Col._Tatane
est avec nous depuis le 31 janvier 2009 ❤️
Oups.
On dirait que quelqu'un ici aime garder ses petits secrets, comme si de par hasard il y avait quelque chose à cacher...
Désolé, ô lectrice de passage, cher lecteur égaré, pas de révélation sensationnelle pour le moment sur ce profil.
Repassez plus tard ?
24 commentaires
L’astuce qui permet à l’anti-terrorisme de consulter des centaines de messageries chiffrées
Le 11/06/2021Le 11/06/2021 à 21h 51
Dans ce cas ils vont être bien embêtés avec l’arrivée de TLS 1.3 et ESNI (qui chiffre le SNI) ainsi que la montée en puissance de DoH (DNS over HTTPS)
ALPACA : une faiblesse de TLS permet de s’insérer dans des connexions HTTPS
Le 10/06/2021Le 10/06/2021 à 11h 28
A ce que je comprends pour que l’attaque soit fonctionnelle il faut que l’attaquant puisse faire du man in the middle ce qui est déjà une barrière très importante. De plus les attaques décrites sont plus des PoC qu’autre chose (et la plupart ne sont fonctionnelles que sur Internet Explorer).
Donc je ne pense pas qu’il y ai lieu de s’inquiéter outre mesure sur ce sujet.
Fuite de données médicales : l’ordonnance de blocage obtenue par la CNIL
Le 05/03/2021Le 05/03/2021 à 10h 29
Je suis assez sceptique de la démarche de blocage de la CNIL. Une fois les informations disponibles de manière publique le mal est fait et elles seront accessibles à qui voudra bien se donner le mal de les chercher (notamment via les réseaux P2P).
J’y vois plus un geste d’affichage pour montrer qu’on agit rapidement qu’une stratégie efficace pour tenter de prévenir ce genre de problème à l’avenir. Après je peux comprendre que des mesures de fond, qui elles seront probablement plus efficaces, sont peu compatibles avec le temps médiatique.
L’extension Chrome WebEx de Cisco victime d’une importante faille critique
Le 24/01/2017Le 25/01/2017 à 09h 25
Pour info la mise à jour consiste juste à n’autoriser l’exécution de code arbitraire que depuis des domaines en *.webex.com.
Hors, certains n’ont pas mis longtemps à trouver des XSS sur des domaines webex.com:
https://twitter.com/mattaustin/status/824034201703878656
Autant dire que la seule conduite possible est la désinstallation pure et simple du plugin en attendant un vrai patch de sécurité.
Signal déploie une mise à jour pour contourner la censure, sur Android et iOS
Le 23/12/2016Le 23/12/2016 à 11h 30
En gros si j’ai bien compris il ont un ou plusieurs serveurs chez un fournisseur comme Google (Google Apps Engine par exemple).
D’après le sitehttps://www.bamsoftware.com/papers/fronting/
Each application gets a user-specified subdomain of appspot.com,
for which almost any Google domain can serve as a front,
including google.com, gmail.com, googleapis.com, and many others
Donc j’ai mon serveur en toto.appspot.com mais je peux y accéder via google.com.
Pour cela je fais une requête HTTPS vers google.com avec comme SNI google.com mais dans mes en-têtes HTTP je met comme Host toto.appspot.com. Il semble que dans ce cas Google va nous renvoyer notre requête vers notre serveur toto.appspot.com.
Ce qui est super d’un point de vue contournement de la censure c’est que si un censeur inspecte la requête il verra comme IP de destination google.com et comme destination SNI google.com. Donc impossible de bloquer ces requêtes sans bloquer tout le traffic à destination de google.com
Les députés votent la prorogation de l’état d’urgence jusqu’au 15 juillet 2017
Le 14/12/2016Le 14/12/2016 à 11h 07
@MarcRees
D’après l’article Bruno Leroux aurait fourni “un déluge de chiffres sur le nombre d’assignations à résidence, d’attentats déjoués, etc”
Serait-il possible de les mettre au moins en perspective par rapport aux chiffres précédemment connus afin d’avoir une vision plus claire de la pertinence du maintient de l’état d’urgence ?
Alerte sur Mirai, le malware créant des botnets d’objets connectés
Le 17/10/2016Le 17/10/2016 à 13h 48
Il est plus que temps que les États légifèrent et mettent en place des règles de sécurité exigibles sur tout objet connecté.
On pourrait penser par exemple:
Interdiction des mots de passe par défaut,
Utilisation de mises à jour signées par le constructeur
Obligation de mise à jour sur les failles de sécurité pendant un temps déterminé
Tant que ça ne sera pas une norme légale on pourra toujours aller se brosser et laissera les serveurs connectés à Internet être victime de groupes utilisant des réseaux de zombies pour réaliser des attaques et des DDOS à volonté.
WhatsApp : le chiffrement de bout-en-bout actif pour tous sur les messages et appels
Le 06/04/2016Le 06/04/2016 à 13h 53
Je dis franchement chapeau à What’sApp pour avoir fait bosser Moxie Marlinspike sur leur chiffrement. En gros on a une application utilisée par des millions de personnes avec du chiffrement fort et sécurisé (et non un chiffrement maison tout pourri) et activé par défaut. C’est un signal fort envoyé au reste de l’industrie que c’est possible de combiner sécurité et facilité d’utilisation.
C’est un très bon pas vers le chiffrement par défaut de toutes les communications entre utilisateurs qui est le seul moyen de contrebalancer la surveillance de masse mise en place par les puissances étatiques.
Le noyau Linux touché par une faille 0-day à partir de sa version 3.8
Le 19/01/2016Le 19/01/2016 à 17h 36
Je pense que par accès on veut dire la capacité d’exécuter du code arbitraire sur le serveur. Donc une faille web qui pourrait donner accès à un shell en www-data par exemple pourrait avec cet exploit mener à une compromission totale du serveur. Cette faille est donc loin d’être négligeable.
Exposition aux ondes : les résultats de l’enquête nationale de l’ANFR
Le 04/01/2016Le 04/01/2016 à 14h 38
La justice néo-zélandaise donne son feu vert à l’extradition de Kim Dotcom
Le 23/12/2015Le 23/12/2015 à 09h 18
C’est le moment de ressortir les classiques:
https://www.youtube.com/watch?v=o0Wvn-9BXVc
Ça montre quand même le pouvoir du lobby de la musique et du cinéma US.
Instagram : un chercheur a trouvé une faille, mais serait allé trop loin selon Facebook
Le 18/12/2015Le 21/12/2015 à 09h 17
Ce qui sera difficile à défendre également c’est pourquoi la version du Ruby installée était dans une version connue pour être vulnérable. Pourquoi l’intrusion sur les instances Amazon n’a également pas été détectée ? Comment Wineberg a-t-il pu se connecter sur les serveurs via SSH ?
Bref tout semble indiquer que le niveau de sécurité d’Instagram laisse fortement à désirer. Alors certes il y a un manque d’éthique de la part de Wineberg mais une personne mal intentionnée ne se serait pas donnée la peine de prévenir avant d’entrer.
TNT gratuite : feu vert pour LCI, colère noire pour Alain Weill (BFMTV)
Le 18/12/2015Le 18/12/2015 à 09h 36
En parlant de LCI et de TF1 je vous invite à écouter ce podcast sur le scandale de la privatisation de TF1:http://www.franceinter.fr/emission-affaires-sensibles-du-mieux-disant-culturel-a…
[Interview] Interdiction des machines à voter : « On ne va pas lâcher »
Le 04/12/2015Le 07/12/2015 à 11h 44
C’est sur que à 8 personnes pour dépouiller 1000 bulletins c’est autrement plus long. En plus j’imagine que plus te le fais plus tu as de chance de faire des erreurs et donc de rallonger la durée du dépouillement. Après il appartient à chaque bureau de vote d’essayer de faire venir des gens pour le dépouillement. C’est sur que faire le dépouillement est assez ingrat mais c’est nécessaire pour le processus démocratique. Après je n’ai voté de dans des grandes villes on il est peut être plus facile d’avoir de gens présents pour dépouiller les bulletins (rien que par ce que le bureau de vote est généralement tout près du domicile).
Le 07/12/2015 à 11h 44
Doublon
Le 07/12/2015 à 11h 16
Nozalys a écrit :
Là aussi, c’est biaisé. 45 minutes c’est cohérent pour une petite commune de 200 habitants. Ya toujours 2 comptages indépendants. Et re-re-recomptage jusqu’à ce qu’il n’y ait plus d’erreur.
Pour une commune de 2000 habitant ça frise plutôt les 3 heures minimum post-scrutin.
Personnellement et pour avoir participé à de nombreux dépouillements ça ne m’as jamais pris plus d’une heure.
Déjà plus la commune est grande plus il doit normalement y avoir de bureaux de votes.
Je n’ai toujours fait qu’un seul comptage des votes. Les enveloppes sont sorties des urnes et mises par tas de 100. Chaque tas est assigné à une table de 4 personnes. La 1ère personne ouvre l’enveloppe et sort le bulletin de vote. Il donne le bulletin à la seconde personne qui lit à haute voix ce qui est marqué sur le bulletin. Les deux autres personnes ont chacun une feuille ou ils inscrivent les votes comptabilisés. Régulièrement on vérifie que les deux feuilles ont bien le même nombre de votes comptabilisés. A la fin du dépouillement des 100 enveloppes les quatre personnes signent les feuilles pour attester du bon déroulement du dépouillement.
La perte de temps est dans le cas de vote blancs ou nuls car il faut le faire constater par les scrutateurs du bureau de vote.
Il n’y a pas de recomptage car le compte est bon dès la première fois si on suit bien la procédure.
Pour dépouiller 1000 bulletins par exemples il suffit de 20 personnes (5*4 personnes) et que chaque table dépouille 200 bulletins ce qui va prendre grosso modo 1h si tout se passe bien.
Le 07/12/2015 à 11h 05
Le 04/12/2015 à 09h 32
Je ne vois aucun avantage qui rendrait utile les machines à voter. Selon moi.
Avantage:
Inconvénients:
En plus ce n’est même pas écologique, car les bureaux de vote avec des machines à voter ont également des urnes et des bulletins présents en cas de problème avec les dites machines.
Bref aucun avantage sinon gagner 45 minutes à la fin du scrutin et que des inconvénients de l’autre côté.
Next INpact : déjà 6 ans d’abonnement Premium et près de 6 000 abonnés
Le 06/11/2015Le 06/11/2015 à 09h 01
Le 06/11/2015 à 08h 58
Les aides de l’État je verrai plutôt ça comme les aides à la presse qui permettent de récupérer des fonds publics.
Je pense qu’une communication officielle sur le sujet serait de toute façon bienvenue ne serait-ce que pour rassurer la communauté NXI.
Le 06/11/2015 à 08h 48
Bravo à toute l’équipe de NXI qui a su innover pour rester attractive et proposer du vrai contenu journalistique et non des simples reprises de fil AFP.
Sinon petite question MarcRees, David_L est-ce que risquez d’avoir le même soucis que Médiapart concernant la TVA ou vous avez pris des précautions de votre côté ?
Merci
Chiffrement : le procureur de Paris critique l’intérêt « marginal » face aux enquêtes bloquées
Le 13/08/2015Le 13/08/2015 à 16h 23
Il semble que le procureur de Paris oublie qu’en France le fait ne de refuser de donner ses clés / mot de passe de déchiffrement dans le cadre d’une enquête judiciaire est passible de prison.
Article 434-15-2 du code pénal:
Est puni de trois ans d’emprisonnement et de 45 000 euros d’amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en oeuvre, sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du code de procédure pénale.
Si le refus est opposé alors que la remise ou la mise en oeuvre de la convention aurait permis d’éviter la commission d’un crime ou d’un délit ou d’en limiter les effets, la peine est portée à cinq ans d’emprisonnement et à 75 000 euros d’amende.
Même si on ne peut accéder au contenu on peut déjà envoyer quelqu’un en prison.
Plus généralement, si la seule preuve dans une enquête est un appareil chiffré c’est très mince et on peut toujours tenter d’arrêter la personne en flagrant délit une fois que celle-ci à tapé son code de déchiffrement ou tenter d’intercepter celui-ci.
La généralisation du chiffrement va juste empêcher les services de renseignement de faire de la surveillance de masse facilement et c’est surtout ça le fond du problème pour ces gens là.
Radiofréquences : peu de danger selon l’Anses, Robin des Toits déçu
Le 15/10/2013Le 16/10/2013 à 09h 06
Je ne sais pas si quelqu’un a déjà posté ce lien mais Canard PC Hardware avait fait en 2012 une enquête très intéressante sur la nocivité des ondes.
http://www.canardpc.com/pdf/CPCHW13.pdf (c’est à la page 69 du PDF)
Des Anonymous arrêtés suite au piratage du ministère de la Justice
Le 06/10/2012Le 06/10/2012 à 07h 31
Cette attaque DDOS aurait permis à au moins un pirate d’accéder au serveur du ministère et ainsi d’obtenir divers identifiants, permettant notamment d’entrer dans l’intranet du ministère.
Je doute fortement qu’une attaque DDOS (déni de service distribué) permette de s’introduire sur un serveur. Au plus ça peut tellement pourrir les logs que tu peux espérer te fondre dans la masse.
un fichier contenant près de 1500 courriels et mots de passe de fonctionnaires aurait été dérobé
Si un tel fichier existe c’est assez honteux " />