Ce document rédigé par l’ANSSI présente les « Recommandations pour la sécurisation d’un commutateur de desserte ». Il est téléchargeable sur le site www.ssi.gouv.fr. Il constitue une production originale de l’ANSSI. Il est à ce titre placé sous le régime de la « Licence ouverte » publiée par la mission Etalab (www.etalab.gouv.fr). Il est par conséquent diffusable sans restriction.

En août dernier, Libération éventait une note de l’ANSSI où Guillaume Poupard dégommait sans nuance l’idée d’installer des backdoors (portes dérobées) dans les solutions de chiffrement. Le sujet est revenu sur la scène des Assises de Monaco.

Quand on pense aux GAFAM, on pense surtout à leur vilaine habi­tude d’as­pi­rer les données de leurs utili­sa­teurs (et des autres aussi d’ailleurs) mais on ne pense pas souvent à leur poids déme­suré dans le domaine du mail.

If you run a Secure Shell login service anywhere which is accessible from the Internet, I'm sure you've seen things like these in your authentication logs:
Sep 26 03:12:34 skapet sshd[25771]: Failed password for root from

I hate spam email. My inbox is a sacred place, and spammers shit all over it. I get in the zone when responding to emails, and it’s tough to jump from an email about our businesses pricing strategy, to reviewing the latest bug reports.

Il y a quelques années j’ai découvert Dropbox. C’est un service (génial !) d’hébergement et de partage de fichiers appuyé sur l’infrastructure d’Amazon. La société Dropbox a été créée en 2007 par Drew Houston et Arash Ferdowsi.

L'Eportfolio - YouTube

A Basic "Production" Ubuntu Server for Onion Sites

This article aims at guiding you through the installation of your personal server, at home. You decided to self-host your data: you want to run your own server at home, on a computer you control. That’s great! Let’s chose your equipment.

Après la publication de mon article 10 idées de projets high-tech pour votre Raspberry Pi j’ai pu constater que ça vous avait pas mal intéressé. Voici donc un deuxième article sur le même sujet mais avec de nouveaux projets ! Drone, miroir connecté, assistant intelligent, Android TV… Découvrez cette liste de 21 projets à faire avec un Raspberry Pi !

The encrypted Internet is about to become a whole lot snappier. When it comes to browsing, we’ve been driving around in a beat-up car from the 90s for a while. Little does anyone know, we’re all about to trade in our station wagons for a smoking new sports car.

L’Agence Nationale de la Sécurité des Systèmes d’Information publie pour la première fois son rapport d’activité annuelle. L’occasion sur l’agence de faire le point sur ses grands axes de batailles et ses actions mises en place au cours de l’année 2015.

Il est essentiel de surveiller l’état général de votre serveur, c’est-à-dire les processus, les programmes, les répertoires, les fichiers, etc… C’est ce qu’on appelle le monitoring système. Le but est d’indiquer à l’application ce qu’on souhaite surveiller et elle effectuera des contrôles réguliers, et lorsqu’une erreur sera rencontrée, une alerte sera envoyée.

"Les cahiers du débutant" est un manuel simplifié francophone pour l'installation et la prise en main d'un système Debian. Vous trouverez dans ces pages les réponses à vos premières questions sur le système Debian GNU/Linux, son histoire, son obtention, son installation, sa prise en main, sa configuration et son administration.

TrueCrack is a brute-force password cracker for TrueCrypt volume files. It works on Linux and it is optimized for Nvidia Cuda technology

Le ministre de l’intérieur, Bernard Cazeneuve, a récemment annoncé qu’il souhaitait limiter l’accès au chiffrement, dans le cadre de la lutte contre le terrorisme. J’étais ce matin, à 6h20 (ouch !), l’invité de France Inter, pour expliquer pourquoi c’était une ânerie sans nom. Pour la même raison, je co-signais une tribune dans Le Monde.

This mail archive is the complete (as far as I know) communication
between myself and the NetBSD core between December 15 (when they
removed all my NetBSD access) and the day OpenBSD was formed. It
actually goes a little further beyond that time, and includes mail
from a few other people involved in the negotiations.

We usually don't see much of the scammy spam and malware. But that one time we went looking for them, we found a campaign where our OpenBSD greylisting setup was 100% effective in stopping the miscreants' messages.

The latest debacle over the "forced" upgrade to Windows 10 and Apple's increasingly locked-in ecosystem has got me thinking. Do I really need to use a proprietary operating system to get work done? And while I'm at it, do I need to use commercial cloud services to store my data?

Riffle: An Efficient Communication System With Strong Anonymity

An alias is nothing but the shortcut to commands. The alias command allows the user to launch any command or group of commands (including options and filenames) by entering a single word.

There are many discussions on the Tor Mailing list and spread over many forums about combining Tor with a VPN, SSH and/or a proxy in different variations. X in this article stands for, "either a VPN, SSH or proxy". All different ways to combine Tor with X have different pros and cons.

La messagerie web est un outil basique, utilisé par tous pour échanger ou communiquer. On peut constater que ce service a peu évolué depuis sa démocratisation ces 20 dernières années : il s’agit toujours d’envoyer des messages d’un point A à un point B via un serveur. Ce serveur étant mis à disposition par un tiers (une entreprise, une association…) ou mis en place par vous même.

Le leader mondial des systèmes de vidéosurveillance des datacenters, racheté en 2007 par Schneider Electric, poids lourds du CAC 40, était doté d'une porte dérobée permettant au renseignement militaire américain d'espionner ses clients.

Sucuri researcher Daniel Cid found that it only took an attacker 12 minutes to compromise an IPv4 server and shortly after, use it to launch a DDoS attack on an unsuspecting victim while performing an experiment to see how long it would take to brute force compromise IPv4-only and IPv6-only servers.

En tant que développeurs, mathématiciens et autres, nous souhaitons que vous compreniez pourquoi on dit "chiffrer", mais pas "crypter". Partout, dans les médias classiques et sur Internet, les gens se trompent. Il est temps d'informer. D'ailleurs, merci Canal+ de parler de chaines cryptées, ça n'aide pas notre cause.

Boot Linux/OpenBSD/Oberon/FreeDOS/Others In Your Browser

D10D3 built this "cyberdeck" on a C64c (a modern recreation of the Commmodore 64) with a Raspberry Pi CPU, VGA port, and all the I/O you could ask for (USB/Bluetooth/wifi/Ethernet).

Quand je me connecte sur une machine en terminal, j'aime avoir un peu de couleur. C'est plus joli et ça permet aussi d'éviter de se tromper entre plusieurs fenêtres grâce à la personnalisation du prompt.

Près de 860 000 périphériques réseau de Cisco sont exposés à une vulnérabilité qui ressemble à celle qui a été exploitée par un groupe d'attaquants, peut-être proche de l'Agence de sécurité nationale (NSA) américaine. Cette faille pourrait permettre d'extraire des données des mémoires de ces équipements. Selon l'analyse effectuée par la Fondation Shadowserver, les Etats-Unis sont les plus touchés avec 259 249 systèmes vulnérables. La France en compte plus de 27 000.

I am on Red Hat Enterprise Linux server. Is there is an easy way to run script or command at boot time after fresh reboot command?

Les diagrammes de séquences sont très utiles pour représenter le déroulement d’événements au fil du temps. Ils sont par exemple très utilisés pour décrire des protocoles de communication, où les paquets d’information se croisent, se perdent, passent du temps dans les tuyaux.

Contrairement à Linux où Syslog est installé nativement via le démon rsyslog, Windows ne dispose que d’un journal des événements accessible au travers des commandes eventvwr.exe ou eventvwr.msc. J’ai aidé à la mise en place de Syslog sur Windows dès 2004 dans une grande assurance française ! A cette époque, nous utilisions la solution commerciale Kiwi Syslog Server pour centraliser les messages Syslog. Il n’y a aujourd’hui plus aucun intérêt à utiliser ce produit.

Aujourd’hui, un petit billet technique parce qu’il fait beau et que ce serait dommage de rester devant l’ordi trop longtemps. Le sujet : les mises à jour de sécurité automatiques sous les dérivés de Debian.

Une nouvelle étude confirme un constat devenu manifeste depuis 1 an : 75 % des entreprises dilapident leurs budgets sécurité, puisqu’elles s’avèrent incapables de déceler les agissements de pirates qui se camouflent derrière du trafic crypté !

J’utilise plusieurs connexions en même temps à différentes machines en même temps via ssh, parfois avec le même nom d’utilisateur et il est difficile de s’y retrouver.

In this post we’ll use GNU Radio’s Wi-Fi receiver, RFtap and Wireshark to detect Wi-Fi MAC spoofing by using the unique carrier offset frequency of each Wi-Fi packet.

I am a regular Linux system user. In Linux (especially CentOS), I am used to applying updates a few times a week using yum command, but how do I do that on my OpenBSD severer? How do I apply updates on OpenBSD operating system?

There’s been a fair amount of discussion around the recently introduced LUKS nuke patch we added to the cryptsetup package in Kali Linux. We wanted to take this opportunity to better explain this feature, as well as demonstrate some useful approaches which are worthwhile getting to know.

Dans cet article, les mentions « pirate », « spammeur » ou « attaquant » sont relatifs à la personne opérant l’attaque de phishing. Ce mail cible visiblement les utilisateurs de la banque « LCL » (dont je ne suis pas client), j’ignore par quel moyen son créateur s’est procuré mon mail, mail qu’il n’est sûrement pas le seul à le détenir, passons.

Aujourd’hui, on va voir comment installer Kexec et le script kexec-reboot sur son serveur. Kexec permet de rebooter son serveur Linux et d’appliquer un nouveau kernel à chaud.
C’est très intéressant sur un serveur dédié, car cela veut dire que vous ne redémarrez pas le serveur lui-même, mais seulement le système d’exploitation. Sur une machine virtuelle, le gain est peu perceptible et la technique ne marche pas forcément.
Ça réduit grandement votre temps d’indisponibilité.

Telegram est souvent présentée comme l’alpha et l’oméga du terrorisme de la messagerie cryptée. Nombreux sont ceux qui voient son utilisation par des djihadistes comme la conséquence logique des ses supposées qualités cryptographiques, de la personnalité libertarienne de son fondateur, Pavel Durov, ou encore de la nature insaisissable de son infrastructure juridique et technique.

This week, Privacy International, together with nine other international human rights NGOs, filed submissions with the European Court of Human Rights. Our case challenges the UK government’s bulk interception of internet traffic transiting fiber optic cables landing in the UK and its access to information similarly intercepted in bulk by the US government, which were revealed by the Snowden disclosures.

Dans cet article, nous allons voir comment configurer deux serveurs pfSense en mode cluster afin d'assurer un service en haute-disponibilité. Il est à noter que pfSense est l'une des rares solutions open-source offrant des techniques de haute-disponibilité permettant de garantir que le firewall ne puisse pas être un point individuel de défaillance (SPOF).

Dans le terme cryptologie résonnent intrigues policières et espionnage militaire. Coder, décoder, intercepter, autant d’expressions qui renvoient aux heures noires de la Guerre Froide. Et pourtant, cette science du secret est plus que jamais d’actualité! Transmettre des données confidentielle de façon sécurisée et efficace est devenu une nécessité incontournable de notre siècle.

Le bullshit pour empêcher la migration vers IPv6

The benefits of getting to grips with Vim are immense in terms of editing speed and maintaining your “flow” when you’re on a roll, whether writing code, poetry, or prose, but because the learning curve is so steep for a text editor, it’s very easy to retain habits from your time learning the editor that stick with you well into mastery.

En transposant de Windows 10 à Windows 7 et 8.1 son modèle de mises à jour forcées et cumulatives ne permettant plus de sélectionner de façon individuelle les patchs de sécurité à installer, Microsoft soulève de vives inquiétudes parmi les administrateurs.

Running Mac OS X El Capitan and macOS Sierra on QEMU/KVM

To play NetHack on this server, just telnet to alt.org (on normal port 23 or port 14321) or ssh to nethack@alt.org. Consider putty on Windows.

Onion, société conceptrice du Omega, vient de boucler une campagne de crowdfunding qui va lui permettre de lancer la version 2 de son pico-ordinateur. Objectif : démocratiser l’usage de ces kits de développement prisés par les applications IoT.

DNSSEC vs. Elastic Load Balancers: the Zone Apex Problem

L’éditeur de sécurité a dressé un état des lieux de l’underground de la cybercriminalité en France. Méfiance, bitcoins et forte orientation vers les falsifications des documents sont les maîtres mots.

So how do you find out how fast is your hard disk under Linux? Is it running at SATA I (150 MB/s) or SATA II (300 MB/s) speed without opening computer case or chassis?

C’est une véritable mine d’or que propose gratuitement Marc Levoy, professeur à l’université de Stanford : tous ses cours sur la photographie sont dorénavant en ligne sur son site.

SQL cheat sheet

In November 2015 SEC Consult released the results of our study on hardcoded cryptographic secrets in embedded systems. It's time to summarize what has happened since.

Trois mille ans avant notre ère, la sédentarisation, le développement des centres urbains et l’intensité des échanges poussèrent les Mésopotamiens à inventer les premiers signes d’écriture et les premiers algorithmes (additions et multiplications) pour inventorier et classer le monde. Aujourd’hui la connexion généralisée de la planète nous pousse à créer des intelligences artificielles et automatisées pour maîtriser notre environnement. Rien de nouveau sous le soleil !

Mickaël Salaün, chercheur à l’ANSSI, a présenté ses dernières recherches, menées avec Marion Daubignard, en matière de cloisonnement de sécurité d’un poste de travail à l’occasion de l’ACM Asia Conference on Computer and Communications Security (ou ASIACCS) organisé à Xi’an (Chine) en juin dernier.

Spawn your shell like it's 90s again!

The baseband firmware in your phone is the outermost layer of software, the "bare metal" code that has to be implicitly trusted by the phone's operating system and apps to work; a flaw in that firmware means that attackers can do scary things to your hone that the phone itself can't detect or defend against.