Partager à toutes et tous (enfin ceux que çà intéresse) ce que je note sur le net

Aller au contenu | Aller au menu | Aller à la recherche

Mot-clé - Sécurité

Fil des billets - Fil des commentaires

mardi, 23. janvier 2018

[CulturePubTV] Sécurité routière : selfies sans filtre

...

"Vivre" par le regard des "Autres"

Sécurité routière : selfies sans filtre

CulturePubTV - Sécurité routière - selfies sans filtre.jpg

La vidéo:

Lire la suite...

vendredi, 12. janvier 2018

Let’s Encrypt va donner des wildcard certificates en 2018 !

Cool en théorie pour fin février 2018 =)
A quoi ça sert ?  A valider avec un certificat sécurisé un site web et tous ses "petits"/fils.  Genre arfy.fr mais aussi alors

  • www.arfy.fr
  • test.arfy.fr
  • edu.arfy.fr
  • en gros *.arfy.fr

Pour Mme michu ça ne sert par à grand chose mais pour une association, un serveur dédié, des dev, ... c'est pratique (et gratuit !).

Note: faudrait que je "passe" arfy.fr en https un de ces 4, mais j'avoue que j'ai la flemme ;)
Déjà que j'ai pas maj le PHP et que ça urge (mais je ne suis pas seul sur le serveur...)

Looking Forward to 2018

letsencrypt.org looking-forward-to-2018.jpg
letsencrypt.org

dimanche, 7. janvier 2018

Via Sebsauvage - Quad9, le DNS 9.9.9.9 qui se veut plus secure et qui ne vous snoop pas

Rappel: DNS pour Domain Name Serveur, c'est à dire que par exemple pour arfy.fr, quand vous voulez aller lire mes Tranches, tout d'abord votre browser/PC va aller demander à son DNS favori "mais où que c'est donc à cette heure arfy.fr ?".
Dans mon cas simple, le DNS va répondre une adresse IP, toujours la même (je simplifie).
Mais pour les "gros sites", les pros, en fonction de votre localisation le DNS pourra donner une autre adresse IP plus proche de chez vous donc plus rapide.  Voire du jour au lendemain, un site peut garder son "domaine", arfy.fr mais changer d'hébergeur et donc d'adresse IP.
Voilà à quoi servent les DNS.  Et généralement vous utilisez celui que vous donne votre fournisseur Internet.

Quad9 donc ? En lisant ce post de SebSauvage sur Mastodon, je suis allé voir ce que c'était, parce que je ne connaissais pas.
Depuis longtemps existent les DNS publics 8.8.8.8 et 8.8.4.4 par Google par exemple.  Mais bon, ça en chagrine certains parce que "encore un truc qui permet à Google de nous suivre".
Rappel: quand c'est free, souvent c'est NOUS le produit.

L'idée ici de Quad9 : un DNS un peu plus secure, cad qu'il

  • implémente autorise aussi TLS (RFC 7858) pour les requêtes: cool, plus de sécurité ne fait pas de mal
  • Quad9 s'engage à ne pas stocker votre adresse IP plus que les ms nécessaires à la résolution
  • mais c'est un résolveur menteur.  C'est à dire qu'il se veut aussi le plus "malicious proof": une liste de sites malicieux est mise à jour par la communauté et que si vous essayez d'aller sur une de ces pages, ben niet le DNS n'y répondra pas !

Cette partie est à double tranchant, et certains hurlent à la bouuuhméchantpas.
Je dirai que pour un objet connecté, au milieu de nulle part, c'est pas mal de l'utiliser, ça pourrait prévenir des abus / mauvaises utilisations / fermes de zombies à DDOS.
Pour tout un chacun: bon perso, niet, mais pour Mr Michu qui risque de faire une bêtise en allant sur un site "pourri", why not.

Les sponsors du projet sont IBM, Packet Clearing House et Global Cyber Alliance.

Un chouette article de Stéphane Bortzmeyer qui en parle sur son blog:

Quad9, un résolveur DNS public, et avec sécurité

Quad9 un résolveur DNS public et avec sécurité.jpg
bortzmeyer.org

jeudi, 4. janvier 2018

Meltdown and Spectre ? Un site @Graz University of Technology (Autriche) qui résume l'état de l'art #meltdown #spectre

MAJ 14:33: il semble que M$ ait sorti un premier patch pour W10, cf betanews, avec le KB4056892

A ce jour: oui c'est assez grave d'un point de vue généralMais ne crions pas au loup !
Un programme peut en théorie aller lire des trucs en mémoire via cette faille.  Reste à le prouver/tester/... bloquer HoupaHⓒ
Mais bon, faut le faire/programmer... et que ce soit déjà là (NSA/Person of Interest inside/<mettre ici un truc qui fait peur genre Illuminati> ? ;) ) oui et alors ?
Sur les serveurs "pro" c'est un danger potentiel surtout si ils sont partagés entre plusieurs entreprises.  Ben oui, si votre serveur ne fait que du taf à vous, et qu'il est sécurisé, en théorie qu'un de vos programme ait accès à ce que font d'autres programmes qui tournent dessus ben voilà, c'est pas bien mais on s'en tape un peu.

Sur votre PC perso c'est IMHO encore moins grave. D'un point de vue particulier, dans l'absurde, sur votre PC/Mac/Linux/... si vous n'avez pas de virus/malware/... ça ne va pas changer votre vie d'avant.  De toute façon ils peuvent se faire passer pour vous s'ils sont là et voler des infos. Il y a des tonnes d'autres moyens, PEBCAC, virus, malware, ... pour avoir accès à vos données.

Meltdown and Spectre

Bugs in modern computers leak passwords and sensitive data.

Meltdown and Spectre.jpg
meltdownattack.com
(ou spectreattack.com qui pointe sur la même page)

mercredi, 3. janvier 2018

MAJ - Aouch - theregister.co.uk - 'Kernel memory leaking' Intel processor design flaw forces Linux, Windows redesign

MAJ: pas mal d'infos et d'explications technique dans cet article chez hardware.fr
(j'ai appris que les proc récents faisaient des appels genre lire la mémoire en avance de phase pour palier aux problèmes de latence !)

En gros, un "bug" dans les processeurs Intel des 10 dernières années permettrai à un programme/système virtuel d'aller lire ce qu'il n'a pas le droit de lire dans une autre machine virtuelle.
Un peu comme à l'école quand tu copies sur le voisin alors qu'il y a un mur entre vous deux.  Mais ce mur se révèle transparent si tu sais comment regarder...

A suivre et vérifier dans les prochaines semaines mais si effectivement les corrections ralentissent les ordinateurs de 5% à 30% surtout apriori pour les data center gourmands en VM, ça risque de faire "mal" à Intel et à tout le monde.
Note: pour le moment pas de patch libéré pour Windows, mais ça ne devrait pas tarder.

Breaking news: en théorie les jeux ne sont pas touchés (sous Linux) ;) 
Cf phoronix.com/scan.php?page=news_item&px=x86-PTI-Initial-Gaming-Tests

'Kernel memory leaking' Intel processor design flaw forces Linux, Windows redesign


theregister.co.uk intel_cpu_design_flaw.jpg
theregister.co.uk

vendredi, 29. décembre 2017

Joli phishing et remarque pour Outlook.com

J'ai un "hotmail" depuis des lustres, c'est mon mail publique, familial etc.
Et c'est aussi donc mon mail poubelle, c'est à dire mon mail où je reçois les SPAMs du monde entier.

L'antispam d'Outlook.com est pas mal et à force de signaler j'ai de moins en moins de SPAM mais j'ai une petite remarque:

  • que ce soit sur Chrome, Firefox, Edge
  • pourquoi afficher l'URL destinatrice du lien EN BAS A GAUCHE de l'écran ???
  • aussi loin du regard avant de cliquer dessus et potentiellement se faire avoir ?

Note: OUI il FAUT toujours vérifier une URL avant de cliquer dessus.
Et/ou faire "click-droit" ouvrir en navigation privée si vous voulez tester... ce que je fais avant d'envoyer à https://phishing-initiative.fr/contrib/

Pourquoi, quand on lit un mail (fonction soumise à option) ne pas la présenter à tout le monde si "on" survole le lien l'URL comme cela ?

Joli phishing et remarque pour Outlook.com.jpg
Là dans la copie d'écran j'ai copié-collé l'URL en bas à gauche à côté du lien.
 

Je trouve aussi qu'il serait pas mal côté sécu, que si un lien dans un email est "hors domaine" de l'email qui l'a envoyé (ici c'est "hotmail.com" qui l'a SOIT DISANT envoyé et ça pointe sur "weebly.com"), il pourrait peut être y avoir un message de sécu (aussi débrayable par option).

Note bis: oui, le protocole derrière les email est tellement outdated et non validé de bout en bout sans des trucs genre PGP mais qui ne servent à rien sauf si tout le monde l'utilise, que je peux envoyer si j'en ai envie un mail en disant que je suis Trump à n'importe qui.

jeudi, 28. décembre 2017

"Diamene" - 2 couches de graphene bullet-proof ?

Hmm, résister avec 2 couches de graphène à un impact de balle ... *impressive* même si je ne pense pas qu'il y ait ici absorption du choc.

J'imagine des vêtements de protections pour les sportifs ou travailleurs pour éviter les pénétrations, coupures ou frottements.

Graphene material turns into diamond-like armor when shot with a bullet

mnn.com graphene-material-turns-diamond-armor-when-shot-bullet.jpg
mnn.com

samedi, 23. décembre 2017

Presse-citron - Miner des Bitcoins avec un crayon et du papier ?

Miner du bitcoin c'est en gros (mais alors GROS résumé) faire des calculs, généralement par un ordi pour tenter de gagner des "bouts" de bitcoins en échange.
Une définition que j'ai tirée de bitcoin.fr/minage/:

« Pour décrire le minage, on pourrait utiliser l’exemple d’un gigantesque concours de sudoku où les participants recommence une nouvelle grille dès que quelqu’un trouve une solution, et dont la difficulté s’ajuste pour qu’en moyenne une grille soit résolue toutes les dix minutes.
Imaginons une grille géante de sudoku, avec plusieurs milliers de lignes et de colonnes. Il serait assez facile de vérifier qu’une grille terminée est bien remplie. Mais […] il faudra beaucoup de travail pour la terminer ! La difficulté des grilles peut être ajustée en changeant leurs tailles […], mais elles peuvent toujours être vérifiées facilement même si elles sont très grandes.
Les puzzles à résoudre dans le réseau bitcoin se basent sur les hash cryptographiques et présentent les mêmes caractéristiques que ces grilles de sudoku : ils sont très difficiles à résoudre mais il est très facile de vérifier qu’une solution est bonne, et leur difficulté peut être ajustée. » – Andreas M. Antonopoulos.

Et donc là ce ouf (Ken Shirriff) explique comment le faire à la main des étapes de "hashing"/hachage en SHA-256. Mais par contre, il n'y arrive pas en moins de 10 minutes par "grille" ;)
SHA-256 ? Je cite Wikipedia: SHA-2 (Secure Hash Algorithm) est une famille de fonctions de hachage qui ont été conçues par la National Security Agency des États-Unis (NSA).
Fonctions de hachage ? C'est en informatique une méthode qui va tenter de créer à partir d'un fichier par exemple un identifiant petit (quelques octets, pour le ) et "assez unique".  Cad que si vous changer une lettre dans le fichier, l'identifiant changera aussi.

Il mine des bitcoins avec un papier et un crayon

Presse-Citron mine_pencil_1-w500.png
presse-citron.net

L'article qui date de 2014 en anglais et qui explique sa méthode: righto.com/2014/09/mining-bitcoin-with-pencil-and-paper.html

mardi, 19. décembre 2017

Vie ma vie de ... chasseur de virus chez Avast (en anglais) MAJ et en Français ;)

Il doit y avoir pas ma de jours "avec transpiration et la nuque qui pique" !

MAJ: lien vers l'article en Français ... je devais avoir du sable dans les yeux

Source: FileHippo

A Day In The Life Of An Anti-Virus Threat Tracker

filehippo.com a-day-in-the-life-of-an-anti-virus-threat-tracker.jpg
blog.avast.com

dimanche, 26. novembre 2017

Presse-citron.net - Ces sites très connus qui enregistrent à votre insu ce que vous tapez sur votre clavier

Et ouais ... petit bémol, à vérifier/confirmer mais en théorie un site web ne peut enregistrer les frappes clavier QUE SI il est en avant plan (on dit avoir le focus), c'est à dire que vous êtes entrain de l'utiliser.
Donc si vous changez d'onglet et/ou minimisez le browser, normalement, sauf bug, ça n'enregistre rien.

Mais bon, de base si vous tapez un truc sur votre clavier quand vous êtes sur un site, c'est normalement pour l'envoyer via le dit site...  Je veux dire que si j'utilise un site de chat pour envoyer un message, je me doute qu'il va recevoir ce que je tape au clavier (mais peut être pas mes erreurs de frappe, sauf si c'est pour corriger mes fautes, me proposer de l'auto complete ...).
MAIS SI C'EST un code non désiré rajouté au site, c'est une autre histoire.

Leur post sur le blog :

These scripts record your keystrokes, mouse movements, and scrolling behavior, along with the entire contents of the pages you visit, and send them to third-party servers. Unlike typical analytics services that provide aggregate statistics, these scripts are intended for the recording and playback of individual browsing sessions, as if someone is looking over your shoulder.

Ces sites très connus qui enregistrent à votre insu ce que vous tapez sur votre clavier

no-boundaries-exfiltration-of-personal-data-by-session-replay-scripts.jpg
presse-citron.net

- page 1 de 10