Thunderbird is the free and open source email client by Mozilla Foundation. I have been using it for some years now. Till now the Thunderbird users had to use an extension Enigmail to use GnuPG. Thunderbird 78 now uses a different implementation of OpenPGP called RNP.

Chez Mozilla, nous croyons que DNS via HTTPS (DoH) est une fonctionnalité que tout un chacun devrait utiliser pour accroître la protection de sa vie privée. En chiffrant les requêtes DNS, DoH masque vos données de navigation à ceux qui se trouvent sur le chemin réseau qui va de vous à votre serveur de noms (DNS).

Email is unsafe and cannot be made safe. The tools we have today to encrypt email are badly flawed. Even if those flaws were fixed, email would remain unsafe. Its problems cannot plausibly be mitigated. Avoid encrypted email.

Ce texte est la politique suivie par le résolveur DoH doh.bortzmeyer.fr et par le résolveur DoT dot.bortzmeyer.fr. Il explique ce qui est garanti (ou pas), ce qui est journalisé (ou pas), etc. (Vous pouvez également accéder à ce texte par l'URL https://doh.bortzmeyer.fr/policy .)

A simple shell script that executes automatically once a ssh user logs into a server with SSH. The script sends a telegram message to a user of your choice. It also has features to identify the user who has just logged in.

En complément de ma causerie à Pas Sage En Seine ce 28 juin (et dont les diapos sont ici, je vous conseille d'y jeter un œil avant de lire texte – ou bien lire les RFC 7858, 8310 et 8484 🙂), un billet donc pour parler de ce que je n'ai pas pu placer dans une conférence d'une heure : l'utilisation d'un résolveur DNS sur TLS (DoT) dans la pratique, principalement en tant que client mais aussi quelques billes pour administrer un résolveur complet.

There are several different standards covering selection of curves for use in elliptic-curve cryptography (ECC):

ANSI X9.62 (1999).
IEEE P1363 (2000).
SEC 2 (2000).
NIST FIPS 186-2 (2000).
ANSI X9.63 (2001).
Brainpool (2005).
NSA Suite B (2005).
ANSSI FRP256V1 (2011). 

Comme nous avons pu le voir dans la première partie de cet article consacré au HTTPS, la sécurisation de la communication dans le monde du web est primordiale. Cette seconde partie est donc logiquement dédiée à sa mise en pratique, pour montrer qu’il est très facile de déployer des certificats gratuits, valables 90 jours et délivrés par une autorité certifiée.

Dans ce billet, je voudrais évoquer le fait de rendre accessible une instance Nextcloud via un service caché (un hidden services) et accessible par Tor. Soit avoir une adresse en .onion qui conduirait sur une instance Nextcloud. Je ne détaillerai pas le pourquoi et les raisons de faire ça, il y a pas mal de textes qui explique ça sur Internet.

WireGuard is a fast and modern VPN protocol.

It is a point-to-point VPN, which means it does not have a client-server architecture, but peers, and does not rely on a PKI, unlike OpenVPN. It is super simple to setup to connect multiple machines together.

Le HTTPS est au centre de pratiquement toute notre utilisation régulière de l’internet mondial. Facebook, Google, Amazon, Twitter, le présent blog et sûrement votre site de cuisine préféré utilisent le HTTPS. Dans un écosystème où les mesures de sécurité les plus élémentaires sont parfois négligées, voyons ensemble comment et pourquoi mettre en place le HTTPS sur votre propre site web.

About a quarter of internet users use a virtual private network, a software setup that creates a secure, encrypted data connection between their own computer and another one elsewhere on the internet.

Le principe de Kerckhoffs a été énoncé par Auguste Kerckhoffs à la fin du XIXe siècle dans un article en deux parties « La cryptographie militaire » du Journal des sciences militaires (vol. IX, pp. 5–38, Janvier 1883, pp. 161–191, Février 1883). Ce principe exprime que la sécurité d'un cryptosystème ne doit reposer que sur le secret de la clef. Autrement dit, tous les autres paramètres doivent être supposés publiquement connus.

La surveillance de masse viole nos droits fondamentaux et fait planer un risque sur la liberté d'expression. Ce guide vous apprendra les bases d'une méthode d'autodéfense contre la surveillance : le chiffrement du courriel.

In this talk, I’ll present several attacks that leak the plaintext of OpenPGP or S/MIME encrypted emails to an attacker. Some of the attacks are technically interesting, i.e. the two different efail attacks, some are somewhat silly, yet effective. Some abuse HTML emails, some also work with plain ASCII emails. Furthermore, I’ll discuss our lessons learned and describe the efail-related changes to mail clients and the OpenPGP and S/MIME standards.

Whether you're a software developer or a sysadmin, I bet you're using SSH keys. Pushing your commits to Github or managing your Unix systems, it's best practice to do this over SSH with public key authentication rather than passwords. However, as time flies, many of you are using older keys and not aware of the need to generate fresh ones to protect your privates much better. In this post I'll demonstrate how to transition to an Ed25519 key smoothly, why you would want this and show some tips and tricks on the way there.

ProtonMail is an online email service that claims to offer end-to-end encryption such that "even [ProtonMail] cannot read and decrypt [user] emails." The service, based in Switzerland, offers email access via webmail and smartphone applications to over five million users as of November 2018. In this work, we provide the first independent analysis of ProtonMail's cryptographic architecture. We find that for the majority of ProtonMail users, no end-to-end encryption guarantees have ever been provided by the ProtonMail service and that the "Zero-Knowledge Password Proofs" are negated by the service itself. We also find and document weaknesses in ProtonMail's "Encrypt-to-Outside" feature. We justify our findings against well-defined security goals and conclude with recommendations.

You have probably heard “encryption” used in several contexts and with different words around it. Generally, encryption refers to the mathematical process of making a message unreadable except to a person who has the key to “decrypt” it into readable form. Encryption is the best existing technology we have to protect information from government,

We use our web browsers to communicate, shop, get directions, research, and ask questions we are too embarrassed to ask a person. It’s no wonder that “How do I protect my web browsing?” is one of the most common questions people ask when they start learning about digital security. The various methods for protecting your browser security can be confusing, and can work together in counterintuitive ways.

Assume the following scenario: your {Open,Free}BSD pf-enabled (yes, I know what’s missing and it’s a pity, I am well aware of it) gateway connects to an OpenVPN server. This server pushes a couple of routes to your gateway that you’d like to be able to reach from within your own private network.