#18576

Chris McClellan sur Twitter : "I think it’s odd that manufacturer’s recognize this, but knowledge organizations don’t.… "

If you don’t schedule time for your maintenance, your equipment will schedule it for you

« Si vous ne planifiez pas un peu de temps pour la maintenance, vos appareils le planifieront pour vous »

… et le temps que ça coûtera sera largement plus important.

Un peu comme les boîtes qui veulent bâcler leur application Web en rognant sur la sécurité des données, croyant faire des économies, et qui au final se retrouveront avec 5 millions d’euros d’amende RGPD.

Ou encore le « oui mais j’ai pas le temps de faire des backup » : dans ce cas faut pas pleurer de perdre 6 semaines et 2 000 € quand il faudra envoyer le disque en salle blanche pour une récupération de données…

https://twitter.com/Rubberduck203/status/1124691471658037248

#18541

Chiffrement : les ministères de l’Intérieur du G7 rêvent de backdoors installées par l’industrie

Backdoors gouvernementaux, applications gouvernementaux pré-installées sur les smartphones… Ils ont de drôles d’idées. C’est très proche de ce que fait la Chine, qui, je le rappelle, est une dictature communiste très répressive. Le tout, comme d’habitude, enrobé dans de la lutte contre le terrorisme.

https://www.nextinpact.com/news/107815-chiffrement-ministeres-linterieur-g7-revent-backdoors-installees-par-lindustrie.htm

#18428

"If you want, I can store the encrypted password." A Password-Storage Field Study with Freelance Developers - Naiakshina_Password_Study.pdf

First of all, we reveal that, similar to the students, freelancers do not store passwords securely unless prompted, they have misconceptions about secure password storage, and they use outdated methods.

Et ça, qui résume :

Researchers asked 43 freelance developers to code the user registration for a web app and assessed how they implemented password storage. 26 devs initially chose to leave passwords as plaintext.
Those devs were then asked to rewrite their code to 'store passwords securely.' Overall here are the methods of password storage chosen by the developers:
8 - Base64
3 - AES
3 - 3DES
10 - MD5
1 - SHA-1
5 - SHA-256
5 - PBKDF2
7 - Bcrypt
1 - HMAC/SHA1

(voir ce tweet :https://twitter.com/PwdRsch/status/1103021803503607808 )

Et ben…

https://net.cs.uni-bonn.de/fileadmin/user_upload/naiakshi/Naiakshina_Password_Study.pdf

#17991

Un tiers des directeurs informatiques français seraient prêts à payer un ransomware pour éviter les amendes liées au RGPD - Data Security Breach

Beuh, c’est pas comme ça qu’on dit, voyons.

Voilà :

« Un tiers des directeurs informatiques français n’en ont rien à foutre que leurs données, ceux des clients, des collaborateurs et de leur patron se trouvent dans la nature, et préfèrent payer un pirate plutôt que se sortir les doigts et faire leur boulot ».

De rien.

https://www.datasecuritybreach.fr/payer-un-ransomware/

#17910

Un carnet pour noter ses mots de passe. Une idée de cadeau de Noël ? — Pascal MARTIN : développement Web & PHP

J’avoue, de tous les moyens de stockage de mots de passe, le carnet en papier est peut-être celui qui est le plus solide.

Un stockage dans le navigateur ? Laisse tomber : si c’est Chrome (et pas seulement), les mots de passes sont envoyés en ligne et à la merci du prochain hack de Google.

Un stockage dans une extension de navigateur ? Même chose, mais chez l’éditeur, ou alors il suffit que l’éditeur soit hacké et l’extension se met soudainement à tout envoyer chez un pirate.

Un stockage sur un fichier ou un gestionnaire de notes ? Il suffit d’un virus pas trop con et c’est mort aussi.

Oh et une méthode chiffrée parmi les idées ci-dessus ne me semble pas non plus plus sécurisé. À un moment donnée, un gestionnaire de mot de passe doit avoir accès au mot de passe en clair. C’est obligé. Et un virus / hacker peut très bien se réveiller à ce moment là.

Si vous devez stocker vos mots de passe parce que vous n’arrivez pas à les retenir de tête, le papier me semble également le plus sécurisé.

Évidemment, il ne faut que vous ayez une bibliothèque vide avec un seul calepin estampillé « MeS MoTs De PaSseS ». Un peu de discrétion est évidemment nécessaire (un carnet « ce carnet ne contient pas tous mes mots de passes » est donc beaucoup mieux #patapé #jerigole).

Quant à tout retenir de tête… soit vous êtes un surhumain avec une mémoire très forte (ce qui n’est pas impossible), soit vous avez un algo top secret de tête… et le point faible se trouve là.

Mais autrement, je rejoins l’article là : un carnet n’est peut-être pas forcément une mauvaise idée.

À la limite on pourrait offusquer un peu ça, en y mettant des numéros, comme par exemple 111.23.56.143.555… correspondant aux numéros de pages dans un bouquin particulier, duquel l’on prendrait les premières lettres pour reformer le mot de passe : mais là encore, ça ralentirait seulement un cambrioleur ou les autorités, mais vous également…

https://blog.pascal-martin.fr/post/un-carnet-pour-noter-ses-mots-de-passe-une-idee-de-cadeau-de-noel.html

#17799

This Toy Can Open Any Garage - YouTube

Super intéressant, et un peu flippant.

Le tout a bien-sûr devenir de plus en plus commun avec les serrures de porte connectés, et tout le reste, qui ne sont que des version un peu plus complexes que ce qui est présenté là dedans.

https://www.youtube.com/watch?v=CNodxp9Jy4A

#17344

Let's Encrypt est-il en train de passer de sauveur à single point of failure (SPOF) ?

+1

J’y avais pensé aussi.

On peut faire la même remarque par exemple pour tout ce qui est Framasoft (leurs services en ligne là). C’est joli de dégoogliser Internet, mais si c’est pour mettre ses œufs dans un autre panier unique, c’est pas l’idéal non plus.

La solution, concernant Frama, ils l’ont : ce sont les C.H.A.T.O.N.S : un collectifs où chaque membre héberge une instance du service, de façon indépendante. Un peu à la manière de Mastodon.

Faire la même chose pour Let’s Encrypt semble pas mal, mais ça signifie aussi l’éventuelle naissance d’instances corrompues / vérolées / …

Ensuite, le HTTPS permet deux choses :
– chiffrer les communications entre le serveur et le navigateur
– authentifier le fait qu’un site est bien le site qu’il prétend être.

Dans mon cas (et je pense la majorité des cas), seule la première partie est intéressante. L’autre fonction est d’avantage utile pour les sites sensibles (banques, services gouvernementaux, etc.).

Or ceci, c’est déjà possible : n’importe qui pour produire un certificat HTTPS pour chiffrer son site. C’est juste que ce certificat ne sera pas signé et ne pourra pas servir pour authentifier le site. Le problème avec ça, c’est que les navigateurs lèvent une alerte pour cette raison…

https://www.nextinpact.com/news/105955-lets-encrypt-est-il-en-train-passer-sauveur-a-single-point-of-failure-spof.htm

#17274

Third party CSS is not safe - JakeArchibald.com

Maieuh…

Il est possible de faire un keylogger en CSS…

L’article, globalement, suggère (à juste titre) que si on utilise des scripts externes, ça revient à donner les clés de son site à quelqu’un d’autre (celui qui gère ledit script : JS peut tout faire sur la page, en fait, y compris remplir des champs, modifier des formulaires, faire des requêtes…).

Utiliser des styles externes semble moins risqué, mais il reste tout de même possible de faire beaucoup de choses… Le keylogger est juste un exemple.

La conclusion à tirer est qu’il faut tout héberger chez soi. Et surtout, comme d’hab, faire attention à ce qu’on récupère : un fichier CSS téléchargé puis hébergé sur son site peut très bien lui-même faire des includes() ailleurs, y compris sur des images, des svg…

https://jakearchibald.com/2018/third-party-css-is-not-safe/

#17118

Je suis toujours Charlie, et vous ? – Parigot-Manchot

Je ne lis pas forcément Charlie, je n’aime pas forcément Charlie, mais je refuse qu’on tue ceux qui le font.

Y a pas eu besoin de Charlie pour ça, mais c’est effectivement mon état d’esprit aussi.

Le problème 3 ans après, c’est que ce mème est devenue l’excuse justement pour instaurer des politiques sécuritaires où l’on "tue" ce qui font des choses avec lesquelles certains sont en désaccord.

Concrètement et par exemple, au nom de l’anti-terrorisme, l’État place une arme dans les mains de tous les policiers, même privés (agents de sécurité), même peu entraînés (policiers municipaux), et même en dehors de leur service.

Une arme, quand elle est utilisée, est destinée à tuer ou mutiler. Placer une arme dans les mains de quelqu’un, c’est lui donner le droit de vie où de mort de ceux qui sont à portée.

Quand c’est l’État qui le fait avec les policiers, ça revient à placer la peine de mort entre des mains individuelles plutôt qu’entre les mains d’une institution comme la Justice.

Et ça, ce n’est pas Charlie.
Je ne veux pas vivre dans un monde où l’on tue des humoristes. Mais je ne veux pas non plus vivre dans un monde où un inconnu mandaté par mon pays peut me descendre s’il en a envie ou s’il pète un câble.

https://www.parigotmanchot.fr/2018/01/06/toujours-charlie/