In fact, the vulnerability I found on #Tchap is a problem that comes from the Python email.utils module 😨
The parseaddr method seems very broken, you should not use it at all. Let me show you why. 1/ pic.twitter.com/qvEEqo9Usn
— Elliot Alderson (@fs0c131y) April 19, 2019
Voilà en gros où j'en suis, donc si quelqu'un a un tuyau pour le boss de la fin, je suis vraiment preneur !
Pour moi, la réponse est souvent de changer d'hébergeur. À court terme, je convainc mes amis d'utiliser leur compte google et la fonction d'import IMAP/POP3. Cela leur permet de garder la même adresse. Outlook et Hotmail ne sont pas des exemples en matière de sécurité, de toute façon.
À long terme, je prône l'auto hébergement, sachant que ce pourrait être plus simple, et j'essaie de le rendre plus accessible.
J'aurais aimé voir dans ce journal quelques informations critiques sur le chiffrage des messages, les licences du logiciel client et du logiciel serveur, etc.
Ce n'est pas comme si il n'y avait rien du côté de l'open source.
Avec mes amis, j'utilise Signal, et j'en suis très satisfait. Chiffrage client/serveur, licence libre pour les clients et le serveur: https://github.com/signalapp
Mais bon, c'est tout de même bien de savoir ce qui se fait du côté obscur de la concurrence…
Lorsque je développe, souvent avec une machine virtuelle, je finis par rejouer les scripts plusieurs fois.
Il y a une limite avec LetsEncrypt qui t'empêche de demander les certificats trop souvent. Au bout de par exemple 15 fois, le serveur réponds que la limite est atteinte, et que tu n'aura plus de certificats avec 24h.
C'est nécessaire pour le développement.
Maintenant, c'est vrai que je pourrais limiter ce comportement à la phase de développement.
Il y a plusieurs manières de faire ce que tu veux, comme lire la clé de chiffrage à partir d'une clé USB, par exemple.
L'inconvénient est évidemment la sécurité.
Cela dit, j'ai 2/3 idées en tête pour résoudre ce souci.
Non, pour démarrer le serveur, il faut bien sûr entrer la phrase de passe.
C'est un compromis entre la sécurité que je suis prêt à faire. En même temps, le serveur ne redémarre que très rarement, par exemple après une mise à jour du noyau.
Les mises à jour noyau sont laissées à l'appréciation de l'administrateur. Personnellement, je ne le fais que dans les cas extrêmes, par exemple exploitable à distance, Spectre / Meltdown / etc.
Une mise à jour de sécurité qui concerne une faille exploitable avec un shell, c'est déjà moins grave.
*1 quid en cas de mises a jours ? Quid en cas de jbod/raid ? Quid si a un moment ca bug ? Quid si on oublie la clés de chiffrement ? Quid si le système de fichiers a des erreurs ? Quid si le cambioleur se barre avec la machine ? Quid de l'impacte machine sur x64 et ARM ? Quid de l'utilisation sur SSD, uSD ?
LUKS peut être vu comme une "couche de chiffrage" au dessus des pilotes de disque. En conclusion, rien n'est visible pour les divers programmes en espace utilisateur (JBOD/RAID)
Tu peux tout de même accéder à ton système avec un live CD moderne, du moment que tu entres ta phrase de passe. Idem si le système de fichier à des erreurs. Elles seront réparées par ext4 / btrfs / etc qui n'auront pas de connaissance de la couche de chiffrement.
Si tu pers ta phrase de passe, il y a une possibilité de backup là aussi chiffré. La clé de chiffrement est générée dynamiquement, et automatiquement stockée sur l'ordinateur qui a lancé le déploiement, avec Ansible.
Si le cambrioleur « se barre avec la machine », il pourra lire le contenu, dans le case suivants:
- Il connaît la phrase de passe,
- Ta phrase de passe est trop simple, et il dispose de moyens suffisants pour la casser…
- Il viens du futur, et les algorithmes de chiffrement se cassent avec des ordinateurs quantiques
- Ou bien:
Dans la majorité des cas, ton matériel se retrouve tout simplement sur eBay ou d'autres sites de vente en ligne…
Côté impact sur les performances, je n'en ai pas vu, et je ne pense pas que le disque d'un serveur de mail personnel soit le goulot d'étranglement du système.
N'hésite pas a en faire un tuto section wiki, avec des nimages et de bons retours d'expérience détaillé (*1) :)
Je dois pouvoir améliorer la documentation déjà existante, mais le projet que j'ai crée simplifie énormément la tâche. En gros, on a un fichier YAML de départ, un script Ansible qui lance une image docker et crée une image ISO Debian personnalisée, avec la phrase de passe déjà configurée.
Est-ce que tes machines étaient protégées contre le vol de données également?
En d'autre termes, est-ce que tes disques durs sont chiffrés avec LUKS ou même Cryptfs?
Le vol d'identité est également quelque chose de très lucratif, malheureusement.
Par exemple, le serveur d'emails que j'ai chez moi est chiffré avec LUKS.
je le conseille à tous ceux qui sont auto-hébergés, d'ailleurs, c'est quand cela arrive que c'est trop tard.
La théorie des croyances collectives ne constitue pas un passage à proprement parler, mais plutôt un des éléments formant la trame de fond de l'histoire de l'humanité.
Je n'ai pas trouvé de point où je suis en désaccord avec l'auteur, sauf peut être au début de lecture, lorsqu'il qualifie de religion certains courants politiques comme le capitalisme ou le communisme. Mais, je cite:
Si l'appellation religion vous choque pour qualifier les courants politiques, alors il faut cesser d'appeler religions des courants de pensées comme Taoïsme et Bouddhisme.
Dans l'ensemble, j'ai trouvé le livre intéressant, divertissant et facile d'accès.
L'auteur ne se prends pas non plus au sérieux sur ses visions futures de l'humanité, expliquant qu'il s'agit d'une théorie parmi d'autres. Je cite encore:
Quoi qu'il en soit, avec les progrès technologiques, sociologiques et génomiques, l'humanité en l'an 2500 sera probablement très différentes de toutes les visions futuristes contemporaines que nous essayions vainement d'approcher…
C'est une personne extrêmement intelligente, et humble.
Je conseille la lecture sans hésitation, car on y apprends aussi des faits passées et actuels surprenants.
Ce n'est pas parce qu'on ne fait pas quelque chose qu'on n'est pas à même de le critiquer…
Le passage que j'ai cité «élucubrations de ce vulgarisateur de prisunic» ne constitue pas une critique, mais une attaque personnelle totalement gratuite sur un auteur mondialement reconnu.
[^] # Re: Silence sur la faille
Posté par Andre Rodier (site web personnel) . En réponse au journal Première faille de sécurité dans Tchap. Évalué à 7.
Excellent jeu de mot, ou peut être acte manqué, en tout cas involontaire…je me demandais quand quelqu'un allait relever.
J'ai voulu corriger après la publication du journal, mais j'ai vu que je ne pouvais pas.
[^] # Re: Pas compris
Posté par Andre Rodier (site web personnel) . En réponse au journal Première faille de sécurité dans Tchap. Évalué à 9.
C'est une faille Python:
[^] # Re: Par rapport à Windows, c'est presque plus simple ^^
Posté par Andre Rodier (site web personnel) . En réponse au message Comment "rooter" un telephone Android sous Linux. Évalué à 3.
Merci bien, je vais essayer. C'est parfait.
[^] # Re: Auto-hébergement mail - Retour d'expérience
Posté par Andre Rodier (site web personnel) . En réponse à la dépêche Se passer de Google, Facebook et autres Big Brothers 2.0 #2 — Le courriel. Évalué à 1.
Je veux dire encourager ceux qui sont chez Outlook / Hotmail à changer de fournisseur.
[^] # Re: Auto-hébergement mail - Retour d'expérience
Posté par Andre Rodier (site web personnel) . En réponse à la dépêche Se passer de Google, Facebook et autres Big Brothers 2.0 #2 — Le courriel. Évalué à 2.
Pour moi, la réponse est souvent de changer d'hébergeur. À court terme, je convainc mes amis d'utiliser leur compte google et la fonction d'import IMAP/POP3. Cela leur permet de garder la même adresse. Outlook et Hotmail ne sont pas des exemples en matière de sécurité, de toute façon.
À long terme, je prône l'auto hébergement, sachant que ce pourrait être plus simple, et j'essaie de le rendre plus accessible.
# Information sur le chiffrage et les licences
Posté par Andre Rodier (site web personnel) . En réponse au journal Nouvelles fonctionnalités radicales pour Telegram. Évalué à 4.
J'aurais aimé voir dans ce journal quelques informations critiques sur le chiffrage des messages, les licences du logiciel client et du logiciel serveur, etc.
Ce n'est pas comme si il n'y avait rien du côté de l'open source.
J'ai un serveur personnel Jabber, mes messages sont chiffrés avec OMEMO, et je l'utilise avec ma famille (https://homebox.readthedocs.io/en/latest/features/#xmpp-jabber-server).
Avec mes amis, j'utilise Signal, et j'en suis très satisfait. Chiffrage client/serveur, licence libre pour les clients et le serveur: https://github.com/signalapp
Mais bon, c'est tout de même bien de savoir ce qui se fait du côté
obscurde la concurrence…# Mauvais site
Posté par Andre Rodier (site web personnel) . En réponse au lien 1 Français sur 2 favorable à ce que l’on nomme un militaire à la tête du pays en cas d'attentats. Évalué à 2.
Pendant un moment, j'ai cru que j'étais sur Reddit…
[^] # Re: Certificats
Posté par Andre Rodier (site web personnel) . En réponse au journal Installer Drupal automatiquement avec Ansible et Drush sous Debian. Évalué à 2.
Merci, je l'ai implémenté dans la version master de HomeBox, je le ferais pour la version de Drupal aussi. Bonne soirée.
# Travailler au soleil
Posté par Andre Rodier (site web personnel) . En réponse au message Offre d'emploi ingénieur ou admin linux. Évalué à 3.
Quand je vois ça:
Je me dis que je suis pas prêt de retourner dans le sud de la France, ou alors, pour les vacances, comme d'habitude…
Je comprends que dans le sud, on a le soleil, mais bon… ou alors c'est du mi-temps?
Dans le pays où je travaille mes diplômes ne me sont jamais demandés, mais mon expérience, oui.
Dans l'informatique, un bac +4 il y a dix ou 15 ans ne vaut plus grand chose.
Par contre, le moindre entretien d'embauche est d'abord conditionné par des exercices pratiques en ligne ou sur site.
Finalement, un site internet sans https, ça fait pas sérieux, surtout avec wordpress 4.9.9
[^] # Re: Certificats
Posté par Andre Rodier (site web personnel) . En réponse au journal Installer Drupal automatiquement avec Ansible et Drush sous Debian. Évalué à 4.
Lorsque je développe, souvent avec une machine virtuelle, je finis par rejouer les scripts plusieurs fois.
Il y a une limite avec LetsEncrypt qui t'empêche de demander les certificats trop souvent. Au bout de par exemple 15 fois, le serveur réponds que la limite est atteinte, et que tu n'aura plus de certificats avec 24h.
C'est nécessaire pour le développement.
Maintenant, c'est vrai que je pourrais limiter ce comportement à la phase de développement.
Merci pour la suggestion.
[^] # Re: Unicode
Posté par Andre Rodier (site web personnel) . En réponse au journal Des emojis en SQL ? C'est possible… et on peut aller au-delà !. Évalué à 10.
Je ne suis pas d'accord, certains caractères sont très bien reconnus. La preuve:
⚖ 💰 💵 ©
[^] # Re: Utiliser "!important"
Posté par Andre Rodier (site web personnel) . En réponse au message Redonner son black aux textes gris sur nextcloud. Évalué à 1.
Il me semble qu'il faut un espace avant le !
Sinon, il y a Stylish pour Firefox: https://addons.mozilla.org/en-US/firefox/addon/stylish/
# Utiliser "!important"
Posté par Andre Rodier (site web personnel) . En réponse au message Redonner son black aux textes gris sur nextcloud. Évalué à 3.
Si tu veux qu'une règle CSS soit prioritaire sur les précédentes ou futures définitions, tu peux utiliser "!important", à la fin de tes règles.
Par exemple:
https://css-tricks.com/when-using-important-is-the-right-choice/
[^] # Re: J'en vends un
Posté par Andre Rodier (site web personnel) . En réponse au message Modem DSL pour bridge seulement.. Évalué à 1. Dernière modification le 07 novembre 2018 à 23:00.
C'est gentil, mais vu que je ne suis pas en France, cela coûterais trop cher en frais de livraison.
Merci tout de même.
# DrayTek Vigor 130
Posté par Andre Rodier (site web personnel) . En réponse au message Modem DSL pour bridge seulement.. Évalué à 1.
Je viens de trouver ceci:
DrayTek Vigor 130.
https://www.ebay.fr/sch/i.html?_from=R40&_trksid=m570.l1313&_nkw=Draytek+Vigor+130&_sacat=0
C'est un peu cher, mais ça fait ce que je veux.
[^] # Re: security FTW
Posté par Andre Rodier (site web personnel) . En réponse au lien Mise en demeure de l'association 42. Évalué à 2.
merde
# Non complet
Posté par Andre Rodier (site web personnel) . En réponse à la dépêche Agenda du Libre pour la semaine 44 de l’année 2018. Évalué à 1.
L'agenda du libre, c'est bien, mais je n'ai pas vu passer d'information sur l'"Open Source Summit Europe, à Édimbourg".
Je n'ai pu me libérer que pour les deux derniers jours, pour le Security Summit, et j'ai trouvé ça très intéressant.
Quelle est la raison pour laquelle cet événement majeur n'étais pas dans les listes?
Quid du Cyber Europe le 29 Novembre, à Londres. Il y a pourtant un invité de marque.
[^] # Re: Disques chiffrés?
Posté par Andre Rodier (site web personnel) . En réponse au journal Horodater un cambriolage avec des logs. Évalué à 1.
Merci, je viens de le rajouter. Et en plus, c'est beaucoup plus simple sous Debian:
https://unix.stackexchange.com/questions/411945/luks-ssh-unlock-strange-behaviour-invalid-authorized-keys-file
Les clés publiques sont partagées entre OpenSSH et Dropbear, il n'y a pas de warning lorsque l'on passe d'une connexion de l'un à l'autre.
Encore une fois, Merci!
[^] # Re: Disques chiffrés?
Posté par Andre Rodier (site web personnel) . En réponse au journal Horodater un cambriolage avec des logs. Évalué à 1.
Il y a plusieurs manières de faire ce que tu veux, comme lire la clé de chiffrage à partir d'une clé USB, par exemple.
L'inconvénient est évidemment la sécurité.
Cela dit, j'ai 2/3 idées en tête pour résoudre ce souci.
[^] # Re: Disques chiffrés?
Posté par Andre Rodier (site web personnel) . En réponse au journal Horodater un cambriolage avec des logs. Évalué à 2.
Non, pour démarrer le serveur, il faut bien sûr entrer la phrase de passe.
C'est un compromis entre la sécurité que je suis prêt à faire. En même temps, le serveur ne redémarre que très rarement, par exemple après une mise à jour du noyau.
Les mises à jour noyau sont laissées à l'appréciation de l'administrateur. Personnellement, je ne le fais que dans les cas extrêmes, par exemple exploitable à distance, Spectre / Meltdown / etc.
Une mise à jour de sécurité qui concerne une faille exploitable avec un shell, c'est déjà moins grave.
[^] # Re: Disques chiffrés?
Posté par Andre Rodier (site web personnel) . En réponse au journal Horodater un cambriolage avec des logs. Évalué à 2.
LUKS peut être vu comme une "couche de chiffrage" au dessus des pilotes de disque. En conclusion, rien n'est visible pour les divers programmes en espace utilisateur (JBOD/RAID)
Tu peux tout de même accéder à ton système avec un live CD moderne, du moment que tu entres ta phrase de passe. Idem si le système de fichier à des erreurs. Elles seront réparées par ext4 / btrfs / etc qui n'auront pas de connaissance de la couche de chiffrement.
Si tu pers ta phrase de passe, il y a une possibilité de backup là aussi chiffré. La clé de chiffrement est générée dynamiquement, et automatiquement stockée sur l'ordinateur qui a lancé le déploiement, avec Ansible.
Si le cambrioleur « se barre avec la machine », il pourra lire le contenu, dans le case suivants:
- Il connaît la phrase de passe,
- Ta phrase de passe est trop simple, et il dispose de moyens suffisants pour la casser…
- Il viens du futur, et les algorithmes de chiffrement se cassent avec des ordinateurs quantiques
- Ou bien:
Dans la majorité des cas, ton matériel se retrouve tout simplement sur eBay ou d'autres sites de vente en ligne…
Côté impact sur les performances, je n'en ai pas vu, et je ne pense pas que le disque d'un serveur de mail personnel soit le goulot d'étranglement du système.
[^] # Re: Disques chiffrés?
Posté par Andre Rodier (site web personnel) . En réponse au journal Horodater un cambriolage avec des logs. Évalué à 4.
Merci,
Je dois pouvoir améliorer la documentation déjà existante, mais le projet que j'ai crée simplifie énormément la tâche. En gros, on a un fichier YAML de départ, un script Ansible qui lance une image docker et crée une image ISO Debian personnalisée, avec la phrase de passe déjà configurée.
https://homebox.readthedocs.io/en/latest/preseed/
C'est en Anglais, mais assez facile à comprendre. Je n'ai pas eu le temps de traduire.
# Disques chiffrés?
Posté par Andre Rodier (site web personnel) . En réponse au journal Horodater un cambriolage avec des logs. Évalué à 4.
Je compatis dans ton malheur.
Est-ce que tes machines étaient protégées contre le vol de données également?
En d'autre termes, est-ce que tes disques durs sont chiffrés avec LUKS ou même Cryptfs?
Le vol d'identité est également quelque chose de très lucratif, malheureusement.
Par exemple, le serveur d'emails que j'ai chez moi est chiffré avec LUKS.
je le conseille à tous ceux qui sont auto-hébergés, d'ailleurs, c'est quand cela arrive que c'est trop tard.
[^] # Re: as tu plus d'info sur Sapiens
Posté par Andre Rodier (site web personnel) . En réponse au journal Lecture pour cet été. Évalué à 1.
Bonjour Saltimbanque,
La théorie des croyances collectives ne constitue pas un passage à proprement parler, mais plutôt un des éléments formant la trame de fond de l'histoire de l'humanité.
Je n'ai pas trouvé de point où je suis en désaccord avec l'auteur, sauf peut être au début de lecture, lorsqu'il qualifie de religion certains courants politiques comme le capitalisme ou le communisme. Mais, je cite:
Dans l'ensemble, j'ai trouvé le livre intéressant, divertissant et facile d'accès.
L'auteur ne se prends pas non plus au sérieux sur ses visions futures de l'humanité, expliquant qu'il s'agit d'une théorie parmi d'autres. Je cite encore:
C'est une personne extrêmement intelligente, et humble.
Je conseille la lecture sans hésitation, car on y apprends aussi des faits passées et actuels surprenants.
[^] # Re: Bof bof
Posté par Andre Rodier (site web personnel) . En réponse au journal Lecture pour cet été. Évalué à -8.
Le passage que j'ai cité «élucubrations de ce vulgarisateur de prisunic» ne constitue pas une critique, mais une attaque personnelle totalement gratuite sur un auteur mondialement reconnu.