Cet automne, l'hébergeur de mail Posteo s'est associé avec Mozilla pour commander un audit de Thunderbird et Enigmail… et c'est pas moins de 22 failles de sécurité qui ont été découvertes par l'équipe de Cure53, dont 3 classées critiques et 5 graves.

Que faire ? Il est vivement conseillé de :

• mettre à jour immédiatement l'extension Enigmail (qui corrige plusieurs failles)
• désactiver les autres extensions dans Thunderbird jusqu'à ce que l'architecture du système d'extension soit revue de zéro dans Thunderbird 59
• (...)

Introduction

Un problème fréquemment rencontré avec OpenPGP est celui de la distribution des clefs publiques : comment Alice peut-elle transmettre sa clef publique à Bob, étape préalable indispensable à toute communication sécurisée ?

Depuis les premières versions de PGP, plusieurs méthodes ont été élaborées pour tenter de résoudre ce problème. Cet article les passe en revue.

Les serveurs de clefs

La première méthode, la plus connue et celle historiquement associée au monde OpenPGP, consiste à enregistrer la clef auprès d’un serveur (...)

PrivateBin est un service libre de pastebin, qui permet d'héberger et de partager des données textuelles. Sont supportés le texte brut, le code, et les documents Markdown. La version 1.1 vient de sortir, mais avant d'en reparler, voyons un peu ce qu'est PrivateBin et quelles en sont les fonctionnalités-clefs.

Un panier sécurisé pour vos partages de texte

Né des cendres de Zerobin, qui a déjà été présenté en dépêche il y a quelques années, PrivateBin met l'accent sur (...)

Jour’Nal,

Dans un précédent journal sur la gestion des clefs OpenPGP, je mentionnais en passant la possibilité « d’utiliser une méthode de secret réparti pour partager la clef privée en m fragments, dont n sont nécessaires pour reconstituer la clef complète ».

J’aimerais revenir sur cette méthode pour présenter les outils que j’ai développé pour la mettre en œuvre.

Un peu de théorie : le partage de secret d’Adi Shamir

Il existe plusieurs méthodes de partage de secret, celle qui nous intéresse (...)

Chers lecteurs,

J'ai le plaisir d'annoncer la première sortie de DAFT (v0.0.1).

https://github.com/UnixJunkie/daft

DAFT est un outil en ligne de commande pour transférer des fichiers de manière sécurisée, par exemple pendant une expérience computationnelle distribuée. C'est le compagnon idéal (pour les fichiers) de logiciels tels que PAR ou GNU parallel. PAR est un outil pour bouger efficacement ses données quand il n'y a pas de système de fichier distribué d’installé sur les noeuds. PAR ne nécessite pas de droits root (...)

Bonjour Nal,

Depuis peu, j'utilise des gestionnaires de mots de passe qui utilisent un format de fichier commun, et qui me permettent donc de partager la même archive aussi bien à la maison qu'au travail. Maintenant, le problème, c'est que cette archive des mots de passe, je dois la partager. J'ai pour l'instant quelques solutions en tête, et j'aimerais savoir ce que vous, mes moules paranoïaques préférées, vous faites ou feriez…

Les solutions actuelles sont :

1. Stocker l'archive de mots de (...)

Bonjour à tous,

Le séminaire d'Histoire de l'Informatique et du numérique reprend le jeudi 17 septembre à 14h30, dans l'amphi C "Abbé Grégoire" du Cnam à Paris.

Ce séminaire est organisé par François Anceau, Ancien professeur titulaire de chaire au Cnam, collaborateur bénévole au LIP6, Pierre Mounier-Kuhn, historien, CNRS, université Paris-Sorbonne, et Isabelle Astic, responsable des collections informatique et réseaux au Musée des arts et métiers.

En lien avec l'exposition "Carte à puce. Une histoire à rebonds", cette première séance (...)

Bonjour Nal,

C'est vendredi, alors c'est un bon jour !

La cryptographie, c'est compliqué, et sa mise en œuvre est un champs de mines. C'est bien beau tout ça, mais on est en droit d'en attendre quoi aujourd'hui ?

Je vous propose de voir ce qui est simple et ce qui ne l'est pas, d'un point de vu centré sur l'utilisateur.

Chat entre deux personnes (anonyme)

C'est un terrain connu, et l'idée même est déjà utilisée par les réseaux informatiques. OTR est (...)

Titre racoleur assumé.

J’étais en train de répondre au journal qui traite de comment on pourrait obtenir une solution de chiffrement accessible à tous quand je me suis dit qu’un journal serait peut-être plus approprié pour mettre en avant ma réflexion sur le sujet.

La question est intéressante, donc prenons le temps d’y réfléchir.

Réflexion

Le chiffrement, qu’il soit symétrique ou asymétrique nécessite des clés de chiffrements.

La possession de ces clés assure la confidentialité, l’intégrité et parfois l’authentification des (...)