L’ajout d’un filigrane sur vos documents est une bonne pratique mais certains organismes peuvent avoir besoin d’un document vierge (banques, services publics, etc.)

J'utilise un gitlab-runner docker avec https://framagit.org. S'ils se font trouer un jour, je ne veux pas que mon serveur se fasse trouer à son tour.

Un début de sécurisation : restreindre le runner sur certaines images avec allowed_images. "If not present all images are allowed".

Et bien sûr : privileged = false (présent par défaut lors de l'enregistrement du runner docker)

Exemple à suivre : https://securityheaders.com/?q=imirhil.fr&followRedirects=on

The HTTP Content-Security-Policy response header allows web site administrators to control resources the user agent is allowed to load for a given page. With a few exceptions, policies mostly involve specifying server origins and script endpoints. This helps guard against cross-site scripting attacks (XSS).

Un générateur de CSP : https://report-uri.com/home/generate

"""
In this article, we will review how Docker container achieves its security and isolation utilizing native container features of Linux such as namespaces, cgroups, capabilities, etc.
"""
Un peu de révision grâce à cet article dûment référencé.

Lire aussi "Docker: Differences between Container and Full VM" http://xmlandmore.blogspot.fr/2015/11/docker-difference-between-container-and.html

PS: ne pas se fier au titre du blog :)

Voilà votre compte est protégé *

• En fait non il ne l'est pas plus qu'avant. Mais merci pour ton numéro de téléphone qui manquait dans notre base et qui constitue une donnée de grande valeur car il nous permet de mettre en relation des données avec d'autres "du monde réel" qui sont rattachées à des numéros, ceci à des fins publicitaires. cf. https://jeekajoo.eu/links/?-s-wEQ

Dumbfucks. (http://gawker.com/5636765/facebook-ceo-admits-to-calling-users-dumb-fucks)

Matrice de compatibilité navigateur / protocole SSL TLS.
On peut voir que Android ne gère pas TLS 1.2 avant Kitkat.

Or iOS9 exige maintenant du TLS 1.2 uniquement (avec des ciphers permettant le Perfect Foward Secrecy)
"""
If you’re developing a new app, you should use HTTPS exclusively. If you have an existing app, you should use HTTPS as much as you can right now, and create a plan for migrating the rest of your app as soon as possible. In addition, your communication through higher-level APIs needs to be encrypted using TLS version 1.2 with forward secrecy. If you try to make a connection that doesn't follow this requirement, an error is thrown. If your app needs to make a request to an insecure domain, you have to specify this domain in your app's Info.plist file.
"""
source: https://developer.apple.com/library/prerelease/ios/releasenotes/General/WhatsNewIniOS/Articles/iOS9.html

Cela peut poser problème quand on fait une app multiplateforme (android/iOS) et qu'on veut assurer la rétrocompatibilité. Il existe cependant une solution de contournement, en attendant: http://ste.vn/2015/06/10/configuring-app-transport-security-ios-9-osx-10-11/

EDIT: et je précise car la doc officielle n'est pas claire
"""
iOS9 requires the server to only support TLSv1.2 and support perfect forward security.
"""
source: http://stackoverflow.com/questions/30778579/kcfstreamerrordomainssl-9802-when-connecting-to-a-server-by-ip-address-through

EDIT2: Je ne parle que de App Transport Security ici
"""
App Transport Security (ATS) lets an app add a declaration to its Info.plist file that specifies the domains with which it needs secure communication.
"""

EDIT3: Ce que j'ai dit plus haut est faux (TLS 1.2 only sur iOS9). Par contre il faut respecter les ciphers précisés ici: https://developer.apple.com/library/prerelease/ios/technotes/App-Transport-Security-Technote/ et surtout avoir une signature en SHA256.

"""
De toute façon, le modèle actuel dans lequel on essaie de conserver le maximum de données pendant le maximum de temps n’est pas tenable. Comme pour les accidents nucléaires, la question n’est pas de savoir si des accidents vont se produire, mais de savoir quand.
"""
via http://links.nekoblog.org/?3LfG-Q

"""
There’s much more written about SafetyNet [https://koz.io/inside-safetynet/] in this teardown blog post, but it certainly seems we can identify some areas Google want to clamp down on. Firstly, they don’t like root, Xposed, and anything modifying the system partition. Secondly, it seems Google is considering detecting users that have ad blocking enabled – the SSL handshake checks on pubads.g.doubleclick.net certainly suggest to me that Google want to know if you’re blocking ads on your device. Considering that root is usually a pre-requisite there, but that the VPN API could potentially be used to do this without root, it looks like Google at least want to have an idea who (or how many people) are blocking ads. Ad blocking is a topical issue given the push from Apple to support it in the web browser (arguably to encourage people to use apps more, where they control the experience and can offer non-blockable ads), and these moves are interesting.
"""
Google n'aime pas qu'on puisse modifier son système Android, notamment pour outrepasser l'affichage de la publicité (/system/etc/hosts).
Avec Marshmallow, l'entreprise durcit la sécurité avec l'aide de SElinux:

1) Obligation de passer par une boot image modifiée pour obtenir les droits root. Ce qui implique, pour flasher cette image, d'avoir un bootloader qui est déverrouillable. Ce n'est pas le cas de la plupart des ordiphones android qui sont vendus sur le marché.

2) Dm-verify (http://source.android.com/devices/tech/security/verifiedboot/) passe en mode 'enforcing' dans Android M.. Ce qui va rendre plus compliqué les modifications systèmes (partition /system), même si on dispose des droits root. Cela peut s'outrepasser avec une bootimage modifiée, mais ... voir 1).

Tout comme le blackphone, il n'y a aucun moyen de savoir s'il n'y a pas une backdoor car le code est proprio. Donc en tant que particulier, il faut faire une totale confiance à une entreprise. Pourtant on peut se dire que c'est exactement ce genre d'entreprise qui intéresse des gouvernements pour imposer la mise en place de portes dérobées.
Je pense que si on cherche de la sécurité on la gère soi-même avec des logiciels libres de bout-en-bout (cf replicant + tout ce qu'on peut trouver sur f-droid par exemple.), ce qui est loin d'être aisé avec des constructeurs de composants qui ne fournissent pas les sources des pilotes/firmwares, voire les spécifications pour les écrire.

Etes-vous concernés?
Moi non, je viens d'acheter un Kalkhoff.

Comme je l'explique dans cet article écrit vite-fait, si vous utilisez docker sur un serveur accessible du net qui possède déja son firewall basé sur iptables, je vous conseille fortement de désactiver les règles iptables automatiques de docker avec le switch --iptables=false.

"""
en fait le lockscreen android c'est comme xscreensaver
juste un machin qui se colle par dessus ta session
donc tu le kill et t'as gagné
"""
via collègue.

Alternative libre à SSLlabs (https://www.ssllabs.com/ssltest/) pour vérifier nos implémentations de TLS sur HTTP/SMTP/XMPP.

L'article qui en parle et qui permet, entre autre, de comprendre les fondamentaux:

• protocole SSL/TLS
• authentification
• chiffrement
• PFS

https://blog.imirhil.fr/cryptcheck-verifiez-vos-implementations-de-tls.html

"""
Here is a quick overview of some of the tools that have appeared in the show so far.
"""

Un beau projet qui propose des cookbooks chef, des modules puppets et des playbooks ansible pour automatiser le renforcement (hardening) de la sécurité système et de quelques logiciels tels ssh, postgresql, mysql, nginx et apache.

C'est tellement simple de copier un badge pour entrer dans les locaux d'une société.

Par exemple, pour les badges fait par HID (http://www.hidglobal.com/), il s'avère que par simple "skimming" d'un lecteur on peut récupérer la clé maître de chiffrement. Cette clé permet de lire, cloner et modifier des données sur les badges. Ref: http://krebsonsecurity.com/2014/08/how-secure-is-your-security-badge/

Une belle démonstration de clonage de badge est faite dans l'épisode S01E05 (4:10) de Mr Robot. Un soupçon d'observation, de social engineering et bim ils accèdent aux locaux de la société 'Steel Montain' qui est supposée être bien protégée. Bien sur c'est fictif mais fidèle à ce qu'il est possible de faire.

"""
Infosec isn't a real profession. Among the things missing is proper "risk analysis". Instead of quantifying risk, we treat it as an absolute. Risk is binary, either there is risk or there isn't. We respond to risk emotionally rather than rationally, claiming all risk needs to be removed. This is why nobody listens to us. Business leaders quantify and prioritize risk, but we don't, so our useless advice is ignored.
"""

VNC roulette (read-only)
cliquer pour switcher