Nouveau cas de certificat SSL frauduleux (contre Google.com en Iran, autorité DigiNotar)

Posté par  (site web personnel) . Modéré par rootix. Licence CC By‑SA.
Étiquettes :
24
30
août
2011
Sécurité

L'Electronic Frontier Foundation (EFF), qui défend la liberté d'expression sur Internet, a publié hier un article concernant l'attaque Man-in-the-middle contre les utilisateurs de Google en Iran, qui a eu lieu en douce pendant deux mois.

Une nouvelle fois, la vulnérabilité des systèmes de chiffrement sur le web basés sur des autorités de certification est mis en lumière : encore une fois l'attaquant a obtenu un certificat frauduleux d'une autorité (cette fois-ci DigiNotar). L'attaque a été détectée via le navigateur Google Chrome car celui-ci embarque en dur des vérifications pour les certificats de Google.

Pour mémoire je vous rappelle les deux entrées dans l'aide du site LinuxFr.org concernant le certificat SSL/TLS de LinuxFr.org et alertes dans les navigateurs et la réponse à la question Pourquoi ne prenez pas un certificat SSL/TLS gratuit ou payant de chez Machin qui est par défaut dans un navigateur ? Ce dernier lien comporte notamment des pointeurs vers des affaires précédentes autour des certificats SSL/TLS et des autorités de confiance (Comodo, Microsoft et Tunisie, Defcon 2010, CCC 2010, Verisign 2003/2004).

Journal Matriux Krypton, enfin la version finale !

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
9
30
août
2011

Après 2 ans et 2 mois de travaux, la version finale de Matriux a pointé le bout de son nez mi-août, j'ai nommé Matriux Krypton.

Kesako

Il s'agit d'un système d'exploitation basé sur Debian GNU/Linux et qui regroupe tout un tas d'outils spécialisés pour la sécurité informatique.
Il permet en autres de réaliser de tests de pénétration, ethical hacking, administration de système et de réseau, recherches légales, récupération de données, et caetera.

Quelques informations utiles

  • Environnement graphique : Gnome (…)

Journal Et pourquoi pas un nouveau modèle de sécurité pour le web ?

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
23
25
août
2011

Cela fait quelques temps que je m’interroge sur le modèle de sécurité du web actuel, basé sur la politique de même origine. J'aimerais proposer un modèle de sécurité différent, qui pourrait rendre beaucoup plus robuste les applications web. Mais il faut la coopération des navigateurs. Voici mon idée:

Petit résumé de la situation

A l'heure actuelle, une page web n'a pas le droit de faire une requête XmlHttpRequest sur un autre domaine. Par exemple, si example.com essaye de charger facebook.com (…)

Journal Apache n'apprécie pas le HTTP Range

Posté par  . Licence CC By‑SA.
Étiquettes :
37
25
août
2011

Un bug exploitable à distance a récemment été découvert sur le serveur HTTP Apache et affecterait toutes les versions depuis la 1.3.

Le bug provient de la façon dont Apache traite une requête HTTP demandant plusieurs rangées de données se chevauchant. En effet, il est possible de spécifier dans l'en-tête HTTP la rangée des données que l'on veut recevoir au lieu des données complètes. Ceci est notamment utilisé lors du téléchargement d'un fichier et permet de reprendre le téléchargement là (…)

WinAdminPassword : Déployer des mots de passe uniques sur les systèmes GNU Linux / Microsoft Windows

Posté par  . Modéré par baud123. Licence CC By‑SA.
Étiquettes :
21
14
août
2011
Sécurité

L'outil WinAdminPassword permet de générer des mots de passe en fonction d'une clef secrète et du numéro de série de l'ordinateur sur lequel il est lancé.

Son objectif principal est de déployer des mots de passe différents pour les comptes d'administration, et cela sur tous les systèmes de son parc informatique (Microsoft Windows, Linux, BSD, POSIX…).

Les mots de passe générés contiennent quatre types de caractères (majuscules, minuscules, chiffres et caractères spéciaux) et ne sont pas sauvegardés dans une base de données (Les seules informations à enregistrer dans votre gestionnaire ou base de mots de passe sont les clefs secrètes de génération des mots de passe).

Licence : GPLv3
Version courante : 1.5
Systèmes testés : Debian 6, Ubuntu 11.04, CentOS 5, RHEL 5, Fedora 15, OpenSuze 11.4, Mandriva Linux 2010.2, Microsoft Windows XP and Microsoft Windows 7 (x86 and x64)

Journal Prestashop communique beaucoup à la maison

Posté par  .
Étiquettes :
8
5
août
2011

Prestashop est une application web de boutique en ligne. C'est une application opensource écrite en php. Pour des raisons évidentes de déontologie, je ne m'attarderais pas sur le fait que les créateurs de l'application soient d'anciens élèves d'Epitech.

Devant faire un design pour la boutique d'un marchand de drogue, amis de longue date, j'ai installé cette magnifique application en local. Mais après avoir un peu bidouillé l'application, je me suis rendu compte qu'elle était très très lente. Comptez environ 2 (…)

Wiki EncFS

Licence CC By‑SA.
Étiquettes :
3
25
juil.
2011

EncFS est une couche de chiffrement au dessus du système de fichiers. Comme FUSE est utilisé, le chiffrement est transparent. N'importe quelle application — que ce soit votre explorateur de fichiers, éditeur de texte, shell — peut accéder au contenu déchiffré, alors que les données ne sont jamais stockées en clair sur le disque.

Utilisation

Il faut d'abord créer un dossier qui servira pour le stockage du contenu chiffré, puis un dossier "point de montage" dans lequel les fichiers déchiffrés (…)

Journal La solidité des mots de passe

Posté par  .
Étiquettes :
31
20
juil.
2011

Je viens de lire une analyse à propos de mots de passe réels. On y trouve confirmation à grande échelle de ce que chaque utilisation de Jack The Ripper montre: la plupart des mots de passe, c'est du basique.http://www.troyhunt.com/2011/07/science-of-password-selection.html

Beaucoup dissertent au sujet des mots de passe super solides. Alors que je trouve, c'est un point de vue personnel, qu'un mot de passe relativement simple suffit. A partir du moment où il n'est pas possible de faire des millions (…)

Journal Google censure !

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
5
11
juil.
2011

Pour des raisons de sécurités, évidemment. D'après cet article du Register, tous les sous-domaines de co.cc auraient été supprimés des résultats du moteur de recherche. Ce fournisseur de services Internet serait utilisé par des programmes malicieux.

Protéger le pauvre utilisateur sans défense sur le grand méchant Internet. Est-ce de la responsabilité à Google de protéger l'utilisateur (dans ce cas particulier) ? Non. Actuellement la sécurité informatique est un gag, un énorme gag même, pour la simple est bonne raison (…)

Journal Renforcer la sécurité du noyau

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
51
28
juin
2011

Un journal quasi-bookmark pour signaler une belle initiative visant à renforcer la sécurité du noyau.

Solar Designer (le leader de la distribution Openwall) a annoncé en avril dernier que 5 projets avaient été acceptés dans le cadre du Google Summer of Code. Mail d'annonce : http://www.openwall.com/lists/announce/2011/04/26/1

L'un de ces étudiants est Vasiliy Kulikov et il travaille sur la sécurisation du noyau. Essentiellement cela consiste à essayer de faire remonter vers la branche principale (celle de Linus) les patchs qui (…)

Conseils pour la mise en place d'une politique de sécurité informatique dans les PME/PMI

Posté par  . Modéré par Mouns. Licence CC By‑SA.
Étiquettes :
16
26
juin
2011
Sécurité

L'association GOALL (Groupe d'organismes acteurs du Libre en Lorraine) propose de rédiger et de diffuser sous licence libre un document avec des conseils généraux pour mettre en place une politique de sécurité informatique. Ce document est destiné aux responsables d'entreprise.

Journal [Journal bookmark] Encore un bug de sécurité chez Dropbox...

Posté par  . Licence CC By‑SA.
Étiquettes :
14
21
juin
2011

Bonjour à tous,

Hier, le service Dropbox s'est transformé en passoire, en laissant n'importe qui se connecter sans mot de passe.

Ils en font l'aveu sur leur propre blog: http://blog.dropbox.com/?p=821

On me dira peut-être que Dropbox n'est pas libre, et que par conséquent la nouvelle n'a rien à faire ici, mais comme je suppose que le nombre de moules utilisatrices du bidule est non-nul, je préfère relayer l'information.

C'est dommage, je trouvais leur système bien fait (on installe puis on (…)

RMLL 2011 — programme du thème sécurité & entretiens

Posté par  (site web personnel) . Modéré par Lucas Bonnet. Licence CC By‑SA.
Étiquettes :
23
17
juin
2011
RMLL/LSM

Comme chaque année, les Rencontres Mondiales du Logiciel Libre proposent conférences, ateliers, tables rondes ou spectacles à des milliers de participants.

Un thème « sécurité » y figure depuis le début. Cette année, nous avons souhaité promouvoir les thématiques suivantes :

  • l’accès au système d’information ;
  • les vulnérabilités et les intrusions ;
  • la gestion d’identités.

Journal [GPG pour les nuls] C'est pour quand ?

Posté par  . Licence CC By‑SA.
Étiquettes :
24
21
mai
2011

Bonjour à tous, voilà, cette question me tarabuste depuis très très longtemps (je devais avoir 12 ans à l'époque… et oui.)

Il s'agit de la sécurité des communications, les communications électroniques en particulier. Et dans les communications électroniques, l'email. Car l'email est très particulier en ce sens que j'imagine que c'est un des des moyens de communication électronique les plus utilisés (voire le plus utilisé).

Concernant la sécurité des communications électroniques, je pense que tout le monde a entendu parler (…)