La Billetterie

Un peu de tout saupoudré délicatement

Affichage des articles dans Sécurité

Un site qui permet de retrouver les mot de passe à partir des valeurs de Hash : http://xdecrypt.com/ On peut se demander quelle est la source quand on voit les mdp, c’est certainement pas des choses générées au hasard.

La com de GlobalSign sur l’incident : http://www.globalsign.com/company/press/090611-security-response.html http://techie-buzz.com/tech-news/globalsign-attack-certificate-authority-data-leak.html Twit de Comodo Hacker : http://twitter.com/#!/ichsunx2 h_plaisier Hugo Plaisier @ichsunx2 So you « only » hacked an isolated #GlobalSign webserver. Is this where you found the PK of globalsign.com? deck.ly/~UoiqB 9 Sep ich sun @ichsunx2 ich sun @h_plaisier Hmmm… @GlobalSign, have you ever checked your Japanese web server […]

De bons points chez Roc : http://robert.ocallahan.org/2011/06/permissions-for-web-applications_30.html?showComment=1309560501000#c1377259396140044328

Soft d’analyse et décompilation de code, et d’exécutables : http://code.google.com/p/smiasm/ http://sid.rstack.org/blog/index.php/496-miasm-out

Papier 2008 de Stephane Manuel qui laisse espérer une attaque en 2^51 : http://eprint.iacr.org/2008/469.pdf Repris ici par McDonald1,Hawkes,Pieprzyk pour une attaque plus concrète en 2^52 : http://www.ictlex.net/wp-content/iacrhash.pdf Mais annulé ensuite : http://eprint.iacr.org/2009/259 The cost evaluation for point 2 above was reported by Manuel in November 2008. We have recently discovered this evaluation to be incorrect […]

Les 25 failles les plus courantes du développement logiciel : http://www.h-online.com/security/news/item/Top-25-most-dangerous-mistakes-in-software-development-1270230.html Le 10 valeurs de PIN les plus couramment choisies par les utilisateurs représentent 15% du total : http://bigbrowser.blog.lemonde.fr/2011/06/14/espionnage-les-10-mots-de-passe-de-telephone-les-plus-courants/ La justice américaine estime qu’un login/mot de passe est un niveau de sécurité suffisant pour une banque. Et vos yeux pour pleurer s’ils sont détourné : […]

Un exemple de déclaration de cyber commercant qui résume tout le problème : « Sans 3DSecure : 0.26% de fraude à la CB -VS- Avec 3DSecure : moins 30% de CA –> choisis ton camp camarade ! #fuyez ! » Le dossier du journal du Net : http://www.journaldunet.com/ebusiness/commerce/bilan-3dsecure/transfert-de-responsabilite.shtml La complainte des commerçants : http://www.blog-ecommerce.com/comment-enlever-3d-secure Le problème de […]

Description de l’outils : http://secgroup.ext.dsi.unive.it/projects/security-apis/pkcs11-security/tookan/ L’essentiel du problème : Un clé privé qu’il est interdit d’extraire du boitier peut malgré tout être « wrappée » avec une autre clé secrète présente sur le boitier, pour être exportée sous une forme chiffrée qui permet seulement de la réimporter plus tard dans le boitier. Or les spécifications du PKCS#11 […]

L’UE publie la liste d’AC de confiance suivante. Les critères de sélection ne sautent pas aux yeux au premier abord : http://ec.europa.eu/information_society/policy/esignature/eu_legislation/trusted_lists/index_en.htm

http://www.scribd.com/doc/51143720/12/La-carte-bancaire-BO La sécurité des cartes à puce en question : un certain Anie Nomat – affirme que ces clefs, d’une longueur de 320 bits, sont utilisées par les cartes bancaires et seraient celles découvertes, il y a trois ans, par Serge Humpich. La carte bancaire française migre en renâclant vers le standard EMV Apparemment les […]

Windows Internal : PsExec dans la suite d’outils pstools Ps : la syntaxe user@domain marche. Cependant l’accès peut être réfusé avec access denied (c’est différent de utilisateur ou mot de passe incorrect, ce qui confirme que c’est un problème d’ACL !) Tutoriel : http://dailycupoftech.com/2007/07/16/get-command-prompt-on-remote-system/ Sinon rcmd dans le ressource kit de windows Ou rexec du […]

L’enrollement dans les dernières générations de Windows, son futur : http://channel9.msdn.com/posts/Certificate-Enrollment-Concepts-and-Protocols-2010

Proposition par Kaie Engert : http://kuix.de/mozilla/sslauth/ Bug bugzilla : https://bugzilla.mozilla.org/show_bug.cgi?id=396441 Et chrome (mais poussé de l’extérieur) http://code.google.com/p/chromium/issues/detail?id=29784 Voir le groupe webid du w3c : http://www.w3.org/2005/Incubator/webid/charter et comment devenir invited expert pour participer : http://www.w3.org/2004/08/invexp.html

Bug : https://bugzilla.mozilla.org/show_bug.cgi?id=360420 https://wiki.mozilla.org/CA:Comodo_Misissuance_Response#OCSP Summer project : https://wiki.mozilla.org/Community:SummerOfCode11#NSS_.28Network_Security_Services_library.29 Info sur l’OCSP stapling multiple : http://ammarhasayen.wordpress.com/2008/04/22/ocsp-stapling-and-tls-1-0-extensions/ Le draft : http://tools.ietf.org/html/draft-pettersen-tls-ext-multiple-ocsp-02 La RFC pour le stapling simple : http://tools.ietf.org/html/rfc6066#section-8 L’extension existante status request — SCVP La RFC suivante sur l’insertion d’autre chose qu’une CRL dans un CMS est intéressante (ocsp/scvp) http://tools.ietf.org/html/rfc5940 Les options pour améliorer la révocation […]

Dans un nouveau type de procédure le gouvernement américain reçoit le droit légalement : – de saisir les domaines qui contrôlent les botnets – donc de prendre le contrôle du botnet à la place du propriétaire initial – et d’utiliser le botnet pour envoyer un code de déchargement de celui-ci sur les machines infectées http://www.malwarecity.com/community/index.php?s=6dc32287c62c30d19251a20994f07e6d&app=blog&module=display&section=blog&blogid=23&showentry=6944

Une série de conseils à ce sujet : http://www.codeproject.com/KB/security/AntiReverseEngineering.aspx#BpHardware Au passage un article très intéressant sur les breakpoint hardware : http://www.codeproject.com/KB/debug/hardwarebreakpoint.aspx

https://developer.mozilla.org/devnews/index.php/2011/03/22/firefox-3-6-16-and-3-5-18-security-updates-now-available/ http://blog.mozilla.com/security/2011/03/22/firefox-blocking-fraudulent-certificates/ « This issue was reported to us by the Comodo Group » https://blog.torproject.org/blog/detecting-certificate-authority-compromises-and-web-browser-collusion

Chez Schenier lien vers Ars Technica : http://www.schneier.com/blog/archives/2011/02/

Microsoft fait disparaitre CardSpace : http://blogs.msdn.com/b/card/archive/2011/02/15/beyond-windows-cardspace.aspx au profit de U-Prove : https://connect.microsoft.com/site1188 Ca fait jaser http://www.craigburton.com/?p=3128 Kim Cameron […] proposed […] an Identity Metasystem—based on CardSpace—that has no peer. Thus the Identity Metasystem is the industry initiative to create open selector-based digital identity framework. […] The Pamela Project, XMLDAP, Higgins Project, the Bandit Project, and […]

Nelson : The mp_int bignum package API is so frozen as to have become something of a standard of its own. There are now at least 3 different implementations known to me that are all API compatible, differing only in the content of the (opaque) mp_int structure itself. Documentation : http://plan9.escet.urjc.es/magic/man2html/2/mp Routines that return an […]