Journal Freenaute, ton mot de passe d'abonné est stocké en clair chez Free

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
38
6
août
2018

Bienvenue en 2018,

Année de la mise en application du RGPD.
Année de la maturité en cybersécurité ? Pas pour tout le monde en tous cas.

Mon expérience d'hier soir m'a laissé perplexe. Sur la page de connexion des abonnés Freebox, ayant perdu mon mot de passe, j'ai renseigné les champs me permettant de le récupérer et … surprise, je l'ai récupéré … en clair par mail.

Nous sommes en 2018 et Free stocke les mots de passe de ses (…)

Utiliser son Android de façon plus sécurisée

Posté par  . Édité par ZeroHeure, BAud, Davy Defaud, Yves Bourguignon, jcr83, Nils Ratusznik, Anonyme, palm123 et Pierre Jarillon. Modéré par ZeroHeure. Licence CC By‑SA.
Étiquettes :
22
9
juin
2018
Android

Android, le système d’exploitation largement majoritaire sur les mobiles, est, comme chacun le sait sur LinuxFr.org, construit sur un noyau Linux.

Linux étant sous licence GPL, tout peut vous sembler parfait, mais en réalité la couche applicative Android est beaucoup moins amicale que son noyau Linux.

Le but de cet article est de vous expliquer le fonctionnement d’Android, de vous faire découvrir sa face cachée et de vous expliquer comment vivre avec dans les meilleures conditions possibles.

Journal Reddit a subi une attaque informatique

Posté par  . Licence CC By‑SA.
Étiquettes :
20
12
août
2018

Rien de grande ampleur cela dit, qu’on se rassure, ce super site web de partage de liens qu’est Reddit est toujours en vie !

C’était il y a deux semaines environ. L’attaque a consisté en l’interception de SMS. Reddit recommande donc de passer à l’authentification 2FA qui utilise un jeton (à la place du SMS).

Toutes les données de 2007 et antérieures ont fuitées, mais les mots de passe sont hashés et salés (ce qui veut dire si je (…)

Snuffleupagus version 0.3.0 Dentalium elephantinum

Posté par  (site web personnel) . Édité par Nils Ratusznik, k3y, LucieS, Davy Defaud, BAud et Benoît Sibaud. Modéré par bubar🦥. Licence CC By‑SA.
Étiquettes :
43
21
juil.
2018
Sécurité

Snuffleupagus est un module pour PHP (version 7.0 et supérieures) qui a pour but d’augmenter drastiquement la difficulté des attaques contre les sites Web. Cela s’obtient, entre autres, via la désactivation de fonctions et de classes, et en fournissant un système de correctifs virtuels, permettant à l’administrateur de corriger des vulnérabilités spécifiques sans modifier le code PHP.

La version 0.3.0, disponible depuis le 18 juillet 2018, est un excellent prétexte pour parler de ce projet sur LinuxFr.org, avec des détails juteux en deuxième partie de dépêche.

Journal Rumeurs sur l'hyper-threading - TLBleed

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
38
22
juin
2018

La peinture de la dépêche sur la faille Lazy FPU save restore n'étais pas encore sèche
que je tombais sur de curieux messages conseillant de désactiver l'Hyper-threading.

Suivis de conversations plus ou moins inquiétantes sur Twitter et dans les mailings list.

Accroche toi au pinceau

Un commit sur OpenBSD désactive l' Hyper-treading par défaut.
Le message associé est explicite:

« Since many modern machines no longer provide the ability to disable Hyper-threading in
the BIOS setup, provide a (…)

Forum général.cherche-logiciel Recherche solution U2F centralisé

Posté par  . Licence CC By‑SA.
Étiquettes :
1
26
juin
2018

Bonjour,

Je suis à la recherche d'une solution pour double authentification avec clef U2F (actuellement Yubico, mais rien n'est figé).
Pour double authentification à l'ouverture de session Linux (Ubuntu via pam) et Windows (si possible). Qui soit centralisé et lié à un AD avec possibilité de hors connexion (pour les ordinateurs portable qui ne peuvent pas se connecter au serveur d'authentification). Et évolution vers SSO pour authentification Zimbra et voir OpenVPN.
Et qui soit OpenSource si possible :D (d'où ma (…)

Journal Surface d'attaque des serveurs dans les nuages (cloud)

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
19
22
juin
2018

Passionnant et très utile article sur le blog en anglais de James Bottomley (merci LWN.net pour le résumé) : il étudie la sécurité des solutions d'hébergement Cloud en se basant sur la solution retenue : serveurs dédiés, serveurs partagés, serveurs virtuels, conteneurs, et en comparant les profils d'attaques verticales et horizontales.

Comme vous aimez les conclusions rapides, sachez déjà que la solution conteneurs l'emporte haut la main.

Une attaque verticale c'est du code traversé : de la requête web (…)

Forum général.général besoin d'infos : android sécurité

Posté par  . Licence CC By‑SA.
Étiquettes :
1
24
mai
2018

Le prochain article/wiki concernera Android et la sécurité (du point de vue utilisateur). En vue de sa construction, je souhaiterais donc vos retours d'expérience, astuces et bonnes pratiques en vrac. Je ferai le tri, aucune information n'est inutile.
Voici le lien vers le brouillon de l'original, en attendant la création de la page wiki sur linuxfr dont je posterai le lien ici même si je puis encore édité. (vous tracassez pas, la version finale sera épurée des trolls et (…)

Qubes OS 4.0

Posté par  . Édité par Davy Defaud, Nils Ratusznik, palm123, ZeroHeure et bubar🦥. Modéré par Nils Ratusznik. Licence CC By‑SA.
Étiquettes :
32
21
mai
2018
Distribution

L’équipe de Qubes OS a publié la version 4.0 de sa distribution le 28 mars 2018. Qubes OS est un système d’exploitation focalisé sur la sécurité qui se situe à mi‐chemin entre une distribution classique et un hyperviseur. Il s’appuie sur l’hyperviseur Xen et propose un système sécurisé basé sur l’isolation.

Logo de Qubes OS