Liens en bazar2022-03-01T17:55:50+01:00http://links.kevinvuilleumier.net/http://links.kevinvuilleumier.net/http://links.kevinvuilleumier.net/Linux et la sécurité, tel un désert et un oasis ?http://links.kevinvuilleumier.net/?TjPVYQ2022-03-01T17:55:50+01:00J'ai déjà partagé un article de ce blog récemment, et même s'il y a encore peu de contenu, c'est dur de ne pas tout partager, tant c'est qualitatif, bien écrit, captivant.<br />
<br />
Ici, il est question de la sécurité de Linux (je sais, on touche à un sujet quasi-religieux).<br />
<br />
Et Linux traîne malheureusement quand même pas mal de casseroles en la matière, depuis des années...<br />
<br />
Pour le citer : "un code ouvert ne remplace pas une architecture robuste (Zero Trust). Il faut regarder au-delà des conceptions idéologiques !"<br />
<br />
Dans ses articles, l'auteur met souvent en lumière les différences des modèles de sécurité des OS "desktop" (qu'il préfère appeler "traditionnels") et les OS "mobiles" (dits "modernes").<br />
<br />
Contrairement à ce qu'on pourrait penser (moi le premier !), AOSP (la base open-source d'Android) a un modèle de sécurité très robuste, avec de nombreux mécanismes de protection en place (verified boot, sandboxing strict des applications, chiffrement, privilèges restreints, CFI, ...). Si vous y couplez un hardware bien conçu et qui prend ces considérations en ligne en compte, en proposant par exemple une enclave sécurisée moderne (comme les Pixel), alors vous avez probablement l'un des OS les plus sécurisés (grand public) à l'heure actuelle !<br />
<br />
Les plus gros problèmes des distributions AOSP (autrement dit, des ROMS Android) sont l'omniprésence des services de Google et des mécanismes de protection activées ou implémentées au bon vouloir du fabricant/développeur... Cela vaut aussi pour le matériel.<br />
<br />
Dans les faits, on se retrouve alors quasi-exclusivement avec des Android peu sécurisés, bavards et trop rapidement abandonnés.<br />
<br />
Et n'allez pas croire que les ROM alternatives, customs (LineageOS, /e/ et consoeurs), sont forcément mieux loties : <a href="https://wonderfall.space/modele-securite-mobile/" rel="nofollow">https://wonderfall.space/modele-securite-mobile/</a> (à lire absolument)<br />
<br />
Elles sont souvent "très négligentes" au sujet du modèle de sécurité d'AOSP, car "se contentent souvent de "fonctionner" à tout prix plutôt que d'être conservatrices du modèle de sécurité."<br />
<br />
Sans oublier qu'une ROM custom à jour ne signifie pas forcément qu'elle bénéficie de toutes les mises à jour de sécurité pour l'appareil. Oui, c'est trompeur...<br />
<br />
Selon l'auteur, le combo idéal est un Pixel (pour la partie hardware) + GrapheneOS (pour la partie software, avec ou sans les services de Google), dont j'ai partagé l'article de présentation et d'explications il y a peu.<br>(<a href="http://links.kevinvuilleumier.net/?TjPVYQ">Permalink</a>)GrapheneOS : présentation en détails de l'OS et du projethttp://links.kevinvuilleumier.net/?0j9Trw2022-02-26T08:34:13+01:00GrapheneOS est un OS mobile basé sur le code source d'Android (AOSP) visant à renforcer la sécurité et la vie privée !<br />
<br />
À cette fin, il est dépourvu des services de Google (mais on peut les installer) et bénéficie de nombreuses mesures de renforcement de la sécurité, très bien expliquées dans cet article.<br />
<br />
Actuellement, cette "ROM custom" ne fonctionne que sur les Google Pixel, qui sont, contrairement aux apparences, des appareils bien conçus d'un point de vue du matériel et de la sécurité :<br />
- Au moins 3 ans de mises à jour majeures et de sécurité ;<br />
- Possèdent un IOMMU configuré strictement (isolation baseband) ;<br />
- Possèdent une enclave sécurisée moderne ;<br />
- Permettent de verrouiller le bootloader avec OS et clés custom ;<br />
- Etc.<br />
<br />
Ils représentent ainsi une base solide pour le projet !<br />
<br />
Comme mentionné, il y a la possibilité d'installer les Play Services de Google dans GrapheneOS, de manière sandboxée (installation et désinstallation comme n'importe quelle application) et par profil utilisateur : <a href="https://wonderfall.space/grapheneos-play-services/" rel="nofollow">https://wonderfall.space/grapheneos-play-services/</a><br />
<br />
D'ailleurs, l'article m'apprend l'existence de ce site communautaire qui répertorie les applications Android et dans quelle mesure celles-ci fonctionnent sans les services de Google ou avec l'implémentation microG : <a href="https://plexus.techlore.tech/" rel="nofollow">https://plexus.techlore.tech/</a><br />
<br />
Je suis franchement impressionné et je ne fais que survoler les atouts de GrapheneOS.<br />
<br />
Lisez cet article, de qualité, même si vous ne possédez pas de Pixel. Perso, ça me donnerait presque envie d'en acheter un rien que pour pouvoir utiliser cette ROM 😋<br>(<a href="http://links.kevinvuilleumier.net/?0j9Trw">Permalink</a>)La fin de Mesvaccins.ch scandalise la protection des consommateurs - rts.ch - Suissehttp://links.kevinvuilleumier.net/?P_2WUg2021-09-06T19:28:13+02:00La plateforme MesVaccins.ch, maintenue par une fondation sous mandat de l'Office fédéral de la santé publique, était un carnet de vaccination dématérialisé accessible en ligne. Elle a été beaucoup mise en avant par les professionnels de la santé.<br />
<br />
En mai, patatras : grosse fuite de données (450'000 données de vaccination librement accessibles), le site a été fermé prestement par les autorités. Des graves manquements en matière de sécurité ont été constatés. La fondation promet dès lors de travailler d'arrache-pied pour corriger les failles.<br />
<br />
Fin août, on apprend que la fondation jette l'éponge par faute de moyens financiers. Pour les utilisateurs, c'est la douche froide et l'incompréhension : impossible d'accéder à leurs données, pas plus que d'en demander la suppression, et ce de manière probablement définitive !<br />
<br />
Petite pensée émue à celles et ceux qui ont fait numériser leur carnet vaccinal et n'en ont plus aucune trace ailleurs... Par chance, j'avais gardé mon carnet papier en souvenir.<br />
<br />
À la lumière de ces événements, je me questionne :<br />
• N'auraient-ils pas pu éviter bien des problèmes et mésaventures avec une solution libre ? Avec l'aide la communauté, les failles auraient pu être comblées sans risquer la faillite (ou découvertes bien plus tôt)...<br />
• Pourquoi n'est-il pas possible d'accéder aux données ? Même un bête dump ferait l'affaire dans la situation actuelle... Est-ce une contrainte juridique ? Mise en faillite = actifs sous saisie.<br />
• Honnêtement, ça coûte si cher de développer et de maintenir une plateforme pareille ? Quel était leur budget ?<br />
• Pourquoi la sécurité n'a-t-elle pas été prise plus au sérieux ? Qu'est-ce qui rend les correctifs onéreux au point de devoir abandonner ?<br>(<a href="http://links.kevinvuilleumier.net/?P_2WUg">Permalink</a>)Latacora - The PGP Problemhttp://links.kevinvuilleumier.net/?H4_kFg2020-05-02T14:17:22+02:00Les problèmes avec PGP et pourquoi il ne devrait plus être utilisé (je ne peux décemment pas donner tort à l'auteur concernant la complexité d'utilisation et de compréhension de ce système).<br>(<a href="http://links.kevinvuilleumier.net/?H4_kFg">Permalink</a>)Latacora - Stop Using Encrypted Emailhttp://links.kevinvuilleumier.net/?rNwH7A2020-05-02T14:15:39+02:00Une réflexion intéressante sur les mails chiffrés (PGP) dont l'auteur affirme qu'ils ne seraient qu'une chimère, une fausse solution.<br>(<a href="http://links.kevinvuilleumier.net/?rNwH7A">Permalink</a>)Gezichtsherkenning op smartphone niet altijd veilig I Consumentenbondhttp://links.kevinvuilleumier.net/?usgW5Q2020-01-16T21:00:38+01:00L'association néerlandaise de défense des consommateurs Consumentenbond a testé le déverrouillage par reconnaissance faciale de 66 téléphones.<br />
<br />
Bilan : 32 ont pu être déverrouillés avec une simple photo portrait de l'utilisateur !<br />
<br />
Article traduit : <a href="https://translate.google.com/translate?sl=nl&tl=fr&u=https%3A%2F%2Fwww.consumentenbond.nl%2Fveilig-internetten%2Fgezichtsherkenning-te-hacken" rel="nofollow">https://translate.google.com/translate?sl=nl&tl=fr&u=https%3A%2F%2Fwww.consumentenbond.nl%2Fveilig-internetten%2Fgezichtsherkenning-te-hacken</a><br>(<a href="http://links.kevinvuilleumier.net/?usgW5Q">Permalink</a>)Personal Data Of Entire 16.6 Million Population Of Ecuador Leaked Onlinehttp://links.kevinvuilleumier.net/?MX4lkA2019-09-21T13:26:20+02:00Les informations personnelles de toute la population d'Équateur (16.6 millions de personnes) ont fuité !<br />
<br />
Cela comprend les noms, prénoms, adresses, dates de naissance, téléphones... mais aussi les niveaux d'éducation, les emplois, les informations de l'employeur, les salaires ou encore les montants actuels des comptes ! Bien plus qu'il n'en faut pour usurper une personne ou lui nuire.<br>(<a href="http://links.kevinvuilleumier.net/?MX4lkA">Permalink</a>)Deepfake audio : des voleurs se font passer pour un dirigeant et demandent le virement de 243 000 dollarshttp://links.kevinvuilleumier.net/?f6iO_g2019-09-09T07:03:32+02:00L'arnaque au président aidée par l'intelligence artificielle (deepfakes).<br>(<a href="http://links.kevinvuilleumier.net/?f6iO_g">Permalink</a>)Top VPNs secretly owned by Chinese firmshttp://links.kevinvuilleumier.net/?rRCe1Q2019-07-09T12:58:50+02:00Près d'un tiers (30 %) des principaux fournisseurs de VPN dans le monde appartiennent secrètement à six sociétés chinoises, tandis qu'une grande partie des autres sont localisés dans des pays où les lois sur la protection de la vie privée sont laxistes ou inexistantes.<br>(<a href="http://links.kevinvuilleumier.net/?rRCe1Q">Permalink</a>)Cybersécurité : les mythes et croyances qu'il est grand temps de faire tomber - CNET Francehttp://links.kevinvuilleumier.net/?0y-reA2019-06-08T08:08:57+02:00(<a href="http://links.kevinvuilleumier.net/?0y-reA">Permalink</a>)L'arnaque à la clé USB revient sur le devant de la scène | Journal du Geekhttp://links.kevinvuilleumier.net/?Te9FVg2019-05-22T17:46:31+02:00Un conseil qu'il est toujours bon de rappeler : il ne faut jamais brancher une clé USB trouvée dans la rue !<br />
<br />
Elles peuvent contenir des virus, malwares et autres saletés qui pourront s'exécuter immédiatement dès le branchement, en toute discrétion (dans les anciennes versions de Windows seulement ?).<br />
<br />
Pis, il est tout à fait possible de créer des clés USB piégées qui grilleront vos ports USB (ou carrément toute la machine), par exemple en provoquant une surtension.<br />
<br />
Plus inventif : un clavier émulé qui peut taper des commandes discrètement et installer des logiciels de contrôle à distance, voler vos données, etc.<br />
<br />
Bref, soyez prudent-e-s !<br>(<a href="http://links.kevinvuilleumier.net/?Te9FVg">Permalink</a>)Des défibrillateurs Medtronic comportent plusieurs failles de sécurité - Next INpacthttp://links.kevinvuilleumier.net/?3X789w2019-03-23T19:18:12+01:00« Selon le porte-parole Ryan Mathre, le risque est très faible et aucune exploitation de ces failles n’a été notée à ce jour. En outre, il faudrait selon l'entreprise des connaissances techniques particulièrement aiguisées pour détourner un pacemaker de son rôle. »<br />
<br />
Ah tiens, on sacrifie encore la sécurité au nom de la rentabilité... Ben oui, voyez-vous, ça coûte cher de faire les choses dans les règles de l'art ! D'ailleurs, il est bien connu que les pirates doués n'existent pas ! Et puis au pire, il n'y a pas mort d'hommes, si ? 🙄<br>(<a href="http://links.kevinvuilleumier.net/?3X789w">Permalink</a>)Threema - Seriously secure messaginghttp://links.kevinvuilleumier.net/?hE4tHg2019-01-30T20:45:21+01:00Je suis actuellement en train de tester la messagerie Threema, dont voici un aperçu des caractéristiques :<br />
<br />
• Hautement sécurisée :<br />
✓ Chiffrement de bout en bout (E2E, avec la bibliothèque open source NaCl) : une paire de clés ECC est générée sur l'appareil et *seule* la clé publique est envoyée sur les serveurs*.<br />
✓ Chiffrement du canal de transport (TLS, avec certificat du CA codé en dur dans l'application).<br />
✓ Confidentialité persistante (forward secrecy).<br />
✓ Vérification de l'identité des contacts avec un code QR.<br />
✓ Conformité de la sécurité confirmée par un audit externe (réalisé en 2015).<br />
• Développée par une entreprise suisse avec des serveurs situés exclusivement sur le territoire helvétique (dans un centre de données certifié ISO 27001 à Zurich).<br />
• Pleinement conforme avec le RGPD, la Loi fédérale sur la protection des données (LPD) et l'Ordonnance relative à la loi fédérale sur la protection des données (OLPD).<br />
• Anonymat complet : chaque utilisateur possède un ID aléatoire, et aucun numéro de téléphone ni adresse e-mail ne sont requis (vous pouvez toutefois les renseigner afin de pouvoir être retrouvé·e plus facilement par vos contacts).<br />
• Multiplateforme : Android, iOS, Windows Phone, Web...<br />
• Confidentialité garantie : les groupes, messages, contacts restent sur l'appareil*, l'accès aux contacts est un choix volontaire et les méta-données sont réduites au strict nécessaire.<br />
• Transparente :<br />
✓ Algorithmes cryptographiques et protocoles documentés.<br />
✓ Politique de confidentialité concise.<br />
✓ Vérification indépendante possible de la bonne mise en œuvre du chiffrement (cf. <a href="https://threema.ch/validation" rel="nofollow">https://threema.ch/validation</a>).<br />
✓ Récupération aisée des données en possession de Threema (droit d'accès) : envoyer le message "info" à l'ID *MY3DATA.<br />
• Protection locale : l'intégralité de la base de données peut être protégée par un mot de passe maître ; un code de verrouillage peut être également mis en place afin d'empêcher l'accès de l'application par des tiers.<br />
• Modèle d'entreprise clair : vente de l'application (paiement unique de CHF 2.95) et services payants pour les professionnels†, donc indépendance financière.<br />
• Nombreuses fonctionnalités : formatage des messages, envoi de fichiers, sons, vidéos ou emplacements, appels audio, sondages, groupes (jusqu'à 100 membres), conversations privées (cachées), etc.<br />
• Paramétrage poussé : blocage des inconnus, (dés)activation des indicateurs de saisie et des accusés de lecture, sécurité, apparence (thème, langue...), notifications, etc.<br />
<br />
À titre personnel, je trouve que l'interface est ergonomique et esthétique, et l'application plutôt véloce compte tenu de la lourde couche de chiffrement en place !<br />
<br />
Les fonctionnalités ne sont pas en reste, avec des classiques comme le statut des messages (envoyé, distribué...) et des plus originales comme les sondages et les conversations privées.<br />
<br />
Les paramètres sont parmi les plus complets que j'aie pu voir dans une messagerie ; il est même possible de configurer les dimensions des images envoyées !<br />
<br />
Pour les plus « paranos » (ou soucieux de la vie privée), il est permis de se passer du GCM (Google Cloud Messaging, technologie utilisée pour la notification de l'arrivée de nouveaux messages) en optant pour une consultation de type "polling" (toutefois déconseillée). En outre, l'application Android peut être achetée directement sur leur boutique en ligne (y compris avec des Bitcoin).<br />
<br />
Finalement, le seul gros point que je pourrais lui reprocher (en-dehors de la faible base d'utilisateurs par rapport aux mastodontes du genre) est l'absence d'ouverture du code source, condition essentielle pour garantir de la bonne implémentation de la sécurité (principe de Kerckhoffs). Cependant, je dois avouer que je leur fais confiance, car leur cryptographie semble robuste (cf. leur livre blanc), un audit externe a confirmé la sécurité de la solution, tout le monde peut vérifier la bonne mise en œuvre du chiffrement E2E et il est *permis* (fait très rare) d'effectuer une ingénierie inverse sur l'application‡ !<br />
<br />
MÀJ du 31.01.19 : en parlant du GCM, Google ne voit rien passer, car ni le message, ni les correspondants ne sont dans la charge utile. Il est uniquement utilisé pour signaler à l'application qu'un nouveau message est disponible sur le serveur. Je vous encourage à lire la FAQ si vous avez d'autres questions ou vous souhaitez en apprendre davantage, car elle est rudement complète : <a href="https://threema.ch/en/faq" rel="nofollow">https://threema.ch/en/faq</a><br />
MÀJ du 09.02.19 : j'ai publié des captures d'écran dans la galerie : <a href="https://gallery.vuilleumier.tv/?dir=Tests%2FThreema" rel="nofollow">https://gallery.vuilleumier.tv/?dir=Tests%2FThreema</a><br />
<br />
* Une sauvegarde chiffrée des données locales (clés, liste de contacts, abonnements de groupes... tout, sauf les messages et médias) peut être effectuée de manière anonyme sur un serveur sécurisé de son choix (Threema Safe). Une sauvegarde complète (comprenant les messages et médias) est également faisable, sous la forme d'un ZIP chiffré enregistré dans l'espace de stockage de l'appareil.<br />
† Ces services payants comprennent par exemple l'accès à l'API d'envoi/réception de messages, intégration à l'entreprise, etc.<br />
‡ Selon cette page : <a href="https://threema.ch/press-files/content/the-threema-advantage_en.html" rel="nofollow">https://threema.ch/press-files/content/the-threema-advantage_en.html</a><br>(<a href="http://links.kevinvuilleumier.net/?hE4tHg">Permalink</a>)Secure Messaging Apps Comparison | Privacy Mattershttp://links.kevinvuilleumier.net/?4OvBpQ2019-01-24T13:34:37+01:00Un tableau comparatif d'applications de messagerie sécurisée.<br />
<br />
Visiblement, trois messageries sortent du lot : Signal, Threema et Wire.<br />
<br />
J'ai déjà parlé de Threema : son gros point fort est de pouvoir être anonyme (pas de numéro de téléphone, mais un ID aléatoire). Par contre, on peut regretter le fait qu'elle ne soit pas open source (mais son code a déjà été audité)...<br>(<a href="http://links.kevinvuilleumier.net/?4OvBpQ">Permalink</a>)The most secure collaboration platform · Wirehttp://links.kevinvuilleumier.net/?1RaEJA2019-01-24T13:08:54+01:00Je suis en train de tester Wire, une messagerie sécurisée dans la veine de Signal, Telegram, etc.<br />
<br />
Quelques constatations et remarques personnelles :<br />
<br />
- On peut s'inscrire avec un numéro de téléphone *ou* avec une adresse e-mail (ce que j'ai choisi), un très bon point pour éviter de devoir divulguer son numéro au monde entier<br />
- On peut choisir son identifiant (sous la forme @pseudo)<br />
- L'interface est assez austère je trouve, mais les principales fonctionnalités sont là (envoi de photos, enregistrements audio, positions, documents, etc.)<br />
- Elle est bien évidemment chiffrée de bout en bout (E2E) et open source !<br />
- Des clients sont disponibles pour les principaux systèmes (Windows, Mac, Linux)<br />
- On envoyer des dessins ! Inutile, donc indispensable :-P<br />
- Une auto-destruction temporisée des messages peut être configurée (par message, ou par conversation)<br />
- Il n'y a pas d'indicateur de présence ("en ligne") ni d'indicateur comme quoi nous sommes en train d'écrire, ce qui est appréciable pour ne pas se sentir "acculé" (et puis parce que ça ne regarde que moi au final)<br />
- On peut configurer l'envoi d'accusés de lecture (désactivés par défaut)<br />
- Il n'est pas obligatoire de donner la permission d'accéder aux contacts (ni aucune autre permission sensible d'ailleurs)<br />
- Un moteur de recherche intégré permet de trouver des correspondants selon leur identifiant ou leur nom, pratique !<br />
<br />
Je rajouterai des points dans la liste si d'autres me viennent à l'esprit.<br />
<br />
Si vous souhaitez m'ajouter, vous me trouverez aisément sous mon vrai nom (attention : je suis libre de refuser votre invitation ;-)).<br>(<a href="http://links.kevinvuilleumier.net/?1RaEJA">Permalink</a>)Blog Stéphane Bortzmeyer: Les conséquences techniques de l'interception HTTPS en entreprisehttp://links.kevinvuilleumier.net/?7I687Q2019-01-20T12:04:49+01:00Non seulement l'interception HTTPS est moralement discutable, mais en plus elle *affaiblit* (souvent drastiquement) la sécurité et risque d'avoir l'exact effet inverse recherché !<br>(<a href="http://links.kevinvuilleumier.net/?7I687Q">Permalink</a>)Notice - Site non officiel distribuant une version corrompue de KeePass - Infoteam SAhttp://links.kevinvuilleumier.net/?971tgg2019-01-20T11:37:58+01:00Attention : le site keepass (point) fr est un faux site officiel distribuant une version vérolée du célèbre logiciel de gestion des mots de passe !<br />
<br />
Le véritable site officiel est <a href="https://keepass.info/" rel="nofollow">https://keepass.info/</a><br>(<a href="http://links.kevinvuilleumier.net/?971tgg">Permalink</a>)ASUS accusé d'installer des applications sans consentement à travers ses cartes mères Z390 - Next INpacthttp://links.kevinvuilleumier.net/?nZ54JA2018-11-08T20:27:35+01:00Dans l'article cité en source : « The ASUS UEFI firmware exposes an ACPI table to Windows 10, called "WPBT" or "Windows Platform Binary Table". WPBT is used in the pre-built OEM industry (...) Put simply, it is a script that makes Windows copy data from the BIOS to the System32 folder on the machine and execute it during Windows startup - every single time the system is booted. »<br />
<br />
Donc Microsoft offre, à n'importe quel fabricant de CM/UEFI, un moyen officiel et documenté pour installer silencieusement et durablement des binaires dans Windows ? Le tout avant le lancement de n'importe quel autre programme et avec les droits administrateur.<br />
<br />
C'est à la fois impressionnant (techniquement parlant) et horrifiant !<br />
<br />
Maintenant, y a-t-il un moyen de désactiver ce comportement via une GPO, par exemple ? 🤔<br>(<a href="http://links.kevinvuilleumier.net/?nZ54JA">Permalink</a>)La sécurité informatique grand public est un échec - da scritch net workshttp://links.kevinvuilleumier.net/?k-cjXg2018-10-15T20:37:38+02:00(<a href="http://links.kevinvuilleumier.net/?k-cjXg">Permalink</a>)Pour la DGSE, pas besoin de porte dérobée pour accéder aux contenus chiffréshttp://links.kevinvuilleumier.net/?ZlFfnA2018-08-23T20:06:11+02:00« « Sécurité ne veut pas dire impossibilité pour les services de sécurité d'accéder aux communications » assure le responsable. Il suffirait de prévoir les bons mécanismes « de sécurité, de chiffrement, d'autorité indépendante de contrôle, enfin tout ce qu'on veut... » pour concilier les deux. »<br />
<br />
Donc une faiblesse dans les protocoles de chiffrement. Donc une porte dérobée. CQFD.<br>(<a href="http://links.kevinvuilleumier.net/?ZlFfnA">Permalink</a>)HooToo TripMate Routers are Cute But Insecure | IOActivehttp://links.kevinvuilleumier.net/?dmEsSA2018-07-14T20:20:25+02:00Visiblement, le routeur portable HooToo TripMate a (ou avait ?) de sérieuses (et nombreuses) failles de sécurité : "Multiple memory corruptions, multiple OS command injections, arbitrary file upload, and arbitrary firmware update: all of them unauthenticated."<br>(<a href="http://links.kevinvuilleumier.net/?dmEsSA">Permalink</a>)Free Secure Email Certificate with Digital Signature - Comodohttp://links.kevinvuilleumier.net/?CSQGSw2018-04-28T17:43:57+02:00Comodo propose des certificats pour email (S/MIME) gratuits (usage personnel uniquement).<br>(<a href="http://links.kevinvuilleumier.net/?CSQGSw">Permalink</a>)Comment chiffrer simplement un texte avec GPG - NextInpacthttp://links.kevinvuilleumier.net/?AJmapA2018-03-28T22:37:25+02:00(<a href="http://links.kevinvuilleumier.net/?AJmapA">Permalink</a>)VPN Leak - VoidSechttp://links.kevinvuilleumier.net/?jDy0uA2018-03-28T22:34:22+02:00Attention : il semblerait qu'un certain nombre de VPN laissent fuiter les adresses IP des clients connectés (merci WebRTC). Une liste des VPN concernés est disponible.<br />
<br />
Via : <a href="http://www.librement-votre.fr/shaarli/?uJubuw" rel="nofollow">http://www.librement-votre.fr/shaarli/?uJubuw</a><br>(<a href="http://links.kevinvuilleumier.net/?jDy0uA">Permalink</a>)open_relay.pyhttp://links.kevinvuilleumier.net/?AnfxrA2018-03-05T18:54:28+01:00Un script Python de Stéphane Bortzmeyer pour tester si un serveur SMTP est un relais ouvert (très mauvais pour la sécurité).<br>(<a href="http://links.kevinvuilleumier.net/?AnfxrA">Permalink</a>)Webutation - Website Reputation Community against fraud and badwarehttp://links.kevinvuilleumier.net/?rtCosw2018-02-03T12:54:05+01:00Un service qui permet de connaître la réputation d'un site (à partir de plusieurs métriques semble-t-il, dont Google Safe Browsing). À tester.<br>(<a href="http://links.kevinvuilleumier.net/?rtCosw">Permalink</a>)Justin GaniⓋet sur Twitter : "Clairement le meilleur gif de l'@ANSSI_FR et le plus nécessaire pour moi :D… " - Le Hollandais Volanthttp://links.kevinvuilleumier.net/?o70fUA2018-02-01T21:57:25+01:00Excellent ! Et il est possible de télécharger tous les GIF de l'ANSSI à ce lien : <a href="https://www.ssi.gouv.fr/uploads/2016/06/securite-du-numerique_gifs_animes_anssi.zip" rel="nofollow">https://www.ssi.gouv.fr/uploads/2016/06/securite-du-numerique_gifs_animes_anssi.zip</a><br>(<a href="http://links.kevinvuilleumier.net/?o70fUA">Permalink</a>)Et si un malware imparable se glissait sous l'écran de votre smartphone ?http://links.kevinvuilleumier.net/?h-Hrcg2017-08-22T22:32:27+02:00Va-t-il aussi falloir se méfier des réparateurs et des pièces de rechange maintenant ?<br>(<a href="http://links.kevinvuilleumier.net/?h-Hrcg">Permalink</a>)Google écarte du Play Store les apps qui veulent en savoir un peu trophttp://links.kevinvuilleumier.net/?S_YAmw2017-07-16T12:39:50+02:00Effectivement, une calculatrice qui demande accès aux contacts, à l'appareil photo, à la position GPS... ce n'est pas normal et il est bien que Google veuille faire le ménage.<br>(<a href="http://links.kevinvuilleumier.net/?S_YAmw">Permalink</a>)ProtonVPN: Secure and Free VPN service for protecting your privacyhttp://links.kevinvuilleumier.net/?PHjuzA2017-06-20T20:11:29+02:00Le service VPN de ProtonMail est enfin accessible à tous depuis aujourd'hui. Il y a une formule gratuite, basse vitesse, limitée à 3 pays et 1 appareil.<br>(<a href="http://links.kevinvuilleumier.net/?PHjuzA">Permalink</a>)End-to-End Encrypted Cloud Storage for Businesses | Tresorithttp://links.kevinvuilleumier.net/?qcKa4w2017-05-11T20:09:24+02:00Un autre service de stockage en ligne sécurisé (chiffrement de bout en bout) basé en Suisse (et en Hongrie ?).<br />
<br />
Différents comparatifs sont disponibles en bas de la page.<br />
<br />
Pas de formule gratuite chez eux par contre, mais une offre d'essai de 7 jours.<br>(<a href="http://links.kevinvuilleumier.net/?qcKa4w">Permalink</a>)Stockage en ligne suisse; Espace disque en ligne sécurisé - SecureSafehttp://links.kevinvuilleumier.net/?NwwIRA2017-05-09T22:09:20+02:00Un espace de stockage en ligne (« Cloud ») sécurisé (chiffrement de bout en bout) et dont les serveurs et la société sont en Suisse.<br />
<br />
Infos sur la sécurité + comparaison avec d'autres concurrents : <a href="https://www.securesafe.com/fr/s%C3%A9curit%C3%A9/" rel="nofollow">https://www.securesafe.com/fr/s%C3%A9curit%C3%A9/</a><br />
<br />
La formule gratuite ne bénéfice que d'un espace de stockage de 100 MB, dommage...<br>(<a href="http://links.kevinvuilleumier.net/?NwwIRA">Permalink</a>)Juicejacking – an emergency phone charge can be a security riskhttp://links.kevinvuilleumier.net/?adeIHQ2017-02-27T18:02:37+01:00TL;DR<br>(<a href="http://links.kevinvuilleumier.net/?adeIHQ">Permalink</a>)Blog Stéphane Bortzmeyer: Ma nouvelle clé PGPhttp://links.kevinvuilleumier.net/?j9kxVQ2017-02-26T08:53:15+01:00(<a href="http://links.kevinvuilleumier.net/?j9kxVQ">Permalink</a>)CREATING THE PERFECT GPG KEYPAIRhttp://links.kevinvuilleumier.net/?4KFSyA2017-02-23T23:32:01+01:00Un tutoriel qui semble plutôt complet.<br>(<a href="http://links.kevinvuilleumier.net/?4KFSyA">Permalink</a>)VeraCrypt : comment chiffrer et cacher des fichiers, un disque dur externe ou une clef USBhttp://links.kevinvuilleumier.net/?lWhPSQ2017-02-15T20:48:55+01:00Et le tuto pour chiffrer l'OS : <a href="https://www.nextinpact.com/news/103280-veracrypt-comment-chiffrer-et-cacher-os-complet.htm" rel="nofollow">https://www.nextinpact.com/news/103280-veracrypt-comment-chiffrer-et-cacher-os-complet.htm</a><br>(<a href="http://links.kevinvuilleumier.net/?lWhPSQ">Permalink</a>)Une PME florissante pillée par un hacker - Net is a free nationhttp://links.kevinvuilleumier.net/?H6MuoQ2017-02-14T06:50:35+01:00Ça n'arrive pas qu'aux grandes entreprises.<br>(<a href="http://links.kevinvuilleumier.net/?H6MuoQ">Permalink</a>)Prudence : un phishing élaboré vise les utilisateurs de Gmail - Tech - Numeramahttp://links.kevinvuilleumier.net/?pI_NVg2017-01-18T22:24:21+01:00Vraiment vicieux le coup de la fausse pièce jointe. Prudence, donc.<br>(<a href="http://links.kevinvuilleumier.net/?pI_NVg">Permalink</a>)Carte bancaire Visa : des informations récupérables par force brute, la société nous répondhttp://links.kevinvuilleumier.net/?3ueqeA2017-01-14T18:08:33+01:00C'est du joli, bravo. Notre argent est vraiment entre de bonnes mains, il n'y a pas à dire >_<<br>(<a href="http://links.kevinvuilleumier.net/?3ueqeA">Permalink</a>)Wordpress : Mise en place d’un formulaire de contact chiffré – Mémoires d'un Corsairehttp://links.kevinvuilleumier.net/?AJCdwQ2017-01-14T12:58:59+01:00Intéressant, il faudra que j'essaie de mettre ça en place.<br>(<a href="http://links.kevinvuilleumier.net/?AJCdwQ">Permalink</a>)Open Whisper Systems >> There is no WhatsApp 'backdoor'http://links.kevinvuilleumier.net/?CgCi5A2017-01-14T12:48:42+01:00L'avis d'Open Whisper Systems sur le récent scandale concernant la sécurité de WhatsApp.<br />
<br />
ÉDIT : voir aussi : <a href="https://www.nextinpact.com/news/102905-backdoor-dans-whatsapp-createur-signal-defend-choix-ergonomique.htm" rel="nofollow">https://www.nextinpact.com/news/102905-backdoor-dans-whatsapp-createur-signal-defend-choix-ergonomique.htm</a><br>(<a href="http://links.kevinvuilleumier.net/?CgCi5A">Permalink</a>)RaiderSec: How Browsers Store Your Passwords (and Why You Shouldn't Let Them)http://links.kevinvuilleumier.net/?b0XqBQ2017-01-06T10:39:49+01:00Un article assez technique expliquant comment les navigateurs Internet mémorisent les mots de passe et la sécurité qui leur est appliquée.<br>(<a href="http://links.kevinvuilleumier.net/?b0XqBQ">Permalink</a>)GPG : création de votre première paire de clefs et chiffrement d'un fichierhttp://links.kevinvuilleumier.net/?EM7_VA2017-01-03T13:14:36+01:00Encore un excellent article/tutoriel de NextInpact sur la sécurité :)<br />
<br />
Et l'introduction : <a href="https://www.nextinpact.com/news/98509-openpgp-et-gnupg-25-ans-chiffrement-pour-tous-ce-quil-faut-savoir-avant-sy-mettre.htm" rel="nofollow">https://www.nextinpact.com/news/98509-openpgp-et-gnupg-25-ans-chiffrement-pour-tous-ce-quil-faut-savoir-avant-sy-mettre.htm</a><br />
<br />
À partager sans limites !<br>(<a href="http://links.kevinvuilleumier.net/?EM7_VA">Permalink</a>)Un tracker caché dans Ghostery ! - Les liens du Lapin Masquéhttp://links.kevinvuilleumier.net/?3VVjvQ2016-12-02T06:45:30+01:00Je sais que ça date, mais quelle(s) liste(s) conseilles-tu dans uBlock Origin afin d'obtenir le même résultat ?<br>(<a href="http://links.kevinvuilleumier.net/?3VVjvQ">Permalink</a>)Mots de passe : on vous aide à choisir le gestionnaire qu'il vous fauthttp://links.kevinvuilleumier.net/?nKzNTQ2016-11-09T16:40:09+01:00En ce qui me concerne, j'utilise Keepass ;)<br>(<a href="http://links.kevinvuilleumier.net/?nKzNTQ">Permalink</a>)Distrusting the Web Of Trust - MyWOT sells your browsing data and it will identify you uniquely by Guurhart - company, how to, service on Peerlysthttp://links.kevinvuilleumier.net/?FdrHig2016-11-05T12:54:20+01:00Je vous incite fortement à désactiver ou carrément désinstaller cette extension sur tous vos PC (ce que j'ai fait).<br />
<br />
Bon il reste quoi du coup ? Rien de libre ?<br>(<a href="http://links.kevinvuilleumier.net/?FdrHig">Permalink</a>)VeraCrypt : un audit révèle plusieurs failles critiques, la version 1.19 en corrige la pluparthttp://links.kevinvuilleumier.net/?smi-9A2016-10-18T20:07:38+02:00Tout comme TrueCrypt en son temps, VeraCrypt a eu droit à son audit de sécurité dont les résultats nous sont parvenus hier. L'auteur a été prompt à réagir et la plupart des failles ont été corrigées.<br>(<a href="http://links.kevinvuilleumier.net/?smi-9A">Permalink</a>)Mon courrier sécurisé ? — C’est dans la boîte !http://links.kevinvuilleumier.net/?zigLAw2016-10-14T20:55:27+02:00Un projet intéressant. À suivre.<br>(<a href="http://links.kevinvuilleumier.net/?zigLAw">Permalink</a>)Choisir un bon mot de passe : les règles à connaître, les pièges à éviterhttp://links.kevinvuilleumier.net/?_-2-Uw2016-10-11T21:39:46+02:00Un article d'utilité publique. Si si.<br>(<a href="http://links.kevinvuilleumier.net/?_-2-Uw">Permalink</a>)Mounir Idrassi (VeraCrypt) : « Les portes dérobées qui n'acceptent qu'une personne n'existent pas »http://links.kevinvuilleumier.net/?Rjwgpw2016-10-11T21:36:20+02:00Un article très intéressant sur VeraCrypt et son développeur :)<br>(<a href="http://links.kevinvuilleumier.net/?Rjwgpw">Permalink</a>)