Posts taggués ‘confidentialité’



12
Juin

Nos amies les banques

Ahhh les banques, la plupart des geeks qui travaillent dans la sécurité informatique les fréquentent !

Ben oui forcément, elles ont des moyens et des gros besoins de sécurité pour protéger vos sous (enfin surtout les leurs, il ne faut pas se leurrer :)) !

Du coup avec tout ça on a tendance à croire que les SI des banques sont blindés à mort et totalement imprenables telles des citadelles de Vauban… sauf que bon en vrai…

Lire la suite…

9
Avr

Chartbeat: un outil bien pratique mais…

Pour ceux qui ne connaissent pas, Chartbeat est un outil de statistique très utilisé par #lesmédias pour obtenir des stats en temps réel sur leurs sites d’informations.

Découverte étonnante en ce lundi de Pacques, l’ami NKGL tweete un lien direct vers le Chartbeat du site Business Insider.

Lire la suite…

30
Nov

Contrôler les médias: simple comme un XSS !

L’actualité sécu est chargée en ce moment, mais j’ai surtout retenu deux informations: l’attaque menée contre Charlie Hebdo et un autre défaçage dont on a beaucoup moins parlé, celui du site ultra local Franc-Comtois de la Gazette de Besançon.

Troublantes ressemblances entre ces deux histoires, les 2 sites ayant été défacés suite à des sujets traitant de polémiques religieuses (bien que dans le cas de la Gazette le lien n’est aujourd’hui pas établi).

Suite à ces affaires on peut sérieusement se poser la question de savoir si les médias sont bien conscients de leurs besoins de sécurité ?

J’aurais bien une réponse qui tient en 3 lettres mais ce serait moins drôle, je vais donc ENCORE vous raconter une histoire ! D’ici à ce qu’on m’appelle Père Castor il n’y a qu’un pas.

Lire la suite…

22
Oct

Paquet Télécom / CNIL: une fausse bonne nouvelle ?

Bon, j’arrive un peu après la bataille… Le sujet a été déjà pas mal discuté sur la toile notamment chez Sid ou plus juridiquement sur le blog du cabinet ITEANU.

Petit résumé rapide pour les non initiés. Depuis le 24 Août dernier, le paquet Télécom impose aux opérateurs déclarés à l’ARCEP de remonter à la CNIL tout incident de sécurité ayant pu entraîner la fuite de données personnelles. La CNIL pouvant par la suite décider d’effectuer un signalement aux personnes concernées, donc bien souvent les clients de ces opérateurs.

Lire la suite…

11
Sep

Sécurité, journalisme et enquêtes numériques

J’ai la chance d’avoir un pied dans le monde des médias, monde tout à fait passionnant pour les gens accrocs à l’information comme moi.

Vous êtes sûrement entrain de vous demander pourquoi je vous raconte ça?

La réponse est simple: je pense que des échanges entre journalistes et pentesters peuvent donner des résultats intéressants.

Lire la suite…

10
Août

Google est ton ami… ou pas !

J’évoquais il y a peu la difficulté d’avoir un avis sur la réelle sécurité d’un service de stockage de données en ligne estampillé “sécurisé”.

Dans les commentaires de ce billet, @paulpkk rappelait que bien peu de personnes se souciaient réellement de savoir si leurs données étaient en lieu sûr.

La réalité est bien souvent encore pire, certains laissant carrément traîner toute leur vie sur Internet, si si je vous montre !

Lire la suite…

19
Juil

“C’est sécurisé, si si c’est marqué là !”

Après ce long silence voilà que j’affûte de nouveau mon clavier pour vous raconter une petite histoire qui j’espère vous amènera à avoir un regard critique sur la confidentialité de vos données.

Disclaimer: ce billet n’étonnera pas les acteurs du monde de la sécurité IT dont vous faites sans doutes partie, cela dit il s’adresse plutôt à tous les gens extérieurs à ce milieu.

Disclaimer bis: toute ressemblance avec un service de partage de fichiers existant serait évidemment purement fortuite.

Lorsque je lis le mot “sécurisé” sur la description d’un service en ligne payant, je repense toujours à ce magnifique documentaire de Striptease intitulé “Elle est nickel” (partie 1 et partie 2) dans lequel des magouilleurs belges tirent profit de la naïveté de leurs clients pour leur refourguer des voitures pourries mais bien polishées. Certains disent que je suis parano, moi je préfère parler de déformation professionnelle.

Mais revenons à nos moutons car je vous ai promis une histoire !

Lire la suite…

27
Nov

Chiffrez vos données avec TrueCrypt (partie 2)

Après une semaine assez mouvementée professionnellement parlant je peux enfin reprendre ma série de sujets sur TrueCrypt.

Aujourd’hui je vais tâcher de vous présenter une fonctionnalité qui servira aux plus paranos / surveillés / agents secrets d’entre vous: les conteneurs TrueCrypt cachés.

Les prérequis sont les suivants:

C’est parti…

Lire la suite…

21
Nov

Empêcher le “directory listing” sur Apache

Bon ça commence mal, je manque sérieusement de temps pour “bloguer” comme je le voudrais…

Ce soir ce sera donc un petit post rapide:  je vous propose de vous protéger contre le “directory listing” !

Le “directory listing” c’est le nom barbare pour cette chose là :

Ouais bon vu comme ça, ça ne parait pas bien dangereux, certes ! Mais ça devient intéressant dans 2 cas de figures:

  1. quand le propriétaire de l’espace de stockage y met des données personnelles
  2. quand google met son nez dedans…

Un exemple étant toujours beaucoup plus parlant voilà ce qu’on peut trouver en quelques clics sur google (intéressez vous au mot clé “intitle”):

Mais on peut également trouver tout un tas d’informations marrantes et/ou flippantes: cartes d’identité, factures, mots de passe, numéros de cartes bleues…

Bon c’est bien beau, mais comment on s’en protège ?  Rien de plus simple (pour un serveur Apache).

Créez un fichier “.htaccess” avec le contenu suivant:

Options -Indexes

et placez le à la racine de votre site (dans le dossier “www” sur un hébergement mutualisé OVH) !

Voilà c’est tout…

Et pour ceux qui trouvent que le message d’erreur “403 Forbidden” d’Apache est aussi intéressant qu’un magasin d’alimentation en Roumanie sous Ceauşescu, libre à vous de tuner le message d’erreur en rajoutant la ligne suivante dans le fichier “.htaccess”

ErrorDocument 403 <Chemin vers la page d'erreur>

Enjoy 🙂

20
Nov

Chiffrez vos données avec TrueCrypt (partie 1)

On vit une époque formidable… Le média Rue89 a été cambriolé pour la 2ème fois en 1 an et des journalistes travaillant sur l’affaire Woerth / Bettencourt se sont fait voler leurs ordinateurs personnels à 1 semaine d’interval…

Coïncidence ? Peut-être, mais le risque de fuite d’informations sensibles mérite que l’on s’en protège.

Que vous soyez journaliste, professionnel manipulant des données sensibles, ou tout simplement un particulier soucieux de la confidentialité de ses données personnelles ce tuto est fait pour vous.

Lire la suite…

Celadon theme by the Themes Boutique