A revised edition in which we dissect the new manner of secure and authenticated data exchange, the TLS 1.3 cryptographic protocol.

We have analyzed the hardware full-disk encryptionof several SSDs by reverse engineering their firmware. In theory,the security guarantees offered by hardware encryption aresimilar to or better than software implementations.

Un problème fréquemment rencontré avec OpenPGP est celui de la distribution des clefs publiques : comment Alice peut-elle transmettre sa clef publique à Bob, étape préalable indispensable à toute communication sécurisée ?

Depuis les premières versions de PGP, plusieurs méthodes ont été élaborées pour tenter de résoudre ce problème. Cet article les passe en revue.

OpenVPN 2.4.0 Security Assessment

Google has warned that all certificates issued by Chinese company WoSign and subsidiary StartCom will be distrusted with the release of Chrome 61.

Cryptocurrencies are fueling a modern day gold rush. Can data help us better understand this evolving market?

It is a rare law enforcement officer or intelligence agent who doesn't want access to more information. Yet total information awareness, to use a term from the George W. Bush administration era, has never been possible.

Le vice-président de la Commission européenne et ex-premier ministre estonien Andrus Ansip a plaidé pour un chiffrement fort et sans aucune porte dérobée. Une prise de position sans doute influencé par sa nationalité, son pays dépendant très fortement des nouvelles technologies de l'information et de la communication.

I've written quite a few blogs on how to get started with Let's Encrypt and covered both RSA and ECDSA certificates. In this blog I'm going to look at how we revoke them.

I’ve discovered 4 important security vulnerabilities in OpenVPN. Interestingly, these were not found by the two recently completed audits of OpenVPN code. Below you’ll find mostly technical information about the vulnerabilities and about how I found them, but also some commentary on why commissioning code audits isn’t always the best way to find vulnerabilities.

On vient de nous proposer d’écrire un court texte pour le Mobile Ecosystem Forum à propos de l’attaque Wannacry, ce virus qui chiffre votre disque dur et demande une rançon en échange. L’article vient d’être publié en anglais, mais nous nous sommes dit qu’une version un peu plus étoffée et en français pourrait intéresser la communauté Cozy Cloud.

Cette année, le chiffrement a pris une place importante dans l’actualité. Et cela va continuer avec la période électorale qui nous attend. Nous avons donc décidé de faire le point sur les concepts de la cryptologie, qui semblent parfois tenir du mystère pour les internautes comme pour nos élus.

I found on Twitter an interesting blog post on breaking (EC)DSA and was writing a lengthy comment when some weird combination of keystrokes shutdown my browser and ate my comment, so I thought I'd write a blog post instead.

Ce papier fait suite au précédent Chiffrer ses requêtes DNS avec DNScrypt et le complète en donnant une recette afin d'installer DNScrypt. Contrairement à ce que je déclarai dans ce papier, je suis revenu à une installation à la main, plutôt que de recourir à un script.

L’offre de certificats gratuits proposée par Let’s Encrypt est généralement vue comme une aubaine qui a permis aux administrateurs de site web de facilement adopter le chiffrement HTTPS sur leurs sites. Mais ces certificats sont également utilisés par des cybercriminels qui souhaitent légitimer leurs sites contrefaits.

Dans le cadre le cadre de votre travail ou chez vous, vous conservez des documents qui peuvent contenir des informations confidentielles qui ne devraient pas être accessibles à tous. Le chiffrement répond à cette problématique.

Nick Sullivan and I gave a talk about TLS 1.3 at 33c3, the latest Chaos Communication Congress. The congress, attended by more that 13,000 hackers in Hamburg, has been one of the hallmark events of the security community for more than 30 years.

Ces derniers temps, on voit passer des nouvelles pour des services de mail qui soignent la vie privée des utilisateurs. Je pense notamment à protonmail ou encore au retour de lavabit. Malgré le bien fondé et les excellentes intentions de ces services, je reste dubitatif (non, ce n'est pas un gros mot).

C’est assez malheureux, mais voilà, pour qui n’avait pas suivi l’actualité, le développement de TueCrypt s’était arrêté en 2014 dans des circonstances toujours douteuses aujourd’hui. Si dans certains cas l’utilisation de la version 7.1a est toujours sécurisée, l’idéal est d’envisager dès maintenant des alternatives fiables, et si possible au même niveau de portabilité.

Si vous avez une application avec un protocole ne supportant pas SSL, la solution est de l'encapsuler dans un tunnel SSL.
Bien entendu, il s'agit là d'un exemple, qui fonctionne chez-moi, n'hésitez pas à améliorer.