Have you ever been in a pentest where the defenders know their stuff and are actively looking to detect and sabotage all of your actions? If not I can say only one thing, it changes the way you approach, plan and execute a penetration test drastically.

De simples manipulations sur les sites de grandes banques (HSBC, BNP, Société Générale, etc.) indiquent que la sécurité, le chiffrement ou les échanges par exemple, sont largement perfectibles. La faute notamment à des navigateurs vieillissants et aux banques qui n’informent pas ou mal leurs clients.

Those of you who know what public-key cryptography is may have already heard of ECC, ECDH or ECDSA. The first is an acronym for Elliptic Curve Cryptography, the others are names for algorithms based on it.

Our study finds that the current real-world deployment of Diffie-Hellman is less secure than previously believed. This page explains how to properly deploy Diffie-Hellman on your server.

La génération d'une clé asymétrique GPG sous un système Unix / Gnu/Linux est particulièrement simple (une fois que l'on sait le faire ;-)), et c'est justement ce que nous allons voir ici. Si les détails vous intéressent, ou si vous avez besoin d'explications plus détaillées, vous pouvez aller voir sur gnupg.org (le site officiel), wikipedia.fr (qu'est ce que GPG), ou encore wikibooks.org (pour quelques détails). La commande man gpg est bien entendu toujours disponible en cas de besoin. via shkaen

Ceci est une version 0.1 d’un jeu d’initiation à Tor et GPG. Le concept sera amélioré avec le temps, les parties. L’idée étant de faire une sorte de carte qui ait des règles simples, différentes variantes. Je ferai peut être un pad collaboratif si le concept plait. Le tout est sous licence Creative Commons CC BY-SA.

For a while now, I’ve pointed out that cryptography is singularly ill-suited to solve the major network security problems of today: denial-of-service attacks, website defacement, theft of credit card numbers, identity theft, viruses and worms, DNS attacks, network penetration, and so on.

Voilà quelques temps que je vois des gens à aborder le sujet de l’interception du flux https en entreprise avec un point de vue qui me surprend.

Le dernier billet de la série sur GPG concerne la chaîne de confiance et pourquoi il n’est pas bon de changer de clé à longueur de temps. Suite à une grande discussion sur la signature de clés GPG avec Kaiyou, je lui ai proposé d’écrire un billet pour Sete’ici à ce sujet. C’était chose déjà faite. Il m’a permis de re-publier ce texte déjà paru chez lui.

Face à une migration plus ou moins forcée vers le Cloud Public, décision parfois prise au plus haut niveau, les équipes sécurité se retrouvent à devoir accompagner un changement qu’elles ne peuvent empêcher. Contraintes de devoir limiter les dégâts dans l’une des pires situations envisagées, l’envoi des données dans un Cloud « étranger », la cryptographie apparait comme l’un des meilleures options.

Face à la généralisation du HTTPS, qui se déploie maintenant sur des services grands publics tels que Youtube, de nombreuses entreprises déploient des scénarios de déchiffrement du trafic HTTPS afin de conserver une visibilité minimale sur ces flux de données. L’Anssi avait d’ailleurs publié en octobre 2014 un rapport technique sur cette question, mais la Cnil vient maintenant donner son propre son de cloche sur les légitimes interrogations juridiques liées à cette pratique.

Google a annoncé que les certificats de sécurité émis par l'autorité chinoise ne seraient plus considérés comme fiables par ses produits, en particulier Chrome. La décision qui ne sera que provisoire a été prise après la découverte d'une exploitation frauduleuse de la clé de chiffrement. Explications.

Il se fait passer pour Microsoft et dérobe un certificat SSL auprès de Comodo. Au cas où vous en douteriez encore, les Finlandais sont pleins d'humour. Dernier exemple en date avec cet informaticien finlandais qui s'est amusé, il y a 2 mois, à enregistrer une adresse hostmaster@live.fi sur le service de messagerie Live de Microsoft, pour faire une bonne blague. via korben

Après ma chronique habituelle dans l'émission Hallucinarium Éphémère d'hier, comme nous avions un trou de 15mn, Kinou m'a demandé d'intervenir pour présenter la Cryptoparty de Samedi prochain à l'Utopia Tournefeuille.

L'algorithme de signature Ed25519 ayant été mis en œuvre dans OpenSSH, ce nouveau RFC permet d'utiliser cet algorithme dans les enregistrements DNS SSHFP (SSH fingerprint). via @bortzmeyer

OpenSSL Cookbook

Émission france culture sur le chiffrement

Most IT people are somewhat familiar with Wireshark. It is a traffic analyzer, that helps you learn how networking works, diagnose problems and much more.

The Founder of Shodan John Matherly was revamping the SSH banner when discovered a large number of devices that share same SSH keys.

OpenSSL Cookbook is a free ebook built around two OpenSSL chapters from Bulletproof SSL and TLS, a larger work that teaches how to deploy secure servers and web applications.