Pour rappel, ProtonMail se veut être un service de messagerie web sécurisé.
Il y a u peu plus d'un an, une campagne de financement participatif a permis de récolter plus de 500000 dollars pour ce projet. Depuis, plusieurs annonces avaient été faites concernant leur volonté de publier le code source du front-end sous licence libre.
C'est maintenant effectif avec la sortie de la version 2.0 annoncée le 13 août 2015. Le code est disponible sur GitHub sous licence MIT (…)
Une faille critique a été repéré par un utilisateur (Cody Crews ?): certaines publicités de sites web slaves essayaient d’exploiter une vulnérabilité dans le lecteur PDF intégré de Firefox. Donne javascript serait injecté pour accéder à certains fichiers.
On Linux the exploit goes after the usual global configuration files like
/etc/passwd, and then in all the user directories it can access it looks for.bash_history,.mysql_history,.pgsql_history, .ssh configuration files and keys, configuration files for remina (…)
C'est marrant de voir comment toute faille découverte doit avoir son petit nom maintenant. C'est à celui qui aura la plus grosse le plus de succès.
Il n'empêche que celle-ci à l'air pas mal. La société Zimperium a annoncée sur son blog la découverte d'une faille qui toucherait 95% des mobiles Android. Celle-ci permettrait d'exécuter du code à distance uniquement avec un numéro de téléphone, le votre, et un MMS.
La faille se situerait dans la bibliothèque de lecture (…)
Petit journal bookmark d'importance pour ceux travaillant dans des environnements avec des machines sous >indows et donc équipées d'Internet Explorer.
Après 120 jours sans correction de la part de Microsoft, le Zero Day Initiative publie 4 failles 0 day. Elle peuvent permettre l'exécution de code à distance avec les droits de l'utilisateur local.
Ils conseillent aussi de ne pas utiliser ce navigateur tant que les corrections ne sont pas disponibles.
Juste un petit journal pour vous signaler un post intéressant de Theo de Raadt (leader d'OpenBSD) sur la liste "Tech".
Dans ce post il présente tame, un outil sur lequel il travaille depuis un certain temps et qui vise à réduire les droits d'un programme afin de diminuer la surface d'attaque.
Theo commence par évoquer très brièvement les alternatives et pourquoi, selon lui, elles ne conviennent pas.
Cher journal,
Je sais que le hacking a mauvaise réputation (et beaucoup trop de définition qui s’entremêle) mais aujourd'hui j'aimerai te faire pars de la compromission d'une entreprise italienne qui (au yeux de la population) le mérite. Cette société a pour nom "Hacking Team", et même si un tel nom ne fait pas vraiment sérieux ils n'ont rien de trois gus dans un garage.
Tout débute fin du WE (5 juillet 2015) par un tweet (…)
Pour cette 4ème édition, et à la demande des participants, 3 jours de conférences sur le noyau Linux au coeur de Paris : mercredi 30 septembre, jeudi 1er et vendredi 2 octobre. Le format a été conservé : une seule salle, une audience d'une centaine de personnes, ce qui laisse la part belle aux interactions entre participants et avec les intervenants.
Cette année encore, nous vous avons concocté un programme de conférences qui balaie les actualités et les fondamentaux du projet kernel.org : organisation du projet, aller plus loin dans les sous-systèmes, virtualisation, développement, embarqué…
Il y a quelques mois, gouttegd nous faisait un cours magistral sur l'usage d'OpenPGP sur les cartes à puce et récidivait sur le sujet de la gestion des clés.
Ce comportement inadmissible mérite que l'on s'y intéresse de plus près. J'ai donc décidé de me lancer dans l'aventure et de générer moi aussi ma clé PGP. J'espère donc ici apporter un complément aux excellents articles pondus par gouttegd en expliquant comment j'ai posé les premières pierres de (…)
Bonjour Nal,
C'est vendredi, alors c'est un bon jour !
La cryptographie, c'est compliqué, et sa mise en œuvre est un champs de mines. C'est bien beau tout ça, mais on est en droit d'en attendre quoi aujourd'hui ?
Je vous propose de voir ce qui est simple et ce qui ne l'est pas, d'un point de vu centré sur l'utilisateur.
C'est un terrain connu, et l'idée même est déjà utilisée par les réseaux informatiques. OTR est (…)
Titre racoleur assumé.
J’étais en train de répondre au journal qui traite de comment on pourrait obtenir une solution de chiffrement accessible à tous quand je me suis dit qu’un journal serait peut-être plus approprié pour mettre en avant ma réflexion sur le sujet.
La question est intéressante, donc prenons le temps d’y réfléchir.
Le chiffrement, qu’il soit symétrique ou asymétrique nécessite des clés de chiffrements.
La possession de ces clés assure la confidentialité, l’intégrité et parfois l’authentification des (…)
Bonjour,
Est-ce qu'il est possible de devenir sa propre autorité de certification intermédiaire ?
Je m'explique. J'ai un certificat wildcard pour *.domaine.tld, et j'aimerais savoir si avec la clé de celui-ci il serait possible de signer des CSR pour pour les sous-domaine de domaine.tld et d'inclure le certificat du wildcard dans la chaîne de certificats.
L'objectif étant de pouvoir isoler la clé privé de mon wildcard sur une machine hors-ligne, et de pouvoir ainsi générer et révoquer des certificats au (…)
Salut,
Un petit journal pour vous parler de problèmes de sécurité liés à la présence d'accéléromètres sur les téléphones.
L'avantage d'une telle attaque, c'est que l'utilisation des accéléromètres passe inaperçu pour l'utilisateur, et qu'il n'y a pas besoin de permissions spéciales sur Google Play, ce qui n'est pas le cas de l'utilisation du GPS ou des caméras frontales et arrières (pour, par exemple, reconstruire une vue tridimensionnelle de l'endroit où vit l'utilisateur, et récupérer des numéros de carte de crédit (…)
Vous l'attendiez, elle est enfin arrivée, la nouvelle version de radare2, la 0.9.9, nom de code "Almost there"!
Radare est un framework complet d'analyse et de désassemblage de binaires. Plutôt que de vous inviter à lire chaque commit, voici un résumé des nouveautés dans la seconde partie.
Cette année encore, le thème Sécurité des RMLL revient vous proposer une variété de conférences autour de la Sécurité et des Logiciels Libres. Le thème commencera le lundi 6 Juillet 2015 à 14h et se terminera mercredi 8 Juillet 2015 après-midi. Les RMLL se déroulent cette année à Beauvais du samedi 4 Juillet 2015 au vendredi 10 Juillet 2015.
Comme c'est désormais une habitude, les conférences du thème Sécurité sont toutes données en anglais afin d'accueillir le mieux possible aux RMLL les spectateurs mais aussi les conférenciers non francophones.
Alors, qu'a-t-on au menu cette année ? Vous le saurez en lisant la suite de l'article.
La dernière dépêche de cette catégorie LinuxFr.org qui ne soit pas une dépêche récurrente type « Les meilleurs journaux du mois » ou « Les prix du mois » ou « Les statistiques de l'année » remonte à mai 2014 pour une mise à jour du serveur. Voici donc, à l'aube de l'été, quelques actualités de type « en coulisses ».
