Il dit que mon site n’est accessible qu’en https, ce qui est faux mais il ne me met pas de points négatifs pour autant. En réalisé il y a bien un accès en http, ce qui est indispensable pour le fonctionnement de certbot.
C’est quoi qu’il te dit exactement ? Que c’est bien car tu rediriges auto les requêtes HTTP vers HTTPS ? Alors que tu ne le fais pas justement pour voir s’il le détecte bien ?
Merci pour le retour concernant l’IPv6, je garderai ça à l’esprit si je scan un site IPv6 only. Par contre ça vaudrait peut-être le coup de leur signaler le bug…
Le
22/07/2020 à
18h
30
Tu l’as dit, en mettant 5 lignes, donc aucune excuse si tu ne les mets pas, vu le temps que ça prend.
Branlette : C’est pas mon truc de jouer à comparer telle ou telle mesure. Toutes ont un intérêt et couvrent différents cas de figure. Par ex ne pas avoir de CSP aujourd’hui IMO c’est délirant étant donné la place qu’a pris le JavaScript et globalement les assets tiers sur les sites web, ainsi que les vecteurs d’attaque que ça véhicule (suffit de pirater un CDN ou une dépendance obscure et à moitié à l’abandon pour diffuser largement keylogger et autre cryptominer)
Le
22/07/2020 à
16h
32
Aucune idée pour l’IPv6, je ne maîtrise pas le sujet (cela dit ça semble fonctionner) mais ignorer l’avis d’un outil qui globalement se contente d’analyser des headers (ce qu’il fait bien, de mon expérience personnelle), ça me semble… Excessif.
Entre les raleurs compulsifs, la campagne de dénigrement permanente par les geeks sur les réseaux sociaux et ceux qui sont en vacances et qui n’en ont rien à faire, tu fais grand cas de ce qui n’en est pas " />
Les “geeks” dénigrent parce qu’elle est mal conçue techniquement, justement.
carbier a écrit :
Mon pauvre tu crois que les gens n’installent pas StopCovid parcequ’il est mal conçu techniquement ?
Donc au final tu te contredis étant donné que tu dis toi-même (à moins que je me trompe) que la campagne de dénigrement des “geeks” a nuit au succès de l’appli.
Le
20/07/2020 à
18h
00
Concernant la mise à jour de l’appli, tout dépend si elle est publiée sur les stores ou non.
En l’espèce elle est bien en 1.1 pour Android comme pour iOS (elle est même en 1.1.1 pour ce dernier).
Le
20/07/2020 à
15h
29
Curieux, j ‘ai souvenir que dans la com du gouvernement il y avait notamment l’argument “L’appli a été validée par la CNIL”.
J’ai rêvé ? Ou bien cette “validation” est donnée trop facilement ? (vu les irrégularités constatées par la CNIL dès la v1.0)
(Il y a trop de médecins appelés Ban* pour qu’une recherche Google renvoie quoi que ce soit de pertinent là-dessus).
Apparemment si un patient manque trop de rdv (genre 3) il est ban. J’ai vu une psy s’en plaindre sur Twitter car dans son boulot ça fait limite partie de la thérapie que le patient pose des lapins. Elle s’en plaignait car Doctolib semble prendre ce genre de décision unilatéralement et ce même si le praticien s’y oppose.
Confiance aveugle : car les gens n’y connaissent rien, que leur expliquer cette faillibilité les fait bien trop flipper et n’est dans l’intérêt d’aucune entreprise (elles vont toutes dire que leur produit est parfait).
Ils ont besoin de croire que la machine est infaillible, sinon l’illusion tombe et la paranoia commence.
Tu parles, il n’y avait déjà pas le fric pour les dépenses “certaines” (lits, masques, personnel, appareils respiratoires…), donc investir dans un secteur “hypothétique” (dans le sens où il n’est pas certain que quelque chose se passe) comme la sécurité informatique, c’est pas demain la veille.
Le
14/07/2020 à
17h
25
Tiens ça me rappelle un reportage en hosto durant la première vague de covid 19. Un docteur était interviewé, derrière lui on pouvait voir son poste de travail : vu la barre des tâches c’était Windows XP…
Pour rappel XP ne reçoit plus de mises à jour de sécurité depuis 2014.
J’ai aussi vu des praticiens sous Windows 7… (plus de mises à jour depuis cette année)
D’autant que ça demande assez peu de travail d’avoir A+. Donc ne pas mettre en place ce qu’il faut signifie soit :
jemenfoutisme absolu, on sait que les technos évaluées dans ce test existent mais on a choisi de ne pas les mettre en place pour économiser 1h de travail (et encore je suis très large)
ignorance de l’existence même de ces technos, ce qui traduit une maîtrise insuffisante de la sécurité web. En général ça se voit chez les développeurs juniors mais aussi chez les vieux de la vieille, qui ont tendance à être plus dev réseau que dev web et n’approchent donc la sécurité que côté serveur, en oubliant le côté client.
J’ai même vu des audits de sécurité passer à côté…
Le
12/07/2020 à
10h
33
Si c’est seulement un site vitrine ce n’est pas “trop” grave.
Par contre dès lors qu’il y a possibilité de se connecter et/ou que le site traite des données personnelles, ne pas avoir A+ est un signe d’une sécurité insuffisante pour protéger les utilisateurs et leurs données.
Le
09/07/2020 à
16h
03
Ah ça… La quasi totalité des sites ont F, c’est pas jojo.
Mais NXI ne prétend en effet pas fournir un service d’authentification gouvernemental sécurisé et centralisé…
Cela dit c’est malgré tout un peu la honte pour un site d’informatique " />
Le
09/07/2020 à
13h
24
France Connect, cette bonne idée…
Comme pour toutes les solutions du genre (se connecter via FB, via Google…) c’est très pratique pour se faire pwn tous les comptes affiliés si jamais on se fait voler l’identifiant France Connect ou que le service est compromis " />
Ca te permet de te connecter au site A en entrant les identifiants du site B.
Donc il suffirait qu’un des services A (impots.gouv.fr, ameli.fr, l’Identité Numérique La Poste, MobileConnect et moi, msa.fr et Alicem) soit compromis pour compromettre tous tes comptes accessibles via France Connect.
Enfin, aucune raison que ça arrive, ces sites A sont évidemment très bien sécurisés.
C’est clair. Et il y a plus vicieux que ton exemple : le code (javascript) de la régie présent sur la page qui se retrouve à contenir du code malveillant, ce qui permet à un pirate de prendre le contrôle de la page et d’en extraire des données.
D’autant plus que la plupart des sites ont une sécurité côté client quasi inexistante, suffit de les tester avec https://observatory.mozilla.org/ pour voir que c’est F Land. Y compris sur des sites officiels…
Concernant la parade consistant à créer des sous-domaines redirigeant vers les trackers, uBlock Origin est capable des les détecter.
A noter que ça ne fonctionne que sur Firefox car les navigateurs à base Chromium ne disposent pas de l’API nécessaire. Ca fait un sacré argument en faveur de Firefox.
D’ailleurs pour rester dans le “sexe” la france à traité de la même manière la prostitution… T’a le droit de faire la pute mais si ton client ce fait chopper il prend cher. Du coup les prostituée ne peuvent être que précaire et vivre dans l’underground
L’hypocrisie puritaine bien pensante en action : on a pas le courage de faire face à la problématique donc on met sous le tapis, ça fait bien en façade mais en pratique ça empire la situation.
Pour rester dans le “sexe”, ça rappelle le bon vieux cliché de la famille coincée où une ado se retrouve enceinte car zéro éducation sexuelle et finit par accoucher dans son coin d’un gosse pas voulu ou avorter dans des conditions horribles parce que ses parents ont nié jusqu’au bout que si son bide est devenu rond c’est pas juste parce qu’elle mangeait bien…
Ici encore, hypocrisie puritaine.
Le
05/06/2020 à
08h
51
OliverTrets a écrit :
Si on n’interdit pas aussi l’accès aux outils VPN aux moins de 18 ans, ça sert à rien.
Les boomers qui proposent ce genre de loi ne savent pas ce qu’est un VPN, ou comment fonctionnent internet et le web.
Le
05/06/2020 à
08h
49
Guinnness a écrit :
C’est pas nouveau, Hadopi sanctionne des défauts de sécurisation sans avoir jamais proposer aucune solution de sécurisation pertinente (à moins que j’ai raté le truc)
Sur ce point je ne te suis pas, l’histoire du “défaut de sécurisation” de Hadopi c’est je crois pour laisser le bénéfice du doute à l’internaute : peut-être que c’est quelqu’un qui utilise sa connexion à son insu pour du téléchargement illégal, et pas lui.
Auquel cas une solution de sécurisation pertinente est tout simplement de ne pas avoir une clé wifi daubée. Ce qui n’est en général pas un soucis étant donné que par défaut une clé wifi est assez forte, et que l’utilisateur moyen ne change pas les paramètres par défaut quels qu’ils soient (ce qui rend l’histoire du “défaut de sécurisation” peu pertinente étant donné qu’en général ce n’est pas un tel défaut qui a entraîné un téléchargement illégal. Ou alors il y a une justification juridique à cette formulation…)
Le
04/06/2020 à
12h
52
Je suis curieux de voir comment tu implémenterais ça.
En vérifiant une pièce d’identité ?
Un gosse peut présenter celle de son parent, sans compter les risques et dérives côté données personnelles à moins que l’Etat sorte une API ( " /> ) permettant à un site de vérifier qu’un utilisateur est majeur sans pour autant avoir lui-même accès à son identité.
En mettant le contenu derrière un paiement ?
Un gosse peut piquer la CB de son parent.
Autre chose ?
Cette loi serait au mieux inapplicable, au pire pénaliserait les petits sites ne pouvant se payer la techno magique (qui reste à définir) permettant cette vérification.
Ca rappelle les délires politiciens sur la directive copyright : les plateformes se débrouillent pour filtrer les contenus sous copyright. Comment ? Peu importe, les sites trouveront un moyen à base d’IA magique encryptionnée dans la blockchain digitale.
Sans parler des petits sites ne pouvant pas satisfaire l’obligation du retrait dans les 24h car n’ayant pas une armée de modérateurs sous-payés dans un pays du tiers monde comme les gros sites.
“il reviendra ensuite à chacun des diffuseurs d’imaginer une solution de remplacement”
Ben tiens.
Comme d’habitude nos incompétents professionnels exigent quelque chose mais ne proposent rien de concret pour la mise en oeuvre. Une énième loi qui serait inapplicable ou conduirait à de grosses dérives.
Pas très rassurant côté cohérence et transparence tout ça en effet.
C’est à cause de ce genre de comportement foireux qui te fait douter si finalement c’est chiffré ou pas, qui/quoi y a accès ou pas, que j’ai abandonné l’idée d’utiliser le gestionnaire de mdp intégré à un navigateur. (y en a dans ce thread qui maintiennent que c’est pas chiffré, même avec mdp maître => c’est pas clair)
A faire un bricolage qui fonctionne sans mdp maître mais en fait non mais en fait à moitié ça te demande pas toujours, je suis bien plus serein avec un gestionnaire dédié qui me demande mon mdp systématiquement quand je veux l’utiliser et qui a comme objectif premier la sécu :/
Le
11/05/2020 à
08h
03
En même temps, comment s’assurer qu’ils ne sont pas stockés en clair dans les fichiers du navigateur (équivalent de motsdepasse.txt au final) sans les chiffrer et demander à chaque tentative d’accès le mot de passe pour les déchiffrer ?
Perso je ne vois pas, ou au mieux passer par le gestionnaires de clés de l’OS (keychain sur iOS, pas sûr pour les autres…) qui serait déverrouillé par le mot de passe de session au démarrage de l’ordi et resterait déverrouillé jusqu’à extinction ou mise en veille.
N’oublion pas que les navigateurs ont pendant des années stocké en clair (ou presque) les mots de passe sauvegardés ce qui leur a valu de grosses critiques, d’où ce durcissement.
Le
11/05/2020 à
07h
43
Confort VS sécurité : faut bien que la clé chiffrant les mots de passe vienne de quelque part. Si tu ne devais pas la taper directement ou la déchiffrer (par ex via ton mdp de session) à chaque fois que tu redémarres l’application et/ou ton OS c’est qu’elle serait stockée elle-même en clair sur le disque de ton ordi, ce qui n’est pas tip top côté sécu…
C’est malheureusement un incontournable de tout gestionnaire de mots de passe : fournir la clé au moins à chaque démarrage, pour s’assurer qu’elle n’est stockée en clair qu’en mémoire vive et jamais sur le disque.
Le bon côté c’est que ça fait régulièrement taper le mot de passe maître, qui devrait être unique et long, donc ça évite de l’oublier.
Si elle communique, elle sera sanctionnée pour la fuite, sanction modulée comme tu l’as dit.
Si elle ne communique pas, tout en ayant connaissance de la fuite, et que cette dernière finit par malgré tout arriver aux oreilles des autorités, elle sera sanctionnée pour la fuite (sans doute modulée moins gentiment) ET pour manquement à son obligation de prévenir les autorités (CNIL notamment). Les autorités décident ensuite des modalités de la communication aux utilisateurs dont les données ont fuité (peut par ex être reportée pour le bon déroulement de l’enquête)
Le
07/05/2020 à
09h
28
Avec le RGPD “en théorie” une entreprise qui cache une fuite de données risque très gros.
C’est une grande nouveauté je crois, pour le coup c’était le comportement habituel pre-RGPD de passer la fuite sous silence.
Je dis “en théorie” car il n’y a pas grand monde pour faire respecter le RGPD…
Dans tous les cas, le comportement de l’entreprise va dépendre de ce qu’elle considère comme lui coûtant le plus cher : amende pour avoir caché la fuite VS impact sur la réputation en cas de divulgation.
L’impact sur la réputation étant sans doute à revoir à la baisse car, comme l’a dit Indigo74, malheureusement quasi tout le monde s’en fout.
Le
04/05/2020 à
10h
57
Du MD5 en 2020, pour les nouveaux utilisateurs qui plus est. Inexcusable.
En général on croise du MD5 ou du SHA avec l’excuse (irrecevable) “c’est les vieux comptes qui ont pas changé de mot de passe depuis qu’on a modernisé le hachage” mais là…
Et surtout, on la sauvegarde à prix d’or chez nos copains de Microsoft ou de Google, en toute souveraineté évidemment " />
Le
14/03/2020 à
15h
54
Soft ? Le chiffrement ça se fait avec un algo avant tout, le soft qui implémente cet algo devrait être interchangeable ou au moins open source (pour des raisons de sécurité et pour le reprendre s’il est abandonné).
Le lead de TrueCrypt a eu des gros ennuis avec la justice de mémoire, à base de trafic d’or je crois.
Puis il a “disparu” de la circulation, on suppose qu’il s’est fait attraper par les autorités et a passé un accord avec elles, ce qui rend TrueCrypt non sûr car contenant potentiellement une backdoor issue de cet accord. De toute façon le programme avait des grosses lacunes de sécurité.
Depuis le développement a été repris avec VeraCrypt.
Ca dépend. Regarde par exemple ce témoignage d’une psy qui dit que les lapins peuvent être courants dans son métier, voire normaux et compréhensible selon la pathologie du patient.
Le soucis c’est que Doctolib semble ne pas laisser suffisamment de liberté au praticien.
uMatrix est excellent pour un power user, pas pour la majorité des gens qui a besoin d’une solution “install and forget” et n’a aucune connaissance technique.
D’ailleurs même le créateur de uMatrix/uBlock Origin a déclaré qu’il préférait utiliser le second plutôt que premier. Sans doute trop laborieux même pour lui.
Le
08/03/2020 à
12h
35
Ghostery, ce plugin vie privée qui a totalement foiré le respect de la vie privée en mettant des centaines de personnes en copie dans une partie de ses emails “Le RGPD est arrivé, votre vie privée est notre priorité”… " />
La question de si un post sur un réseau social est une donnée personnelle ou pas sera éternelle tant que la jurisprudence n’aura pas tranché.
Intéressons-nous plutôt à la définition de la CNIL : “C’est toute information relative à une personne physique susceptible d’être identifiée, directement ou indirectement.”
Ajoute à ça “s’il est possible par recoupement de plusieurs informations (âge, sexe, ville, diplôme, etc.) ou par l’utilisation de moyens techniques divers, d’identifier une personne, les données sont toujours considérées comme personnelles.”
Cela signifie qu’au final à peu près tout peut être considéré comme une donnée personnelle, car l’on peut quasi toujours remonter à quelqu’un en recoupant les données à notre disposition avec d’autres.
Et je maintiens, pour les deux raisons que j’ai exposées dans mon précédent post : un mot de passe peut permettre d’identifier un individu. Soit directement (donnée personnelle dans le mdp), soit indirectement (mdp réutilisé sur plusieurs plateformes et pouvant permettre par recoupement entre les autres données du compte sur chacune de ces plateformes d’identifier l’individu détenteur de ces comptes)
Oui j’ai fait un raccourci entre indice et question secrète, mais peu importe, mon argument tient toujours : l’indice (qui lui aussi est une fausse bonne idée) peut permettre de savoir que le mot de passe contient une donnée personnelle (par ex si l’indice est “la date de mon mariage”)
Le
08/03/2020 à
10h
56
Je me demande pourquoi il n’utilise pas le même système que pour la recherche des mots de passe, où l’on a “by design” justement pas à lui faire confiance : seulement les 5 premiers caractères du hash qui sont envoyés à HIBP, qui renvoie en échange tous les matches potentiels, et c’est à nous de comparer en local.
D’ailleurs c’est pareil quand tu t’inscris à son service de notification en cas de brèche : l’email est stocké en clair, pas le hash. Alors qu’ici encore techniquement il pourrait ne stocker que le hash quand tu t’inscris, et à chaque fois qu’il ajoute une adresse à la base de données la hasher, voir s’il a le hash dans la liste de notification, et si c’est le cas envoyer l’email pendant qu’il a toujours l’adresse en clair.
Le
07/03/2020 à
19h
55
Les mots de passe ne sont quasi jamais aléatoires, il suffit de voir le top.
Un mot de passe peut être identifiant pour deux raisons :
beaucoup de gens mettent des données personnelles dedans, comme leur date de naissance
beaucoup de gens réutilisent le même mot de passe sur différents comptes, ce qui en fait une donnée identifiante partagée entre différents systèmes
Je ne dis pas qu’un mot de passe est systématiquement une donnée personnelle, mais il peut.
Un mot de passe peut être retrouvé via bruteforce, ce dernier étant plus ou moins faisable. Dans certains cas il ne dépend pas de la chance cela dit, et contient une donnée personnelle, notamment lorsque la plateforme permet à l’utilisateur d’entrer un indice (question secrète) qui lui sera ensuite restitué au besoin pour l’aider à se souvenir de son mot de passe.
Or en général les questions secrètes portent sur des données personnelles, et font partie de la fuite avec les hashes.
Le
07/03/2020 à
19h
45
Ca m’étonnerait que HIBP garde un historisque des emails recherchés, notamment pour cette raison.
Le
07/03/2020 à
14h
50
IMHA un hash de mot de passe c’est une donnée personnelle, car c’est possible de retrouver le mot de passe depuis le hash.
A noter que pour les mots de passe ça n’envoie même pas le hash à HIBP mais seulement les 5 premiers caractères de celui-ci, HIBP renvoie alors tous les matches trouvés (sans les 5 premiers caractères) et c’est à toi de vérifier si le hash du mot de passe que tu testes est finalement dans ceux renvoyés.
On a vu ce que ça a donné avec SSL côté failles… Il est temps que des entités importantes (entreprises, pays) contribuent.
Le
07/03/2020 à
14h
43
Quand bien même il les sauvegarderait, ces adresses email ont déjà fuité dans la nature et sont disponibles par d’autres moyens pour les pirates. Supprimer HIBP n’aurait donc pas un impact négatif sur les pirates, au contraire.
Néanmoins fofo9012 pose une question intéressante côté RGPD. HIBP c’est à mon avis d’utilité publique, et une très bonne chose, mais juridiquement ça viole sans doute le RGPD.
Le lien de la “page dédiée” ne fonctionne pas sur Firefox (SSL_ERROR_UNSAFE_NEGOTIATION) et sur Chrome à l’onglet sécurité (outils dev) on est averti que “RSA key exchange is obsolete. Enable an ECDHE-based cipher suite.”
Les contraintes du mot de passe sont débiles, et poussent aux mots de passe simples : doit faire EXACTEMENT 8 caractères (ni plus, ni moins !), doit avoir uniquement des caractères alphanumériques (a-z|A-Z|0-9), et doit avoir au minimum 2 caractères de différents des 6 mots de passe précédents.
En plus de pousser aux mots de passe simples voire sur post-it, ces contraintes sont exploitées par les pirates pour savoir quoi tenter dans des attaques par force brute. Voire les aident à choisir une cible plus “facile” que les autres.
Concernant le “caractères alphanumériques uniquement”, ça peut être un signe que l’application est vulnérable aux injections SQL et stocke les mots de passe en clair…
201 commentaires
Testez Next INpact v7, la bêta ouverte à tous
Le 23/07/2020 à 16h 10
Le 22/07/2020 à 18h 30
Tu l’as dit, en mettant 5 lignes, donc aucune excuse si tu ne les mets pas, vu le temps que ça prend.
Branlette : C’est pas mon truc de jouer à comparer telle ou telle mesure. Toutes ont un intérêt et couvrent différents cas de figure. Par ex ne pas avoir de CSP aujourd’hui IMO c’est délirant étant donné la place qu’a pris le JavaScript et globalement les assets tiers sur les sites web, ainsi que les vecteurs d’attaque que ça véhicule (suffit de pirater un CDN ou une dépendance obscure et à moitié à l’abandon pour diffuser largement keylogger et autre cryptominer)
Le 22/07/2020 à 16h 32
Aucune idée pour l’IPv6, je ne maîtrise pas le sujet (cela dit ça semble fonctionner) mais ignorer l’avis d’un outil qui globalement se contente d’analyser des headers (ce qu’il fait bien, de mon expérience personnelle), ça me semble… Excessif.
Mais si tu insistes, peut-être un second avis ?
Qu’est-ce qu’ils ont dit concernant la redirection https de ton site en IPv4 ?
Pas compris le point sur nginx.
Le 22/07/2020 à 12h 02
Est-ce qu’une amélioration de la note (catastrophique
" /> ) sur Mozilla Observatory est prévue ?
https://observatory.mozilla.org/analyze/www.nextinpact.com
Application StopCovid : La CNIL exige la correction de plusieurs irrégularités
Bas les masques !
Le 21/07/2020 à 14h 46
Le 20/07/2020 à 18h 00
Concernant la mise à jour de l’appli, tout dépend si elle est publiée sur les stores ou non.
En l’espèce elle est bien en 1.1 pour Android comme pour iOS (elle est même en 1.1.1 pour ce dernier).
Le 20/07/2020 à 15h 29
Curieux, j ‘ai souvenir que dans la com du gouvernement il y avait notamment l’argument “L’appli a été validée par la CNIL”.
J’ai rêvé ? Ou bien cette “validation” est donnée trop facilement ? (vu les irrégularités constatées par la CNIL dès la v1.0)
La sécurité chez Doctolib : « On passait notre temps à serrer les fesses », de « fausses accusations » pour la plateforme
Le 20/07/2020 à 09h 12
Piratage de gros comptes Twitter… via les outils internes
Le 16/07/2020 à 08h 55
Confiance aveugle : car les gens n’y connaissent rien, que leur expliquer cette faillibilité les fait bien trop flipper et n’est dans l’intérêt d’aucune entreprise (elles vont toutes dire que leur produit est parfait).
Ils ont besoin de croire que la machine est infaillible, sinon l’illusion tombe et la paranoia commence.
Établissements de santé :+ 20 % d'incidents de cybersécurité en 2019
Le 14/07/2020 à 17h 27
Tu parles, il n’y avait déjà pas le fric pour les dépenses “certaines” (lits, masques, personnel, appareils respiratoires…), donc investir dans un secteur “hypothétique” (dans le sens où il n’est pas certain que quelque chose se passe) comme la sécurité informatique, c’est pas demain la veille.
Le 14/07/2020 à 17h 25
Tiens ça me rappelle un reportage en hosto durant la première vague de covid 19. Un docteur était interviewé, derrière lui on pouvait voir son poste de travail : vu la barre des tâches c’était Windows XP…
Pour rappel XP ne reçoit plus de mises à jour de sécurité depuis 2014.
J’ai aussi vu des praticiens sous Windows 7… (plus de mises à jour depuis cette année)
Identité numérique : Alicem c’est fini, bienvenue à la CNIe
Le 12/07/2020 à 10h 46
D’autant que ça demande assez peu de travail d’avoir A+. Donc ne pas mettre en place ce qu’il faut signifie soit :
J’ai même vu des audits de sécurité passer à côté…
Le 12/07/2020 à 10h 33
Si c’est seulement un site vitrine ce n’est pas “trop” grave.
Par contre dès lors qu’il y a possibilité de se connecter et/ou que le site traite des données personnelles, ne pas avoir A+ est un signe d’une sécurité insuffisante pour protéger les utilisateurs et leurs données.
Le 09/07/2020 à 16h 03
Ah ça… La quasi totalité des sites ont F, c’est pas jojo.
" />
Mais NXI ne prétend en effet pas fournir un service d’authentification gouvernemental sécurisé et centralisé…
Cela dit c’est malgré tout un peu la honte pour un site d’informatique
Le 09/07/2020 à 13h 24
France Connect, cette bonne idée…
" />
Comme pour toutes les solutions du genre (se connecter via FB, via Google…) c’est très pratique pour se faire pwn tous les comptes affiliés si jamais on se fait voler l’identifiant France Connect ou que le service est compromis
Ca te permet de te connecter au site A en entrant les identifiants du site B.
Donc il suffirait qu’un des services A (impots.gouv.fr, ameli.fr, l’Identité Numérique La Poste, MobileConnect et moi, msa.fr et Alicem) soit compromis pour compromettre tous tes comptes accessibles via France Connect.
Enfin, aucune raison que ça arrive, ces sites A sont évidemment très bien sécurisés.
Par exemple, ils ont tous A+ sur https://observatory.mozilla.org/
…
Ah zut. https://observatory.mozilla.org/analyze/fc.assure.ameli.fr
L’Etat français, zéro crédibilité dans le numérique. Il serait peut-être temps d’y consacrer un ministère, ça fait peur pour la suite tout ça.
Mozilla stoppe Firefox Send, le temps de renforcer le service contre les malwares
Le 09/07/2020 à 13h 42
Pas de HTTPS non plus
" />
Caméras « intelligentes » et thermiques : la CNIL « appelle à la vigilance »
Le 19/06/2020 à 14h 09
Le 19/06/2020 à 14h 06
“intérêt public” ça a une définition juridique claire et universelle ?
Ou c’est un joker magique comme “trouble à l’ordre public” qui permet de justifier n’importe quoi car interprétable à souhait ?
Navigateurs et vie privée : l'heure du bilan a sonné
Le 19/06/2020 à 13h 40
C’est clair. Et il y a plus vicieux que ton exemple : le code (javascript) de la régie présent sur la page qui se retrouve à contenir du code malveillant, ce qui permet à un pirate de prendre le contrôle de la page et d’en extraire des données.
D’autant plus que la plupart des sites ont une sécurité côté client quasi inexistante, suffit de les tester avec https://observatory.mozilla.org/ pour voir que c’est F Land. Y compris sur des sites officiels…
Le 19/06/2020 à 13h 32
Ca gère le CNAME cloaking ton fichier host ?
https://medium.com/nextdns/cname-cloaking-the-dangerous-disguise-of-third-party-…
Le 19/06/2020 à 13h 30
Concernant la parade consistant à créer des sous-domaines redirigeant vers les trackers, uBlock Origin est capable des les détecter.
A noter que ça ne fonctionne que sur Firefox car les navigateurs à base Chromium ne disposent pas de l’API nécessaire. Ca fait un sacré argument en faveur de Firefox.
Source : https://github.com/gorhill/uBlock/commit/3a564c199260a857f3d78d5f12b8c3f1aa85b865
Porno en ligne : la vérification d’âge renforcée gagne une étape au Sénat
Le 06/06/2020 à 14h 11
et Guinnness : Merci pour l’explication :)
Le 05/06/2020 à 09h 00
Le 05/06/2020 à 08h 51
Le 05/06/2020 à 08h 49
Le 04/06/2020 à 12h 52
Je suis curieux de voir comment tu implémenterais ça.
" /> ) permettant à un site de vérifier qu’un utilisateur est majeur sans pour autant avoir lui-même accès à son identité.
En vérifiant une pièce d’identité ?
Un gosse peut présenter celle de son parent, sans compter les risques et dérives côté données personnelles à moins que l’Etat sorte une API (
En mettant le contenu derrière un paiement ?
Un gosse peut piquer la CB de son parent.
Autre chose ?
Cette loi serait au mieux inapplicable, au pire pénaliserait les petits sites ne pouvant se payer la techno magique (qui reste à définir) permettant cette vérification.
Ca rappelle les délires politiciens sur la directive copyright : les plateformes se débrouillent pour filtrer les contenus sous copyright. Comment ? Peu importe, les sites trouveront un moyen à base d’IA magique encryptionnée dans la blockchain digitale.
Sans parler des petits sites ne pouvant pas satisfaire l’obligation du retrait dans les 24h car n’ayant pas une armée de modérateurs sous-payés dans un pays du tiers monde comme les gros sites.
Edit : Le précédent article sur le sujet expose bien les problématiques d’application d’une telle loihttps://www.nextinpact.com/news/108656-la-guerre-est-declaree-contre-porno-en-li…
Le 04/06/2020 à 08h 29
“il reviendra ensuite à chacun des diffuseurs d’imaginer une solution de remplacement”
Ben tiens.
Comme d’habitude nos incompétents professionnels exigent quelque chose mais ne proposent rien de concret pour la mise en oeuvre. Une énième loi qui serait inapplicable ou conduirait à de grosses dérives.
Firefox 76 renforce son Picture-in-Picture et la sécurité des mots de passe
Le 11/05/2020 à 13h 17
Pas très rassurant côté cohérence et transparence tout ça en effet.
C’est à cause de ce genre de comportement foireux qui te fait douter si finalement c’est chiffré ou pas, qui/quoi y a accès ou pas, que j’ai abandonné l’idée d’utiliser le gestionnaire de mdp intégré à un navigateur. (y en a dans ce thread qui maintiennent que c’est pas chiffré, même avec mdp maître => c’est pas clair)
A faire un bricolage qui fonctionne sans mdp maître mais en fait non mais en fait à moitié ça te demande pas toujours, je suis bien plus serein avec un gestionnaire dédié qui me demande mon mdp systématiquement quand je veux l’utiliser et qui a comme objectif premier la sécu :/
Le 11/05/2020 à 08h 03
En même temps, comment s’assurer qu’ils ne sont pas stockés en clair dans les fichiers du navigateur (équivalent de motsdepasse.txt au final) sans les chiffrer et demander à chaque tentative d’accès le mot de passe pour les déchiffrer ?
Perso je ne vois pas, ou au mieux passer par le gestionnaires de clés de l’OS (keychain sur iOS, pas sûr pour les autres…) qui serait déverrouillé par le mot de passe de session au démarrage de l’ordi et resterait déverrouillé jusqu’à extinction ou mise en veille.
N’oublion pas que les navigateurs ont pendant des années stocké en clair (ou presque) les mots de passe sauvegardés ce qui leur a valu de grosses critiques, d’où ce durcissement.
Le 11/05/2020 à 07h 43
Confort VS sécurité : faut bien que la clé chiffrant les mots de passe vienne de quelque part. Si tu ne devais pas la taper directement ou la déchiffrer (par ex via ton mdp de session) à chaque fois que tu redémarres l’application et/ou ton OS c’est qu’elle serait stockée elle-même en clair sur le disque de ton ordi, ce qui n’est pas tip top côté sécu…
C’est malheureusement un incontournable de tout gestionnaire de mots de passe : fournir la clé au moins à chaque démarrage, pour s’assurer qu’elle n’est stockée en clair qu’en mémoire vive et jamais sur le disque.
Le bon côté c’est que ça fait régulièrement taper le mot de passe maître, qui devrait être unique et long, donc ça évite de l’oublier.
Fuite de 8 To (dont des données personnelles) au Figaro : « une erreur a été commise dans le paramétrage »
Le 08/05/2020 à 11h 09
Si elle communique, elle sera sanctionnée pour la fuite, sanction modulée comme tu l’as dit.
Si elle ne communique pas, tout en ayant connaissance de la fuite, et que cette dernière finit par malgré tout arriver aux oreilles des autorités, elle sera sanctionnée pour la fuite (sans doute modulée moins gentiment) ET pour manquement à son obligation de prévenir les autorités (CNIL notamment). Les autorités décident ensuite des modalités de la communication aux utilisateurs dont les données ont fuité (peut par ex être reportée pour le bon déroulement de l’enquête)
Le 07/05/2020 à 09h 28
Avec le RGPD “en théorie” une entreprise qui cache une fuite de données risque très gros.
C’est une grande nouveauté je crois, pour le coup c’était le comportement habituel pre-RGPD de passer la fuite sous silence.
Je dis “en théorie” car il n’y a pas grand monde pour faire respecter le RGPD…
Dans tous les cas, le comportement de l’entreprise va dépendre de ce qu’elle considère comme lui coûtant le plus cher : amende pour avoir caché la fuite VS impact sur la réputation en cas de divulgation.
L’impact sur la réputation étant sans doute à revoir à la baisse car, comme l’a dit Indigo74, malheureusement quasi tout le monde s’en fout.
Le 04/05/2020 à 10h 57
Du MD5 en 2020, pour les nouveaux utilisateurs qui plus est. Inexcusable.
En général on croise du MD5 ou du SHA avec l’excuse (irrecevable) “c’est les vieux comptes qui ont pas changé de mot de passe depuis qu’on a modernisé le hachage” mais là…
Coronavirus : ce que prévoit le projet de loi d'urgence
Le 20/03/2020 à 14h 33
Même lien sans tout le tracking dégueulasse :https://www.lesechos.fr/idees-debats/cercle/opinion-des-cerveaux-pour-vaincre-le…
Pays-Bas : perte des disques de sauvegardes du registre des donneurs d’organes
Le 14/03/2020 à 15h 56
Et surtout, on la sauvegarde à prix d’or chez nos copains de Microsoft ou de Google, en toute souveraineté évidemment
" />
Le 14/03/2020 à 15h 54
Soft ? Le chiffrement ça se fait avec un algo avant tout, le soft qui implémente cet algo devrait être interchangeable ou au moins open source (pour des raisons de sécurité et pour le reprendre s’il est abandonné).
Le Sénat américain s'attaque au chiffrement de bout en bout
Le 14/03/2020 à 09h 25
Le lead de TrueCrypt a eu des gros ennuis avec la justice de mémoire, à base de trafic d’or je crois.
Puis il a “disparu” de la circulation, on suppose qu’il s’est fait attraper par les autorités et a passé un accord avec elles, ce qui rend TrueCrypt non sûr car contenant potentiellement une backdoor issue de cet accord. De toute façon le programme avait des grosses lacunes de sécurité.
Depuis le développement a été repris avec VeraCrypt.
Coronavirus (Covid-19) : Doctolib veut équiper les médecins, la téléconsultation rendue gratuite
Le 08/03/2020 à 13h 38
Ca dépend. Regarde par exemple ce témoignage d’une psy qui dit que les lapins peuvent être courants dans son métier, voire normaux et compréhensible selon la pathologie du patient.
Le soucis c’est que Doctolib semble ne pas laisser suffisamment de liberté au praticien.
Droit d’auteur : l’obligation de filtrage passe un premier cap à l’Assemblée nationale
Le 08/03/2020 à 12h 48
Avec le HTTPS le FAI ne voit pas ce qui transite entre un abonné et un site web, comment alors pourrait-il filtrer quoi que ce soit ?
Tout ce qu’il peut voir c’est quel site l’abonné contacte, et à la rigueur la taille des données qui transitent (et encore, ça ça se maquille)
Vivaldi prépare un bloqueur « complet » du pistage en ligne
Le 08/03/2020 à 12h 39
uMatrix est excellent pour un power user, pas pour la majorité des gens qui a besoin d’une solution “install and forget” et n’a aucune connaissance technique.
D’ailleurs même le créateur de uMatrix/uBlock Origin a déclaré qu’il préférait utiliser le second plutôt que premier. Sans doute trop laborieux même pour lui.
Le 08/03/2020 à 12h 35
Ghostery, ce plugin vie privée qui a totalement foiré le respect de la vie privée en mettant des centaines de personnes en copie dans une partie de ses emails “Le RGPD est arrivé, votre vie privée est notre priorité”…
" />
Have I Been Pwned n’est plus à vendre
Le 08/03/2020 à 11h 17
La question de si un post sur un réseau social est une donnée personnelle ou pas sera éternelle tant que la jurisprudence n’aura pas tranché.
Intéressons-nous plutôt à la définition de la CNIL : “C’est toute information relative à une personne physique susceptible d’être identifiée, directement ou indirectement.”
Ajoute à ça “s’il est possible par recoupement de plusieurs informations (âge, sexe, ville, diplôme, etc.) ou par l’utilisation de moyens techniques divers, d’identifier une personne, les données sont toujours considérées comme personnelles.”
Cela signifie qu’au final à peu près tout peut être considéré comme une donnée personnelle, car l’on peut quasi toujours remonter à quelqu’un en recoupant les données à notre disposition avec d’autres.
Apparemment c’est même possible de “dé-anonymiser” des données, donc aucune donnée n’est à l’abri d’être qualifiée de donnée personnelle.
Et je maintiens, pour les deux raisons que j’ai exposées dans mon précédent post : un mot de passe peut permettre d’identifier un individu. Soit directement (donnée personnelle dans le mdp), soit indirectement (mdp réutilisé sur plusieurs plateformes et pouvant permettre par recoupement entre les autres données du compte sur chacune de ces plateformes d’identifier l’individu détenteur de ces comptes)
Oui j’ai fait un raccourci entre indice et question secrète, mais peu importe, mon argument tient toujours : l’indice (qui lui aussi est une fausse bonne idée) peut permettre de savoir que le mot de passe contient une donnée personnelle (par ex si l’indice est “la date de mon mariage”)
Le 08/03/2020 à 10h 56
Je me demande pourquoi il n’utilise pas le même système que pour la recherche des mots de passe, où l’on a “by design” justement pas à lui faire confiance : seulement les 5 premiers caractères du hash qui sont envoyés à HIBP, qui renvoie en échange tous les matches potentiels, et c’est à nous de comparer en local.
D’ailleurs c’est pareil quand tu t’inscris à son service de notification en cas de brèche : l’email est stocké en clair, pas le hash. Alors qu’ici encore techniquement il pourrait ne stocker que le hash quand tu t’inscris, et à chaque fois qu’il ajoute une adresse à la base de données la hasher, voir s’il a le hash dans la liste de notification, et si c’est le cas envoyer l’email pendant qu’il a toujours l’adresse en clair.
Le 07/03/2020 à 19h 55
Les mots de passe ne sont quasi jamais aléatoires, il suffit de voir le top.
Un mot de passe peut être identifiant pour deux raisons :
Je ne dis pas qu’un mot de passe est systématiquement une donnée personnelle, mais il peut.
Un mot de passe peut être retrouvé via bruteforce, ce dernier étant plus ou moins faisable. Dans certains cas il ne dépend pas de la chance cela dit, et contient une donnée personnelle, notamment lorsque la plateforme permet à l’utilisateur d’entrer un indice (question secrète) qui lui sera ensuite restitué au besoin pour l’aider à se souvenir de son mot de passe.
Or en général les questions secrètes portent sur des données personnelles, et font partie de la fuite avec les hashes.
Le 07/03/2020 à 19h 45
Ca m’étonnerait que HIBP garde un historisque des emails recherchés, notamment pour cette raison.
Le 07/03/2020 à 14h 50
IMHA un hash de mot de passe c’est une donnée personnelle, car c’est possible de retrouver le mot de passe depuis le hash.
A noter que pour les mots de passe ça n’envoie même pas le hash à HIBP mais seulement les 5 premiers caractères de celui-ci, HIBP renvoie alors tous les matches trouvés (sans les 5 premiers caractères) et c’est à toi de vérifier si le hash du mot de passe que tu testes est finalement dans ceux renvoyés.
https://haveibeenpwned.com/API/v3#SearchingPwnedPasswordsByRange
Le 07/03/2020 à 14h 45
On a vu ce que ça a donné avec SSL côté failles… Il est temps que des entités importantes (entreprises, pays) contribuent.
Le 07/03/2020 à 14h 43
Quand bien même il les sauvegarderait, ces adresses email ont déjà fuité dans la nature et sont disponibles par d’autres moyens pour les pirates. Supprimer HIBP n’aurait donc pas un impact négatif sur les pirates, au contraire.
Néanmoins fofo9012 pose une question intéressante côté RGPD. HIBP c’est à mon avis d’utilité publique, et une très bonne chose, mais juridiquement ça viole sans doute le RGPD.
Kr00k : une faille avec les puces Wi-Fi (WPA2) de Broadcom et Cypress
Le 27/02/2020 à 17h 15
Le lien de la “page dédiée” ne fonctionne pas sur Firefox (SSL_ERROR_UNSAFE_NEGOTIATION) et sur Chrome à l’onglet sécurité (outils dev) on est averti que “RSA key exchange is obsolete. Enable an ECDHE-based cipher suite.”
C’est vraiment des clowns Cisco…
Un rapport déplore le niveau de la sécurité et des mots de passe en entreprise
Le 24/02/2020 à 19h 31