Face à la généralisation du HTTPS, qui se déploie maintenant sur des services grands publics tels que Youtube, de nombreuses entreprises déploient des scénarios de déchiffrement du trafic HTTPS afin de conserver une visibilité minimale sur ces flux de données. L’Anssi avait d’ailleurs publié en octobre 2014 un rapport technique sur cette question, mais la Cnil vient maintenant donner son propre son de cloche sur les légitimes interrogations juridiques liées à cette pratique.

L'algorithme de signature russe GOST R 34.10-2001 ayant été spécifié en anglais dans le RFC 5832, plus rien ne s'opposait à son utilisation dans DNSSEC. Ce RFC marque donc l'arrivée d'un nouvel algorithme dans les enregistrements DNSSEC, algorithme portant le numéro 12. via @bortzmeyer

Le mécanisme de sécurité DNSSEC permet évidemment de choisir entre plusieurs algorithmes de signature cryptographique, à la fois pour pouvoir faire face aux progrès de la cryptanalyse et pour pouvoir choisir en fonction de critères particuliers (taille des clés, temps de signature et de vérification, etc). La palette de choix s'agrandit avec ce RFC qui normalise l'usage d'ECDSA, un algorithme à courbes elliptiques (le deuxième dans DNSSEC après le RFC 5933). via @bortzmeyer

Il se fait passer pour Microsoft et dérobe un certificat SSL auprès de Comodo. Au cas où vous en douteriez encore, les Finlandais sont pleins d'humour. Dernier exemple en date avec cet informaticien finlandais qui s'est amusé, il y a 2 mois, à enregistrer une adresse hostmaster@live.fi sur le service de messagerie Live de Microsoft, pour faire une bonne blague. via korben

L'algorithme de signature Ed25519 ayant été mis en œuvre dans OpenSSH, ce nouveau RFC permet d'utiliser cet algorithme dans les enregistrements DNS SSHFP (SSH fingerprint). via @bortzmeyer

OpenSSL Cookbook

Émission france culture sur le chiffrement

Most IT people are somewhat familiar with Wireshark. It is a traffic analyzer, that helps you learn how networking works, diagnose problems and much more.

The Founder of Shodan John Matherly was revamping the SSH banner when discovered a large number of devices that share same SSH keys.

OpenSSL Cookbook is a free ebook built around two OpenSSL chapters from Bulletproof SSL and TLS, a larger work that teaches how to deploy secure servers and web applications.

Cette note a été élaborée pour la Commission parlementaire de réflexion et de propositions sur le droit et les libertés à l'âge numérique de l'Assemblée nationale. Elle défend le besoin d'une reconnaissance forte du droit à l'anonymat de l'expression sur internet, inséparable du droit au secret des communications.

Darkredman a écrit un billet intitulé Tor, un projet (presque) inutile !. Il y a plusieurs choses intéressantes dans son billet, qui sous un titre un peu provocateur, apporte pas mal de notions et concepts qu’il faut approfondir et pour lesquels il faut aller plus loin. Ce sont sur ces différents points sur lesquels je voudrais apporter ma contribution.

Alors que les révélations de Snowden continuent de pleuvoir et qu’elles sont de moins en moins l’apanage des spécialistes, un « article » du D. Michael Wertheimer a été publié sur le net la semaine passée. via @manhack

ProtonMail est un service email qui est en pleine phase de financement participatif et qui s'est donné pour mission de protéger les correspondances privées avec du chiffrement de bout en bout. AES, RSA et OpenPGP sont de la partie et ProtonMail intégrera même une fonctionnalité d'auto-destruction sécurisée pour les emails envoyés. via @korben

Le directeur de l'ANSSI est revenu sur les débats autour du chiffrement sur Internet. À ses yeux, il est indispensable qu'un accès puisse être aménagé pour permettre aux autorités, lorsqu'elles ont le feu vert de la justice, de connaître la teneur de certaines conversations, même chiffrées. via @Numerama

Thomas Ptacek laid out a number of arguments against DNSSEC recently (and in a follow up). We don't fully agree on everything, but it did prompt me to write why, even if you assume DNSSEC, DANE (the standard for speaking about the intersection of TLS and DNSSEC) is not a foregone conclusion in web browsers.

Ces derniers jours, j’entends la presse généraliste nous parler des "darknet", ces réseaux dans le réseau Internet, qui permettent de communiquer plus ou moins anonymement sur Internet.

Tor, le premier de ces réseaux dans le réseau, est en fait un outil que j’utilise au quotidien, qui permet de surfer en utilisant une autre adresse IP que celle que vous donne votre FAI, et d’éviter par exemple que les sites ou services que vous utilisez sur Internet vous traquent contre votre gré.

Plusieurs personnes, côté LDN comme Neutrinet, utilisent déjà ce boîtier comme principal accès à Internet, depuis plusieurs semaines. Les applications Hotspot Wifi et Client VPN pour YunoHost sont fonctionnelles (mais encore à traduire en français).

Il ne reste plus qu’à finir d’intégrer le logiciel dnsmasq à la version stable de YunoHost (l’application Hotspot a été modifiée pour prendre en compte ce futur changement), et modifier YunoHost pour qu’il ajoute correctement les enregistrements AAAA au fichier DNS qu’il génère pour l’autohébergement. Les contributeurs de YunoHost sont sur le coup.

A en croire le document confidentiel qui a filtré sur le net ce weekend datant de 2012, il semblerait que la NSA ait travaillé sur une modification du processus SSHD du package OpenSSH pour permettre à « n’importe qui » de pouvoir prendre le contrôle root d’un serveur ayant ce fameux processus de lancé. Par n’importe qui, nous entendons ceux qui possèdent la bonne paire de clés d’authentification (pubkey). via @TiChou

Cryptocat is a fun, accessible app for having encrypted chat with your friends, right in your browser and mobile phone. Everything is encrypted before it leaves your computer. Even the Cryptocat network itself can't read your messages.