Jeanne à vélo a traduit deux textes sur le casque et le vélo tout à fait intéressants, l'un expliquant la situation aux Pays-Bas (où on fait la différence entre un cycliste et un coureur cycliste), l'autre expliquant pourquoi l'auteur porte un casque, même s'il n'est pas pour les lois l'obligeant.
JSON
contenant les ID des vulnérabilités vérifiées par pipenv
via safety
. Permet de retrouver, parfois, la bonne référence CVE
.
Une brève analyse sur le DoH (DNS over HTTPS) dans Firefox, avec l'envoi de toutes les requêtes DNS à Cloudflare. Dans les mises à jour du billet (à la fin), la nouvelle est un peu relativisée, mais surtout la configuration pour désactiver Trusted Recursive Resolver (TRR)* dans about:config
: network.trr.mode
à 5.
Une traduction en français qui déroule les arguments en faveur de TLS pour les sites web.
via Benjamin Sontag
Un texte édifiant sur un large set de données personnelles, consciencieusement établie par une boîte commerciale, dans le but de les vendre, et qui se balade sur le Web à la suite, vraisemblablement, d'une erreur de configuration de base de donnée.
Ça donne une idée de ce qui peut être construit avec des sources souvent publiques, et ce qu'on peut y faire, considérant la qualité des données et leur volume (un JSON de 52 Go).
via https://twitter.com/yo_bj/status/842141323041812480
Un billet de chez reflets.info qui explique très bien l'utilité et les dangers de cloudflare, notamment en terme de respect de la vie privée des internautes.
A large number of Twitter users are bots. They can send spam, manipulate public opinion, and contaminate the Twitter API stream that underline so many research works. One of the major challenges of research on Twitter bots is the lack of ground truth data. Here we report our discovery of the Star Wars botnet with more than 350k bots. We show these bots were generated and centrally controlled by a botmaster. These bots exhibit a number of unique features, which reveal profound limitations of existing bot detection methods. Our work has significant implications for cybersecurity, not only because the size of the botnet is larger than those analysed before, but also because it has been well hidden since its creation in 2013. We argue that more research is needed to fully understand the potential security risks that a large, hidden botnet can pose to the Twitter environment, and research in general.
via https://twitter.com/dbarthjones/status/824328441369600000
Des précisions sur la faille de sécurité de WhatsApp.
Ce qui ne signifie pas qu'il faille encourager cette application. Personnellement, j'ai tendance à encourager un protocole qui puisse s'utiliser avec différents clients, au hasard, XMPP.
Des serveurs pour vous faire un compte : jabber.calyxinstitute.org, accounts.conversations.im, im.apinc.org.
Une ROM AOSP pour améliorer la sécurité de l'utilisation d'un ordiphone. Apparemment disponible pour Nexus et Pixel.
via : http://www.toolinux.com/Un-smartphone-securise-pour-Tor
ps : je découvre avec étonnement que l'URL torproject.org est bloquée par le proxy|firewall du boulot...
Une petite histoire édifiante sur les pratiques de Cloudflare, capables d'obtenir des certificats pour les noms de domaine de leurs clients, sans le leur demander et sans avoir besoin de leur accord.
via https://herds.eu/notice/1998264
Page de wiki personnelle avec des exemples intéressants de scripts pour borg
Liste des scripts d'importation pour pass
voir : http://www.zx2c4.com/projects/password-store/ ( https://id-libre.org/shaarli/?04O8zg )
via toolinux
Mentionne le billet suivant : http://danstillman.com/2015/11/23/firefox-extension-scanning-is-security-theater
Dans lequel Dan Stillman explique comment la nouvelle politique de sécurité de Mozilla pour les extensions de Firefox, pourrait menacer l'avenir de Zotero sous la forme d'extension (!= Standalone).
Facilite la mise en place de fail2ban pour Wordpress
Un peu technique et en anglais, mais très utile et intéressant. Histoire de mieux utiliser sont ordiphone android sans les GAPPS.
via l'auteur du billet sur son shaarli.
Bien souvent, les modèles de communication sont tout aussi importants que leur contenu même. Par exemple, le simple fait qu'Alice téléphone chaque semaine à un terroriste connu est plus important que le détail de leurs conversations. Les Nazis ont utilisés des données d'analyse de trafic extraites de factures de téléphone françaises détaillées pour arrêter les amis de personnes déjà incarcérées.
SCHNEIER, Bruce, 2001. Secrets et mensonges: sécurité numérique dans un monde en réseau. Paris : Vuibert. ISBN 2711786846. p. 35
Une description complète de KeePassX.
Via le planet-libre
You are being watched. It has become a fact that private and state sponsored organizations are spying on us. privacytools.io is here to give you the knowledge and tools to defend yourself against global mass surveillance.
Corporations use surveillance to manipulate not only the news articles and advertisements we each see, but also the prices we’re offered. Governments use surveillance to discriminate, censor, chill free speech, and put people in danger worldwide. And both sides share this information with each other or, even worse, lose it to cybercriminals in huge data breaches.
Memes sur le modèle des Chuck Norris Facts, appliqués à Bruce Schneier.
source : https://fr.wikipedia.org/wiki/Bruce_Schneier
Le tuto GPG du Hollandais Volant, via @22decembre
Un tuto GPG sur CypherCat. Clair.
Petit tutoriel pour la rotation des logs via logrotate et une sécurisation du login de OwnCloud avec fail2ban
"Qu'est-ce que EthACK?
EthACK veut fournir des informations sur vos droits numériques, comment les protéger, qui tente de les réduire etc.
Vous allez donc trouver des articles parlant, par exemple, de la gestion de la vie privée, des meilleurs moyen de protéger vos données sur vos appareils, des liens vers des ressources utiles, etc.
Aussi, nous voulons pointer les problèmes d'éthique dans notre gouvernement, que ce soit sur Internet ou dans "la vie réelle". Nos politiciens ne font plus leur travail, la plupart d'entre eux travaillant pour des companies privées au lieu de travailler pour le Peuple. Ce n'est pas ainsi que cela devrait être.
Les contenus ne vont pas faire de miracles : il vous faudra les lire et, surtout, les comprendre de manière à trouver votre chemin dans la jungle que nous avons actuellement avec le data mining en ligne."
Quel est le niveau de sécurité de ces applications de messaging ?
via CAFAI
Un poster bien clair permettant de mieux comprendre ce qui se passe lorsque l'on surfe.
via je ne sais plus où
Pour ajouter le certificat root de CAcert dans Firefox OS.
https://github.com/mcnesium/b2g-certificates
Guide d'utilisation, avec des bonnes pratiques, pour OpenPGP.
Via Genma
Ressources de l'EFF pour se défendre contre la surveillance globale, Étatique et privée.
Article ironique donnant des conseils aux bibliothèques pour mieux fuiter les données des utilisateurs. Pose de réelles questions légales et éthiques.
De la doc pour passer son site en https. Par Benjamin Sonntag et Skhaen.
Via http://shaarli.cafai.fr/?PA9WZA et http://genma.free.fr/shaarli/?YundwQ
Une base de donnée des vulnérabilité de Wordpress.
Via : http://b.xuv.be/?gy1vJA
Deux volumes numériques (html ou pdf) pour mieux comprendre le fonctionnement de l'informatique et apprendre à l'utiliser de manière plus sûre.
via : http://linuxfr.org/news/parution-du-second-tome-du-guide-d-autodefense-numerique
Liste de bonnes pratiques en matière de sécurité de ses propres données. Force est de constater qu'elles ne sont pas si souvent que cela mises en application...
via @jbfavre
Méthodes et conseils pour chercher dans les fichiers PHP de son serveur des traces d'attaques ou de compromission.
via https://fralef.me/links/?2TIgVQ via http://sebsauvage.net/links/?MRFJtQ
La traduction français du "Everything is broken" de Quinn Norton, qui cherche à montrer à quel point la sécurité informatique est en grande partie une illusion.
Un gestionnaire de mot de passe, pour environnement Unix-like.
via : https://links.belfalas.eu/?xDgUXQ
edit : après l'avoir mis en place depuis Keepass2, au moyen du script d'importation keepass2pass.py, je constate que ce logiciel est vraiment bien foutu ! L'application android est également de bonne facture, disponible sous f-droid.
Un article très intéressant de @bortzmeyer sur l'absence de méthodologie connue pour compter les attaques informatiques.
La méthode de Bortzmeyer pour se créer une clé PGP de bonne qualité.
Liste de fournisseurs de boîte e-mail respectueuses de la vie privée de ses usagers.
"We recommend NOT USING Gmail, Outlook, GMX, Yandex or Hushmail"
via CAFAI
Une analyse de la sécurité des gestionnaires de mot de passe sous forme d'extensions pour navigateur.
Lien vers le PDF : https://github.com/iSECPartners/publications/blob/master/whitepapers/password_managers.pdf?raw=true
via : http://shaarli.cafai.fr/?E_TQfg
Plugins indiqués par Sebsauvage pour faire face à des attaques sur le login d'un dokuwiki
via : http://sebsauvage.net/links/?M-vhfA
Un script et des informations pour aider à faire le pas de l'auto-hébergement.
Via : http://shaarli.cafai.fr/?kG3mzw
Un dessin montrant les limites du compte root pour assurer la sécurité d'un poste...
Site qui fait la promotion du chiffrement via PGP.
via : http://sebsauvage.net/links/?G1i6NA
Une visualisation intéressante des fuites de données de 30'000 enregistrements minimum. Avec des possibilités de tri par type d'acteurs et/ou par type de fuite.
Un service pour éviter de donner son numéro de tel pour se connecter à service web. Comme par exemple le wifi public de la ville de Genève.
Voir aussi : http://www.crowd42.info/une-astuce-pour-valider-votre-compte-sans-donner-votre-numero-de-telephone