Exemple à suivre : https://securityheaders.com/?q=imirhil.fr&followRedirects=on

The HTTP Content-Security-Policy response header allows web site administrators to control resources the user agent is allowed to load for a given page. With a few exceptions, policies mostly involve specifying server origins and script endpoints. This helps guard against cross-site scripting attacks (XSS).

Un générateur de CSP : https://report-uri.com/home/generate

L'article est bien écrit et bien documenté. C'est du gâteau !

Le son qui accompagne la présentation: https://confs.imirhil.fr/20170513_root66_securite-admin-sys.ogg

D'autres présentations: https://confs.imirhil.fr/

excuses = [
    "Testing is doubting.",
    "Do. Or do not. There is no try.",
]

via http://static.sstic.org/rumps2015/SSTIC_2015-06-04_P12_RUMPS_07_yolo.mp4

La sécurité informatique résumée en une image.

source: http://blog.devolutions.net/2014/02/sysadminotaur-30-vault.html ou bien http://sysadminotaur.com/ (vous y trouverez le rss)

bonus: https://webdevolutions.blob.core.windows.net/blog/2014/11/sysadminotaur-043-priority-repair.png

the last step of the validation process is where you can modify the email address and replace it with any regular email address (Highlighted in yellow) since it lacks a proper input validation.

Normalement on est limité à 3 emails (postmaster, hostmaster, webmaster) dont le domaine est celui à valider.
Il s'agit ici d'un hack tout con puisqu'il suffit de forger la requête http avec l'email de notre choix. Sauf que cela permet à n'importe qui de créer un certificat tls pour un domaine qu'on ne possède pas.

Ne jamais faire confiance aux données que les utilisateurs peuvent rentrer dans votre application: https://www.owasp.org/index.php/Don't_trust_user_input
C'est le b.a.-ba de la sécurité.

Une vidéo qui parle de la culture à adopter dans le monde de la sécurité informatique.

Chronique d'une infiltration qui part de l'exploitation d'une faille ruby sur une application de monitoring (sensu) accessible de l'extérieure, pour enfin arriver sur les clés maîtresses AWS qui gouvernent toute l'infra de Instagram.

PS: merci Korben pour ton blog

"""
bane - Custom AppArmor profile generator for docker containers
"""
Générateur de profil AppArmor pour contraindre les permissions, par exemple d'éxécution ou d'écriture, à l'intérieur des containers.

AppArmor agit au niveau de ce que l'on appele les "capabilities" [1] au niveau kernel donc. Comme le host et les containers partagent le même, le profil est chargé niveau host.
Il est automatiquement parsé (syntax check) et sauvegardé dans /etc/apparmor.d/containers/.

Démo (vidéo dégueulasse nécessitant flash) par l'auteure de cet outil, Jessie, qui est core dev chez Docker: https://www.periscope.tv/w/1djGXbgzbvRxZ
Le plus simple est de lire le README.md.

[1] http://linux.die.net/man/7/capabilities

Oui. Ca me gave aussi ces articles 'pièges à clics' / anxiogènes qui tentent de décridibiliser la cryptographie alors que c'est surtout son implémentation qui pêche (à cause de mauvais sysadmins/ ou d'un manque de moyens).

Tout comme le blackphone, il n'y a aucun moyen de savoir s'il n'y a pas une backdoor car le code est proprio. Donc en tant que particulier, il faut faire une totale confiance à une entreprise. Pourtant on peut se dire que c'est exactement ce genre d'entreprise qui intéresse des gouvernements pour imposer la mise en place de portes dérobées.
Je pense que si on cherche de la sécurité on la gère soi-même avec des logiciels libres de bout-en-bout (cf replicant + tout ce qu'on peut trouver sur f-droid par exemple.), ce qui est loin d'être aisé avec des constructeurs de composants qui ne fournissent pas les sources des pilotes/firmwares, voire les spécifications pour les écrire.

"""
Interested in learning what’s in your boarding pass barcode? Take a picture of the barcode with your phone, and upload it to this site [http://online-barcode-reader.inliteresearch.com/]
"""
Gné! Et le site en question il est sécurisé comment? Ne récupère-t-il pas les informations des codes barre en question?
Trust no one.

"""
Infosec isn't a real profession. Among the things missing is proper "risk analysis". Instead of quantifying risk, we treat it as an absolute. Risk is binary, either there is risk or there isn't. We respond to risk emotionally rather than rationally, claiming all risk needs to be removed. This is why nobody listens to us. Business leaders quantify and prioritize risk, but we don't, so our useless advice is ignored.
"""

L'auteur est poursuivi par ces couillons de chez Starbucks (http://www.bbc.com/news/technology-32844123)
Raison de plus pour ne pas aller chez eux.

via http://news0ft.blogspot.fr/2014/10/pitie_73.html

En marge de la vulnérabilité sur bash (et de la connerie d'utiliser du cgi en 2014 + avoir un user www-data dont le shell est capable de se logguer...), il y a celle de Xen.

Cette faille n'a pas encore été révélée publiquement. Il faudra attendre le 1er octobre pour qu'elle le soit. C'est pour laisser le temps à des acteurs comme amazon oracle citrix rackspace etc.. de patcher. voir pre-disclosure list complète: http://www.xenproject.org/security-policy.html

Il y a fort à parier qu'il s'agit là d'une très grosse faille que amazon ne souhaite pas laisser être exploitée. Ils ont donc pris la décision de patcher tous leurs hyperviseurs avant le 'disclosure'.

Les conséquences pour les clients, dont l'entreprise pour laquelle je bosse, sont désastreuses ; car il s'agit de redémarrer - sous 3 jours! - un nombre conséquents de serveurs. Même en redémarrant préventivement des vm, on est pas sur qu'elles arrivent sur un hyperviseur qui est patché ; et donc elles redémarreront suivant la maintenance qu'aura prévu Amazon (ce week-end pour ma boite)... Bref, grosse galère, surtout pour les serveurs dont les données sont sur des stockages éphémères..

Enfin pour ce qui est de la faculté pour amazon de faire de la migration live, je rejoins ce commentaire:
"""
I would be surprised if Amazon didn't have high availability and live migration in the background, allowing them to reboot individual hypervisor hosts. You would still be stuck in your pool, but then if a host dies/needs patching it doesn't affect the guest VMs.

My suspicion is that the patch requires updating paravirtualization drivers (xen tools), which run on the VM itself and thus might require a reboot to update.
"""