Bonjour les gens,

je viens de découvrir avec étonnement que si on enregistre ses mots de passe avec le navigateur Chrome sans utiliser de phrase secrète, et que l'on ouvre une session Google pour y enregistrer ses mots de passe, ceux ci sont enregistrés "en clair" chez Google !

https://support.google.com/chrome/answer/1181035?p=settings_encryption&rd=1

If you set a passphrase, you can use Google's cloud to store and sync your data without letting Google read it.

Si vous n'utilisez pas de phrase secrète, vos mots de (…)

Pour rappel, ProtonMail se veut être un service de messagerie web sécurisé.

Il y a u peu plus d'un an, une campagne de financement participatif a permis de récolter plus de 500000 dollars pour ce projet. Depuis, plusieurs annonces avaient été faites concernant leur volonté de publier le code source du front-end sous licence libre.

C'est maintenant effectif avec la sortie de la version 2.0 annoncée le 13 août 2015. Le code est disponible sur GitHub sous licence MIT (…)

Une faille critique a été repéré par un utilisateur (Cody Crews ?): certaines publicités de sites web slaves essayaient d’exploiter une vulnérabilité dans le lecteur PDF intégré de Firefox. Donne javascript serait injecté pour accéder à certains fichiers.

On Linux the exploit goes after the usual global configuration files like /etc/passwd, and then in all the user directories it can access it looks for .bash_history, .mysql_history, .pgsql_history, .ssh configuration files and keys, configuration files for remina (…)

C'est marrant de voir comment toute faille découverte doit avoir son petit nom maintenant. C'est à celui qui aura la plus grosse le plus de succès.

Il n'empêche que celle-ci à l'air pas mal. La société Zimperium a annoncée sur son blog la découverte d'une faille qui toucherait 95% des mobiles Android. Celle-ci permettrait d'exécuter du code à distance uniquement avec un numéro de téléphone, le votre, et un MMS.

La faille se situerait dans la bibliothèque de lecture (…)

Petit journal bookmark d'importance pour ceux travaillant dans des environnements avec des machines sous >indows et donc équipées d'Internet Explorer.

Après 120 jours sans correction de la part de Microsoft, le Zero Day Initiative publie 4 failles 0 day. Elle peuvent permettre l'exécution de code à distance avec les droits de l'utilisateur local.

Ils conseillent aussi de ne pas utiliser ce navigateur tant que les corrections ne sont pas disponibles.

Source :
http://www.zone-numerique.com/quatre-failles-zero-day-ne-seraient-toujours-pas-corrigees-au-sein-dinternet-explorer.html

Juste un petit journal pour vous signaler un post intéressant de Theo de Raadt (leader d'OpenBSD) sur la liste "Tech".
Dans ce post il présente tame, un outil sur lequel il travaille depuis un certain temps et qui vise à réduire les droits d'un programme afin de diminuer la surface d'attaque.

Theo commence par évoquer très brièvement les alternatives et pourquoi, selon lui, elles ne conviennent pas.

• Capsicum nécessite de réécrire profondément le programme qui sera protégé.
• D'autres approches (…)

Cher journal,
Je sais que le hacking a mauvaise réputation (et beaucoup trop de définition qui s’entremêle) mais aujourd'hui j'aimerai te faire pars de la compromission d'une entreprise italienne qui (au yeux de la population) le mérite. Cette société a pour nom "Hacking Team", et même si un tel nom ne fait pas vraiment sérieux ils n'ont rien de trois gus dans un garage.

Les faits en deux mots.

Tout débute fin du WE (5 juillet 2015) par un tweet (…)

Il y a quelques mois, gouttegd nous faisait un cours magistral sur l'usage d'OpenPGP sur les cartes à puce et récidivait sur le sujet de la gestion des clés.

Ce comportement inadmissible mérite que l'on s'y intéresse de plus près. J'ai donc décidé de me lancer dans l'aventure et de générer moi aussi ma clé PGP. J'espère donc ici apporter un complément aux excellents articles pondus par gouttegd en expliquant comment j'ai posé les premières pierres de (…)

Bonjour Nal,

C'est vendredi, alors c'est un bon jour !

La cryptographie, c'est compliqué, et sa mise en œuvre est un champs de mines. C'est bien beau tout ça, mais on est en droit d'en attendre quoi aujourd'hui ?

Je vous propose de voir ce qui est simple et ce qui ne l'est pas, d'un point de vu centré sur l'utilisateur.

Chat entre deux personnes (anonyme)

C'est un terrain connu, et l'idée même est déjà utilisée par les réseaux informatiques. OTR est (…)

Titre racoleur assumé.

J’étais en train de répondre au journal qui traite de comment on pourrait obtenir une solution de chiffrement accessible à tous quand je me suis dit qu’un journal serait peut-être plus approprié pour mettre en avant ma réflexion sur le sujet.

La question est intéressante, donc prenons le temps d’y réfléchir.

Réflexion

Le chiffrement, qu’il soit symétrique ou asymétrique nécessite des clés de chiffrements.

La possession de ces clés assure la confidentialité, l’intégrité et parfois l’authentification des (…)