#19893

Fukushima n’a pas provoqué de morts, et ça fait enrager les écolos | Hashtable

*siffle*

Un autre truc intéressant, que je ressors : https://twitter.com/G_Milot/status/1193114442340478976 .
C’est l’enregistrement de dose de radiation d’un groupe d’étudiants, entre leur décollage à Paris et leur arrivé à Fukushima (il y a plusieurs années).

http://h16free.com/2021/03/12/68195-fukushima-na-pas-provoque-de-morts-et-ca-fait-enrager-les-ecolos

#19855

Non vraiment, j'adore la sécurité selon les banques - Liens en vrac de sebsauvage

+1

Et tout ça ce sont des mensonges de la banque (en même temps, une banque sans mensonges…) : la DGSP2 ne demande PAS aux banques de passer par une application mobile. Juste d’utiliser de la 2FA, et seulement pour les transactions supérieurs à 50 €.

C’est. Tout.

Quant à la méthode de 2FA, la DSP2 ne spécifie rien. C’est au choix de la banque : un yubikey pourrait faire l’affaire, par exemple.

Perso j’ai changé de banque à cause de ça : La Banque Postale demandant (via le mensonge, donc) à installer une application aux permissions totalement abusives : https://lehollandaisvolant.net/?d=2018/12/22/13/12/24-certicode-plus-chez-la-banque-postale-plus-dintrusion (ça et d’autres trucs aberrants chez eux ont fait que je suis parti).

Je suis depuis chez ING Direct (banque en ligne). Ils ne me font pas chier avec ça : actuellement et depuis le début ça passe toujours par un code à usage unique reçu par SMS (et bien-sûr toujours un code à 6 chiffres pas du tout sécurisé).

(J’ai d’ailleurs un code de parrainage ING Direct, si ça intéresse : ça fait de la thune pour vous et pour moi, en supposant qu’il fonctionne encore et si vous voulez switchez chez eux. Perso j’en suis content : 0 frais de tenue de compte, ni aucun autre frais d’ailleurs ; il n’y en a que si on a un soucis de découvert, de perte de carte, bref, en cas de problème seulement, ce qui ne m’est jamais arrivé ni chez eux ni ailleurs)

ÉDIT : Jean me signale que Boursorama propose l’authentification par Yubikey. C’est un bon point.

https://sebsauvage.net/links/?gMpU9A

#19804

Le PC d’occasion – 3e partie | Zythom

Parties 2 et 1 :
https://zythom.fr/2021/02/le-pc-doccasion-2e-partie/
https://zythom.fr/2021/01/le-pc-doccasion/

J’apprends l’existence de ce texte de loi : https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000033206854/

En gros, si on découvre une faille de sécurité informatique quelque part dans un système (par exemple dans une mairie comme ici), la mairie pourrait très bien nous traîner en justice et dire « c’est vous qui avez tout piraté ! ».

SAUF du coup, si on transmet de bonne foi l’existence de cette faille à l’ANSSI et qu’elle se charge de contacter la mairie (dans l’exemple).

C’est moi ou ce n’est pas sans rappeler l’affaire Bluetooff ?

https://zythom.fr/2021/02/le-pc-doccasion-3e-partie/

#19781

Selon des chercheurs, les favicons peuvent être utilisées pour vous pister

En mettant un ID unique dans la favicon, qui est ensuite mis en cache puis ressorti par le navigateur lors de la prochaine visite (et envoyé au serveur via Ajax pour analyse et identification) ?

Ça semble crédible.

Solution : vider le cache en fermant le nav. Ceci dit, je me demande si les favicon ne sont pas mis dans un cache spécial, plus robuste, donc faire attention.

https://www.nextinpact.com/lebrief/45708/selon-chercheurs-favicons-peuvent-etre-utilisees-pour-vous-pister

#19697

Les députés rejettent BigBrotherSecu

Je ne vais pas me plaindre, mais je regrette que les arguments ne soient que techniques et logistiques. Le pognon, les coûts, la difficulté… y a que ça qui les intéresse ?

Ils s’en foutent tellement de la liberté ?

https://www.nextinpact.com/lebrief/44785/les-deputes-rejettent-bigbrothersecu

#19329

CovidLock: Mobile Coronavirus Tracking App Coughs Up Ransomware

Donc y a une app de suivi du virus qui est en fait un ransomware.

Apparemment, la clé de déblocage est codée en dur dans l’appli : https://mobile.twitter.com/ESETresearch/status/1239820488110718976

Facepalm pour ces dev minables, mais après faut pas s’étonner que n’importe quel gosse arrive à pirater la moitié des smartphones de la planète juste en suivant une mode. C’est vraiment n’importe quoi. Oh et il semble (voir les comm) que cette app ne soit pas installable depuis le Play Store, mais depuis un site tiers… Y a donc aussi un joli PEBKAC dans l’histoire.

https://www.domaintools.com/resources/blog/covidlock-mobile-coronavirus-tracking-app-coughs-up-ransomware

#19245

CSP Header Inspector and Validator

Dans la même veine que le lien précédent…

Les en-têtes CSP (content security policy : https://developer.mozilla.org/fr/docs/Web/HTTP/CSP ) permettent de spécifier quels contenus peuvent s’afficher/s’éxécuter dans votre machine.

Pour vulgariser à l’extrême (ne faites pas ça), ça permettrait à n’importe qui de poster du JS ou du CSS valide dans vos pages (par exemple dans un commentaire) et ce dernier sera bloqué si les en-têtes interdisent le JS inline, ou le CSS inline.
(faut pas le faire car tous les navigateurs ne supportent pas et il faut partir du principe que le navigateur du visiteur (voire le vôtre) n’a pas forcément ça d’activé).

Si j’ajoute cette en-tête CSP à une page :

default-src 'self'; img-src 'self' data:; script-src 'self' 'unsafe-inline'; form-action 'self';

Cela autorisera par liste blanche :
– le contenu peu importe son type (default-src) en provenance de votre domaine ('self') seulement
– les images (img-src) en provenance de votre domaine (self), des liens data-uri (data:)
– les scripts (script-src) en provenance de votre domaine (self), ainsi que les script inline (unsafe-inline)
– les POST de formulaires (form-action) en provenance de votre domaine (self)

Tout le reste sera inutile, bloqué.

Avec ces règles, si vous mettez une image "src=https://example.com", alors l’image ne chargera pas : bloqué par les règles CSP : seule une image sur votre site, et une image avec data-uri peuvent s’afficher.

Dans les outils de dév de Firefox, vous verrez afficher une alerte relative à CSP.

Le lien que je donne ici permet de tester vos règles CSP (copiez-y mon code ci-dessus, pour tester). Il décortique également tout ça pour y voir clair.

Enfin, si vous utilisez Apache, voilà comment on ajoute une entête dans un .htaccess :

# Extra Security Headers
<IfModule mod_headers.c>
	Header set Content-Security-Policy "<regle csp>" 
</IfModule>

Remplacez <regle csp> par votre règle, virez les « <> », mais laissez les quotes.

Comme ça :

# Extra Security Headers
<IfModule mod_headers.c>
	Header set X-Content-Type-Options nosniff
	Header set Content-Security-Policy "default-src 'self'; img-src 'self' data:; script-src 'self' 'unsafe-inline'; form-action 'self';"
</IfModule>
https://cspvalidator.org/

#19095

Certbot 1.0 est enfin disponible – Vous n’avez plus d’excuses pour ne pas activer HTTPS sans douleur sur votre site – Korben

Certbot permet d’installer des certificats directement sur le serveur où il est éxécuté.

Perso j’ai pris l’habitude de générer les certificats sur mon PC puis d’uploader les certificats (et la clé) sur le serveur mutualisé qui héberge (entre autre) mon site.

La procédure est un peu plus compliquée, car il faut passer par une phase de validation (sinon n’importe qui peut faire un certificat pour mes NDD).

La procédure, que j’applique toujours à ce jour, est dispo là : https://lehollandaisvolant.net/?d=2016/07/05/18/44/28-lets-encrypt-certbot-sur-son-pc-pour-un-serveur-distant

Je fais également ça avec des sites hébergés sur des Nas divers, qui n’ont pas forcément tout l’attirail nécessaire pour exécuter ça ou automatiser ça.

https://korben.info/certbot-1-0-est-enfin-disponible-vous-navez-plus-dexcuses-pour-activer-https-sans-douleur-sur-votre-site.html

#18934

Les anciens détecteurs de fumée sont radioactifs - SCMB

Le premier commentaire montre un gros problème très connu en prévention des risques mais ignoré du public.

Imaginez qu’on mette en place un dispositif de sécurité quelconque, et que ce dispositif tue une personne par sa présence. Ce dispositif remplit-il son rôle ?

Car même s’il y a eu un mort, le dispositif en a peut-être empêché 1000. Mais comme on ne peut pas dénombrer des vies sauvées, ben on ne retiendra toujours que ce « 1 mort ».

Un autre exemple assez tordu que j’aime bien : les contrôles aux aéroports sont intenses et rebutants : beaucoup de gens préfèrent prendre un autre transport que l’avion.

Aux USA, par exemple, on estime que ce sont 500 personnes, statistiquement, qui sont mortes sur les routes qui ne seraient pas mortes si elles avaient pris l’avion, plus sûr, car la sécurité des aéroports est si chiante (voir là : https://www.youtube.com/watch?v=1Y1kJpHBn50&t=620s ).

Est-ce que ça vaut le coup le garder la sécurité des aéroports, du coup ? Impossible à dire, réellement : si on vire la sécurité, peut-être que les détournements d’avions vont reprendre et donc augmenter le nombre de morts…

https://secouchermoinsbete.fr/79290-les-anciens-detecteurs-de-fumee-sont-radioactifs?page=1#comment-677815

#18576

Chris McClellan sur Twitter : "I think it’s odd that manufacturer’s recognize this, but knowledge organizations don’t.… "

If you don’t schedule time for your maintenance, your equipment will schedule it for you

« Si vous ne planifiez pas un peu de temps pour la maintenance, vos appareils le planifieront pour vous »

… et le temps que ça coûtera sera largement plus important.

Un peu comme les boîtes qui veulent bâcler leur application Web en rognant sur la sécurité des données, croyant faire des économies, et qui au final se retrouveront avec 5 millions d’euros d’amende RGPD.

Ou encore le « oui mais j’ai pas le temps de faire des backup » : dans ce cas faut pas pleurer de perdre 6 semaines et 2 000 € quand il faudra envoyer le disque en salle blanche pour une récupération de données…

https://twitter.com/Rubberduck203/status/1124691471658037248

#18541

Chiffrement : les ministères de l’Intérieur du G7 rêvent de backdoors installées par l’industrie

Backdoors gouvernementaux, applications gouvernementaux pré-installées sur les smartphones… Ils ont de drôles d’idées. C’est très proche de ce que fait la Chine, qui, je le rappelle, est une dictature communiste très répressive. Le tout, comme d’habitude, enrobé dans de la lutte contre le terrorisme.

https://www.nextinpact.com/news/107815-chiffrement-ministeres-linterieur-g7-revent-backdoors-installees-par-lindustrie.htm

#18428

"If you want, I can store the encrypted password." A Password-Storage Field Study with Freelance Developers - Naiakshina_Password_Study.pdf

First of all, we reveal that, similar to the students, freelancers do not store passwords securely unless prompted, they have misconceptions about secure password storage, and they use outdated methods.

Et ça, qui résume :

Researchers asked 43 freelance developers to code the user registration for a web app and assessed how they implemented password storage. 26 devs initially chose to leave passwords as plaintext.
Those devs were then asked to rewrite their code to 'store passwords securely.' Overall here are the methods of password storage chosen by the developers:
8 - Base64
3 - AES
3 - 3DES
10 - MD5
1 - SHA-1
5 - SHA-256
5 - PBKDF2
7 - Bcrypt
1 - HMAC/SHA1

(voir ce tweet :https://twitter.com/PwdRsch/status/1103021803503607808 )

Et ben…

https://net.cs.uni-bonn.de/fileadmin/user_upload/naiakshi/Naiakshina_Password_Study.pdf