L’équipe de Qubes OS a publié la version 4.0 de sa distribution le 28 mars 2018. Qubes OS est un système d’exploitation focalisé sur la sécurité qui se situe à mi‐chemin entre une distribution classique et un hyperviseur. Il s’appuie sur l’hyperviseur Xen et propose un système sécurisé basé sur l’isolation.
Root-me est un MOOC (Massive Open Online Course) de sécurité informatique. Root Me permet à chacun de tester et d’améliorer ses connaissances dans le domaine de la sécurité informatique et du hacking. Cette communauté met librement à disposition une plateforme dédiée à l’apprentissage du ethical hacking.
Pour répondre aux fortes demandes des entreprises, notamment pour des challenges inter-entreprises et d'autres spécificités, Root-me.pro est né :
Demat' iNal,
En fin de semaine dernière, je reçois un courriel (oh, ce terme doucement désuet) des mainteurs de PyPI me félicitant pour mes trois projets promus "projets critiques", ce qui, à l'instar de mère-grand félicitant un jeune homme d'être costaud, puis s'empressant de lui demander de ranger sa valise dans le wagon TGV, me demande de mettre en place une authentification à deux-facteurs pour mon compte PyPI.
Petit retour sur cette expérience.
Déjà on comprend la motivation : Il (…)
Root Me permet à chacun de tester et d’améliorer ses connaissances dans le domaine de la sécurité informatique et du hacking. Cette communauté met librement à disposition une plateforme dédiée à l’apprentissage du hack, en publiant notamment des challenges avec leur solution, des articles, mais également des environnements virtuels au travers du "CTF all the day".
Le système de CTF all the day évolue :
Le premier challenge a bénéficier de cette évolution est « Bluebox - Pentest », vous vous retrouvez dans la peau d'un pentester attaquant une infrastructure Microsoft Windows Active Directory complète : time to take a revenge ? ,-)
http://www.phpmyadmin.net/home_page/security/PMASA-2012-5.php
Une backdoor a été trouvée dans le package PhpMyAdmin qui se trouvait sur le miroir cdnetworks-kr-1 de SourceForge.net.
Il est probable que d'autres packages présents sur ce miroir ait été modifiés pour inclure des backdoors, je vous suggères donc de vérifier et revérifier la source de vos différents packages si vous avez téléchargé des packages de SourceForge dernièrement.
NdM : journal promu en dépêche.
Le logiciel Self Service Password est développé au sein du projet LDAP Tool Box. Il fournit une interface permettant aux utilisateurs de changer leur mot de passe dans un annuaire LDAP, y compris Active Directory ou Samba 4.
Outre le changement de mot de passe simple, l’interface propose de réinitialiser son mot de passe en cas de perte, soit par l’envoi d’un courriel, soit par la réponse à des questions, soit par l’envoi d’un SMS.
Les contraintes de qualité du mot de passe sont paramétrables : taille minimale, maximale, présence de différentes classes de caractères, caractères interdits, contrôle de la valeur par rapport à l’ancien mot de passe ou à l’identifiant.
Le logiciel Self Service Password est écrit en PHP et est sous licence publique générale GNU. La version 1.0 est sortie le 14 octobre 2016.
Je viens de lire une analyse à propos de mots de passe réels. On y trouve confirmation à grande échelle de ce que chaque utilisation de Jack The Ripper montre: la plupart des mots de passe, c'est du basique.http://www.troyhunt.com/2011/07/science-of-password-selection.html
Beaucoup dissertent au sujet des mots de passe super solides. Alors que je trouve, c'est un point de vue personnel, qu'un mot de passe relativement simple suffit. A partir du moment où il n'est pas possible de faire des millions (…)
Salut,
Un petit journal pour vous parler de problèmes de sécurité liés à la présence d'accéléromètres sur les téléphones.
L'avantage d'une telle attaque, c'est que l'utilisation des accéléromètres passe inaperçu pour l'utilisateur, et qu'il n'y a pas besoin de permissions spéciales sur Google Play, ce qui n'est pas le cas de l'utilisation du GPS ou des caméras frontales et arrières (pour, par exemple, reconstruire une vue tridimensionnelle de l'endroit où vit l'utilisateur, et récupérer des numéros de carte de crédit (…)
En 2012, j’avais écrit cette dépêche Rapport PDF de l’Hadopi, ou comment (ne pas) masquer une adresse IP qui montrait une erreur de caviardage d’information d’un document au format PDF par l’HADOPI, et qui discutait ensuite des deux mythes autour des fichiers PDF : une prétendue inaltérabilité et le caviardage à la truelle.
L’actualité récente nous permet de revenir une nouvelle fois sur le sujet.
Profitons-en pour rappeler que depuis sa version 6.3, LibreOffice offre une fonction de caviardage (voir les annonces dans ce journal et cette dépêche).
Ce seraient les documents du G20 qui intéresseraient les pirates du Net
http://www.leparisien.fr/economie/g20-bercy-reconnait-que-ses-ordinateurs-ont-ete-espionnes-07-03-2011-1347144.php
Encore une administration qui a oublié d'installer le pare-feu OpenOffice. Je pense qu'on devrait leur couper la connexion Internet pour négligence caractérisée !
Quand a ceux qui incriminerait la sécurité intrinsèque de Windows, Outlook et Internet Explorer, je les arrêtes net. Je rappelle que Balmer a eu la légion d'honneur, lui il « comprend les valeurs humanistes de la France et de l’Europe » ! Rien a (…)
Une installation standard de Debian permet de déchiffrer son disque / au démarrage à l'aide d'une carte à puce GPG (type yubikey, nitrokey, librem key ou autre). Ce journal vise à mettre en avant cette option méconnue.
En partant d'une installation Debian standard avec chiffrement (le disque / est alors placé sous /dev/sda5, le déverrouillage se fait initialement par mot de passe), il faut modifier le fichier /etc/crypttab :
sda5_crypt UUID=... /etc/cryptsetup-initramfs/root_key.asc luks,discard,keyscript=/lib/cryptsetup/scripts/decrypt_gnupg-sc
Il faut ensuite (…)
Bon, l'heure est grave, npm est complètement pété. Globalement, des hackers ont pris le contrôle de pas mal de paquets npm et en profitent pour voler pleins de trucs.
un user/dev fait un npm update/install puis par le jeu des dépendances on se retrouve a download et exec un paquet compromis.
Y'a pas longtemps un pirate a installé des paquets pour voler des cryptomonnaies. Bon il a pas été très intelligent et il s'est vautré dans l'adresse de son wallet (…)
Salut 'nal.
Il y a quelques mois, je me suis mis au langage Rust qui était alors le plus plébiscité de StackOverflow (et ce quatre années de suite…) et qui arrive second au dernier AOC sur Redit.
Les début de la noce furent belle. Cependant, après moins d'une semaine, j'ai du faire une pose qui dura plus longtemps que prévu, et au retour il ne fut pas aisé de se remettre dans la syntaxe cryptique. Ce n'est pas le (…)
Le Chaos Computing Club vient d'annoncer la découverte in the wild d'un backdoor gouvernemental allemand pour Windows.
Dans son analyse d'une vingtaine de page, le CCC signale de nombreuses failles permettant à de tierces parties d'obtenir le contrôle sans autorisation de la machine infectée.
La firme F-Secure a rajouté la signature de ce backdoor sous le nom Backdoor:W32/R2D2.A.
Il semblerait que les dev de ce code soient des fans de StarWars:
Mais oui, vous le connaissez ce projet : https://haveibeenpwned.com/
Troy Hunt était à la recherche d'un acheteur, avec tout un tas de critères bien stricts. Mais finalement, pas d'acheteur : https://www.troyhunt.com/project-svalbard-have-i-been-pwned-and-its-ongoing-independence/
Pour résumé, il n'en est resté qu'un qui, après de longs mois de négociations exclusives, a changé de modèle commercial, et ne correspondait plus aux critères. Ce qui a été reconnu par les deux parties d'ailleurs.
Troy est fatigué, et ne veut pas recommencer ce long processus, et (…)