Journal Assurer la sécurité informatique sur le modèle de la sécurité alimentaire

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
12
2
fév.
2021

En regardant ce qui permet aux attaquants de réussir à pénétrer ou altérer des systèmes informatiques, on constate qu'une des causes principales est l'utilisation de logiciels ou technologies obsolètes. Nous, développeurs et administrateurs, savons identifier les outils trop vieux et plus assez sécurisés, donc dangereux, mais cette culture est difficilement partagée avec les utilisateurs et décideurs.

Pour pallier à ce problème, je propose qu'on se mette à utiliser deux outils simples et efficaces en matière de sécurité alimentaire :

Contrat vaccinal Commission européenne / AstraZeneca, comment (ne pas) masquer les infos d'un PDF

Posté par  (site web personnel) . Édité par Ysabeau 🧶 et Pierre Jarillon. Modéré par Ysabeau 🧶. Licence CC By‑SA.
Étiquettes :
31
31
jan.
2021
Sécurité

En 2012, j’avais écrit cette dépêche Rapport PDF de l’Hadopi, ou comment (ne pas) masquer une adresse IP qui montrait une erreur de caviardage d’information d’un document au format PDF par l’HADOPI, et qui discutait ensuite des deux mythes autour des fichiers PDF : une prétendue inaltérabilité et le caviardage à la truelle.

L’actualité récente nous permet de revenir une nouvelle fois sur le sujet.

  • cela pourrait être à propos de cette discussion surréaliste sur un réseau social bien connu (« (question) vous pensez qu’on peut lire sous le bloc noir de ce document administratif ? (réponse) des fois le caviardage est mal fait (riposte) arrêtez d’aider les administrations ») ;
  • mais je pense surtout à la Commission européenne qui a publié une version caviardée du contrat vaccinal avec AstraZeneca, version qui est plus bavarde que prévu. L’info serait accessible « en utilisant simplement la fonction signets d’Acrobat Reader », comme évoqué ou plus largement dans la presse 1, 2, 3, 4, 5, 6, ou 7), et si le document en ligne a été remplacé, une copie de la première version est toujours en ligne.

Profitons-en pour rappeler que depuis sa version 6.3, LibreOffice offre une fonction de caviardage (voir les annonces dans ce journal et cette dépêche).

OpenWifiPass, l'accès Wifi facile et des bâtons dans la pomme

Posté par  . Édité par Benoît Sibaud. Modéré par Benoît Sibaud. Licence CC By‑SA.
Étiquettes :
18
30
jan.
2021
Sécurité

Dans un journal au menu d’à côté, on parlait des imprimantes sans pilotes (driverless) qui se répandent doucement. Il y a aussi les scanners sans pilotes qui doivent suivre. Mais chez la marque à la pomme, ils sont encore plus science-fiction : ils ont l’accès WiFi « codeless ». Si, si, sur iOS pas besoin d’ânonner le code super-cali-solidistique qui verrouille l’accès WiFi : en un clic de communication Bluetooth, vous donnez l’accès aux ami(e)s. Agréable, pratique et reposant.

Eh bien malgré les verrous d’Apple, Jannik Lorenz a eu la bonne idée de consacrer sa thèse préparée au SEEMO Lab (Secure Mobile Networking Lab) à faire de l’ingénierie inverse sur le protocole. Résultat, ça marche partout maintenant ! L’outil s'appelle OpenWifiPass, il est codé en Python et tourne sous Linux (GPLv3). Attention c’est une preuve de concept, ne pas l’utiliser en vrai (ou alors par goût du risque).

     
  logo du projet OWL  

Mais d’où ça sort ? Là-bas à Darmstadt les chercheurs de l'Open Wireless Link ont eu l’idée de déconstruire l’Apple Wireless Direct Link (AWDL) pour faire bénéficier toutes les plateformes de cet écosystème bien imaginé. OpenWifiPass est l'une des réussites.

Journal Comment j'ai (presque) réussi à ne plus retenir de mot de passe pour mes services en ligne

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
28
21
jan.
2021

Après quelques années d'errance, je suis presque au bout de mon périple pour atteindre l'objectif suivant:

  • Ne plus avoir de mot de passe à retenir
  • Avoir un niveau de sécurité supérieur ou égal au niveau de sécurité offert par un mot de passe seul
  • Avoir un spectre de moyens d'authentification suffisamment large pour pouvoir me connecter depuis différents supports.

Ce journal est donc un retour d'expérience et une description des différents outils que j'ai mis en place pour atteindre l'objectif (…)

Journal Retour sur rC3, le 37e CCC mais en distant

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
29
16
jan.
2021

Entre les fêtes de fin d’année devait avoir lieu le traditionnel Chaos Communication Congress (CCC), le 37ᵉ, par le Chaos Computer Club (CCC). Mais pour cause de pandémie, l’événement a eu lieu en ligne et a été rebaptisé rC3. Les sujets abordés sont variés : féminisme, Bruce Schneier, manifestations en Bulgarie, rançongiciel, conflit Arménie/Azerbaïdjan, AES, Cory Doctorow, jeu vidéo, les Yes Men, fuzzing, contenus pédagogiques, climat, rayons X, chaîne de blocs, Wikileaks, brevets, matériel ouvert, Digital Service (…)

Sortie de Snuffleupagus 0.7.0 - Los Elefantes

Posté par  (site web personnel) . Édité par Xavier Teyssier, Ysabeau 🧶, palm123, Anonyme, tisaac et Pierre Jarillon. Modéré par Xavier Teyssier. Licence CC By‑SA.
Étiquettes :
23
6
jan.
2021
PHP

Logo du projet

Snuffleupagus est un module pour PHP, version 7+ et maintenant 8+, qui a pour but d’augmenter drastiquement la difficulté des attaques contre les sites Web. Cela s’obtient, entre autres, via la désactivation de fonctions et de classes, et en fournissant un système de correctifs virtuels, permettant à l’administrateur de corriger des vulnérabilités spécifiques sans modifier le code PHP.

La version 0.7.0 sortie aujourd’hui, est un excellent prétexte pour reparler de ce projet sur LinuxFr.org

Quelques logiciels libres pour sécuriser le travail collaboratif en ligne

Posté par  . Édité par Benoît Sibaud, GG, BAud, Eric, olivierweb, orfenor, Ysabeau 🧶, thomasv, MariePa, gouttegd et Nils Ratusznik. Modéré par Benoît Sibaud. Licence CC By‑SA.
Étiquettes :
27
26
déc.
2020
Technologie

Cette dépêche est initialement basée sur le journal de MariePa, qui a été complété et enrichi pour lister des solutions libres pour le travail collaboratif sécurisé. Il y est donc question de clients libres, de serveurs libres, de chiffrement bout en bout, de confidentialité des données, etc.

Enquête sur la sécurité des logiciels Open Source

Posté par  . Édité par Ysabeau 🧶 et Nils Ratusznik. Modéré par Ysabeau 🧶. Licence CC By‑SA.
Étiquettes :
17
20
déc.
2020
Sécurité

Les Hubs Cyber & Security et Open Source du Pôle Systematic mènent une enquête sur les pratiques et besoins relatifs à la sécurité des logiciels Open Source.

L’Open Source apporte d'importants avantages pour la sécurité des applications, pouvant même être un avantage concurrentiel pour les industriels proposant des solutions de haut niveau de sécurité. De plus, certains processus de développement qui contribuent à la sécurité sont largement diffusés dans l’Open Source, et de nombreux outils Open Source sont disponibles pour la détection de vulnérabilités et les évaluations de sécurité. Enfin, l’Open Source est un élément indispensable de la confiance pour toutes les applications/infrastructures avec un fort risque pour la société en cas de détournement.

Forum Linux.débutant Devenir un hacker

Posté par  . Licence CC By‑SA.
Étiquettes :
3
18
déc.
2020

Bonjour à tous, je suis passionné par l’informatique et j’aimerais bien travailler dans la cyber sécurité, devenir en quelque sort un hacker ethics. J’aimerais savoir comment cracker des mots de passes, pirater un réseau… etc du bon côté évidemment 😁. Bien sûr je ne vous demande pas un tuto , mais j’aimerais savoir ce que je doit apprendre , par où commencer… etc
J’ai quelques connaissances en python
Et j’ai Kali Linux en dual boot sur mon pc.

Qd je (…)

Journal 4 outils open-source pour sécuriser le travail collaboratif en ligne

Posté par  . Licence CC By‑SA.
Étiquettes :
0
16
déc.
2020
Ce journal a été promu en dépêche : Quelques logiciels libres pour sécuriser le travail collaboratif en ligne .

L’année 2020 nous a prouvé la nécessité des outils digitaux qui permettent de maintenir la communication personnelle et professionnelle à distance. En même temps, cet épanouissement de collaboration en ligne rend le problème de sécurité et de confidentialité de données traitées, partagées, transférées en ligne encore plus aigu. Comment les protéger contre les parties tierces (hackers, fournisseurs des services cloud, services gouvernementaux, etc.) ? Le chiffrement de bout-en-bout, une forme de communication dans laquelle personne d'autre que l'utilisateur final ne (…)

Sortie de CrowdSec 1.0 : tutoriel d’utilisation

Posté par  (site web personnel) . Édité par Ysabeau 🧶, Benoît Sibaud et Davy Defaud. Modéré par Pierre Jarillon. Licence CC By‑SA.
Étiquettes :
21
15
déc.
2020
Sécurité

Le mois dernier, nous vous présentions CrowdSec, un logiciel de sécurité gratuit et open source déployable sur votre serveur, qui permet de détecter et bloquer les adresses IP malveillantes et de les partager avec toute la communauté d’utilisateurs.

Alors que la release de la v.1.0 est désormais disponible, et en attendant le paquet Debian qui arrivera très bientôt, nous vous invitons à découvrir les nouvelles fonctionnalités de la solution.

KeePass, ou apprendre à gérer correctement ses mots de passe

Posté par  . Édité par Ysabeau 🧶, Benoît Sibaud, Davy Defaud, Xavier Teyssier, Pierre Jarillon et audionuma. Modéré par patrick_g. Licence CC By‑SA.
Étiquettes :
65
26
nov.
2020
Sécurité

J’ai découvert KeePass par l’entremise du « store » de mon entreprise, et surtout d’un collègue qui me l’a chaudement conseillé.

Logo de KeyPass

Alors que les entreprises complexifient régulièrement la composition des mots de passe, elles mettent peu en avant la possibilité de les gérer sereinement. D’aucuns s’en sortent par des astuces mnémotechniques, d’autres avec des post‑it, des fichiers, etc. Bref, artisanalement. C’est alors que KeePass peut intervenir…