zongap
est avec nous depuis le 17 février 2008 ❤️
Oups.
On dirait que quelqu'un ici aime garder ses petits secrets, comme si de par hasard il y avait quelque chose à cacher...
Désolé, ô lectrice de passage, cher lecteur égaré, pas de révélation sensationnelle pour le moment sur ce profil.
Repassez plus tard ?
67 commentaires
Cybersécurité au CERN : plus de 1 800 personnes sont tombées dans le piège d’un faux email
Le 22/08/2022Le 22/08/2022 à 14h 38
SPF + DMARC reject ca fait le job, mais c’est clair que DKIM reste la rolls…
Et malheureusement, meme si DMARC est un bon “protocole”, il n’est pas parfait, si SPF ou DKIM est valide, c’est ok pour DMARC (c’est un OU logique).
Autant, les serveurs sortants avec DKIM ce n’est pas encore dispo partout, mais lister ses entrées dans le SPF, ça devrait être le cas de tout le monde… On est loin d’être au chômage là dedans…
Le 22/08/2022 à 14h 32
Dans le cas ou tu as un comptes compromis en interne, tu ne peux “que” sensibliser, et mettre des process, etc. Mais le soucis, cest que le CERN fait parti des derniers % d’organisation avec un niveau en cyber très bas sur ces parties là, cas ils n’appliquent pas les normes/standards en place pour commencer. C’est evidemment toujours mieux si l’utilisateur arrive à se rendre compte de la tromperie. Mais sans même s’appliquer les bases à eux même, le cern met tout le monde à risque. Et ils se passent d’un moyen eprouvé et fiable pour bloquer le spam tel qu’il est présenté. Pour la compromission de compte, là, la seule bonne solution c’est la mfa.
Le 22/08/2022 à 14h 28
Evidemment, il faut aussi sensibliser et faire du training, mais dans ce cas précis, tu ne peux “pas” sensibiliser efficacement un utilisateur, si l’expediteur de sa propre entité est justement parfaitement usurpé (ca affichera reelement l’email de leur collegue/superieur/etc. dans le champ expediteur). Il faut avancer sur les deux tableaux. Mais la ca leur prend 10mn à corriger quand même…
Le 22/08/2022 à 09h 25
C’est une catastrophe. Non pas que les gens aient cliqués/entrés des infos.
C’est une catastrophe qu’une structure comme le CERN n’ai pas activé et n’applique pas les bases de la protection email/usurpation. Comme évoqué, les protocoles SPF, DKIM et DMARC en particulier permettent de lutter contre le “spoofing” ou usurpation de nom de domaine (voir ca comme l’adresse de l’expéditeur sur un courrier recommandé, c’est purement déclaratif et non vérifié).
Sauf que… sur internet, il est possible en tant qu’organisation “d’imposer” au destinataire (antispam, système de messagerie tel Microsoft, Google, etc.) de vérifier que l’expéditeur est bien qui il prétend être. C’est simple, c’est gratuit, ca exite depuis + de 10 ans. C’est dans tous les guides de secu/configs de la terre (guide de l’anssi paragraphe 5.4 même…). Bref. Avec l’analogie du courrier, c’est comme si le CERN pouvait indiquer dans l’annuaire des pages jaunes que tous ses emails/courriers légitimes ne partaient QUE depuis telle ou telle adresse postale d’origine (le fameux tampon de la poste source). Par exemple, ils disent “on enverra nos courriers légitimes QUE depuis le bureau de poste numéro 451 de Lausanne”. Donc si vous recevez une courrier qui prétend venir de nous, mais que le tampon n’est pas celui là, supprimez le courrier.
Idem avec SPF et DMARC, on indique les IP sourcent des serveurs “legitimes” qu’on utilisent, et on peut ainsi aider les destinataires à savoir si ca vient de chez nous ou pas. Or, la le CERN a explicitement désactivé ces protocoles ! C’est meme pas un oubli, cest une desactivation explicite. C’est comme mettre un douanier et qu’il porte une pancarte “tout le monde peut passer, je ferme les yeux” (la directive ?all dans l’entrée SPF ici).
Bref, ca me rend fou ce niveau d’incompétences. Y’a aucune excuse valable en 2022 pour cela. Ils mettent à risque tout l’écosysteme à ne pas monter d’un cran leurs configs. Car n’importe qui peut se faire passer pour le CERN facilement. Ca peut pieger leurs salariés, fournisseurs, partenaires, etc.
Si besoin, on a dév dans ma société un testeur gratuit (et francais) pour checker facilement vos domaines pour leurs configurations SPF, DKIM, DMARC etc.
Ici avec le cern : https://check.merox.io/?domain=cern.ch
Passe vaccinal : le Sénat supprime la vérification d’identité
Le 12/01/2022Le 12/01/2022 à 13h 47
Exactement mon raisonnement aussi… N’est-ce pas pour protéger ces dits mineurs et rassurer leurs parents ? [Ou meme, mettons les pieds dans le plat, les autres clients majeurs de la boite de nuit, qui sont “rassurés” d’être entourés que de majeur(e)s…]
Et je ne parle pas des contrôles dans les aéroports : les aéroports ne vérifient pas ou peu votre identité aux portiques, seule la compagnie aérienne le fait au moment d’embarquer, principalement pour éviter la revente de billets ou la classe tarifaire… Et quand elle le fait, c’est un agent d’escale, bien loin d’un policier ou d’un douanier.
Et les loueurs de voitures, qui valident 15x votre permis, pour faire suive les amendes… Mais aussi à la demande des autorités pour savoir qui conduisait quoi / quand…
Bref… C’est quand ça arrange.
Gare à l’arnaque aux faux RIB
Le 23/09/2021Le 23/09/2021 à 14h 24
Pas même besoin de se compliquer la vie…
Vu que 93% des boites n’ont pas de DMARC en place, tu “spoof” (usurpe) simplement leur adresse email (from/mailfrom, alignement spf, toussa toussa). Ca se fait en 30 secondes.
Le destinataire ne peut légitimement pas se douter que l’email est un faux, vu que l’email affiché sera vraiment le bon…
Seules parades : soit l’expéditeur légitime mets en place du DMARC strict (reject), y compris sur ses sous domaines, soit le destinataire “revérifie” manuellement toutes les modifications d’iban (et pour les nouvelles factures… ben faut avoir confiance).
BINGO, le nouveau pôle d’innovation dédié au numérique militaire
Le 08/02/2021Le 08/02/2021 à 12h 03
CQFD
L’empoisonnement du cache DNS est de retour
Le 13/11/2020Le 16/11/2020 à 10h 19
J’adore ton commentaire ! Mais tu rigoles en parlant de déduction fiscale, dans une moindre mesure, tu pourrais dire qu’en cas de piratage d’un de tes clients/usagés, si tu n’as mis en place tel ou tel protocole, alors tu n’es pas “à l’état de l’art de la technologie”, et donc tu t’exposerais à une responsabilité partielle. Il y a eu le cas Lazio/Rotterdma et les 2M€ payés au hackeur/usurpateur, la justice (meme si cas plus complexe) à dit tort partagé.
https://www.sofoot.com/un-hacker-a-pirate-la-lazio-lors-du-transfert-de-de-vrij-467849.html
Données de santé : la société française Alan explique pourquoi elle utilise Amazon Web Services
Le 12/10/2020Le 12/10/2020 à 09h 27
Pour le cas de Microsoft (Azure, Exchange, Sharepoint et maintenant Teams) il est possible de gérer ses propres clés avec son propre HSM (exemple : Thales Luna – ex Gemalto), qui sont validés au plus haut niveau par l’état français. Après oui, en soit, si Microsoft le voulait, il y aurait toujours des moyens d’intercepter/voir des données des clients. Mais dans ce cas, alors on arrête d’utiliser windows, macos, ios, android by google etc. Car en soit, qui dé-compile toutes les mises à jours de ses OS pour vérifier que les éditeurs US n’ont pas collé des backdoors ? qui désactive à 100% les stores grand publics (oui, y’a des programmes de transparency, avec audit de code, mais c’est pas pour chaque mise à jour qui est poussé en prod… et pour les devices mobiles, c’est bien pire, très peu d’orgas désactivent les syncro icloud/google).
Et dans le même compte alors, on arrête d’utiliser des équipements réseau/firewall de marques américaines car ils sont tous ou presque en mode maj auto pour les vuln crititiques, et tous les établissements de santé n’attendent pas le go de l’état francais pour chaque mise à jour… Donc en soit, des sociétés / agences US à 3 lettres pourraient (conditionnel) faire nous espionner par là. Car oui, si on n’accepte / n’accepte pas de leur confier nos données, c’est pour des raisons d’espionnage industriel/défense principalement…
lien azure byok : https://docs.microsoft.com/fr-fr/azure/key-vault/keys/hsm-protected-keys
Sheng-Chang Chiang, PDG de MSI est décédé : il est tombé d’un immeuble du groupe
Le 08/07/2020Le 08/07/2020 à 13h 26
Oui, après tu as aussi eu le patron du conglomérat chinois HNA (plusieurs milliards) qui a “glissé” d’un parapet en France… “ce grand patron chinois avait voulu voir le panorama”
https://www.challenges.fr/entreprise/wang-jian-patron-de-groupe-chinois-hna-meurt-d-une-chute-accidentelle-en-france_598921
L’Assurance Maladie va attaquer le site Arretmaladie.fr
Le 08/01/2020Le 19/01/2020 à 17h 34
Pour l’agrément HDS, c’est simplement que cest couillons ont mis le mauvais lien, avant on avait l’accrédidation, maintenant il y a la certification (Microsoft, Amazon, etc. sont certifiés). La liste des “certifiés” (nouveaux référentiel) est ici : https://esante.gouv.fr/labels-certifications/hds/liste-des-herbergeurs-certifies et on y trouve bien AWS. D’ailleurs, AWS est cerifié sur trois “régions” en Europe (Francfort, Irlande et Paris).
Après, tout comme pas mal de personnes ici visiblement, je trouve surtout l’approche marketing honteuse et incitant à “acheter” son arret.
Une attaque DNS compromettrait les sites de nombreuses entreprises et organisations
Le 11/01/2019Le 12/01/2019 à 12h 41
A noter cependant, qu’il existe des méthodes pour s’en “protéger” (enfin, à minima être alerté).
Il suffit de faire du monitoring de ses NS et entrées DNS.
En gros : je regarde à l’instant T qu’elles sont mes entrées DNS et serveurs NS. Demain, si je vois que mes entrées ont été modifiées alors que ce n’est pas moi, je sais que mon compte (OVH, etc.) a été “piraté” ou à minima qu’une utilisation frauduleuse de mes identifiants a eu lieu (ou qu’un branleur de l’équipe à modifié des trucs -SPF, DKIM, DMARC, MX, A, CNAME…- sans le dire à ses collegues !)
Il existe des services (payants et gratuits avec limitation) pour monitorer ses entrées DNS. D’ailleurs, le risque majeur est surtout sur les entrées emails “MX” qui permettent même de rediriger tout les flux mails entrants vers un serveur illiégitimes (en mode temporaire ou de manière définitive), avec alors la possibilité de récupérer les emails de récupération de mot de passe etc. etc. Autre danger, l’ajout d’une entrée Google Verify ou équivalente avec vol pontiel de stats Google Analytics (plus complexe) etc.
Téléphonie fixe : plus de nouvelles lignes RTC dès novembre, transition vers la VoIP
Le 29/08/2018Le 29/08/2018 à 14h 54
Pour les (rares) zones où il y a des ascenseurs et aucune couverture mobile même basique (car il y a des cartes sim multi-opérateurs), on a la possibilité de mettre une batterie de secours, tout comme pour l’éclairage. Et il “suffit” d’onduler switch/modem aussi. A noter aussi qu’il n’est pas rare de mettre une antenne mobile externe (toiture, etc) pour augmenter le signal sur ce genre de bâtiments :)
Concours des 15 ans : il vous reste jusqu’à demain soir pour participer et tenter votre chance
Le 13/07/2018Le 12/07/2018 à 20h 47
Next INpact (et ses ancêtres)… c’est tout mon lycée, ma prépa, mes études d’informatique, la création d’une boite. On est 12 salariés maintenant, et c’est (un peu^^) grâce à vous !
Et puis, c’est des “concours” où on peut participer sans compte FB ou Twitter, et ça, ça n’a pas de prix !
Continuez comme ça !
Une GeForce GTX 1060 externe (Thunderbolt 3) vendue en France
Le 28/02/2018Le 01/03/2018 à 13h 32
J’ai acheté 6x GTX 1060 6Go à 249€/pièce début janvier. Alors que j’avais payé un lot de 3x identiques fin 2016 pour 280€/pièce…
De Bitcoin à Zcash, notre anti-sèche de Noël sur les crypto-monnaies les plus populaires
Le 23/12/2017Le 23/12/2017 à 11h 45
[Sondage] De la 4G via une eSIM/SIM dans les PC portables, ça vous intéresse ?
Le 07/12/2017Le 08/12/2017 à 20h 14
J’ai déja, et c’est génial. Always on, VPN permanent, plus besoin de se connecter aux wifi publics.
Bug bounty : Bruxelles confie VLC à l’américain HackerOne, les concurrents français s’inquiètent
Le 05/12/2017Le 06/12/2017 à 22h 04
Aux États-Unis, un site marchand accusé d’enregistrer toutes les frappes au clavier
Le 06/12/2017Le 06/12/2017 à 21h 54
Darty : des devis client fuitent sur Internet, le revendeur répond à nos questions
Le 08/11/2017Le 09/11/2017 à 23h 14
Seagate annoncera un record en capacité de stockage demain
Le 05/10/2017Le 06/10/2017 à 20h 08
Dédup ?
Fibre pour entreprises : les dernières offres de SFR chamboulent le marché
Le 06/09/2017Le 06/09/2017 à 18h 43
Concours : gagnez un exemplaire dédicacé de Surveillance:// de Tristan Nitot
Le 20/07/2017Le 20/07/2017 à 20h 37
Ma mère n’a qu’a bien se tenir !
Concours pour gagner la console « Next Gen » de votre choix, il vous reste jusqu’à ce soir
Le 14/05/2017Le 06/05/2017 à 17h 17
Si on est connecté en permanence ça passe aussi ? " /> La flemme de déco/reco pour m’en assurer…
LastPass : nouvelle faille de sécurité, cette fois dans l’extension Chrome
Le 28/03/2017Le 28/03/2017 à 21h 28
Amazon S3 : c’est une erreur humaine qui a provoqué la panne de plusieurs heures
Le 03/03/2017Le 04/03/2017 à 11h 28
Intel au MWC 2017 : Atom C3000, 5G et un modem 4G Gigabit XMM 7560
Le 21/02/2017Le 21/02/2017 à 23h 00
Enfin compatible RDMA et compagnie leur nouvelle carte réseau XXV710 ? Car bon, pour Storage Spaces avec Windows Server 2016 c’est quasi obligatoire… Et les cartes Mellanox/QLogic c’est pas la joie en doc et en simplicité de commandes chez les intégrateurs Dell et consorts…
Débits moyens sur Netflix : Free continue de chuter et tombe à 2,06 Mb/s
Le 15/02/2017Le 15/02/2017 à 21h 25
https://fast.com/
Pour tester son débit “live” vers les serveurs de Netflix (service officiel)
Testé depuis mon ADSL Free entre 2 Mbps et 7 Mbps selon les heures, et depuis la ligne Free fibre du bureau entre 2Mbps et 50Mbps selon les heures également…
Bref, c’est clairement par la joie.
Microsoft enrichit OneDrive for Business et ajoute StaffHub dans Office 365
Le 25/01/2017Le 25/01/2017 à 23h 49
Chiffrement : notre antisèche pour l’expliquer à vos parents
Le 23/12/2016Le 23/12/2016 à 21h 05
(et Zimmermann aussi^^ https://philzimmermann.com/FR/background/index.html )
Le 23/12/2016 à 20h 55
LastPass : analyse d’un gestionnaire de mots de passe qui joue l’ubiquité
Le 29/09/2016Le 29/09/2016 à 16h 47
Un petit mot sur l’offre “entreprise” de LastPass, qui permet également, sans connaitre les mots de passe maître des collaborateurs, de partager des groupes de mots de passe selon pas mal de crtières, et de mettre en place de nombreuses autres fonctionnalités super sympas pour des déploiements et usages pros.
Liste non exhaustive :
My 2¢.
Cybersécurité : gaz, pétrole, électricité, transports, les nouvelles obligations des OIV
Le 25/08/2016Le 25/08/2016 à 21h 56
589ème édition des LIDD : Liens Idiots Du Dimanche
Le 23/07/2016Le 24/07/2016 à 00h 53
#4 je n’aurais pas fait mieux comme réponse.
PS : Le Larousse possède bien les deux définitions (crypter et cryptage) : http://www.larousse.fr/dictionnaires/francais/crypter/20845
PPS : Et pour info, en anglais on retrouve la même racine grecque pour “decrypt/encrypt” et là aussi cela signifie le fait de rendre lisible un message crypté… par soi-même (c.f. les exemples donnés par le Oxford Dictionary : The public key encrypts the information as it’s sent from a person’s computer to the merchant, and a private key decrypts the information.). On a beau ne pas vouloir d’anglicisme, pour le coup chez eux qui disposent pourtant du terme équivalent “to cypher”, les experts utilisent bien “decrypt/encrypt”…
Bref^^
Pluie de promotions chez les opérateurs de téléphonie mobile, Bouygues entre dans la danse
Le 04/12/2015Le 05/12/2015 à 13h 58
Etant déjà client Red de SFR depuis plus d’un an (forfait pris en promo à l’époque également), j’ai eu la bonne surprise de recevoir un SMS de l’opérateur avant-hier me proposant 10€ de réduction par mois sur mon forfait pour les 12 prochaines mois. Certes, ce n’est pas aussi intéressant que l’offre à 3,99€ proposée aux nouveaux abonnés, mais j’apprécie la démarche.
[Je n’ais pas lu les 7 pages de commentaires en détail, donc peut être redondant]
Let’s Encrypt en bêta publique : des certificats SSL gratuits pour tous
Le 04/12/2015Le 05/12/2015 à 13h 44
Typo : akamAI et automaTTic (ai pour le premier, et tt pour le second) ;)
Bac 2014 : des détecteurs de téléphones portables dans chaque académie
Le 12/06/2014Le 12/06/2014 à 22h 15
J’aime ma montre Pebble et sa portée en Bluetooth de 15 mètres…
De quoi laisser le téléphone dans le sac au fond de la classe, et d’avoir la montre au poignet. Elle vibre à chaque nouveau message qui arrive et je peux le lire direct sur l’écran de manière quasi invisible (en faisant mine de regarder l’heure).
Sur une épreuve de 4h, les sujets sont corrigés en draft généralement au bout de 2h/2h30. Largement de quoi laisser le temps à mon frère de m’envoyer toutes les infos par message depuis un Bic Phone anonyme avant la fin…
Et si le détecteur détecte bien les signaux mobiles, je doute qu’il marche avec du Bluetooth ! Au pire, je dis que je connais pas la personne qui a fait sonné mon téléphone dans mon sac…
Autre point si le mobile passe pas ou est brouillé, vu la portée du wifi aujourd’hui, je demande à mes collègues déjà sortis dans le couloir de m’envoyer le tout en message via wifi-ad’hoc…
PS : et va différencier une Pebble d’une montre “classique” :http://cdn1.appleinsider.com/pebble-140110-1.jpg
Android 4.4.3 : les images d’usine sont disponibles pour certains Nexus
Le 03/06/2014Le 03/06/2014 à 20h 14
Android 4.4 continue de grimper, un programme « Silver » bientôt sur pied ?
Le 05/05/2014Le 05/05/2014 à 08h 24
qui se sont connectés au marché d’applications de Google au cours des sept derniers jours
Donc les smartphones sous Android 4.0 et - de ma mère, ma belle mère, mon père et mon oncle (pour ne citer qu’eux) ne sont pas pris en compte… La majorité des utilisateurs “ultra lambda” sous Android qui ne savent même pas ce qu’est un compte Google ou le Play Store ne sont pas dans les stats.
On a pas d’autres sources plus génériques (par les opérateurs peut-être ?)
4G de Free Mobile : la carte de couverture navigable, version 5700 Mpixels
Le 10/12/2013Le 07/12/2013 à 18h 18
Alors sinon, pour pas vous embêter à faire du colage de trop petits morceaux : F12 (developper tools) on change la taille de la map à un truc d’énorme (conteneur et map of course), puis on fait une full capture d’écran de la page (y compris hors champs).
Testé et approuvé sur le site de free.
Dropbox permettra la connexion de deux comptes, via son offre Entreprises
Le 14/11/2013Le 14/11/2013 à 10h 08
Le récap’ des tests : des NAS pour tous les goûts
Le 01/10/2013Le 02/10/2013 à 00h 13
Samsung, un partenaire particulier si gênant
Le 20/07/2013Le 20/07/2013 à 12h 48
Y’a(vait) aussi les voitures avec Renault !
http://fr.wikipedia.org/wiki/Renault_Samsung_Motors
Les dépenses IT des entreprises et des administrations en hausse en 2014 ?
Le 16/07/2013Le 16/07/2013 à 18h 25
[MàJ] Google Maps sur Android : retour du bouton pour le mode hors ligne
Le 11/07/2013Le 10/07/2013 à 17h 45
Facebook : le Graph Search arrive en anglais, comment en profiter
Le 08/07/2013Le 08/07/2013 à 16h 41
Moi po marché :(
==> File d’attente sur laquelle je suis déjà depuis plusieurs semaines, et passer le compte en US n’a rien fait.
Facebook constitue des « dossiers fantômes » sur les internautes
Le 27/06/2013Le 27/06/2013 à 11h 46
La Freebox fait enfin sa révolution : Freebox OS est là !
Le 27/06/2013Le 27/06/2013 à 09h 28
J’aime J’aime J’aime " />
Jonathan Benassaya lance un service de stockage qui mise sur le streaming
Le 26/06/2013Le 26/06/2013 à 15h 43
Moi ce qui m’intrigue surtout sur l’image, c’est le logo “magnet links” en bas…
On peut s’en servir de box pour DL ses torrents donc ?^^ " />
Free propose enfin ses Femto-cells, accessibles à tous les clients Free Mobile
Le 20/06/2013Le 20/06/2013 à 17h 27
Une petite note pour les derniers qui, comme moi, ne liront sans doute pas les 20 pages de com (pas tapper " /> ) mais je viens de le commander (en 3 clics maxi depuis mon interface Free Adsl).
C’est bien 10€ de frais d’envoie, déduis sur la prochaine facture.
La livraison est indiquée pour moi comme ceci : “par Chronopost et déposé en relais si vous êtes absent”.