sécurité

Briar : messagerie Android décentralisée, chiffrée (E2E) et anonyme (P2P-Tor), voire plus si affinités

Hi everyone, After extensive private beta testing, I’m pleased to announce the first public beta release of Briar for Android. You can download it from Google Play: https://play.google.com/store/apps/details?id=org.briarproject.briar.beta If you prefer not to use Google Play, the manual has instructions for downloading the app from our website: https://briarproject.org/manual This release includes private messaging, forums, blogs and RSS import. We’d love … Lire la suite

Docker Bench for Security & Clair (CoreOS) : testez la sécurité de votre environnement Docker et de vos containers

Je ne suis pas un pro de Docker étant habitué à utiliser VM/CT et en ayant un stock pour divers usages. J’ai cependant une machine sous CoreOS qui fait tourner quelques Dockers et j’en teste un paquet chez moi sur mes NAS ou mon desktop Linux. Et je ne m’étais jamais posé la question de la sécurité de l’environnement jusqu’à un … Lire la suite

Android : connaître la version SSL utilisée par vos applications

OpenSSL est une boîte à outils open-source dédiée au chiffrement. Vous l’utilisez donc, de manière transparente, lors de votre surf mais également dans certaines applications pour smartphone qui se connectent sur un site Web/serveur. Et OpenSSL, comme tout ce qui relève de l’informatique et plus généralement ce qui est créé par l’Homme, peut contenir des failles diverses et variées. Ces … Lire la suite

Port Knocking : cacher son port SSH

On est d’accord que la meilleure sécurité, si on doit laisser un port SSH d’ouvert, n’est ni de le changer ni de le masquer mais tout simplement d’utiliser une clé. Car le changer ne fait que se prémunir contre pas mal de scripts/scanners qui par défaut ciblent le port 22. Le cacher, ce qu’on va voir ici, ne protège pas … Lire la suite

SpiderOak : cloud chiffré (côté client)

Il y a bien longtemps qu’en bon parano que j’ai laissé tomber les prestataires de Cloud et me suis monté les miens. Oui « les » car avoir un cloud/backup c’est bien mais au-delà de la sécurité d’accès aux fichiers il faut aussi penser à leur duplication. j’ai donc un serveur Online en RAID10 hébergeant OwnCloud et un NAS Synology RAID SHR … Lire la suite

XPrivacy : gérez finement les permissions de vos applications Android

J’en parlais brièvement au sujet de XMPP, alternative à Skype, FaceBook Messenger etc, mais je pense qu’un article dédié ne peut que servir cette application qui vous servira dans la gestion de vos données privées. Il vous faut un smartphone rooté bien entendu et XPosed qui est un framework sans risque permettant de faire tourner des applications (modules). Et vous … Lire la suite

UFW : gestion ultra-simplifiée d’IPtables

Comme on vient de le voir, utiliser IPtables sans trop se compliquer la vie est quasi impossible à moins de savoir bien l’utiliser, passer par des scripts qu’on ne maîtrise pas toujours ou via des solutions de génération de règles. Ou alors en lisant X pages sur Internet ou en demandant à des connaissances. Bref, j’ai la solution pour vous … Lire la suite

FirewallBuilder : créez vos règles IPtables de manière visuelle sous Linux, Windows, OSX

Si vous débutez sur Unix, ou pas, vous savez qu’Iptables est bien mais assez compliqué à mettre en œuvre pour qui ne s’y connaît que peu. Je vous recommande d’ailleurs de parcourir les liens du Wiki ArchLinux à ce sujet. Mais d’une manière plus simple vous pouvez tout aussi bien vous servir d’un logiciel graphique, par exemple sous Windows, afin … Lire la suite

Tor Messenger : un de plus, de trop ou futur incontournable ? Tour d’horizon rapide du marché + test

Depuis quelques jours une partie du Web est en effervescence : l’équipe du Tor-Project publie une BETA de son logiciel de communication du même nom : Tor Messenger. woooooaaaaaawwwwww !!!   Si le sérieux de leur travail n’est pas à remettre en question on peut cependant se demander où est l’intérêt d’un tel projet Certes leur publication du fameux TorBrowser, … Lire la suite

LOL du jour : le phishing par les sous-doués

Le phishing, c’est sale. Mais faut reconnaître que c’est parfois tellement mal fait que finalement ça détend, surtout à l’heure du café  :)   Je viens de recevoir 2 fois de suite un email sur l’adresse qui ne me sert que sur leboncoin. Évidemment je m’attendais aux arnaques inhérentes à ce site, aussi avais-je pris soin d’utiliser un email dédié. … Lire la suite

T411 et fichier HOSTS : la grosse blague

Depuis quelques temps le célèbre tracker BitTorrent/francophone/semi-public T411 est la cible de censure par décisions de justice en France. La censure consiste en un blocage du domaine sur les DNS des principaux FAI nationaux. Le DNS (Domain Name System) est le système qui permet la mise en relation entre l’URL d’un site et son IP. Sommairement, l’URL est son adresse … Lire la suite

Qualité des certificats SSL/TLS

Aeris, amateur de sécurité, a créé un petit script qui vérifie la qualité des certificats de sécurité des sites Web. Une liste non exhaustive est disponible ici. Mauvaise pub pour les banques et administrations…