Forum général.général [SSL/TLS] Devenir sa propre autorité de certification intermédiaire ?

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
1
9
juin
2015

Bonjour,

Est-ce qu'il est possible de devenir sa propre autorité de certification intermédiaire ?

Je m'explique. J'ai un certificat wildcard pour *.domaine.tld, et j'aimerais savoir si avec la clé de celui-ci il serait possible de signer des CSR pour pour les sous-domaine de domaine.tld et d'inclure le certificat du wildcard dans la chaîne de certificats.

L'objectif étant de pouvoir isoler la clé privé de mon wildcard sur une machine hors-ligne, et de pouvoir ainsi générer et révoquer des certificats au (…)

Sortie de radare2 0.9.9 - Almost there

Posté par  (site web personnel) . Édité par palm123, tuiu pol, Benoît Sibaud et patrick_g. Modéré par patrick_g. Licence CC By‑SA.
Étiquettes :
58
8
juin
2015
Sécurité

Vous l'attendiez, elle est enfin arrivée, la nouvelle version de radare2, la 0.9.9, nom de code "Almost there"!
Radare est un framework complet d'analyse et de désassemblage de binaires. Plutôt que de vous inviter à lire chaque commit, voici un résumé des nouveautés dans la seconde partie.

Journal Les solutions cryptographiques aujourd'hui : le simple et le compliqué

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
12
12
juin
2015

Bonjour Nal,

C'est vendredi, alors c'est un bon jour !

La cryptographie, c'est compliqué, et sa mise en œuvre est un champs de mines. C'est bien beau tout ça, mais on est en droit d'en attendre quoi aujourd'hui ?

Je vous propose de voir ce qui est simple et ce qui ne l'est pas, d'un point de vu centré sur l'utilisateur.

Chat entre deux personnes (anonyme)

C'est un terrain connu, et l'idée même est déjà utilisée par les réseaux informatiques. OTR est (…)

Journal Sécurité et accéléromètres de téléphones

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
31
8
juin
2015

Salut,

Un petit journal pour vous parler de problèmes de sécurité liés à la présence d'accéléromètres sur les téléphones.

L'avantage d'une telle attaque, c'est que l'utilisation des accéléromètres passe inaperçu pour l'utilisateur, et qu'il n'y a pas besoin de permissions spéciales sur Google Play, ce qui n'est pas le cas de l'utilisation du GPS ou des caméras frontales et arrières (pour, par exemple, reconstruire une vue tridimensionnelle de l'endroit où vit l'utilisateur, et récupérer des numéros de carte de crédit (…)

Thème Sécurité RMLL 2015 : don't TRUST your USB KEY? don't be FIR, take a new one in the CONTAINER

Posté par  (site web personnel) . Édité par Benoît Sibaud, Pierre Jarillon et palm123. Modéré par patrick_g. Licence CC By‑SA.
Étiquettes :
13
8
juin
2015
RMLL/LSM

Cette année encore, le thème Sécurité des RMLL revient vous proposer une variété de conférences autour de la Sécurité et des Logiciels Libres. Le thème commencera le lundi 6 Juillet 2015 à 14h et se terminera mercredi 8 Juillet 2015 après-midi. Les RMLL se déroulent cette année à Beauvais du samedi 4 Juillet 2015 au vendredi 10 Juillet 2015.

Comme c'est désormais une habitude, les conférences du thème Sécurité sont toutes données en anglais afin d'accueillir le mieux possible aux RMLL les spectateurs mais aussi les conférenciers non francophones.

Alors, qu'a-t-on au menu cette année ? Vous le saurez en lisant la suite de l'article.

Forum Linux.général [USB] Demande de mot de passe

Posté par  . Licence CC By‑SA.
Étiquettes :
1
12
mai
2015

Bonjour à tous,

Je suis nouveau sur le forum. (J'espère ne pas poster au mauvaise endroit).

J'aimerais savoir si il est possible lors de la connexion d'un périphérique usb, de demander un mot de passe, si le mot de passe n'est pas saisie, le périphérique n'est pas monté.

Je ne sais pas du tout si une solution comme celle-ci existe, je cherche en parallèle à ma demande ici.

Merci bien !

Cordialement.

Système : Debian 8

Journal Un journaliste suspecté de terrorisme par Skynet ou les limites des recoupements des méta-données

Posté par  . Licence CC By‑SA.
Étiquettes :
15
13
mai
2015

Skynet est un autre des nombreux programmes de la National Security Agency qui utilise les méta-données des communications et la localisation pour identifier les terroristes.

Ahmad Muaffaq Zaidan est un journaliste qui a voyagé au Pakistan et en Afghanistan et rencontré des hauts dirigeants d'Al-Qaida y compris Ben Laden.

En analysant une base de données de 55 millions relevés téléphoniques, son nom est ressorti comme terroriste et membre d'Al-Qaida et de la fraternité musulmane.

Mais c'est un journaliste qui ne (…)

Cybersécurité : des enjeux et des techniques au cœur de l’actualité (Évry, 16 avril 2015)

Posté par  . Édité par Benoît Sibaud et palm123. Modéré par bubar🦥. Licence CC By‑SA.
Étiquettes :
10
11
avr.
2015
Sécurité

L'association étudiante MiNET, fournisseur d'accès internet sur les campus des écoles Télécom SudParis et Télécom École de Management, organise jeudi 16 avril 2015 à Évry un après-midi de conférences autour de la cybersécurité et de la protection des données personnelles.

Depuis que Edward Snowden a révélé en juin 2013 les agissements de la NSA, le grand public a ouvert les yeux sur l'enjeu majeur qu'est la cybersécurité. En effet nous confions de plus en plus de données à différents acteurs du web. Pourtant l'accumulation récente de fuites montrent que nos données sont vulnérables : le piratage de photos personnelles de célébrités sur icloud, l'arrêt des services live de Microsoft et Sony à Noël…

Durant cet après-midi nos six conférenciers (liste en seconde partie de la dépêche) aborderont un large spectre de problématiques liées à la cybersécurité. Le but est de proposer une ouverture sur des domaines bien spécifiques (méthode de triage en forensic, cyberterrorisme, threat intelligence, etc…) tout en posant la problématique de ce que nous, en tant qu'individus, faisons de nos données privées.`

Qui a accès à nos données ? Comment ? Qu'en font-ils ?

Journal ulimits: appliquer des limitations de ressources sans PAM

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
28
4
mai
2015

Je présente ici un petit outil sans prétention de mon cru, ulimits, qui permet d’appliquer des limitations de ressources aux utilisateurs de systèmes dépourvus de PAM.

Les limitations de ressources

Les « limitations de ressources » (resource limits) sont un mécanisme permettant d’empêcher un utilisateur de faire un usage abusif des ressources d’une machine. Il est ainsi possible d’empêcher un utilisateur de créer trop de processus, de créer des fichiers trop gros, de poser trop de verrous, de consommer (…)

OpenBSD 5.7 « Blues Brothers »

Posté par  (site web personnel) . Édité par BAud, palm123, Loïc Blot, karchnu, Xavier Teyssier, Nils Ratusznik, Nÿco, Dareg, Benoît Sibaud, zurvan, Rolinh, claudex, Ellendhel, Cédric Krier et ZeroHeure. Modéré par ZeroHeure. Licence CC By‑SA.
Étiquettes :
53
1
mai
2015
OpenBSD

Le premier mai, OpenBSD est de sortie, comme chaque année.

OpenBSD est un système d'exploitation orienté sécurité et réseau, dont les principaux avantages sont la stabilité, grâce aux audits sur le code source, mais également l'ensemble très large de fonctionnalités réseau qu’il fournit.

Le changement majeur de cette version est dans la continuité du fork d’OpenSSL, LibreSSL (cf. Bob Beck, LibreSSL - The first 30 days and the Future, BSDcan 2014 ; Ted Unangst, LibreSSL: More Than 30 Days Later, EuroBSDCon 2014). En effet, neuf jours après la sortie d'OpenBSD 5.6, la vulnérabilité POODLE a pointé son nez. Adieu SSL 3, SSH 1 et MD5 !

Ont contribué à cette dépêche (par ordre de dispersion) : BAud, karchnu, Loïc Blot, Xavier Teyssier, palm123, zurvan, Cédric Krier, Rolinh, Xavier Claude, Ellendhel, Dareg, Nÿco, Stéphane Aulery. Aucune moule n'a été blessée durant la rédaction.

OpenBSD

Remonter une attaque et trouver la faille avec les logs d'Apache2

Posté par  (site web personnel) . Édité par Nÿco, Benoît Sibaud, palm123, Nils Ratusznik et Ontologia. Modéré par Benoît Sibaud. Licence CC By‑SA.
Étiquettes :
60
4
mai
2015
Sécurité

Nous allons voir dans cet article comment remonter une attaque suite au piratage d'un site avec les logs d'Apache. On partira du principe que Apache est déjà configuré pour mettre ses logs dans /var/log/apache2 et dans les fichiers access.log et error.log.

Journal Quelques nouvelles concernant la sécurité

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
20
28
avr.
2015

Bon journal !

Tout d'abord, dans le monde d'Apple, la CIA a financé un groupe de recherche sur plusieurs années visant à passer outre les mesures de sécurités mises en place par l'entreprise. L'idée primaire étant d'essayer de récupérer les clé secrètes sur chaque appareil. Par exemple, une version d'XCode frauduleuse permettrait à tout développeur d'application d'ajouter une partie malveillante à son logiciel qui sera ensuite distribué sur l'Apple Store, et tout le reste (même si la manière de distribuer cette (…)

No Limit Secu : épisode sur le forensic et DFF (framework opensource dédié au forensic)

Posté par  . Édité par Nils Ratusznik et Benoît Sibaud. Modéré par ZeroHeure. Licence CC By‑SA.
Étiquettes :
14
27
avr.
2015
Sécurité

Cette semaine, l'épisode de No Limit Secu est dédié à la criminalistique (forensic) et au logiciel libre DFF (Digital Forensics Framework, boîte à outil de criminalistique numérique, licence GPL).

NoLimitSecu

Dans cet épisode, nous abordons les points suivants :

  • Qu'est-ce que le forensic ?
  • Quelles sont les problématiques liées à la pratique du forensic ?
  • Solal Jacob répond à nos questions sur DFF.

DFF est un cadriciel qui peut être utilisé à la fois par des professionnels et non-experts afin de recueillir et de révéler des preuves numériques en préservant les systèmes et les données.

Journal Encfs déclaré relativement peu sûr

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
26
26
avr.
2015

Bonjour… nal (allez quoi, la tradition).

Je fais un petit journal qui fait écho à celui paru en début de mois et qui annonçait TrueCrypt « relativement sûr ».

Suite aux annonces de 2014 concernant ce dernier, j'avais migré mes backups vers un volume Encfs, au travers de la bien sympathique application Gnome Encfs. Bref ce soir je met à jour ma Ubuntu et paf :

According to a security audit by Taylor Hornby (Defuse Security), the current implementation of Encfs is (…)

Podcast francophone dédié à la cybersécurité : No Limit Secu

Posté par  . Édité par Nils Ratusznik, Benoît Sibaud et palm123. Modéré par Benoît Sibaud. Licence CC By‑SA.
Étiquettes :
19
21
avr.
2015
Sécurité

Un épisode sur NAXSI un WAF — parefeu applicatif pour le web — open-source avec Thibault Koechlin et Sébastien Plot : quoi de mieux comme occasion pour porter à votre connaissance l'existence d'un podcast (ou bala(do)diffusion) dédié à la cybersécurité ?

No Limit Secu est un podcast indépendant, animé par des personnes passionnées qui sont parties prenantes dans le domaine de la cybersécurité à des rôles et dans entreprises diverses.

logo de No Limit Secu

L'équipe du podcast prend beaucoup de plaisir à réaliser ces épisodes et souhaite partager cela avec la communauté LinuxFr.org. Dans la mesure du possible, un nouvel épisode est publié chaque semaine. C'est donc aussi l'occasion de vous proposer de contribuer à un épisode si vous souhaitez aborder une problématique ou traiter d'un sujet dans lequel vous êtes impliqué(e) (bien entendu, dans le domaine de la cybersécurité). Pour cela, vous pouvez contacter l'équipe via Twitter : @nolimitsecu.