Un bon petit article alarmiste pour commencer ce trolldi.
L'article source, que je préfère résumer car le ton m'a l'air trop alarmiste : La norme USB possède une énorme faille de sécurité qui ne pourra pas être comblée
Qui a lui-même une source sur Wired.
La Black Hat Security Conference à Las Vegas, c'est dans une semaine ! On va donc faire monter la hype avec une annonce fracassante d'une des conférences : à cause d'une faille de conception, il (…)
Dans votre bureau ou votre école, il vous arrive parfois de voir qu'un de vos collègues a laissé une session ouverte sur un poste avant de l'abandonner pour faire une pause ou de partir en réunion. Comment réagissez-vous ?
Total : 1734 votes
ProtonMail est un service de messagerie web sécurisé créé en 2013 par Jason Stockman, Andy Yen et Wei Sun au CERN, situé à côté de Genève en Suisse. À l'opposé de nombreuses messageries web existantes (gmail.com, outlook.com…), ProtonMail chiffre les courriels avant qu'ils ne soient envoyés au serveur. ProtonMail est actuellement en version bêta.
Depuis le 17 juin, une campagne de financement participative a été lancée par l'équipe de développeur dans le but d'atteindre 100 000$. Deux semaines plus tard, le projet avait déjà reçu 200 000$. La prochaine étape est d'atteindre 500 000$ afin que des applications pour iOS et Android soient développées. La campagne se termine le 31 juillet. ProtonMail accepte les paiements par carte bleue, paypal (voir plus bas) et bitcoin.
La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.
NdM: contenu supprimé à la demande de l'auteur
Peut-on casser un algorithme de chiffrement inconnu ?
Les vulnérabilités découvertes pour LZ0 et pour LZ4 viennent d'un code datant de 1999.
En résumé, elles provoquent un dépassement du tas d'entier non-signé, ce qui conduit à une corruption locale de la mémoire.
Ce bogue n'est pas super pratique à utiliser, car il faut lancer la fonction incriminée avec assez de données pour dépasser la limite d'un entier non signé, ce qui dépend donc de l'architecture.
En pratique, cela signifie qu'une architecture 64 bits est plutôt à l'abri.
Le (…)
Comme chaque année, le thème "Sécurité" des RMLL vous propose un tour des logiciels libres, des technologies et des concepts de la sécurité informatique. Le thème se déroulera cette année du lundi 7 Juillet au jeudi 10 Juillet 2014 à Montpellier tandis que les RMLL commencent le samedi 5 et s'achèvent le vendredi 11 Juillet.
Vous aurez donc au menu :
Mais, vous pourrez aussi :
Un atelier sur le langage de sécurité réseau Haka est aussi au programme le jeudi matin. Vous en voulez encore ? La suite est à découvrir dans le menu, bande de petits curieux ;-)
Evènement cette année : la tenue aux RMLL du Netfilter Workshop, la rencontre annuelle des développeurs Netfilter avec toute la core team.
Lors du Netfilter Workshop User day le lundi après midi, les développeurs Netfilter vous présenteront donc leurs dernières avancées avec notamment une présentation de Nftables par les deux derniers Netfilter team leaders, Patrick McHardy et Pablo Neira.
Enfin, afin de pouvoir mieux connaître nos conférenciers, nous vous proposons deux entretiens :
C'est Libre, c'est gratuit, c'est sécurisé ;-) Venez !
Un prototype de Lupo Libero est disponible ! Pour rappel, Lupo est un futur service de stockage de fichiers sur internet, actuellement en campagne de financement participatif.
Voici les principales différences entre Lupo et ce qui existe déjà :
TrueCrypt est un logiciel de chiffrement de disques, multiplateforme, sous licence non-libre (cf annexe en seconde partie), mais dont le code source est accessible. Ses développeurs sont anonymes.
Depuis le 28 mai dernier, le site web officiel TrueCrypt.org redirige vers le sous-domaine de Sourceforge dédié au projet et affiche en rouge un message inquiétant :
ATTENTION : Utiliser TrueCrypt n’est pas sûr car il pourrait contenir des problèmes de sécurité non-corrigés
Cette page explique également aux utilisateurs comment migrer leurs données vers un autre outil de chiffrement… qui n'est autre que BitLocker de Microsoft !
Bonjour Nal,
Plein de sites webs permettent de s'inscrire via un login et un mot de passe. Les mots de passe, on le sait, c'est la loose absolue. Entre la très grande majorité des gens qui continuent de mettre 123456 ou password comme mot de passe et les formulaires webs qui imposent un minimum de 23 caractères dont au moins une majuscule, une minuscule, un nombre, un caractère spécial, deux emojis et une résistance au dictionnaire, on ne sait pas (…)
Bonsoir,
ceci est un journal bookmark, oui mais un bookmark papier. Pas de lien, vu la tronche parfaitement assumée du site du canard enchaîné ¹ et surtout parce que le canard ça se lit sur papier et puis que cette presse papier là a bien besoin de lecteurs
Dans un article paru aujourd'hui, le canard titre « Des espions chinois dans les ordinateurs de nos armées ? » et décrit la passation d'un marché entre l'armée et IBM juste avant que celui-ci ne (…)
GnuTLS est une bibliothèque libre qui, au même titre que OpenSSL, permet d’établir une connexion chiffrée sur Internet via le protocole SSL/TLS.
Une faille de sécurité qui permet de faire planter GnuTLS et, dans certaines conditions, lui faire exécuter du code arbitraire a été découverte.
Concrètement, lors d’une poignée de main, l’envoi d’un identifiant de session extrêmement long par le serveur provoque un dépassement de tampon. Pour résumer, on veut enregistrer en mémoire l’identifiant de session qui est plus grand que l’espace prévu à cet effet, l’excédent est écrit à côté et, en particulier, sur le programme en mémoire. En choisissant bien l’identifiant de session, on peut donc altérer le fonctionnement du logiciel en cours d’exécution à son avantage.
Malheureusement, après Heartbleed, OpenSSL est à nouveau touchée par une faille qui relève purement de l'implémentation : l'attaque par injection de "ChangeCipherSpec", a.k.a CVE-2014-0224.
Elle permet à un attaquant actif - qui peut écouter et modifier les trames réseaux à la volée - d'avoir un contrôle total et transparent sur la connexion chiffrée.
Lorsque deux machines se mettent en relation avec le protocole TLS, il y a toujours une phase d'initialisation, le Handshake. Dans (…)
LinuxFr.org propose des dépêches et articles, soumis par tout un chacun, puis revus et corrigés par l'équipe de modération avant publication. C'est la partie la plus visible de LinuxFr.org, ce sont les dépêches qui sont le plus lues et suivies, sur le site, via Atom/RSS, ou bien via partage par messagerie instantanée, par courriel, ou encore via médias sociaux.
Ce que l’on sait moins, c’est que LinuxFr.org vous propose également à tous de tenir vos propres articles directement publiables, sans validation a priori des modérateurs. Ceux-ci s'appellent des journaux. Voici un florilège d'une dizaine de ces journaux parmi les mieux notés par les utilisateurs… qui notent. Lumière sur ceux du mois de mai passé.