Bon, vous le savez, le bug bounty c'est le truc le plus cool du monde. Bien sûr, je ne suis pas objectif, car j'ai créé avec mes associés Bounty Factory, mais en gros, ça permet pour les sociétés d'avoir un retour en continu sur des failles de sécurité découvertes afin de les corriger au plus vite, et aux chercheurs en sécurité d'exercer leur art et accessoirement de gagner de l'argent.

Et je peux vous le dire, les boites et les hunters adorent. On le voit avec Firebounty, l'agrégateur de bug bounty qui grossit de manière exponentielle.

Une preuve supplémentaire de l'engouement actuel pour le bug bounty, ce sont les chiffres que Twitter vient de sortir au sujet de son bug bounty. Démarré en 2014, ce programme de bug bounty a reçu 5 171 soumissions provenant de 1 662 chercheurs différents, qui ont mené à la correction d'un nombre non révélé de failles dont certaines très critiques.

Au total, Twitter a versé 322 420 $ de récompenses durant 2 ans, soit 835 $ versé en moyenne. La plus grosse récompense oneshot que Twitter a payée s'élevait à 12 040 $ et la plus petite n'était que de 140 $ (ce qui n’est pas si mal). Et parmi les chercheurs qui ont travaillé sur Twitter, l'un d'entre eu a cumulé à lui seul 54 000 $. Pas mal hein ?

Et ça, c'est juste sur Twitter. Certains hunters sont vraiment excellents et vivent de leur art en faisant uniquement du bug bounty. D'ailleurs un truc cool avec le programme de bug bounty de Twitter, c'est qu'il autorise la divulgation après que le bug ait été corrigé. Mais seuls 20% des chercheurs ont rendu publique leur découverte.

Je suis content que Twitter ait publié ses chiffres. Je sais qu'en Europe et plus particulièrement en France, il faut encore expliquer aux gens tous les bénéfices qu'ils peuvent retirer d'un programme de bug bounty, que ce soit en tant que hunter ou en tant que société. Il faut aussi rassurer et expliquer pourquoi ce n'est pas dangereux.

Mais j'ai eu l'occasion ces derniers mois de faire quelques présentations à ce sujet auprès de publics variés (décideurs, développeurs, hackers, étudiants...) et à chaque fois, après leur avoir apporté des réponses à toutes leurs questions, ils ont été convaincus de la chose.

Bref, l'avenir est au bug bounty et que ce soit dans une démarche proactive pour leur sécurité ou tout simplement pour leurs besoins de communication, toutes les entreprises y passeront. Aujourd'hui, une entreprise qui n'a pas de site web intrigue et n'inspire pas forcément confiance. Demain, ce seront les entreprises qui n'ont pas de programme de bug bounty qui vous fera cet effet-là. J'en suis convaincu.

source

Cet article merveilleux et sans aucun égal intitulé : Depuis 2014, Twitter a versé plus de 322 000 $ de récompense en bug bounty ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Avoir Tor c'est avoir raison, car ça permet de protéger son identité et sa vie privée en ligne (et de faire un jeu de mots facile). La bonne nouvelle du jour c'est que la nouvelle version de Tor Browser vient de sortir dans sa 6.0 stable.

Et attention, cette version apporte plein de nouveautés bien cool. Tout d'abord, on passe ENFIN sur une version de Firefox 45-ESR (un genre de long term support pour navigateur avec des corrections de faille en continu) ce qui va vous permettre de profiter des (presque) dernières nouveautés du navigateur de Mozilla. Vous allez enfin pouvoir regarder YouTube en HTML5 correctement.

Le support des certifs SHA-1 est supprimé, la version pour OSX est signée correctement et devrait fonctionner en parfaite harmonie avec votre Mac (et sa protection Gatekeeper) sans oublier de nombreux bugs (y compris de sécurité) qui ont été corrigés (la liste se trouve ici). Notez que certaines fonctionnalités ont été désactivées, car potentiellement à risque et pas encore corrigées par les développeurs de Tor Browser.

Bref, pensez à faire la mise à jour ou à l'installer si vous ne l'utilisez pas encore.

A télécharger ici

ps: Il y a quelque temps, mon site ne fonctionnait pas bien avec Tor mais depuis quelques mois, j'ai corrigé le souci.

Cet article merveilleux et sans aucun égal intitulé : TorBrowser passe en 6.0 ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Aujourd'hui c'est le 1er juin, et ça ne vous a pas échappé, il est maintenant interdit aux sociétés de vous démarcher par téléphone si vous êtes inscrit sur cette liste qui s'appelle Bloctel.

En gros c'est un service de liste rouge proposé par l'État qui vous permettra enfin de ne pas recevoir de coups de fil de démarcheurs à la con.

Le processus est un peu lourd, mais bon, on a vu pire pour un truc institutionnel.

J'ai tenté de le faire pour mon n° de téléphone portable, mais Bloctel me demandait beaucoup trop d'informations personnelles à mon goût. Mon nom, prénom, email... OK. Mais mon adresse postale et mon numéro de fixe étant aussi obligatoires, j'ai lâché l'affaire.

Remplir un fichier de plus, ça m'emmerde. Et comme je ne suis pas trop saoulé par les démarcheurs, ça va, je peux me passer de Bloctel.

Mais si vous vivez l'enfer, Bloctel est surement la solution à vos soucis. Bref, une bonne idée (surement perfectible) qui devrait vous changer la vie.

Pour vous inscrire c'est par ici.

Cet article merveilleux et sans aucun égal intitulé : Mettez fin au démarchage téléphonique ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Si vous aimez Keny Arkana, la rappeuse contestataire et indépendante, sachez qu'elle a mis son nouvel album "Etat d'urgence" en téléchargement avec prix libre sur son site. En gros, vous donnez ce que vous voulez et vous pourrez télécharger les 6 MP3 ou les FLAC en qualité CD.

Bonne idée non ?

Sachez qu'il est possible aussi d'écouter les morceaux en streaming histoire de vous faire un avis et les paroles sont aussi dispo.

A découvrir ici.

Source

Cet article merveilleux et sans aucun égal intitulé : Etat d’urgence de Keny Arkana en téléchargement à prix libre ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Le cloud, ça consiste à mettre sur l'ordinateur de quelqu'un d'autre, ses fichiers. Et évidemment, il s'agit souvent de choses importantes ou confidentielles. Alors pour ne pas tout balancer en clair sur ce genre de service, il est possible de tout chiffrer en amont.

C'est ce que propose l'outil Cryptomator, qui est open source et qui permet de chiffrer en AES tous les fichiers que vous voudrez mettre sur Dropbox, Google Drive ou autre. En gros, vous spécifiez le répertoire qui vous intéresse (votre répertoire Dropbox par exemple), vous mettez une bonne grosse phrase de passe et Cryptomator créer un disque virtuel chiffré sur votre cloud, qui sera monté (via webdav) sur votre ordinateur.

Vous pourrez y mettre tout ce que vous voulez, puis lorsque vous aurez fini, vous n'aurez qu'à démonter ce disque qui sera alors mis à jour, et envoyé chiffré sur le cloud. L'avantage de cette solution, c'est qu'elle est multi OS. Windows, Mac et Linux sont disponibles, mais aussi une version iOS (payante) et une version java (en attendant la release officielle Android).

Des outils similaires existes mais celui-ci a un gros avantage : Il sait gérer les conflits de version, ce qui lorsqu'on utilise plusieurs appareils, est un sérieux atout !

Pratique !

Cet article merveilleux et sans aucun égal intitulé : Cryptomator – Pour chiffrer votre cloud ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.