sebsauvage.net

Ce site n'est pas le site officiel.
C'est un blog automatisé qui réplique les articles automatiquement

Update

Updating database... Please wait.

Google Online Security Blog: Further improving digital certificate security

Sunday 8 December 2013 at 22:54

QUOI ?    PARDON ????
L'ANSSI (Agence nationale de la sécurité des systèmes d’information), vous savez cette GRANDE autorité nationale française qui est censée nous PROTÉGER a visiblement créé et diffusé des certificats d'autorité intermédiaires, permettant à d'autres de créer des certificats frauduleux pour plusieurs domaines appartenant à Google. Et des certificats frauduleux ont effectivement été observés par Google (dans un équipement commercial non nommé, et utilisé dans une entreprise non nommée.)

La réponse de l'ANSSI ? "oups c'était juste une erreur": http://www.ssi.gouv.fr/en/the-anssi/events/revocation-of-an-igc-a-branch-808.html

Alors ça peut:
 a) soit effectivement être une erreur.
 b) soit ne pas en être une, et cela n'est que la pointe de l'iceberg qui permet à différents "copains" du gouvernement français d'espionner SSL ou faire du MITM tranquillement (que ce soient des agences de renseignement ou des entreprises privées).

Que ce soit l'un ou l'autre, cela montre à quel point le modèle des autorités de certifications ne vaut absolument plus rien. Mozilla ferait aussi bien de supprimer les alertes quand Firefox reçoit un certificat non signé par une autorité.

EDIT: Le certificat racine de l'ANSSI n'est pas inclus dans Firefox. L'agence nationale a demandé son inclusion en mai 2012, mais ne l'a pas encore obtenue: http://www.mozilla.org/projects/security/certs/pending/#ANSSI%20%28Government%20of%20France%29

Ceci dit, vous avez quand même dans Firefox un certificat racine du gouvernement français:
   E = igca@sgdn.pm.gouv.fr
   CN = IGC/A
   OU = DCSSI
   O = PM/SGDN
   L = Paris
   ST = France
   C = FR

DCSSI n'est rien d'autre que l'ancien nom de l'ANSSI.
Vous le trouverez dans la liste des certificats d'autorité sous le petit nom de PM/SGDN > IGC/A.

SGDN = Secrétariat général de la défense nationale

EDIT: chez Reflets: http://reflets.info/mitm-de-google-par-l-anssi-la-theorie-du-doigt-qui-pointait-la-lune/
Reflets suggère que ces certificats auraient été utilisés en interne pour contrôler les flux de données et éviter des fuites, et que les utilisateurs auraient été prévenus. Je demande quand même à voir la tronche de leur charte informatique, car j'ai de gros doutes. Même en dehors de cela, je trouve la pratique limite.
Question intéressante levée par Reflets: Comment Google a-t-il vu ces certificats, vu qu'ils n'étaient déployés qu'en interne ?  Une fuite d'un employé, ou autre ?  On aura pas la réponse...
(Permalink)

Source: http://googleonlinesecurity.blogspot.fr/2013/12/further-improving-digital-certificate.html


Freaky optical illusion

Sunday 8 December 2013 at 22:51

Woao... notre cerveau n'est vraiment pas fiable.
Vous voyez ces deux blocs ? Celui du bas est plus clair ?
Maintenant placez votre doigt pour masquer la jointure entre les deux blocs. Et maintenant ?
(Permalink)

Source: http://kottke.org/13/12/freaky-optical-illusion


Le FBI peut activer la webcam en toute discrétion

Sunday 8 December 2013 at 22:45

Voilà voilà... je me doutais que c'était possible, j'en attendais juste la preuve: On peut activer les webcams sans allumer la diode.
Débranchez vos webcams quand vous ne vous en servez pas, ou - si elles sont intégrées - faites comme Stéphane Bortzmeyer: collez un post-it sur l'objectif :-)
(Permalink)

Source: http://www.numerama.com/magazine/27750-le-fbi-peut-activer-la-webcam-en-toute-discretion.html


À quoi servent concrétement les flux RSS - Marien Fressinaud

Sunday 8 December 2013 at 22:33

(Permalink)

Source: http://marienfressinaud.fr/index.php?article140/a-quoi-servent-concretement-les-flux-rss


Note : Atlas Solution - Le Hollandais Volant

Sunday 8 December 2013 at 22:30

Merci merci. Je pense qu'on devrait retrouver ça rapidement dans l'EasyList d'AdBlock d'ici peu.
Notez qu'ils utiliseront probablement d'autres noms de domaine pour distribuer la pub (comme le font beaucoup de régies).
(Permalink)

Source: http://lehollandaisvolant.net/?mode=links&id=20131208122040


memo-linux.com » SSLH: HTTPS et SSH sur le même port!

Sunday 8 December 2013 at 22:20

Je me garde ça sous le coude, ça peut servir  :-)
(via http://wolfox.be/links/?--ysqA)
(Permalink)

Source: http://memo-linux.com/sslh-https-et-ssh-sur-le-meme-port/


Hoaro - Shaarlis

Sunday 8 December 2013 at 22:18

Un autre shaarli-river (cf. http://links.hoa.ro/?6Y_alg)
(Permalink)

Source: http://river.hoa.ro/index.php


No Man's Sky - YouTube

Sunday 8 December 2013 at 21:53

Voici une vidéo de gameplay d'un jeu à venir. C'est un jeu d'exploration spatiale et tout est généré de manière procédurale.  Ça a l'air assez cool. à suivre...
(via http://indiestatik.com/2013/12/07/mans-sky/)
EDIT: Je vois qu'Alda est tombé aussi sur cette vidéo :-)   Le site officiel du jeu n'affiche pour le moment rien d'autre qu'une vidéo qui tourne en boucle: http://www.no-mans-sky.com/
(Permalink)

Source: http://www.youtube.com/watch?v=RRpDn5qPp3s


Spotify : bientôt de l'écoute gratuite sur mobile ?

Friday 6 December 2013 at 13:37

Bientôt de l'écoute gratuite sur mobile ?  Sérieusement ?
http://pleer.com/m : Y'a aucune application à installer.
Rendu sur mobiles:  http://sebsauvage.net/files/20131206_pleer_mobile_1.png et http://sebsauvage.net/files/20131206_pleer_mobile_2.png
(Faites pas gaffe au fait que c'est en Russe. C'est super simple: Entrez un artiste ou un nom de chanson, et vous avez les résultats. Vous pouvez écouter directement, ou bien télécharger.  Aucune application à installer: Prenez juste votre navigateur.)
(Permalink)

Source: http://www.clubic.com/telecharger/logiciel-musique-et-streaming/spotify/actualite-605492-spotify-ecoute-gratuite-mobile.html


Prié de retirer son article sur un maïs OGM, Séralini refuse. - Sciences et Avenir - Serendipity

Friday 6 December 2013 at 13:24

En fait, la revue qui a retourné sa veste a changé de directeur de publication. Son nouveau directeur est un ancien de l'industrie chimique: Monsieur Hayes, A. Wallace (http://www.toxconsultants.com/consultant-a-wallace-hayes-41.html), qui était auparavant responsable mondiale des règlementations et directeur de la recherche et des tests pour le groupe Rohm & Haas (https://en.wikipedia.org/wiki/Rohm_and_Haas), une entreprise de chimie avec 17000 employés, répartis dans 27 pays.
Rohm & Hass qui appartient maintenant à Dow Chemical.
(Permalink)

Source: http://www.margaux-perrin.com/serendipity/?dUMsdg