Récemment, CAcert (une autorité de certification qui distribue des certificats SSL/TLS gratuits) a été retirée de nombreuses distributions Linux (dont Debian).

Pourquoi ? Un sombre complot des autorités payantes ?

Non, car cette organisation n'est pas sûre : ils échouent à tous les audits de sécurité imposés (y compris ceux de Mozilla).

Bref, ils ne font pas les choses sérieusement et ne peuvent pas être considérés comme fiables.

Contrairement à ce que j'avais dit maladroitement, la faille Heartbleed est non seulement exploitée, mais permet de récupérer la clé privée du serveur ! Avec la clé privée en main, vous pouvez décoder TOUTES les trames émises précédemment, ainsi que celles actuelles et futures (sauf si la clé est changée entre temps).

Donc la faille a des conséquences désastreuses pour la sécurité : mettre à jour la bibliothèque OpenSSL ne suffit pas, il faut également révoquer ses anciennes clés et en générer de nouvelles !

Voici quelques liens pour étayer mes propos :

- https://www.cloudflarechallenge.com/heartbleed ;
- http://blog.cloudflare.com/the-results-of-the-cloudflare-challenge ;
- https://news.ycombinator.com/item?id=7576389

Merci à Pierre, un lecteur assidu, de m'avoir signalé ce fait et pour les liens ;)

Du gros n'importe quoi -_-

Certes, de voir apparaître des "torchons" dans cet article ne m'étonnent pas, mais de voir Zataz se tromper ainsi !

Et pour mettre un court à certaines peurs, je cite : "Certes, le bug est critique, mais récupérer des informations à partir de celui-ci n'est pas trivial : elles doivent être en mémoire. Si je ne me suis pas connecté à un site depuis un moment, il est assez peu probable qu'un attaquant potentiel ait pu récupérer quoi que ce soit."

Lis bien l'article Timo : c'est en fait un consultant qui travaille, entre autres, pour Mozilla et non la fondation elle-même ! Encore un titre trompeur pour attirer les chalants. C'est regrettable.

A lire avec celui-ci : http://yorickpeterse.com/articles/use-bcrypt-fool/

Il semblerait que la seule façon sécurisée et pérenne de stocker des mots de passe en base de données soit d'utiliser la fonction bcrypt (très lente - c'est le but - et utilise l'algorithme de chiffrement éprouvé Blowfish).

Oubliez ce que vous avez appris avec les sels, les fonctions de hashage et les itérations : elles ne font plus suffisamment le poids à l'heure actuelle face à la puissance des machines et des GPU (sans compter les fermes de calcul spécialement dédiées à cet effet).

Lisez les articles, ils sont bien faits ;)

Une fois de plus, on ne s'improvise pas expert en sécurité...

TL;DR

L'importance de mettre une date d'expiration sur les clés PGP/GPG.

Bof, aucun intérêt (vu le prix : 50 €  le lot de 10 DVD)...

Comme ils disent, autant prendre un container TrueCrypt et le graver, au moins on est sûrs du résultat et ça ne coûte pas plus cher (en plus d'être multiplateforme) !

Un chat sécurisé créé par un jeune informaticien suisse. Selon les affirmations du site, la durée de rétention des données dans la BDD est d'une seconde et demie (?!). A voir.

(On dit "chiffrement", pas "cryptage", rahhhh)

Un employé de la NSA abuse de ses privilèges pour espionner en toute illégalité 9 femmes pendant 6 ans.

Comme dit le premier commentaire : « Mais non, il n'y a aucune raison qu'on s'intéresse à moi, je ne suis pas un terroriste, je n'ai rien à cacher »

Oui, mais voilà : ce sont des êtres humains aux commandes. Donc faillibles, prompts à faire des conneries et à abuser de leur pouvoir pour des intérêts personnels.

Interdiction de présenter sa découverte à la conférence Usenix ? Ben voyons... Au lieu de corriger les failles, on préfère taper sur celui qui les annonce. Classique.

Au passage, c'est quoi ce "Megamos Crypto" comme algo de chiffrement ? Ca pue le chiffrement maison en mousse (MegaMousse ?) -_-