first 30 days and the Future, BSDcan 2014 ; Ted Unangst, LibreSSL: More Than 30 Days Later, EuroBSDCon 2014). En effet, neuf jours après la sortie d'OpenBSD 5.6, la vulnérabilité POODLE a pointé son nez. Adieu SSL 3, SSH 1 et MD5 !

Ont contribué à cette dépêche (par ordre de dispersion) : BAud, karchnu, Loïc Blot, Xavier Teyssier, palm123, zurvan, Cédric Krier, Rolinh, Xavier Claude, Ellendhel, Dareg, Nÿco, Stéphane Aulery. Aucune moule n'a été blessée durant la rédaction.

OpenBSD

Journal Quelques nouvelles concernant la sécurité

Posté par (page perso) . Licence CC by-sa
Tags :
20
28
avr.
2015

Bon journal !

Tout d'abord, dans le monde d'Apple, la CIA a financé un groupe de recherche sur plusieurs années visant à passer outre les mesures de sécurités mises en place par l'entreprise. L'idée primaire étant d'essayer de récupérer les clé secrètes sur chaque appareil. Par exemple, une version d'XCode frauduleuse permettrait à tout développeur d'application d'ajouter une partie malveillante à son logiciel qui sera ensuite distribué sur l'Apple Store, et tout le reste (même si la manière de distribuer cette (...)

No Limit Secu : épisode sur le forensic et DFF (framework opensource dédié au forensic)

Posté par . Édité par Nils Ratusznik et Benoît Sibaud. Modéré par ZeroHeure. Licence CC by-sa
14
27
avr.
2015
Sécurité

Cette semaine, l'épisode de No Limit Secu est dédié à la criminalistique (forensic) et au logiciel libre DFF (Digital Forensics Framework, boîte à outil de criminalistique numérique, licence GPL).

NoLimitSecu

Dans cet épisode, nous abordons les points suivants :

  • Qu'est-ce que le forensic ?
  • Quelles sont les problématiques liées à la pratique du forensic ?
  • Solal Jacob répond à nos questions sur DFF.

DFF est un cadriciel qui peut être utilisé à la fois par des professionnels et non-experts afin de recueillir et de révéler des preuves numériques en préservant les systèmes et les données.

Journal Encfs déclaré relativement peu sûr

Posté par (page perso) . Licence CC by-sa
25
26
avr.
2015

Bonjour… nal (allez quoi, la tradition).

Je fais un petit journal qui fait écho à celui paru en début de mois et qui annonçait TrueCrypt « relativement sûr ».

Suite aux annonces de 2014 concernant ce dernier, j'avais migré mes backups vers un volume Encfs, au travers de la bien sympathique application Gnome Encfs. Bref ce soir je met à jour ma Ubuntu et paf :

According to a security audit by Taylor Hornby (Defuse Security), the current implementation of Encfs is (...)

Podcast francophone dédié à la cybersécurité : No Limit Secu

Posté par . Édité par Nils Ratusznik, Benoît Sibaud et palm123. Modéré par Benoît Sibaud. Licence CC by-sa
19
21
avr.
2015
Sécurité

Un épisode sur NAXSI un WAF — parefeu applicatif pour le web — open-source avec Thibault Koechlin et Sébastien Plot : quoi de mieux comme occasion pour porter à votre connaissance l'existence d'un podcast (ou bala(do)diffusion) dédié à la cybersécurité ?

No Limit Secu est un podcast indépendant, animé par des personnes passionnées qui sont parties prenantes dans le domaine de la cybersécurité à des rôles et dans entreprises diverses.

logo de No Limit Secu

L'équipe du podcast prend beaucoup de plaisir à réaliser ces épisodes et souhaite partager cela avec la communauté LinuxFr.org. Dans la mesure du possible, un nouvel épisode est publié chaque semaine. C'est donc aussi l'occasion de vous proposer de contribuer à un épisode si vous souhaitez aborder une problématique ou traiter d'un sujet dans lequel vous êtes impliqué(e) (bien entendu, dans le domaine de la cybersécurité). Pour cela, vous pouvez contacter l'équipe via Twitter : @nolimitsecu.

Journal Public Key Pinning Extension for HTTP

Posté par (page perso) . Licence CC by-sa
27
18
avr.
2015

Cher journal,

En ces temps ou un certain nombre d'entre vous n'ont pas l'air d'avoir envie de tout partager avec leur gouvernement. Voici une annonce qui améliore un peu la sécurité du HTTPS. Tu n'es pas sans ignorer que le modèle actuel de TLS souffre un gros problème. N'importe quelle autorité de confiance peut signer un certificat pour n'importe quel domaine, même si le propriétaire actuel du nom de domaine a déjà demandé à une autre autorité de le faire (...)