En février 2018, j’ai reçu un appel d’une entreprise de crédit m’annonçant que le prélèvement de ma première mensualité avait échoué, et qu’il fallait donc que je fasse quelque chose au plus vite.
J’ai nié avoir ouvert un quelconque crédit et dit qu’ils devaient se tromper de personne.
Mon interlocuteur me raccroche alors au nez en me disant sèchement « très bien, vous allez donc être interdit bancaire et vous vous débrouillerez avec les huissiers ».
Assez (…)
Le 6 avril 2021, un patch était posté sur la liste de discussion des développeurs du noyau Linux (LKML). Écrit par Aditya Pakki, un doctorant de l’Université du Minnesota, ce patch, en apparence trivial (trois lignes) et franchement indistinguable des milliers d’autres qui s’échangent sur la LKML, allait in fine provoquer quinze jours plus tard le bannissement de toutes les contributions au noyau en provenance de l’Université du Minnesota.
Que s’est-il passé au juste ?
Avant-propos: Les personnages et sociétés citées dans ce récit sont fictives. L'auteur ne connait pas Martin Petit, ni la société d'assurances La Forestière, et non plus la société de télésurveillance Alarm&moi. Mais ils se pourrait, dans une réalité alternative, ou pas, que les faits se soient réellement déroulés comme raconté ici…
M. Martin Petit habite le centre-ville d’une ville moyenne de banlieue. C’est ce qu’on pourrait appeler une ville-dortoir. On y habite, il y a (…)
Bonjour à tous,
La nouvelle que le projet xz (et en particulier liblzma) a été compromis vient de tomber. Donc avant de lire la suite, commencez par vous assurer que vous n'ayez aucune installation de xz version 5.6.0 ou 5.6.1 installée sur vos systèmes pour corriger cette porte dérobée, particulièrement si vous êtes avec un debian ou dérivée. Debian a une version corrigée "5.6.1+really5.4.5-1", Arch Linux une version 5.6.1-2.
Tous les détails de la faille de sécurité sont donnés là (…)
Il faut que je vous parle d’un truc. Fin 2019, trois mois avant le confinement, il m’est arrivé quelque chose. La crise des 40 ans 4 ans plus tard, peut être… Si vous avez un peu suivi mes précédentes aventures, vous savez qu’à cette période, j’avais décidé de passer mon « vrai » diplôme d’ingénieur, CTI. Vous savez aussi que j’ai pas mal œuvré dans l’écriture de bouquins, et même que l’un deux est une référence dans le domaine… Enfin (…)
La semaine dernière, je vous proposais un défi de cybersécurité en python. Si vous ne l'avez pas encore vu, allez tenter votre chance sur Github avant de lire la suite de ce journal, ce sera plus intéressant.
La première étape du défi était de trouver où était la faille de sécurité. L'application étant toute simple, ce n'était pas très difficile. Le script python contient les deux lignes suivantes:
to_format = f"Printing a {self.width}-character wide box: [Age:
Passbolt est un gestionnaire de mots de passe libre conçu pour l’utilisation en équipe et la collaboration. La première version du logiciel avait été annoncée ici même sur LinuxFr il y a quelques années.
Depuis son lancement initial en 2016, passbolt a beaucoup évolué : de nombreuses fonctionnalités ont été ajoutées ainsi que le support de nombreux systèmes. Le serveur passbolt peut maintenant être installé sur un large éventail de serveurs Linux (packet debian, ubuntu, centos, redhat…), docker, ou même encore sur Raspberry Pi. Sur le plan de la sécurité, les différents composants de la solution ont été intégralement audités en 2021 par une société indépendante (Cure53).
Passbolt dispose d’un forum communautaire sur lequel les membres peuvent proposer ou voter pour de nouvelles fonctionnalités. La fonctionnalité la plus demandée étant depuis un moment et de loin la disponibilité d’applications mobiles, il devenait important de prioriser ces développements.
Après plus d’un an de travail et beaucoup de sueur, l’équipe passbolt est donc fière d’annoncer la sortie de ses deux applications mobiles iOS et Android, toutes les deux entièrement libres, intégralement auditées, et compatibles avec l’ensemble des éditions du logiciel : communauté, pro et cloud édition.
Avant d’entrer dans les détails, voici une petite vidéo de démonstration (en anglais).
Bonjour à tous.
J'ai finalement obtenu quelque chose d'acceptable contre les attaques par force brute sur mon serveur de mail. Je ne pense pas avoir grand chose à cacher (c.f. nothing to hide) et mes emails personnels sont apparemment très intéressants pour quelqu'un :-D. Je suis actuellement en train de tester cette solution.
Je la partage ici, pour aider ceux qui aiment les sets nftables.
Le contexte.
En résumé, depuis peu, je vois un réseau /24 entier, dans un pays (…)
La 19 février 2015, le ministère français de la défense a mis en ligne (sur Youtube) une cybervidéo pour nous parler de la cyberdéfense afin d'arrêter les cybermenaces des cyberméchants. Cette vidéo a notamment été reprise dans Les liens idiots du dimanche de NextINpact sous le titre « Cyberdéfense : la drôle de publicité de l'armée ». Le titre officiel « La cyberdéfense : le combat numérique au cœur des opérations » est plus vendeur.
Le « nouveau terrain d'affrontement » est l'occasion de parler de « propagande djihadiste, des pirates cagoulés qui tapent au hasard sur des claviers, les Anonymous, Stuxnet, etc. avant d'enchainer sur des avions de chasse, sous-marins, hélicoptères et autres artilleries lourdes. »
Évoquons un peu (dans la seconde partie de la dépêche) cette vidéo, avant de faire un petit résumé des épisodes précédents dans l'armée française.
CrowdSec est un nouveau projet de sécurité conçu pour protéger les serveurs, services, conteneurs ou machines virtuelles exposés sur Internet. Par certains aspects, c’est un descendant de Fail2Ban, projet né il y a seize ans. Cependant, il propose une approche plus moderne, collaborative et ses propres fondamentaux techniques afin de répondre aux contextes modernes. L’outil est open source (sous licence MIT) et gratuit, disponible pour GNU/Linux (macOS et Windows figurent sur la feuille de route) car notre but est de rendre la sécurité accessible au plus grand nombre.
CrowdSec, écrit en Golang, est un moteur d’automatisation de la sécurité, qui repose à la fois sur le comportement et sur la réputation des adresses IP. Le logiciel détecte localement les comportements, gère les menaces et collabore également au niveau mondial avec son réseau d’utilisateurs en partageant les adresses IP détectées. Ceci permet alors à chacun de les bloquer de manière préventive. L’objectif est de bâtir une immense base de données de réputation IP et d’en garantir un usage gratuit à ceux participant à son enrichissement.
Cher journal,
c'est fou de lire ça :
https://www.leparisien.fr/hauts-de-seine-92/recrudescence-de-vols-de-suv-peugeot-dans-le-sud-des-hauts-de-seine-24-08-2020-8372508.php
Suite à de nombreux vol grâce à des boîtiers électronique qui permetterait d'ouvrir et démarrer certaines voiture, la ville de meudon recommande d'utiliser de bon vieux verrous (barre de blocage) !
Les constructeurs automobiles sont aussi nul en soft qu'ils ont fait un système qui a été cassé et ils ne sont même pas foutu de prévenir leur client et de mettre à jour le système ?
As tu des liens (…)
La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.
On est Vendredi, jour idéal pour ce sujet, et je trouves bizarre que personne n'ait mentionné cette histoire, parce que quand même, c'est un moment que je qualifierais d'important pour l'informatique.
Sony Pictures, pour ceux qui ne sont pas au courant, allait sortir un film appelé "The Interview", une comédie au sujet de la Corée du Nord. Visiblement nos amis coréens n'ont pas aimé la bande annonce du film.
Il y a environ une semaine, un groupe se faisant appeler (…)
Cher journal,
j'apprends avec énormément de tristesse le départ de Kevin Mitnick. Légende dans le monde de la sécurité informatique, il est connu pour avoir entre autre popularisé les techniques d'ingéniérie sociale, un moyen d'obtenir des accès ou des informations basé non pas sur une exploitation de vulnérabilités techniques, mais sur le comportement humain.
Il fut aussi propulsé sur le devant de la scène médiatique en étant pendant deux ans en fuite, recherché par le FBI. L'arrestation (…)