Partager à toutes et tous (enfin ceux que çà intéresse) ce que je note sur le net

Aller au contenu | Aller au menu | Aller à la recherche

Mot-clé - Sécurité

Fil des billets - Fil des commentaires

mercredi, 21. mars 2018

Let’s Encrypt, le “wildcard” certificate est de sortie !

Cool (en sup, le protocole ACME passe en V2) =)
Cela va permettre si par exemple vous avez X serveurs, IoT (Internet of Things) chez vous d'avoir un certificat "papa" genre
*.arfy.fr

  • à gérer une seule fois pour les renew ...
  • parce qu'il faut avouer que c'est chiant d'aller vérifier tous les sous domaines (www. mail. stmp. pi. ...)
  • à poser/utiliser sur tous vos serveur =)

Le blog post chez letsencrypt.org.

Let’s Encrypt takes free “wildcard” certificates live

arstechnica.com information-technology lets-encrypt-takes-free-wildcard-certificates-live.jpg
arstechnica.com

samedi, 3. mars 2018

Via Timo, un keylogger en CSS c'est possible

CSS ?  En théorie ça sert à décrire la partie graphique d'un site web

  • il y a des blocs (une image, un paragraphe, un bouton, ...)
  • ces blocs peuvent avoir des positions, relatives ou pas
  • des couleurs, des bordures, ...
  • le tout peux changer dynamiquement dans le CSS en fonction de la taille de l'écran

Keylogger ?  C'est enregistrer, sur le site, ce que vous tapez au clavier pour l'envoyer en théorie ailleurs ... votre mail que vous tapez, votre login et/ou mot de passe.

Bref, le CSS c'est bien mais il ne faut le "garder chez vous" et ne pas pointer vers un fichier on ne sait où.

Source: Timo

Third party CSS is not safe

jakearchibald.com third-party-css-is-not-safe.png
jakearchibald.com

mardi, 23. janvier 2018

[CulturePubTV] Sécurité routière : selfies sans filtre

...

"Vivre" par le regard des "Autres"

Sécurité routière : selfies sans filtre

CulturePubTV - Sécurité routière - selfies sans filtre.jpg

La vidéo:

Lire la suite...

vendredi, 12. janvier 2018

Let’s Encrypt va donner des wildcard certificates en 2018 !

Cool en théorie pour fin février 2018 =)
A quoi ça sert ?  A valider avec un certificat sécurisé un site web et tous ses "petits"/fils.  Genre arfy.fr mais aussi alors

  • www.arfy.fr
  • test.arfy.fr
  • edu.arfy.fr
  • en gros *.arfy.fr

Pour Mme michu ça ne sert par à grand chose mais pour une association, un serveur dédié, des dev, ... c'est pratique (et gratuit !).

Note: faudrait que je "passe" arfy.fr en https un de ces 4, mais j'avoue que j'ai la flemme ;)
Déjà que j'ai pas maj le PHP et que ça urge (mais je ne suis pas seul sur le serveur...)

Looking Forward to 2018

letsencrypt.org looking-forward-to-2018.jpg
letsencrypt.org

dimanche, 7. janvier 2018

Via Sebsauvage - Quad9, le DNS 9.9.9.9 qui se veut plus secure et qui ne vous snoop pas

Rappel: DNS pour Domain Name Serveur, c'est à dire que par exemple pour arfy.fr, quand vous voulez aller lire mes Tranches, tout d'abord votre browser/PC va aller demander à son DNS favori "mais où que c'est donc à cette heure arfy.fr ?".
Dans mon cas simple, le DNS va répondre une adresse IP, toujours la même (je simplifie).
Mais pour les "gros sites", les pros, en fonction de votre localisation le DNS pourra donner une autre adresse IP plus proche de chez vous donc plus rapide.  Voire du jour au lendemain, un site peut garder son "domaine", arfy.fr mais changer d'hébergeur et donc d'adresse IP.
Voilà à quoi servent les DNS.  Et généralement vous utilisez celui que vous donne votre fournisseur Internet.

Quad9 donc ? En lisant ce post de SebSauvage sur Mastodon, je suis allé voir ce que c'était, parce que je ne connaissais pas.
Depuis longtemps existent les DNS publics 8.8.8.8 et 8.8.4.4 par Google par exemple.  Mais bon, ça en chagrine certains parce que "encore un truc qui permet à Google de nous suivre".
Rappel: quand c'est free, souvent c'est NOUS le produit.

L'idée ici de Quad9 : un DNS un peu plus secure, cad qu'il

  • implémente autorise aussi TLS (RFC 7858) pour les requêtes: cool, plus de sécurité ne fait pas de mal
  • Quad9 s'engage à ne pas stocker votre adresse IP plus que les ms nécessaires à la résolution
  • mais c'est un résolveur menteur.  C'est à dire qu'il se veut aussi le plus "malicious proof": une liste de sites malicieux est mise à jour par la communauté et que si vous essayez d'aller sur une de ces pages, ben niet le DNS n'y répondra pas !

Cette partie est à double tranchant, et certains hurlent à la bouuuhméchantpas.
Je dirai que pour un objet connecté, au milieu de nulle part, c'est pas mal de l'utiliser, ça pourrait prévenir des abus / mauvaises utilisations / fermes de zombies à DDOS.
Pour tout un chacun: bon perso, niet, mais pour Mr Michu qui risque de faire une bêtise en allant sur un site "pourri", why not.

Les sponsors du projet sont IBM, Packet Clearing House et Global Cyber Alliance.

Un chouette article de Stéphane Bortzmeyer qui en parle sur son blog:

Quad9, un résolveur DNS public, et avec sécurité

Quad9 un résolveur DNS public et avec sécurité.jpg
bortzmeyer.org

jeudi, 4. janvier 2018

Meltdown and Spectre ? Un site @Graz University of Technology (Autriche) qui résume l'état de l'art #meltdown #spectre

MAJ 14:33: il semble que M$ ait sorti un premier patch pour W10, cf betanews, avec le KB4056892

A ce jour: oui c'est assez grave d'un point de vue généralMais ne crions pas au loup !
Un programme peut en théorie aller lire des trucs en mémoire via cette faille.  Reste à le prouver/tester/... bloquer HoupaHⓒ
Mais bon, faut le faire/programmer... et que ce soit déjà là (NSA/Person of Interest inside/<mettre ici un truc qui fait peur genre Illuminati> ? ;) ) oui et alors ?
Sur les serveurs "pro" c'est un danger potentiel surtout si ils sont partagés entre plusieurs entreprises.  Ben oui, si votre serveur ne fait que du taf à vous, et qu'il est sécurisé, en théorie qu'un de vos programme ait accès à ce que font d'autres programmes qui tournent dessus ben voilà, c'est pas bien mais on s'en tape un peu.

Sur votre PC perso c'est IMHO encore moins grave. D'un point de vue particulier, dans l'absurde, sur votre PC/Mac/Linux/... si vous n'avez pas de virus/malware/... ça ne va pas changer votre vie d'avant.  De toute façon ils peuvent se faire passer pour vous s'ils sont là et voler des infos. Il y a des tonnes d'autres moyens, PEBCAC, virus, malware, ... pour avoir accès à vos données.

Meltdown and Spectre

Bugs in modern computers leak passwords and sensitive data.

Meltdown and Spectre.jpg
meltdownattack.com
(ou spectreattack.com qui pointe sur la même page)

mercredi, 3. janvier 2018

MAJ - Aouch - theregister.co.uk - 'Kernel memory leaking' Intel processor design flaw forces Linux, Windows redesign

MAJ: pas mal d'infos et d'explications technique dans cet article chez hardware.fr
(j'ai appris que les proc récents faisaient des appels genre lire la mémoire en avance de phase pour palier aux problèmes de latence !)

En gros, un "bug" dans les processeurs Intel des 10 dernières années permettrai à un programme/système virtuel d'aller lire ce qu'il n'a pas le droit de lire dans une autre machine virtuelle.
Un peu comme à l'école quand tu copies sur le voisin alors qu'il y a un mur entre vous deux.  Mais ce mur se révèle transparent si tu sais comment regarder...

A suivre et vérifier dans les prochaines semaines mais si effectivement les corrections ralentissent les ordinateurs de 5% à 30% surtout apriori pour les data center gourmands en VM, ça risque de faire "mal" à Intel et à tout le monde.
Note: pour le moment pas de patch libéré pour Windows, mais ça ne devrait pas tarder.

Breaking news: en théorie les jeux ne sont pas touchés (sous Linux) ;) 
Cf phoronix.com/scan.php?page=news_item&px=x86-PTI-Initial-Gaming-Tests

'Kernel memory leaking' Intel processor design flaw forces Linux, Windows redesign


theregister.co.uk intel_cpu_design_flaw.jpg
theregister.co.uk

vendredi, 29. décembre 2017

Joli phishing et remarque pour Outlook.com

J'ai un "hotmail" depuis des lustres, c'est mon mail publique, familial etc.
Et c'est aussi donc mon mail poubelle, c'est à dire mon mail où je reçois les SPAMs du monde entier.

L'antispam d'Outlook.com est pas mal et à force de signaler j'ai de moins en moins de SPAM mais j'ai une petite remarque:

  • que ce soit sur Chrome, Firefox, Edge
  • pourquoi afficher l'URL destinatrice du lien EN BAS A GAUCHE de l'écran ???
  • aussi loin du regard avant de cliquer dessus et potentiellement se faire avoir ?

Note: OUI il FAUT toujours vérifier une URL avant de cliquer dessus.
Et/ou faire "click-droit" ouvrir en navigation privée si vous voulez tester... ce que je fais avant d'envoyer à https://phishing-initiative.fr/contrib/

Pourquoi, quand on lit un mail (fonction soumise à option) ne pas la présenter à tout le monde si "on" survole le lien l'URL comme cela ?

Joli phishing et remarque pour Outlook.com.jpg
Là dans la copie d'écran j'ai copié-collé l'URL en bas à gauche à côté du lien.
 

Je trouve aussi qu'il serait pas mal côté sécu, que si un lien dans un email est "hors domaine" de l'email qui l'a envoyé (ici c'est "hotmail.com" qui l'a SOIT DISANT envoyé et ça pointe sur "weebly.com"), il pourrait peut être y avoir un message de sécu (aussi débrayable par option).

Note bis: oui, le protocole derrière les email est tellement outdated et non validé de bout en bout sans des trucs genre PGP mais qui ne servent à rien sauf si tout le monde l'utilise, que je peux envoyer si j'en ai envie un mail en disant que je suis Trump à n'importe qui.

jeudi, 28. décembre 2017

"Diamene" - 2 couches de graphene bullet-proof ?

Hmm, résister avec 2 couches de graphène à un impact de balle ... *impressive* même si je ne pense pas qu'il y ait ici absorption du choc.

J'imagine des vêtements de protections pour les sportifs ou travailleurs pour éviter les pénétrations, coupures ou frottements.

Graphene material turns into diamond-like armor when shot with a bullet

mnn.com graphene-material-turns-diamond-armor-when-shot-bullet.jpg
mnn.com

samedi, 23. décembre 2017

Presse-citron - Miner des Bitcoins avec un crayon et du papier ?

Miner du bitcoin c'est en gros (mais alors GROS résumé) faire des calculs, généralement par un ordi pour tenter de gagner des "bouts" de bitcoins en échange.
Une définition que j'ai tirée de bitcoin.fr/minage/:

« Pour décrire le minage, on pourrait utiliser l’exemple d’un gigantesque concours de sudoku où les participants recommence une nouvelle grille dès que quelqu’un trouve une solution, et dont la difficulté s’ajuste pour qu’en moyenne une grille soit résolue toutes les dix minutes.
Imaginons une grille géante de sudoku, avec plusieurs milliers de lignes et de colonnes. Il serait assez facile de vérifier qu’une grille terminée est bien remplie. Mais […] il faudra beaucoup de travail pour la terminer ! La difficulté des grilles peut être ajustée en changeant leurs tailles […], mais elles peuvent toujours être vérifiées facilement même si elles sont très grandes.
Les puzzles à résoudre dans le réseau bitcoin se basent sur les hash cryptographiques et présentent les mêmes caractéristiques que ces grilles de sudoku : ils sont très difficiles à résoudre mais il est très facile de vérifier qu’une solution est bonne, et leur difficulté peut être ajustée. » – Andreas M. Antonopoulos.

Et donc là ce ouf (Ken Shirriff) explique comment le faire à la main des étapes de "hashing"/hachage en SHA-256. Mais par contre, il n'y arrive pas en moins de 10 minutes par "grille" ;)
SHA-256 ? Je cite Wikipedia: SHA-2 (Secure Hash Algorithm) est une famille de fonctions de hachage qui ont été conçues par la National Security Agency des États-Unis (NSA).
Fonctions de hachage ? C'est en informatique une méthode qui va tenter de créer à partir d'un fichier par exemple un identifiant petit (quelques octets, pour le ) et "assez unique".  Cad que si vous changer une lettre dans le fichier, l'identifiant changera aussi.

Il mine des bitcoins avec un papier et un crayon

Presse-Citron mine_pencil_1-w500.png
presse-citron.net

L'article qui date de 2014 en anglais et qui explique sa méthode: righto.com/2014/09/mining-bitcoin-with-pencil-and-paper.html

- page 2 de 11 -