Connaissez-vous le HSTS ? Il s'agit d'une technologie qui permet d'améliorer la sécurité sur les connexions HTTPS  pour éviter les attaques Man In The Middle.

Le serveur web utilisant HSTS déclare aux navigateurs qui s'y connectent, qu'ils doivent passer obligatoirement en HTTPS pour discuter avec lui et remplacer automatiquement tous les liens http en liens https.

Cela permet d'empêcher certaines attaques MITM qui profiteraient d'un contenu mixte (http/https) pour intercepter certaines requêtes.

C'est très bien... Mais saviez-vous que cette sécurité peut servir à vous traquer ? En effet, lorsqu'une connexion sécurisée à un serveur web est effectuée avec HSTS, votre navigateur enregistre un petit marqueur qui permet de s'assurer que votre connexion sera toujours sécurisée (en https) même lors de vos visites futures sur ce site.

Malheureusement, le souci avec ce tracker est double puisque :

1/ Il est toujours présent même lorsque vous utilisez le navigateur en mode navigation privée

2/ Il ne s'efface pas... Enfin si... Sur les navigateurs d'ordinateurs (Chrome, Firefox...etc) on peut le virer en supprimant les cookies. Mais si vous avez un appareil Apple (sous Safari donc), tel un iPad ou un iPhone, il est impossible de l'effacer, même en supprimant les cookies.

Le plus beau là dedans, c'est que ce tracker HSTS est synchronisé sur votre compte iCloud. Cela veut dire que même si vous effacez tout votre téléphone, celui-ci sera à nouveau présent lorsque vous vous reconnecterez à votre compte iCloud pour une restauration.

Le chercheur en sécurité qui a découvert cette possibilité ne parle pas d'Android dans son analyse donc je ne peux pas vous dire si Chrome + un compte Google se comporte comme le combo Safari + iCloud.

Alors que faire ? Et bien si vous avez un iMachin, pas grand chose. Et si vous ne voulez pas être traqué sur votre PC, même en navigation privée,  voici une astuce qui vous permettra de passer à travers les mailles du filet : Utilisez Internet Explorer.

En effet, même si je trolle un peu, ce dernier ne supporte pas les specs HSTS... C'est ce qu'on appelle de la "Sécurité par manque de fonctionnalités" ;-)

Pour tester le coté collant de la chose, je vous invite à vous rendre sur cette page qui vous générera un code HSTS en javascript... Amusez-vous ensuite à passer en navigation privée, et vous verrez...

ps : Sinon, faut vider les cookies toutes les secondes. Et jeter son iPad/iPhone...

Cet article merveilleux et sans aucun égal intitulé : iPad / iPhone – Le tracker impossible à enlever ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Andrew Hoffman est développeur Ruby et durant ses vacances de Noël, il a commis une petite erreur qui a failli lui coûter plus de 2300 dollars.

Environ 5 minutes avoir mis son clone de Yelp sur Github pour en partager les sources, il a percuté qu'il avait oublié ses clés Amazon WebServices (AWS) dans son script. Il les a enlevé puis à remis une nouvelle version du script nettoyé sur le dépôt. Pas grave se dit-il, puisque il est le seul à connaitre l'existence de ce dépôt Github et que ses clés ne sont restées en ligne que quelques minutes.

Et il est parti se coucher.

Pas de chance pour lui, puisque presque immédiatement après la première publication de son code, un bot dont c'est la fonction, s'en est emparé et les a utilisé pour créer plus de 140 serveurs EC2 avec son compte Amazon AWS, afin de miner du Bitcoin.

Et c'est le lendemain, qu'il a découvert une facture de 2375 $ sur son compte Amazon. Après discussion avec l'entreprise américaine, ces derniers ont accepté de ne rien lui faire payer et sur son blog, où il explique sa mésaventure, il donne ces quelques conseils :

• Ne faites pas confiance à des choses comme .gitignore ou des gems comme Firago pour conserver vos données à l'abri des yeux indiscrets
• Si vous devez gérer un projet contenant des données sensibles, préférez un dépôt privé sur votre machine locale ou un serveur géré par vous uniquement (et sécurisé).
• Et si vos clés API se retrouvent par erreur sur le net, même pour quelques secondes, ne prenez aucun risque et révoquez les, puis générez en de nouvelles que vous garderez pour vous, cette fois.

Message reçu Andrew ! Je reste quand même bluffé par l'ingéniosité des développeurs de ce bot, qui utilisent la négligence de certains développeurs pour se faire du pognon. A mon avis, à moins que Github ne fasse quelque chose pour nettoyer ces clés AWS des codes publiés ou pour bloquer ce genre de bot, les gars ne sont pas près de s'arrêter.

Bref, gaffe à vos sources.

Source

Cet article merveilleux et sans aucun égal intitulé : Github – Une faute d’inattention qui coûte cher ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

CryptoData est une extension Firefox sans prétention qui permet de chiffrer en AES du texte avec une simple clé de votre choix.

Cette extension utilise l'implémentation AES CTR mise au point par Chris Veness et si vous êtes webmaster, en suivant ces recommandations, vous pourrez proposer des pages entièrement chiffrées (texte, images, JavaScript) que vos visiteurs pourront lire avec CryptoData.

Et si vous êtes un internaute, vous pouvez vous amuser à chiffrer/déchiffrer n'importe quel message de forum ou de commentaire pour peu que vous ayez échangé la clé avec votre correspondant.

De quoi bien s'amuser. Toutes les infos sur CryptoData sont ici.

Cet article merveilleux et sans aucun égal intitulé : Chiffrer entièrement un site web avec CryptoData ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

J'ai déterré mon vieux Chromebook pour jouer un peu et je voulais configurer une connexion OpenVPN dessus.

Évidemment, vous vous en doutez, ce n'est pas si simple car même si OpenVPN est présent sur le système, sans passer par la ligne de commande, c'est compliqué. J'ai bien trouvé un tuto mais faut générer des certificats depuis le serveur et les importer via la fenêtre de paramètres de ChromeOS.

Alors comment utiliser OpenVPN sous ChromeOS, de manière simple, grâce au fichier .ovpn récupéré via l'interface OpenVPN AS (dont je parle ici) ?

Et bien, il faut que votre Chromebook soit ne mode développeur. Ensuite, faites CTRL + ALT + T pour accéder à la console. Et tapez la commande :

shell

Une fois dans le shell, entrez la commande suivante pour créer une interface réseau virutelle. Cette commande n'est pas obligatoire, sauf si OpenVPN vous informe que l'interface virtuelle n'existe pas.

sudo openvpn --mktun --dev tun0

Une fois créée, il suffit alors de lancer OpenVPN sur cette interface réseau en appelant le fichier .ovpn de config qui va bien :

sudo openvpn --config ~/Downloads/client.ovpn --dev tun0

Et voilà... Reste plus qu'à tester avec un site comme whatismyip.com pour voir si votre adresse IP est bien celle de votre serveur VPN.

Fatoche non ?

Cet article merveilleux et sans aucun égal intitulé : Configurer OpenVPN sur un Chromebook ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Quand le logiciel de chiffrement TrueCrypt a disparu pour une raison qui reste encore mystérieuse (même si tout indique un gros coup de pression de la part des États-Unis), je me suis amusé à lister les alternatives libres et je vous ai parlé dans la foulée de VeraCrypt.

Mis au point par une boite française, ce logiciel dont les sources sont disponibles ici se positionne pour être un remplaçant sérieux à TrueCrypt. Le truc c'est que jusqu'à présent, VeraCrypt ne supportait pas les conteneurs TrueCrypt... Difficile dans ce cas, de migrer d'un outil à l'autre.

Mais depuis le 30 décembre dernier, cette limite a été levée avec l'apparition sur leur site de la version 1.0f qui gère le montage et la conversion de volumes TrueCrypt.

Hormis ceci, la vitesse des montage de conteneurs chiffrés a été améliorée et pas mal de petites fonctionnalités ont été ajoutées et de petits bugs corrigés (et pas l'inverse). Je vous invite vraiment à vous y intéresser.

VeraCrypt est disponible sous Windows, Mac et Linux.

Cet article merveilleux et sans aucun égal intitulé : VeraCrypt est maintenant compatible avec les conteneurs TrueCrypt ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.