Mikaël de Tech2Tech nous propose une vidéo sur les bonnes pratiques pour sécuriser votre NAS Synology.

Il revient sur le pare-feu intégré, mais aussi les ports, la complexité des » Lire la suite

L'excellent site cipherli.st est mort, son auteur ne le maintient plus et propose le code source sur github. Ce site permet de bien configurer son serveur web afin de délivrer du contenu sécurisé.

Mais pas d'inquiétude, un site a déjà pris le relai : safeciphers.org » Lire la suite

Micode a partagé une vidéo plutôt intéressante sur une problématique que j'ai déjà rencontré, à savoir l'interception du trafic HTTPS d'une  application Android.

Même si la sécurité n'est pas monstrueuse à contourner il existe encore pas mal d'applications, bancaire y compris, qui n'utilise pas » Lire la suite

Reparlons de Mifare. J'utilise l'application Android Mifare Classic Tool, aka MCT mais son format de dump n'est pas compatible avec nfc-mfclassic que l'on utilise avec un lecteur USB comme le ACR122U.

Je vous propose un script qui convertit un dump MCT hexadécimal en binaire (.mfd). » Lire la suite

Aujourd'hui je vous parle des tags NFC Mifare Classic 1K. Cela ne vous dit rien ? alors ce post est pour vous !

C'est la carte la plus répandue : carte de chambre d'hôtel, machine à café, badge personnel d'entreprise, ticket de transport, parking, immeuble... Elle est partout !

A force de parcourir les datasheets, forums et site web j'y vois beaucoup plus clair et je vous propose ici une découverte de ces tags sans-fil : Gen1 (UID), Gen2 (FUID) et Gen3 (CUID). » Lire la suite

Renaud Feil de SYNACKTIV (bravo pour le nom!) a présenté une conférence captée à l'OSSIR en Novembre 2017 sur Kraqozorus. C'est une machine composée de 8 GPU dont le rôle est de retrouver la correspondance entre une empreinte et son mot de passe dans le cadre de pentesting.

La vidéo est particulièrement accessible pour comprendre quelles sont les tendances des algos, empreintes, chiffrement, etc (slides). » Lire la suite

Vous vous êtes peut-être demandé pourquoi aucun billet n'a été publié sur Meltdown / Spectre ici même. 2 raisons : le sujet est complexe à appréhender car il touche au matériel et j'ai préféré attendre d'avoir suffisamment d'information pour vous les synthétiser ici.

J'ai diffusé toutes les informations au fil de l'eau sur twitter et sur le salon #securite_exploits sur discord.

MàJ 29/01/2018 : temporisez l'installation des patchs suite à des dysfonctionnements. Je mettrai à jour dès que nous avons du nouveau » Lire la suite

La sécurité des échanges HTTPS peut paraître assez complexe au premier abord, sans doute à cause de son lien étroit avec les mathématiques, mais pas que.

Du coup je vous propose de regarder 2 vidéos très bien réalisées et en français pour tout piger. » Lire la suite

Une très inquiétante nouvelle remue le web depuis quelques jours. Des vulnérabilités touchant WPA2 seraient en passe d'être dévoilées dans les jours à venir.

En sachant qu'aucune alternative au WPA2 n'existe, sinon le bon vieux câble ethernet... la nouvelle sera difficile à digérer.

Sont concernés : WPA et WPA2 ainsi que toutes les suites de chiffrement (WPA-TKIP, AES-CCMP, GCMP). » Lire la suite

Héberger tout ou partie de ses données à domicile : Raspberry Pi, Synology, YunoHost, NextCloud... c'est possible.

Mais qu'en est-il vraiment sur le plan sécuritaire ? Peut-on vraiment être sûr d'avoir sécuriser son réseau personnel alors même que l'on ne sait pas ce qui tourne dans tous nos IoT ? » Lire la suite