Ou comment générer son propre certificat CA, l'installer sur la machine locale puis signer son code sans débourser un centime 8)

Via SebSauvage.

Merci pour l'information !

Je partage ici pour tous nos amis français qui doivent installer un détecteur de fumée dans leur logement.

Un tableau comparatif de la sécurité des applications de messagerie.

Sans surprises, la plupart des messageries "hypes" sont (très) peu sécurisées, comme Viber ou Whatsapp.

Un bon petit dossier de Clubic pour faire le point.

On en parlait récemment sur Shaarli (avec Strak ?) concernant la sécurité du réseau Wi-Free de Cablecom (pour rappel, Wi-Free est un Wifi ouvert aux clients de Cablecom où les points d'accès sont ceux des clients).

Cablecom dit la chose suivante à ce propos :

« La responsabilité liée à l'utilisation de l'Internet est toujours assumée par chaque utilisateur. Celui-ci est responsable de ses propres agissements et peut être appelé à rendre des comptes. Le propriétaire d'un point de relai Wi-Free ne saurait être tenu pour responsable des activités déployées via son point de relai. »

Donc pas de risques pour le propriétaire du point d'accès, ouf !

EDIT : Oui, c'était bien Strak : http://liens.strak.ch/?Gd61rg

Alors je peux répondre à tes interrogations en me basant sur les informations fournies :

• OUI, chaque client connecté au Wi-Free a sa propre adresse IP !
• OUI, les réseaux sont séparés et ne peuvent se voir l'un et l'autre !
• NON, la responsabilité est de celle du client connecté, comme je le dis ci-dessus.

Ah et la bande-passante nécessaire au fonctionnement du Wi-Free est fournie en plus, GRATUITEMENT ;)

Donc si tu as 100 Mbps et que le Wi-Free a besoin de 10 Mbps, ceux-ci seront à la charge de Cablecom et ne seront pas pris sur ta connexion !

TL;DR : Un billet très intéressant d'Eric Lippert (développeur principal de l'équipe en charge du compilateur C#) concernant la cryptographie et le secret des clés. Car ce qui importe dans un algo de chiffrement pour qu'il soit sécurisé, c'est de gérer correctement les clés et les garder secrètes. Tout le reste doit être connu et ouvert, comme on le dit sans cesse !

Une application avec le seul droit d'accès Internet, une analyse de la mémoire partagée, puis une injection de code et hop ! Des informations dérobées. Très vicieux et difficile à détecter, même pour un utilisateur expérimenté ! Prudence, donc, et ne pas installer n'importe quelle application qui passe !

Je suis pas mal les projets que présentent les utilisateurs sur Openclassrooms. Parfois il y a des perles et d'autres... on ne sait pas trop quoi en penser, comme ici.

Cet utilisateur propose sa solution de sécurité (antivirus) : Tiranium Internet Security. Déjà au premier abord, on ne peut qu'être méfiant, car les faux antivirus sont légion. Et un projet pareil, pour être efficace et fonctionnel, doit avoir des spécialistes et une équipe qui suit 24/7 les menaces sur le web. Bref, loin de portée d'un utilisateur lambda ou d'une petite équipe de potes...

Évidemment, il promet monts et merveilles, des algorithmes infaillibles, et tout le bullshit habituel qu'on peut entendre (baratin marketing). Bon, pourquoi pas après tout ?

Petite précision, je n'ai pas encore pu tester (en VM, bien entendu).

Sauf qu'il n'existe pas, à ma connaissance, de tests reconnus qui démontrent le sérieux de cet antivirus. Les rares qui sont disponibles puent à dix kilomètres (une obscure chaîne YouTube dont les seules vidéos sont pour démontrer la prétendue efficacité de ce logiciel, par exemple). Sans compter qu'une adresse officielle en GMail, c'est moyen niveau crédibilité...

Ensuite, certains utilisateurs semblent avoir rencontrés des problèmes sérieux (ralentissements, impossibilité de désinstaller, inefficacité de la solution, etc). Ce message est le plus flagrant : http://fr.openclassrooms.com/forum/sujet/logiciel-tiranium-internet-security?page=2#message-86811517

Il fait état d'un tel ralentissement que le test EICAR n'est détecté qu'au dixième lancement (!), un trojan n'a été détecté que 15 minutes plus tard (!), rien n'est réglable, les performances de la machine sont fortement impactées et il y a un fort trafic réseau (envoi de fichiers) ! Oui, parce que tout ou presque se fait en ligne en fait (cloud computing). Le vol de données est par conséquent possible et imaginable...

Il faudrait attendre des expertises plus poussées et de vrais tests sérieux (Malekal ?) pour pouvoir trancher s'il s'agit d'un projet sérieux et honnête, mais pas encore mature, ou d'une arnaque de plus. Qu'en pensez-vous ?

Faites attention aux arnaques, de plus en plus nombreuses et bien ficelées pour celui peu aguerri. Un minimum de bon sens est de mise et, comme ils le disent si bien dans l'article, aucun logiciel de sécurité ne pourra jamais empêcher ce genre d'attaques !

Pour rester dans le thème, je peux parler d'un témoignage similaire d'un ami : il vendait quelque chose sur une plateforme d'annonces bien connue de Suisse, quand un acheteur a, selon le même scénario, procédé à une transaction PayPal inexistante ! Pourtant loin d'être dupe ou novice en la matière, il a failli se faire avoir avec les faux mails de PayPal lui assurant le versement de la somme. Heureusement pour lui, il a vu que son solde n'avait pas bougé et qu'il avait affaire à une arnaque.

On ne le dira jamais assez...

Il va falloir que je teste ça à l'occasion. D'ailleurs, il y a une liste quelque part des alternatives à TC ? Parce qu'il commence à y en avoir beaucoup (ce qui est bien).

À tester...

En parlant de trackers XiTi dans l’espace de gestion, le fournisseur de ma carte bancaire pour faire des achats sur le net a bien placé de la publicité (!) dans son application mobile ! Ça ne fait pas super sérieux pour une institution bancaire :/

Heureusement, l'interface web est plutôt bien foutue... enfin mieux que celle dont tu fais la description !

Un team (suisse) a mis en place un site pour se fédérer autour de Truecrypt et proposer de continuer le projet au cas où il serait mort...

Prudence toutefois : rien ne dit pour l'instant que ceux derrière le site sont fiables !

Dans leurs arguments, le seul point qui me fait tiquer, c'est la mention comme quoi les membres de la team ne seront pas anonymes : c'est honorable, mais dangereux. Le point fort de Truecrypt, c'était justement l'anonymat du développeur qui ne pouvait ainsi pas subir de pressions (jusqu'à maintenant ?).

Si les membres sont connus, rien ne dit qu'ils ne vont pas être manipulés et "contraints" de fragiliser l'implémentation de TC ou y intégrer une backdoor.

À suivre...

Au passage, cette histoire avec TC pue à des kilomètres. Plusieurs théories s'affrontent mais une chose demeure : personne ne croit à la version "officielle". En attendant, je conseille de garder la dernière version fiable (7.1a) qui est encore sûre jusqu'à preuves du contraire !

Euh, on a d'un côté : "garantir un taux de confidentialité très élevé et sans compromis", puis "3DES" de l'autre.

Facepalm

Computrace, un mouchard présent sur quantité d'ordinateurs (portables ?), non détectés par les antivirus, non supprimable car situé dans une partie non modifiable du BIOS et auto installable sur l'OS ! Cerise sur le gâteau : il fait du trafic réseau et ralenti la machine... En plus, le trafic n'est même pas chiffré, ainsi n'importe qui peut se faire passer pour les serveurs légitimes !

Existe aussi en version mobile. Encore une backdoor installée sous couvert de "sécurité"...

"L'éphémère n'existe pas quand on parle du monde numérique." Exactement ! Comme ceux qui nous sortent des éditions numériques "limitées". La seule limite qu'il y a est marketing et non technique...

Très bon site, au passage.

Mon Dieu... Je regardais le code source de la page de login d'un site (dont l'absence de design en disait long) et je suis tombé sur une perle...

Déjà, je trouvais bizarre qu'il y ait une réimplémentation de MD5 en JS (seul code présent, d'ailleurs). Enfin soit, pourquoi pas, ça peut se justifier !

Je présentais un truc horrible et, malheureusement, mes craintes se sont trouvées fondées lorsque je suis tombé sur cette ligne (un peu modifiée pour des raisons de confidentialité et pour mieux y voir) :

<input name="login" type="submit" value="ENTRER" onClick="password.value = md5(md5(password.value) + 35755);">

Oui, regardez bien le code JS implémenté dans l'événement onClick : password.value = md5(md5(password.value) + 35755);

Visiblement, quelqu'un s'est renseigné sur comment sécuriser ses mots de passe, mais sans rien y comprendre au final oO

Ici, il fait un double hash MD5 du mot de passe (avec un sel)... c'est bien... mais du côté client !

Au final, ce hash sera envoyé au serveur et comparé tel quel avec celui stocké en BDD. Il est où l'intérêt ? Autant envoyer le mot de passe directement et le stocker en clair dans la BDD !

Évidemment, la connexion n'est pas sécurisée...