Intéressant, il faudra que j'essaie de mettre ça en place.

L'avis d'Open Whisper Systems sur le récent scandale concernant la sécurité de WhatsApp.

ÉDIT : voir aussi : https://www.nextinpact.com/news/102905-backdoor-dans-whatsapp-createur-signal-defend-choix-ergonomique.htm

Un article assez technique expliquant comment les navigateurs Internet mémorisent les mots de passe et la sécurité qui leur est appliquée.

Encore un excellent article/tutoriel de NextInpact sur la sécurité :)

Et l'introduction : https://www.nextinpact.com/news/98509-openpgp-et-gnupg-25-ans-chiffrement-pour-tous-ce-quil-faut-savoir-avant-sy-mettre.htm

À partager sans limites !

Je sais que ça date, mais quelle(s) liste(s) conseilles-tu dans uBlock Origin afin d'obtenir le même résultat ?

En ce qui me concerne, j'utilise Keepass ;)

Je vous incite fortement à désactiver ou carrément désinstaller cette extension sur tous vos PC (ce que j'ai fait).

Bon il reste quoi du coup ? Rien de libre ?

Tout comme TrueCrypt en son temps, VeraCrypt a eu droit à son audit de sécurité dont les résultats nous sont parvenus hier. L'auteur a été prompt à réagir et la plupart des failles ont été corrigées.

Un projet intéressant. À suivre.

Un article d'utilité publique. Si si.

Un article très intéressant sur VeraCrypt et son développeur :)

Ou Threema ;)

Chiffrement de bout en bout, nombreuses fonctionnalités, serveurs et société situés en Suisse, et gros avantage par rapport à d'autres messageries : pas besoin de numéro de téléphone ! Votre identifiant est un numéro aléatoire et donc parfaitement anonyme.

Deux points négatifs : pas totalement open source (bien qu'audité) et payant (2€ environ, ce n'est pas la mer à boire).

Ne téléchargez rien sur downloadatoz(.)com, car les applications proposées contiennent des logiciels malveillants (insérés à l'insu des développeurs).

Comment je le sais ? Parce qu'il est possible d'y trouver mon application Android "le mot du jour" et l'APK obtenu pèse 1 Mo de plus que l'original. Visiblement, elle a été "repackagée" avec des trucs pas très sains >_<

Je ne sais pas dans quelle mesure cela est encore d'actualité, mais il semblerait que Kaspersky Internet Security 15 se permette d'injecter un script JS dans chaque page visitée ! Ce script servirait à communiquer entre le module KIS du navigateur et le programme principal.

Visiblement, c'est impossible à désactiver et cause de problèmes.

"This behaviour (injecting main.js) was implemented with KIS2015 and it seems to be by design to permit communication between browser plugins and the main kaspersky program.

ANNOYANCES:
This script sends endless XHR POST requests exactly every 2000ms as defined in main.js. i've seen 15.000 + requests recorded on a single active tab."

Un retour intéressant sur l'initiative Let’s Encrypt.

Il existe des programmes, comme "Encrypted RunAs" permettant de créer des raccourcis vers des programmes qui seront automatiquement exécutés avec les droits administrateur.

Utile pour permettre exceptionnellement à un utilisateur standard de pouvoir exécuter certaines tâches ou certains programmes... mais également dangereux : il est possible de récupérer le nom d'utilisateur et le mot de passe administrateur avec des outils comme "API Monitor". Oui, même en ayant les droits restreints. Donc faites preuve de prudence.

Pire : même un programme aussi innocent que le bloc-notes peut servir à lancer un invite de commandes administrateur ou faire des dégâts s'il est élevé. Alors, redoublez de prudence face à ces outils.

Au risque de me répéter : utilisez VeraCrypt : fork de TrueCrypt qui corrige les failles de son aîné, avec une sécurité renforcée.

Le premier paragraphe résume tout :

"ThreeBallot is a voting protocol invented by Ron Rivest. ThreeBallot is an end-to-end (E2E) auditable voting system that can in principle be implemented on paper. The goal in its design was to provide some of the benefits of a cryptographic voting system without using cryptographic key."

Pour ceux qui maîtrisent mal l'anglais :

« ThreeBallot est un protocole de vote inventé par Ron Rivest. ThreeBallot est un système de vote auditable de bout en bout (E2E) qui peut en principe être mis en œuvre sur papier. Le but, dans sa conception, était de fournir quelques-uns des avantages d'un système de vote cryptographique sans utiliser de clé cryptographique. »

Comme dit quelqu'un dans les commentaires : « Les applications légitimes pillent les données personnelles, traquent les utilisateurs et les malwares renforcent la sécurité. »

Oui, c'est le monde à l'envers.

Ce qu'il est intéressant de noter et qui m'avait échappé à l'époque, c'est que le diffuseur Elephant (Elephant Diffuser), une brique essentielle, a été supprimé de BitLocker dans Windows 8. Ce que beaucoup d'experts en sécurité considèrent comme un affaiblissement inacceptable de la sécurité de BitLocker, déjà vulnérable à certaines attaques.

Le PDF ne le précise pas, mais le retrait du diffuseur a été fait sans aucune annonce de la part de Microsoft. Désactivé en douce et déprécié.

Officiellement, c'est parce que c'est lent. Officieusement, pressions du gouvernement/NSA pour rendre BitLocker encore plus faible ?

Ah et de toute façon, n'oublions pas que dans Windows 10, Microsoft envoie par défaut la clé de récupération BitLocker sur OneDrive... Je dis ça, je dis rien, mais utilisez VeraCrypt plutôt (fork open source de TrueCrypt très actif).

Après, relativisons : s'il s'agit de protégé vos données contre les voleurs, vos voisins, les enfants ou les visiteurs un peu trop curieux, BitLocker est une protection largement suffisante et qui a l'avantage d'être bien intégrée dans Windows.

Par contre, si vous êtes Snowden, que vous protégez des secrets d'état, des secrets industriels, ce n'est effectivement pas la meilleure des protections... Ou alors si vous n'acceptez pas d'utiliser des produits de chiffrement propriétaires et potentiellement vulnérables, par principes.

D'autres lectures sur le sujet :
https://cryptoservices.github.io/fde/2014/12/08/code-execution-in-spite-of-bitlocker.html
http://www.wilderssecurity.com/threads/has-bitlocker-been-weakened-in-windows-8.369873/
https://www.schneier.com/blog/archives/2015/03/can_the_nsa_bre_1.html