« More vulnerabilities were reported in Chrome last year than any other core software according to research which also found 2014 clocked record numbers of zero day flaws. »
On peut arrêter de dire que Chrome est le navigateur le plus sécurisé ? Merci.
Votez Firefox !

Donc pour résumer, Mozilla va restreinte la liberté au nom de la sécurité ?
Non je n'approuve pas.
EDIT: Je suis globalement d'accord avec Arthur: http://hoa.ro/chez-mozilla-la-securite-avant-la-liberte
Mozilla est en train de réduire la "bidouillabilité" si chère à Tristant Nitot. (Oui oui, je sais, il y a les Nightly Builds, mais bon...)

Tutoriel fail2ban+ownCloud7.
(fail2ban est une petite merveille qui surveille les logs de votre machine Linux (ftp, ssh, etc.) et qui, en cas d'échec de connexion répétés, reconfigure le firewall pour bloquer l'IP qui les a émis. Il peut être facilement configuré pour s'adapter à divers logiciels.)

Rhââ... merci Google.  :-(

Comment les navigateurs stockent vos mots de passe... et pourquoi il ne faut pas les laisser faire.

Petit exemple de règles fail2ban pour surveiller les logs d'ownCloud.
Voir aussi: http://www.commentcamarche.net/faq/18225-utiliser-fail2ban-pour-proteger-votre-application-web

Les brèves de Gof: Encore des tonnes de liens intéressants à explorer.

Après les webcams ouvertes en grand sans mot de passe... voici les serveurs VNC qui traînent ouverts sur le net !  Certes derrière la plupart des OS demandent un login/mdp, mais quand même ><

Un programme pour vérifier les versions de vos logiciels installés et installer les mises à jour.

Oh ben tiens, une application Android qui pirates les cartes de paiement NFC...

Je ne fais jamais confiance aux logiciels qui mémorisent les mots de passe. Ce sont des bases de données locales, donc piratables. Et si elles sont piratées, ce sont TOUS vos mots de passe qui se retrouvent dans la nature. Non merci.

NOM DE ZEUS. Qu'est-ce que c'est que cette horreur ?  Darkhotel semble être un réseau d'attaquants particulièrement organisés et efficaces. Ils utilisent de nombreuses failles 0-Day et on pu passer les défenses de Microsoft et Adobe. Leurs cibles ? Des gens haut-placés (PDG, directeurs marketing, R&D, vice-présidents...) de grosses sociétés sélectionnées: industries électroniques, pharmaceutiques, investissements, industries de la défense, transports... Rien ne semble fait au hasard. Ils polluent les réseaux P2P et WiFi d'hôtels pour obtenir plus de machines infectées. Ils semble avoir abusé une *DIZAINE* de CA pour créer des certificats valides et des exécutables (backdoors et autres) avec des signatures valides.
Leur infrastructure grossit et se réduit dynamiquement, et il est difficile de prévoir son évolution.
Les infections semblent suivre les dirigeants de ces sociétés et le déploiements géographique de leurs entreprises. Et cela semble avoir débuté en 2007.
Le groupe semble très organisé. C'est effrayant.

Aha. Je me demandais quand l'affaire de ce certificat du CNNIC allait ressortir.
Les navigateurs embarquent tous un paquet de certificats (cf. http://sebsauvage.net/rhaa/index.php?2010/03/26/12/03/17), et la plupart incorporent également un certificat de l'autorité Chinoise des communications (CNNIC).
Ce qui veut dire que cette autorité peut, si elle le veut, générer des certificats bidons pour Google et autres qui seront parfaitement acceptés par votre navigateur. Donc faire des attaques MITM pour déchiffrer tout votre trafic sans lever d'alerte.

Trop marrant : un site qui recense les caméras sur IP dont l'accès n'est pas sécurisé (via http://www.zataz.com/un-site-propose-de-regarder-plus-de-70-000-cameras-de-video-surveillance/).

*soupir*

Idée amusante et pas bête: utiliser les caractères emoji/unicode pour afficher des hash (au lieu de l'héxadécimal).
C'est une sorte de hash visuel mais en utilisant uniquement des caractères unicode. Bonne idée.

Notez que vous avez la même chose dans DokuWiki: Par défaut, n'importe qui peut se créer un compte. Pensez à le désactiver.

PUTAIN ON LEUR AVAIT DIT QUE C’ÉTAIT UNE MAUVAISE IDÉE. (http://sebsauvage.net/links/?LUCQFA)
Il y a quelques temps, Yahoo a décrété qu'ils allaient supprimer des comptes inutilisés. Les pseudos (et donc emails) seraient donc à nouveau enregistrables.
Ce qui devait arriver arriva: Les adresses email enregistrées pour de nouvelles personnes ont été utilisées pour réinitialiser le mot de passe d'autres sites, ce qui a permis des tas de piratages de compte Facebook... et autres.
Facebook et Yahoo se sont donc concertés pour mettre en place RRVS (Require-Recipient-Valid-Since) afin de ne pas délivrer les emails de réinitialisation de mots de passe si le compte est trop ancien.
Solution merdique à un problème qu'ils ont eux-même provoqué.

Ne l'oubliez jamais: Sur internet, votre adresse email est votre dernier recours pour valider la propriété d'un compte sur un autre site. Si vous perdez votre adresse email, vous perdez le moyen de prouver que vous êtes le propriétaire du compte. En achetant votre propre nom de domaine, vous réduisez le risque.

Ce n'est pas la première fois que je vois des articles indiquant de se méfier du RAID5.

Je ne sais pas pourquoi tout le monde fait un foin sur la clé USB d'authentification de Google. Ça existe depuis des années, et c'est même assez facile à intégrer à votre propre site web. (Je connais quelqu'un qui l'a fait.) A l'unité ça coûte quelques dollars, mais les prix baissent vite en nombre.
https://www.yubico.com/products/yubikey-hardware/
Tenez, un article de 2009: http://www.pcmag.com/article2/0,2817,2345571,00.asp

Ça existait déjà, et ça marche bien, mais comme d'hab on en fait tout un foin dès que c'est Google ou Apple qui s'y mettent (genre le NFC quand Apple l'intègrent enfin dans ses téléphones).  Pfff..

Alors non seulement ces nouveaux compteurs électriques iront cafter à propos de notre vie privée auprès d'EDF et leur permettra de nous couper directement le courant (ou réduire la puissance aux "mauvais payeurs"), mais en prime ils sont reliés par CPL et GPRS et seront pilotés via une interface web ?
C'est un véritable appel au piratage, ça, non ?
Imaginez une faille de sécurité, et un pirate qui pourrait s'amuser à couper le courant à une maison ou un quartier entier ?  Mais non bien sûr, c'est impossible, les interfaces ça ne se fait jamais pirater. ಠ_ಠ
J'ai beau retourner ça dans tous les sens, c'est un désastre aussi bien du point de vue vie privée que sécurité.
Et le gouvernement est pressé de nous les fourguer. Super.

BOUH QUE C'EST LAID. On connaît déjà les fournisseurs d'accès qui priorisent certains flux réseau. Voici un FAI américain qui interfère dans la négociation SSL de SMTP (envoie de mail) entre un client et un serveur pour *DESACTIVER* le chiffrement.
Oui vous avez bien lu: Le FAI modifie les échanges entre client et serveur SMTP pour les empêcher de communiquer de manière chiffrée.
Les FAI vont-ils commencer à vous empêcher de chiffrer pour mieux faire du DPI et du trafic-shaping ? Avec des FAI aussi pourris, les fournisseurs de services VPN ont un bel avenir devant eux.