Liste des liens
Recommandations pour sécuriser un AD.
Tout est dans le titre.
Très instructif.
Vous pensiez que l'informatique est sure ? Voici comment capter ce qui se passe à l'écran de votre ordi via les ondes radio qu'il génère.
Impressionnant : le chercheur utilise les vibrations (ultrasons) de l'alim du PC (en fonction de ce que fait le PC) pour s'emparer des données dudit PC, avec un autre périphérique (smartphone) qui décode ces ultrasons que l'alim génère...
Bref, rien ne peut être sécurisé avec ça...
Pas con. Un peu bourrin mais pas con.
Via Knah Tsaeb https://book.knah-tsaeb.org/?rhF7pg
Bref, on y trouve tout et n'importe quoi. Le problème ici est que les utilisateurs ne sont pas conscient du danger. Également, certains services ne devraient pas pouvoir être utilisés sur des raccourcisseurs d'URL, notamment les services de partage de fichiers car cela casse la sécurité de leur token, initialement assez robustes pour éviter d'être cassés par une attaque de type brute force. La seule leçon à retenir est donc la suivante : Si vous utilisez un raccourcisseur d'URL, considérez que le lien soumis est désormais totalement public, abstenez-vous donc dans certains cas.
Pour s'en prémunir, l'ANSSI estime qu'il faudra "dégager suffisamment de ressources, dans des budgets globalement insuffisants, pour atteindre un juste niveau de sécurité."
L'ironie de cette phrase fait froid dans le dos. Globalement, ça veut dire : "vous n'avez aucun moyen pour fonctionner normalement mais il va falloir que vous trouviez de quoi vous défendre quand même".
C'est un peu comme le sketch des inconnus :
- On a faim !
- Bein, mangez !
- Oui mais on n'y arrive pas !
- Bein, il faut vous forcer !
HTTP Strict Transport Security (HSTS) est un mécanisme de politique de sécurité proposé pour HTTP, permettant à un serveur web de déclarer à un agent utilisateur (comme un navigateur web), compatible, qu'il doit interagir avec lui en utilisant une connexion sécurisée (comme HTTPS). La politique est donc communiquée à l'agent utilisateur par le serveur via la réponse HTTP, dans le champ d'en-tête nommé « Strict-Transport-Security ». La politique spécifie une période de temps durant laquelle l'agent utilisateur doit accéder au serveur uniquement de façon sécurisée.
A typical Rapid Risk Analysis/Assessment (RRA) takes about 30 minutes. It is not a security review, a full threat-model, a vulnerability assessment, or an audit. These types of activities may however follow an RRA if deemed appropriate or necessary.
The main objective of the RRA is to understand the value and impact of a service to the reputation, finances, productivity of the project or business. It is based on the data processed, stored or simply accessible by services.
Note that the RRA does not focus on enumerating and analyzing security controls. The RRA process is intended for analyzing and assessing services, not processes or individual controls.
Un dépôt qu'il est bien d'aller faire un tour dedans...
Ah, passwords. Love ‘em or hate ‘em, they’re a necessary evil of the digital age. The reality is we all end up with an alphabet soup of passwords spread over dozens of various sites and services across the internet. Whilst we might not always practice it, we all know the theory of creating a good password; uniqueness, randomness and length. The more of each, the better.
A curated list of Web Security materials and resources.
Un gestionnaire de mots de passe puissant en bash, à base de clé GPG, disponible pour toutes les plateformes les plus communes.
Instructif (non, ce n'est pas le nom d'un salon de coiffure...)
En France, cela ne représente "que" 7 serveurs. C'est peu je trouve comparé au nombres de serveurs en activité.
Mais vu le nombre d'examens par cabinet, c'est sûr que ne serait-ce qu'un seul serveur suffit à exposer quantité de données.