Partager à toutes et tous (enfin ceux que çà intéresse) ce que je note sur le net

Aller au contenu | Aller au menu | Aller à la recherche

Mot-clé - Sécurité

Fil des billets - Fil des commentaires

jeudi, 10. mai 2018

Usagers de 7-zip, passez à la version 18.05

Le CVE-2018-10115 raconte pourquoi:

Incorrect initialization logic of RAR decoder objects in 7-Zip 18.03 and before can lead to usage of uninitialized memory, allowing remote attackers to cause a denial of service (segmentation fault) or execute arbitrary code via a crafted RAR archive.

Bref, en décompressant un fichier RAR piégé, ça pouvait faire du vilain.

Allez télécharger le nouvelle version de ce merveilleux outils Freeware 7-zip.org !

CVE-2018-10115

CVE-2018-10115 7-zip.png
cve.mitre.org

dimanche, 6. mai 2018

Spectre-Next Generation (Spectre-NG) *Raise dead cast successful* (dans l'attente d'une confirmation officielle)

Ou la proof de "quand on prends le temps de chercher, on trouve".

A noter: pas trouvé les ref des CVE ... à suivre pour plus d'infos.

A lire aussi l'article de CORDIS qui en gros dit que ce genre de bugs / trou de sécurité vient de la course à la rapidité... et donc par effet de bord, sortir des trucs avant les autres alors que c'est peut être pas si mature/testé...
Des failles de sécurité informatique révèlent que la rapidité n’est pas nécessairement un avantage

8 New Spectre-Class Vulnerabilities (Spectre-NG) Found in Intel CPUs

thehackernews.com intel-spectre-vulnerability.jpg
thehackernews.com

samedi, 21. avril 2018

Verizon Data Breach Investigations Report 2018 (DBIR)

Quoi qui s'passe du côté des attaques Informatiques par Verizon

Source: Verizon

2018 Data Breach Investigations Report

verizonenterprise.com rp_DBIR_2018_Report_en_xg.png
verizonenterprise.com/

jeudi, 19. avril 2018

CNIL - Protection de la vie privée : quels outils et quelles pratiques sur framindmap

Le site du LINC: linc.cnil.fr/

Source: universfreebox

Cartographie des pratiques et outils privacy - LINC

framindmap.org CNIL LINC - Protection de la vie privée - quels outils et quelles pratiques.png
framindmap.org/

jeudi, 5. avril 2018

Zataz - SSL obsolète : des centaines de sites Français bloqués par Chrome 66 ?

LE web, la sécu, Https, ... les évolutions...

Bloqué est peut être un peu trop fort ... une notif "Achtung ce site n'est pas sécurisé" oui peut être.
Mais bon, quid de leur exemple de la "Cour des comptes" qui n'est pas secure... j'avoue que personnellement qu'il soit en http (même pas 's') pour aller lire des informations SANS être connecté avec un user est-ce si grave que ça ?  Ce sont des infos publiques non ?  Les PDF sont accessibles tels quels !
Par contre aller me connecter sur un site officiel ou marchand, là oui pour du https secure.

SSL obsolète : des centaines de sites Français bloqués par Chrome 66 ?

zataz.com ssl-obsolete.jpg
zataz.com

mercredi, 21. mars 2018

Let’s Encrypt, le “wildcard” certificate est de sortie !

Cool (en sup, le protocole ACME passe en V2) =)
Cela va permettre si par exemple vous avez X serveurs, IoT (Internet of Things) chez vous d'avoir un certificat "papa" genre
*.arfy.fr

  • à gérer une seule fois pour les renew ...
  • parce qu'il faut avouer que c'est chiant d'aller vérifier tous les sous domaines (www. mail. stmp. pi. ...)
  • à poser/utiliser sur tous vos serveur =)

Le blog post chez letsencrypt.org.

Let’s Encrypt takes free “wildcard” certificates live

arstechnica.com information-technology lets-encrypt-takes-free-wildcard-certificates-live.jpg
arstechnica.com

samedi, 3. mars 2018

Via Timo, un keylogger en CSS c'est possible

CSS ?  En théorie ça sert à décrire la partie graphique d'un site web

  • il y a des blocs (une image, un paragraphe, un bouton, ...)
  • ces blocs peuvent avoir des positions, relatives ou pas
  • des couleurs, des bordures, ...
  • le tout peux changer dynamiquement dans le CSS en fonction de la taille de l'écran

Keylogger ?  C'est enregistrer, sur le site, ce que vous tapez au clavier pour l'envoyer en théorie ailleurs ... votre mail que vous tapez, votre login et/ou mot de passe.

Bref, le CSS c'est bien mais il ne faut le "garder chez vous" et ne pas pointer vers un fichier on ne sait où.

Source: Timo

Third party CSS is not safe

jakearchibald.com third-party-css-is-not-safe.png
jakearchibald.com

mardi, 23. janvier 2018

[CulturePubTV] Sécurité routière : selfies sans filtre

...

"Vivre" par le regard des "Autres"

Sécurité routière : selfies sans filtre

CulturePubTV - Sécurité routière - selfies sans filtre.jpg

La vidéo:

Lire la suite...

vendredi, 12. janvier 2018

Let’s Encrypt va donner des wildcard certificates en 2018 !

Cool en théorie pour fin février 2018 =)
A quoi ça sert ?  A valider avec un certificat sécurisé un site web et tous ses "petits"/fils.  Genre arfy.fr mais aussi alors

  • www.arfy.fr
  • test.arfy.fr
  • edu.arfy.fr
  • en gros *.arfy.fr

Pour Mme michu ça ne sert par à grand chose mais pour une association, un serveur dédié, des dev, ... c'est pratique (et gratuit !).

Note: faudrait que je "passe" arfy.fr en https un de ces 4, mais j'avoue que j'ai la flemme ;)
Déjà que j'ai pas maj le PHP et que ça urge (mais je ne suis pas seul sur le serveur...)

Looking Forward to 2018

letsencrypt.org looking-forward-to-2018.jpg
letsencrypt.org

dimanche, 7. janvier 2018

Via Sebsauvage - Quad9, le DNS 9.9.9.9 qui se veut plus secure et qui ne vous snoop pas

Rappel: DNS pour Domain Name Serveur, c'est à dire que par exemple pour arfy.fr, quand vous voulez aller lire mes Tranches, tout d'abord votre browser/PC va aller demander à son DNS favori "mais où que c'est donc à cette heure arfy.fr ?".
Dans mon cas simple, le DNS va répondre une adresse IP, toujours la même (je simplifie).
Mais pour les "gros sites", les pros, en fonction de votre localisation le DNS pourra donner une autre adresse IP plus proche de chez vous donc plus rapide.  Voire du jour au lendemain, un site peut garder son "domaine", arfy.fr mais changer d'hébergeur et donc d'adresse IP.
Voilà à quoi servent les DNS.  Et généralement vous utilisez celui que vous donne votre fournisseur Internet.

Quad9 donc ? En lisant ce post de SebSauvage sur Mastodon, je suis allé voir ce que c'était, parce que je ne connaissais pas.
Depuis longtemps existent les DNS publics 8.8.8.8 et 8.8.4.4 par Google par exemple.  Mais bon, ça en chagrine certains parce que "encore un truc qui permet à Google de nous suivre".
Rappel: quand c'est free, souvent c'est NOUS le produit.

L'idée ici de Quad9 : un DNS un peu plus secure, cad qu'il

  • implémente autorise aussi TLS (RFC 7858) pour les requêtes: cool, plus de sécurité ne fait pas de mal
  • Quad9 s'engage à ne pas stocker votre adresse IP plus que les ms nécessaires à la résolution
  • mais c'est un résolveur menteur.  C'est à dire qu'il se veut aussi le plus "malicious proof": une liste de sites malicieux est mise à jour par la communauté et que si vous essayez d'aller sur une de ces pages, ben niet le DNS n'y répondra pas !

Cette partie est à double tranchant, et certains hurlent à la bouuuhméchantpas.
Je dirai que pour un objet connecté, au milieu de nulle part, c'est pas mal de l'utiliser, ça pourrait prévenir des abus / mauvaises utilisations / fermes de zombies à DDOS.
Pour tout un chacun: bon perso, niet, mais pour Mr Michu qui risque de faire une bêtise en allant sur un site "pourri", why not.

Les sponsors du projet sont IBM, Packet Clearing House et Global Cyber Alliance.

Un chouette article de Stéphane Bortzmeyer qui en parle sur son blog:

Quad9, un résolveur DNS public, et avec sécurité

Quad9 un résolveur DNS public et avec sécurité.jpg
bortzmeyer.org

- page 1 de 11