#17991

Un tiers des directeurs informatiques français seraient prêts à payer un ransomware pour éviter les amendes liées au RGPD - Data Security Breach

Beuh, c’est pas comme ça qu’on dit, voyons.

Voilà :

« Un tiers des directeurs informatiques français n’en ont rien à foutre que leurs données, ceux des clients, des collaborateurs et de leur patron se trouvent dans la nature, et préfèrent payer un pirate plutôt que se sortir les doigts et faire leur boulot ».

De rien.

https://www.datasecuritybreach.fr/payer-un-ransomware/

#17910

Un carnet pour noter ses mots de passe. Une idée de cadeau de Noël ? — Pascal MARTIN : développement Web & PHP

J’avoue, de tous les moyens de stockage de mots de passe, le carnet en papier est peut-être celui qui est le plus solide.

Un stockage dans le navigateur ? Laisse tomber : si c’est Chrome (et pas seulement), les mots de passes sont envoyés en ligne et à la merci du prochain hack de Google.

Un stockage dans une extension de navigateur ? Même chose, mais chez l’éditeur, ou alors il suffit que l’éditeur soit hacké et l’extension se met soudainement à tout envoyer chez un pirate.

Un stockage sur un fichier ou un gestionnaire de notes ? Il suffit d’un virus pas trop con et c’est mort aussi.

Oh et une méthode chiffrée parmi les idées ci-dessus ne me semble pas non plus plus sécurisé. À un moment donnée, un gestionnaire de mot de passe doit avoir accès au mot de passe en clair. C’est obligé. Et un virus / hacker peut très bien se réveiller à ce moment là.

Si vous devez stocker vos mots de passe parce que vous n’arrivez pas à les retenir de tête, le papier me semble également le plus sécurisé.

Évidemment, il ne faut que vous ayez une bibliothèque vide avec un seul calepin estampillé « MeS MoTs De PaSseS ». Un peu de discrétion est évidemment nécessaire (un carnet « ce carnet ne contient pas tous mes mots de passes » est donc beaucoup mieux #patapé #jerigole).

Quant à tout retenir de tête… soit vous êtes un surhumain avec une mémoire très forte (ce qui n’est pas impossible), soit vous avez un algo top secret de tête… et le point faible se trouve là.

Mais autrement, je rejoins l’article là : un carnet n’est peut-être pas forcément une mauvaise idée.

À la limite on pourrait offusquer un peu ça, en y mettant des numéros, comme par exemple 111.23.56.143.555… correspondant aux numéros de pages dans un bouquin particulier, duquel l’on prendrait les premières lettres pour reformer le mot de passe : mais là encore, ça ralentirait seulement un cambrioleur ou les autorités, mais vous également…

https://blog.pascal-martin.fr/post/un-carnet-pour-noter-ses-mots-de-passe-une-idee-de-cadeau-de-noel.html

#17799

This Toy Can Open Any Garage - YouTube

Super intéressant, et un peu flippant.

Le tout a bien-sûr devenir de plus en plus commun avec les serrures de porte connectés, et tout le reste, qui ne sont que des version un peu plus complexes que ce qui est présenté là dedans.

https://www.youtube.com/watch?v=CNodxp9Jy4A

#17344

Let's Encrypt est-il en train de passer de sauveur à single point of failure (SPOF) ?

+1

J’y avais pensé aussi.

On peut faire la même remarque par exemple pour tout ce qui est Framasoft (leurs services en ligne là). C’est joli de dégoogliser Internet, mais si c’est pour mettre ses œufs dans un autre panier unique, c’est pas l’idéal non plus.

La solution, concernant Frama, ils l’ont : ce sont les C.H.A.T.O.N.S : un collectifs où chaque membre héberge une instance du service, de façon indépendante. Un peu à la manière de Mastodon.

Faire la même chose pour Let’s Encrypt semble pas mal, mais ça signifie aussi l’éventuelle naissance d’instances corrompues / vérolées / …

Ensuite, le HTTPS permet deux choses :
– chiffrer les communications entre le serveur et le navigateur
– authentifier le fait qu’un site est bien le site qu’il prétend être.

Dans mon cas (et je pense la majorité des cas), seule la première partie est intéressante. L’autre fonction est d’avantage utile pour les sites sensibles (banques, services gouvernementaux, etc.).

Or ceci, c’est déjà possible : n’importe qui pour produire un certificat HTTPS pour chiffrer son site. C’est juste que ce certificat ne sera pas signé et ne pourra pas servir pour authentifier le site. Le problème avec ça, c’est que les navigateurs lèvent une alerte pour cette raison…

https://www.nextinpact.com/news/105955-lets-encrypt-est-il-en-train-passer-sauveur-a-single-point-of-failure-spof.htm

#17274

Third party CSS is not safe - JakeArchibald.com

Maieuh…

Il est possible de faire un keylogger en CSS…

L’article, globalement, suggère (à juste titre) que si on utilise des scripts externes, ça revient à donner les clés de son site à quelqu’un d’autre (celui qui gère ledit script : JS peut tout faire sur la page, en fait, y compris remplir des champs, modifier des formulaires, faire des requêtes…).

Utiliser des styles externes semble moins risqué, mais il reste tout de même possible de faire beaucoup de choses… Le keylogger est juste un exemple.

La conclusion à tirer est qu’il faut tout héberger chez soi. Et surtout, comme d’hab, faire attention à ce qu’on récupère : un fichier CSS téléchargé puis hébergé sur son site peut très bien lui-même faire des includes() ailleurs, y compris sur des images, des svg…

https://jakearchibald.com/2018/third-party-css-is-not-safe/

#17118

Je suis toujours Charlie, et vous ? – Parigot-Manchot

Je ne lis pas forcément Charlie, je n’aime pas forcément Charlie, mais je refuse qu’on tue ceux qui le font.

Y a pas eu besoin de Charlie pour ça, mais c’est effectivement mon état d’esprit aussi.

Le problème 3 ans après, c’est que ce mème est devenue l’excuse justement pour instaurer des politiques sécuritaires où l’on "tue" ce qui font des choses avec lesquelles certains sont en désaccord.

Concrètement et par exemple, au nom de l’anti-terrorisme, l’État place une arme dans les mains de tous les policiers, même privés (agents de sécurité), même peu entraînés (policiers municipaux), et même en dehors de leur service.

Une arme, quand elle est utilisée, est destinée à tuer ou mutiler. Placer une arme dans les mains de quelqu’un, c’est lui donner le droit de vie où de mort de ceux qui sont à portée.

Quand c’est l’État qui le fait avec les policiers, ça revient à placer la peine de mort entre des mains individuelles plutôt qu’entre les mains d’une institution comme la Justice.

Et ça, ce n’est pas Charlie.
Je ne veux pas vivre dans un monde où l’on tue des humoristes. Mais je ne veux pas non plus vivre dans un monde où un inconnu mandaté par mon pays peut me descendre s’il en a envie ou s’il pète un câble.

https://www.parigotmanchot.fr/2018/01/06/toujours-charlie/

#16895

Note : à tous ceux qui utilisent un lecteur RSS en ligne…

… assurez-vous que la liste des flux ne soit pas visible publiquement (si vous ne le désirez pas).

Je regarde un peu dans Google Webmaster là, et je vois que mes sites sont référencés par des tas de lecteurs RSS qui sont totalement ouverts au public (principalement Kriss-feed, mais pas seulement).

Si vous vous en foutez, alors moi aussi, mais sinon on peut (et n’importe qui, et n’importe quel moteur de recherche aussi) voir la liste de vos abonnements RSS. Et ça ne vient pas de Google Webmaster : n’importe quel webmaster peut voir d’où viennent les visiteurs, grâce au referer (le lien d’origine, que le navigateur communique au site visité), que tous les serveurs web enregistrent dans les logs.

Pour se prémunir de ça, une des solutions suivantes suffit :
– dites aux moteurs de recherche de ne pas visiter votre agrégateur RSS (avec le robots.txt — mais on doit faire confiance à moteur de recherche pour qu’il respecte cette consigne)
– dites au serveur web de ne pas laisser un moteur de recherche accéder à votre agrégateur (.htaccess ou autre ; mais un moteur de recherche peut très bien s’identifier comme un navigateur quelconque)
– utilisez un agrégateur qui n’affiche les flux que derrière une page de connexion (solution la plus sûre à mon avis).

https://lehollandaisvolant.net/?mode=links&id=20171022130428

#16793

Comment la France s’apprête à devenir un Etat policier où chacun est transformé en potentiel suspect - Basta !

Je viens de regarder « Captain America : The Winter Soldier » il y a deux jours.

Une des citations qui me résonne dans la tête est quand le Captain (un super-homme crée durant la WW2, qui a hiberné 40 ans dans la glace de l’arctique avant d’être réveillé et remmené à l’époque moderne) dit à Nick Fury (le boss du Shield, un service secret de défense des USA) qui veut utiliser un nouveau moyen de défense anti-terroriste :

We are pointing a gun at every citizen in the world, and call it protection ?

De la bouche du Captain, qui a combattu contre les Nazi durant la WW2, ça prend tout de suite une grande valeur.

Et ça, c’est totalement ce qu’on est en train de faire aujourd’hui : suspecter tout le monde, tout le temps, en les surveillant en masse, en automatisant cette surveillance (coucou reconnaissance faciale) la répression (coucou les PV/mandats envoyés de façon automatique), voire bientôt les arrestations (coucou les robots) et peut-être même les assassinats policiers (coucou les drones armés à reconnaissance faciale comme dans Half-Life-2).

L’idée même où chacun est un suspect, et où le gouvernement souhaite que chacun vive dans la peur que son voisin soit un suspect et une personne dangereuse, l’idée même où chacun vive dans la terreur, c’est ce que l’on appelle le terrorisme.

Je propose qu’on appelle ça le « terreurisme ».

https://www.bastamag.net/Comment-la-France-s-apprete-a-devenir-un-Etat-policier-ou-chacun-est-transforme