C'est à se demander pourquoi personne ne l'a fait avant... Une méthode imaginée en 2007 et baptisée threshold cryptography a été mise en œuvre par la société RSA grâce à un "soft/algo" développé pour l'occasion qui sortira bientôt de manière publique et qui va probablement augmenter la sécurité de nos comptes en ligne.

Le concept est simple... Vu que les hackers peuvent pirater les bases contenant les mots de passe, il suffit tout simplement de diviser ce mot de passe en 2, 3, 4...etc. morceaux, sur autant de serveurs que nécessaire. Ainsi, un hacker qui entre dans un serveur ne récupérera qu'une partie du mot de passe de l'utilisateur. Pour aller plus loin, il devra hacker l'ensemble des serveurs stockant ces fractions de mot de passe. Du boulot en plus !

• 1/ Avant que le mot de passe soit stocké en base, il est modifié grâce à un nombre généré aléatoirement. Ce nombre aléatoire est stocké sur un serveur (le rouge) et le mot de passe modifié est stocké sur un serveur différent (le bleu). Si un serveur est piraté, ce ne sera pas suffisant pour trouver le mot de passe.
• 2/ A intervalle régulier, un nouveau nombre aléatoire est généré et les 2 serveurs sont mis à jour avec cette valeur. Cela permet d'ajouter une couche supplémentaire de protection temporelle. Il faudrait que les 2 serveurs soient piratés en même temps pour que le mot de passe soit compromis.
• 3/ Ensuite, lorsqu'une application web a besoin de vérifier que le mot de passe entré est le bon, ce dernier est modifié avec le nombre aléatoire du moment, et les 2 parties (nb aléatoire et mot de passe avec nb aléatoire) sont envoyés respectivement au serveur rouge et bleu. Chaque serveur vérifie alors la validité des infos et les accepte ou pas.

Reste à voir maintenant au niveau du temps de latence, ce que ça peut donner.

Source

• Sécuriser un serveur SSH
• Un peu hacking végétal pour mieux respirer…
• Quelques outils pour mieux gérer vos créations sous Creative Commons

Mon ami JcFrog a mis en ligne une vidéo passionnante de la conf TED de Clay Shirky qui ouvre des perspectives sur l'utilisation d'un système comme Github pour la démocratie et la définition des lois.

Un truc de dingue !

Le monde open source a appris à traiter le flot d'idées nouvelles, parfois divergentes, qui utilisent des services comme GitHub -- alors pourquoi les gouvernements ne le font-ils pas ? Dans cette conférence exaltante, Clay Shirky montre comment les démocraties peuvent tirer une leçon d'internet, pour ne pas se contenter de transparence mais aussi pour tirer profit de la connaissance de tous leurs citoyens.

Merci Jérôme pour la découverte !

• Google veut un outil pour déterminer si un gouvernement ou un FAI censure Internet
• Le gouvernement Egyptien a coupé Internet
• Tous les français sont-ils espionnés par le gouvernement ?

dSploit est un outil qui devrait vous plaire si vous souhaitez pratiquer le pentesting sur Android. Il s'agit d'une boite à outils qui intègre différents modules comme RouterPwn, un scanner de ports, un scanner de vulns, un cracker de login, un forgeur de packets ou encore un module pour lancer des attaques Man In The Middle.

dSploit vous permettra de mapper un réseau, de déterminer la nature des machines qui le composent, de découvrir les services qui tournent et donc de pratiquer une recherche de vulnérabilités et autre...

Pour le moment, dSploit est en beta mais une stable devrait arriver prochainement. Pour le faire fonctionner, vous aurez besoin d'un appareil android rooté qui fonctionne au minimum sur une Gingerbread (> 2.3).

L'outil est libre et disponible sur GitHub.

Source

• 18 outils gratuits pour faire des maquettes d’interfaces graphiques
• Quelques outils pour mieux gérer vos créations sous Creative Commons
• ARE – Une machine virtuelle pour faire du reverse engineering d’applications Android

J'ai souvent râlé contre la CNIL qui ne servait pas à grand chose à part faire chier quelques webmasters parce qu'un internaute avait laissé connement son nom complet sur un forum. Mais depuis quelques temps, je suis heureux de constater que la CNIL l'ouvre enfin (tout est relatif bien sûr mais c'est toujours mieux qu'avant) et surtout très heureux de voir qu'ENFIN la CNIL s'adresse aux gens qui n'y connaissent rien en Internet et en sécurité pour leur prodiguer de bons conseils.

Sur sa chaine Youtube, cette dernière a donc publié depuis plusieurs mois, quelques vidéos tuto sur les virus, les achats en ligne, le phishing ou encore le bon choix des mots de passe. Bon, c'est pas Hollywood, le mec qui parle a une intonation qui donne envie de se suicider mais le message est bon, ça va dans le bon sens et ça c'est bien !

D'ailleurs, si vous me lisez à la CNIL, je serais vous, je me rapprocherais de mes amis de Nowatch qui pourront peut être vous aider à faire de meilleures productions audiovisuelles pour le web.

Allez, je vous en mets une pour que vous vous rendiez compte de ce que ça donne :

Source

• La CNIL est morte…
• La CNIL et ses drôles d’idées
• Des conseils pour l’achat d’une voiture

• XBMC dispo sur iPad, iPhone et Apple TV
• Apple dans une boucle infinie !
• Un iPad pour non-voyants ?