L’ANSSI, agence nationale de la sécurité des systèmes d’information, propose régulièrement des fiches, bonnes pratiques, rappels sur les usages et précautions à prendre dans l’informatique.
Au cas où vous n’avez toujours pas compris ce qu’est le RGPD, celle-ci diffuse un kit pour renforcer vos données personnelles, vous y trouverez également un listing des différents documents.
Le hacking légal existe, il est possible soit en s’entraînant par le biais de machines virtuelles mises à disposition pour cibler une particularité comme https://www.vulnhub.com/, ou des sites qui mettent en place des challenges comme https://www.root-me.org/, ou soit par des plateformes de recherche de failles dites bug bounty que des entreprises peuvent utiliser pour vérifier leur sécurité contre rémunération, la plus connue en France https://bountyfactory.io/.
Si la sécurité informatique vous intéresse, il est obligatoire de passer par là, vous vous amuserez à mieux comprendre comment cela fonctionne, et pas de risque de voir monsieur le gendarme sonner chez vous à 6h du matin.
Et impossible de parler sécurité sans faire un peu de pub pour la communauté ZenK-Security.
Les générateurs de mots de passe et outils complets ont le vent en poupe.
Cependant un chercheur s’est amusé à les comparer selon différents critères et nous a établi ce rapport. Il montre les différentes solutions, compare les licences, protocoles, tout ça réunit dans un beau tableau.
A noter également qu’il fait de la publicité pour son générateur de mot de passe, qu’il est toujours bon d’avoir sous la main pour complexifier les attaques par dictionnaire ou bruteforce.
Et on n’oublie pas, un mot de passe différent par site, il doit être unique pour éviter de tout perdre en même temps !
L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a profité des JO pour faire un rappel sur les bonnes pratiques informatiques.
Le passeport de conseils aux voyageurs vous présentera les principes de base, mais à appliquer pour vous prémunir de difficultés pendant un déplacement, et un rappel des bonnes pratiques pour bien comprendre par exemple que les mises à jour ne sont pas facultatives mais permettent de prévenir à certaines attaques.
Voilà, il n’y a pas d’âge pour se consacrer à la sécurité informatique.
Un enfant de 10 ans qui a trouvé une faille sur Instagram s’est vu remettre par Facebook la récompense prévue. J’ai toujours de la fascination pour ces jeunes enfants surdoués de la sécurité quand on sait quelle difficulté cela représente de trouver ce genre de faille.
En tombant sur l’article de Korben qui présente les services de Lavaboom (qui se veut l’héritier de Lavabit, un service de mail sécurisé, c’est-à-dire que toutes vos données sont chiffrées sur le serveur et donc seul vous y avez accès avec vos moyens d’authentification), j’ai poussé la curiosité à voir quels étaient justement les moyens d’authentification au nombre de 3 dans la version payante.
Le moyen supplémentaire dans la version payante (en plus de l’utilisation d’un mot de passe et d’un couple de clé privée/publique pour la version gratuite) est l’utilisation d’une clé matérielle USB YubiKey. Cette clé vous fournit un jeton OTP (one time password, mot de passe unique qui devient inutilisable après son utilisation) que vous fournissez lors de l’authentification. L’idée est plutôt sympa, pas forcément excessive, et nécessite donc l’usage d’une clé matérielle pour vous authentifier, au cas où une personne malveillante aurait récupéré votre mot de passe et votre clé privée.
Ce site met en place un exemple d’utilisation pour se connecter à sa machine Linux, technique que je vous invite à aller visiter pour bien comprendre le principe et son usage.
On peut d’ailleurs imaginer son utilisation en entreprise pour que les salariés se connectent au serveur, ou au réseau, je pense que les possibilités sont assez nombreuses et qu’il est possible de s’amuser avec.