Rachel Tobac sur Twitter : "Here’s an example of getting around 2FA with social engineering. 😬🤖 Dang. Thanks @alanchavezv for sharing this.… "

#17384

Comment contourner l’authentification à deux étapes en deux secondes…

Ouais… Ça pourrait se tenir : le scénario du hacker est plausible. Sauf que :
– si ça avait été vrai, il n’aurait probablement pas dit « si tu veux pas, c’est ok aussi ». Pour moi, ça retire toute crédibilité : pourquoi faire chier les gens si « c’est ok aussi » ?
– dans tous les systèmes d’authentification à deux étapes, il y a un moyen de procéder si on n’a plus accès à son téléphone. Il y a toujours un moyen, même s’il est chiant ou long (parfois, la plateforme nous appelle ou nous demande nos papier, mais c’est possible).

Dans tous les cas : ne donnez jamais vos codes à des inconnus. Ni les mots de passe.

https://twitter.com/RachelTobac/status/996556819886583808

E-mail vert, sûr, simple et sans pub - posteo.de - Failles de sécurité : ce que tous les utilisateurs de Thunderbird devraient faire dorénavant

#17152

Un audit de Thunderbird et d'Enigmail a montré d'importantes failles.

Mettez à jour Thunderbird des que possible. Mettez à jour Enigmail tout de suite (déjà corrigé).
N'utilisez pas d'extensions non-maintenues et n'utilisez pas le client mail pour lire les RSS. Et ça devrait aller.

Et sinon mon petit lien qui va bien : apprendre à utiliser Thunderbird pour envoyer des messages chiffrés

https://posteo.de/fr/blog/failles-de-s%C3%A9curit%C3%A9%C2%A0-ce-que-tous-les-utilisateurs-de-thunderbird-devraient-faire-dor%C3%A9navant

Ismaël Halissat sur Twitter : "A Nice, une application permet désormais à 2 000 personnes sélectionnées par la ville de filmer les "incivilités" dont ils sont témoins. Les… https://t.co/742mZpUzyo"

#17151

Pendant ce temps là, à Nice, on instaure tranquillement une milice populaire. Seuls des "bon fasho" (100% Charlie, #NationFrançaise et bon patriotes) seront sélectionnés.

Et si milice vous gêne, je sais pas, appelez ça Section de Sécurité, ou SS pour faire plus court. C'est bien SS.

Je suppose que le critère de sélection comprend également un QI inférieur à 42, pour accepter de faire ça alors que ça supprime des postes de flics entraînés à faire ça ?
Je suis pas spécialement pour mettre des flics à tous leq coins de rue, mais entre des flics un minimum entraîné et des civils qui vont plus se sentir pisser, le choix est vite fait.

Avec ça, au moins, je propose que Nice soit officiellement le Texas français... Aussi arriéré...

Note

#15950

Dites @Google, c’est pas un peu contre productif le fait de mettre une case "ne plus me demander sur cet ordinateur" dans le cas d’une double authentification ? Et encore plus contre productif de cocher cette case par défaut ?

Oui, votre popup « pour plus de simplicité, laissez cette case cochée » est bien joli, mais ça enlève carrément l’intérêt à la double authentification.

En suivant cette logique, pourquoi ne pas non plus retirer aussi le champ du mot de passe ?

Note Let's Encrypt

#13954

Je viens d’installer un certificat Let's Encrypt sur lehollandaisvolant.net.

Vous pouvez aller sur https://lehollandaisvolant.net/ et il ne devrait plus y avoir d’erreurs de "certificat autosigné".

HTTPS permet en fait deux chose :
** chiffrer les communications ;
** authentifier le site

Pour les blogs perso, l’important c’est le premier point : le chiffrement c’est importante. Si vous avez wordpress ou shaarli ou tout autre système qui demande une authentification, il faut utiliser le chiffrement sinon votre mot de passe et login voyage en clair sur le réseau.


La mise en place d’un certificat est relativement simple. Il suffit de suivre ce qui est là : https://zatsunenomokou.eu/blog/index.php?article8/creer-un-certificat-sur-un-hebergement-web-avec-seulement-ftp

Ici on passe en mode "ligne de commande" manuelle parce que le serveur qui héberge le site N’EST PAS l’ordinateur qui va générer le certificat (mon pc, dans le cas présent).

On commence par écrire la ligne de commande en donnant le nom du site (lehollandaisvolant.net). Ensuite, va dire qu’il faut uploader un fichier (au nom compliqué dans un dossier /.well-known/acme-challenge) : ça permet de prouver qu’on est bien le proprio du site (je peux mettre un fichier sur "lehollandaisvolant.net" mais pas sur "google.com", qui n’est pas à moi).

Une fois terminé, on se retrouve avec 4 fichiers (sur mon PC, donc) dans /etc/letsencrypt/live/lehollandaisvolant.net/*.

Il faut utiliser ces fichiers et les envoyer sur le serveur qui contient votre site.
Pour ma part, j’ai une page pour le faire grâce au panel admin que me propose mon hébergeur.

** le champ "Certificate" doit être rempli avec le fichier "fullchain.pem"
** le champ "Private Key" avec le fichier "privkey.pem"

Quand tout est en place et validé, votre site en HTTPS est accessible et ne lève plus d’erreurs.

Attention quand même : la validité est de 3 mois seulement (pour le moment, vu que c’est en phase bêta, je crois). Le renseignement de l’email lors de la création du certificat devrait être là pour vous avertir avant l’expiration.

NOTE : tant que Let's Encrypt restera en phase bêta, je ne mettrais pas le site HTTPS par défaut. Pour l’instant il est donc possible de rester en HTTP simple.

AFWall+ (Android Firewall +) – Applications Android sur Google Play

#12184

(Root requis)

« AFWall+ (Android Firewall +) is a front-end application for the powerful iptables Linux firewall »

Il utilise iptables, le pare-feu interne de Linux (Android est basé sur Linux).

Il permet de choisir par liste blanche ou liste noire, de choisir si on autorise une appli en wifi-local, en wifi non local, en data ou via le VPN (il utilise les différents modules réseau d’Android).

Et il fonctionne, évidemment.

https://play.google.com/store/apps/details?id=dev.ukanth.ufirewall