Liste des liens
Résumé
Le 22 janvier 2019, Debian a publié un avis de sécurité indiquant que leur gestionnaire de paquets était vulnérable à une injection de code.
Par défaut, les mises à jour sont récupérées en HTTP. Toutefois des vérifications sont effectuées en local afin de vérifier l'intégrité des fichiers récupérés.
Un attaquant en position d'intercepteur actif (Man In The Middle) peut injecter un paquet malveillant qui sera considéré comme valide. Cette vulnérabilité n'est présente que dans le cadre de l'utilisation de redirections par APT.
Le logiciel APT s'exécute avec un niveau de privilège élevé, une attaque réussie garanti donc à l'attaquant une compromission totale du système.
Il s'agit donc d'une vulnérabilité sérieuse, d'autant plus qu'elle impacte directement le mécanisme de mise à jour. Il est nécessaire d'appliquer le correctif tout en minimisant les risques d'exploitation.
Contournement provisoire
Uniquement dans le cadre de cette mise à jour, Debian recommande de désactiver les redirections par les commandes suivantes :
apt -o Acquire::http::AllowRedirect=false update; apt -o Acquire::http::AllowRedirect=false upgradeToutefois, cela peut ne pas fonctionner lorsque l'on est placé derrière un proxy et que l'on cherche à atteindre le miroir security.debian.org.
Dans ce cas, il est possible d'utiliser la source suivante : http://security-cdn.debian.org/debian-security/
Si la mise à jour d'APT sans la désactivation des redirections est impossible, il est alors recommandé de télécharger manuellement le paquet. Il convient ensuite d'effectuer la vérification d'intégrité avant de l'installer.
SimpleSAMLphp is an award-winning application written in native PHP that deals with authentication. The project is led by UNINETT, has a large user base, a helpful user community and a large set of external contributors.
Utilisé par FileSender de Renater
Le dépôt Github : https://github.com/simplesamlphp
Une autre méthode que celle proposée par Timo.
Le site web accessible depuis l’adresse « http://localhost » correspond à la boucle local : si votre ordinateur est accessible sur le port 80 dans votre navigateur, alors le site qui s’affiche correspond à votre ordinateur.
Ceci est vrai pour chaque internaute : par conséquent, obtenir un certificat SSL/TLS pour localhost est impossible (vu que le certificat sert justement à identifier un site unique).
Généralement, on utilise localhost pour avoir un serveur sur son propre ordinateur, pour pouvoir coder en local, par exemple. Aussi, il est parfois nécessaire d’avoir du https en local (surtout maintenant que les navigateurs considèrent tous les sites sans https comme dangereux).
Pour ça : mkcert.
Ce petit programme très simple va créer un certificat, non pas auto-signé (ce que les navigateurs n’aiment pas), mais signé par votre certificat personnel ! Par conséquent, les navigateurs le verront toujours comme valide !
Pour activer tout ça sous Apache, sous Linux Mint, on va :
- télécharger et installer
mkcert - produire un certificat
- activer le https dans apache (le serveur web)
- l’activer pour localhost
Télécharger mkcert
Ça se passe ici. Perso je prends le fichier binaire directement (ici) : je prends le mkcert-v1.2.0-linux-amd64 et je l’enregistre sous le nom « mkcert » dans le dossier « ~/.mkcert ».
En ligne de commande ça donne (on crée le dossier, on récupère le fichier, on le marque comme exécutable) :
mkdir ~/.mkcert && cd ./.mkcert
wget -O mkcert h ttps://github.com/FiloSottile/mkcert/releases/download/v1.2.0/mkcert-v1.2.0-linux-amd64
chmod +x mkcertMkcert a aussi besoin de certutils, un outil tiers, qui (sous Linux Mint) se trouve dans les dépôts :
sudo apt install libnss3-toolsProduire un certificat
Là, c’est tout con, on va produire un certificat avec mkcert. Juste deux commandes.
On créer un certificat local, puis on l’applique à un certificat pour localhost :
./mkcert -install
./mkcert localhostSi vous rencontrez l'erreur `Enter Password or Pin for "NSS Certificate DB"`, c'est que votre navigateur possède un mot de passe principal (typiquement, Firefox qui demande un mot de passe principal pour sécuriser la base de données dans lesquels sont enregistrés tous les autres mots de passe qu'il enregistre).
Pour supprimer le message, il suffit donc de rentrer le mot de passe principal du navigateur.
Cela va créer deux fichiers, localhost.pem et localhost-key.pem.
Activer le HTTPS dans Apache
Ensuite, on active le site HTTPS (sur le port 443) dans Apache.
On active SSL :
sudo a2enmod sslOn configure le site dans le fichier de conf (remplacez xed par gedit sur Ubuntu) :
sudo xed /etc/apache2/sites-available/default-ssl.confTrouvez la ligne suivante :
DocumentRoot /var/www/htmlEt mettez-y la racine de votre site (perso c’est /var/www).
Allez ensuite sur la ligne où l’on désigne les certificats, puis remplacez les chemins vers les chemins des deux fichiers créés par mkcert (attention, mettez bien le chemin complet, sans le « ~/ », donc avec /home/$user ») :
SSLCertificateFile /etc/ssl/certs/ssl-cert/snakeoil.pem
SSLCertificateKeyFile /etc/ssl/certs/ssl-cert/snakeoil.key
SSLCertificateFile /home/timo/.mkcert/localhost.pem
SSLCertificateKeyFile /home/timo/.mkcert/localhost-key.pemEnregistrez le fichier et fermez Xed (ou gedit).
Activer le site
Il reste à activer le site dans Apache.
cd /etc/apache2/sites-available/
sudo a2ensite default-ssl.confPuis on relance le service Apache. Selon que vous utilisiez systemd ou pas, c’est l’un ou l’autre de ces deux commandes (prenez la première qui fonctionne) :
sudo systemctl restart apache2sudo service apache2 restartSi tout s’est bien passé, votre site est désormais actif sur le port 443, en HTTPS, et avec un certificat détecté comme valide (en vert et sans erreurs) : localhost:443 :
Voilà voilà !
Sources de l’info
Faites ce que je dis, ne faites pas ce que je fais (ou mes copains font, ou ceux qui me filent un paquet de blé font)
Le Fax comme talon d'Achille d'un réseau...
La vie privée sur l'Internet fait aujourd'hui l'objet d'innombrables attaques et l'une des techniques de défense les plus efficaces contre ces attaques est le chiffrement des données. Il protège également contre une autre menace, la modification des données en transit, comme le font certaines FAI (par exemple Orange Tunisie). Il y a de nombreuses campagnes de sensibilisation pour promouvoir le chiffrement (voir par exemple le RFC 7258), avec des bons résultats. Évidemment, ce chiffrement gène ceux qui voudraient espionner et modifier le trafic, et il fallait donc s'attendre à voir une réaction. Ce RFC est l'expression de cette réaction, du côté de certains opérateurs réseau, qui regrettent que le chiffrement empêche leurs mauvaises pratiques.
Les méthodes pour récupérer un mot de passe root
Guide to develop secure applications with Rust
Vive le logiciel libre ! Au moins, le code peut y être audité.
Si la police a accès à distance aux Tesla, ça veux dire qu'en tant que hacker, l'on doit aussi pouvoir y arriver.
Donc il est possible de :
- jouer à la voiture téléguidé grandeur nature
- voler / déplacer / accidenter des voitures à distance
- séquestrer des personnes
- tuer des personnes
- suivre le déplacement des Tesla dans le monde (bon pleins d'autres systèmes le permettent aussi)
- si la police en a après vois, n'espérez pas fuir à bord de votre Tesla
Perso, j'aime pas.
Moi non plus, j'aime pas. :(
Parce qu'en europe, les gouvernements ne peuvent pas, peut-être ?
Je rappelle juste que toutes les nouvelles voitures depuis pas mal de temps maintenant, sont toutes équipées d'un gps ou d'un moyen de se connecter aux téléphones portables. C'est pas pour nous rendre service...
La méthode EBIOS Risk Manager adopte une approche de management du risque numérique partant du plus haut niveau (grandes missions de l’objet étudié) pour atteindre progressivement les fonctions métier et techniques, par l’étude des scénarios de risque possibles.
La méthode de référence française EBIOS accompagne les organisations pour identifier et comprendre les risques numériques qui leurs sont propres. Elle permet de déterminer les mesures de sécurité adaptées à la menace et de mettre en place le cadre de suivi et d’amélioration continue à l’issue d’une analyse de risque partagée au plus haut niveau.
La méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) est un outil complet de gestion des risques SSI conforme au RGS et aux dernières normes ISO 27001, 27005 et 31000.
ce guide explique de manière pratique et concrète aux équipes d’entités publiques et privées comment conduire un développement numérique dans le cadre d’une équipe agile tout en considérant le volet sécurité
.