"We used a JavaScript engine bug within Microsoft Edge to achieve the code execution inside the Edge sandbox, and we used a Windows 10 kernel bug to escape from it and fully compromise the guest machine," Qihoo 360 Executive Director Zheng Zheng wrote in an e-mail. "Then we exploited a hardware simulation bug within VMware to escape from the guest operating system to the host one. All started from and only by a controlled a website."
Sifflement admiratif.
Ah super, moi aussi j'ai droit à ma clé GPG "dupliquée"
Bon, c'est le moment de prendre une nitrokey et de faire les choses proprement.
Il y a quand même plein de trucs faux et irréalistes.
De manière générale je procède comme ça avec les trucs écrits par Aeris : Si il dit qu'un truc est bien, ça doit probablement est vrai. Si il dit qu'un truc est pourri du cul, troué, pas safe ou dangereux je facepalme un peu et puis je vais boire un thé.
En l'occurence :
-
« CAcert qui […] réclamait la rencontre physique de plusieurs personnes de la communauté pour pouvoir émettre son premier certificat » C'est faux : https://twitter.com/bortzmeyer/status/676658617848868864
-
« il ne sert à rien de rester dans la zone rouge de la crypto surtout quand l’usage d’une clef de 4096 bits n’est absolument pas une contrainte. » Les clés supérieures à 2048 manquent encore de support notamment sur les mobiles
-
À propos des clés de 2048b « Cette taille est dorénavant très insuffisante, et déconseillée officiellement par l’ANSSI » C'est mensonger. L'ANSSI recommande une taille supérieure à 2048 si la clé est prévue pour durer jusqu'en 2030. (C'est en page 17 du PDF vers lequel il met un lien sachant pertinemment que peu de gens le liront) Une clé RSA de 2048b est LARGEMENT suffisante pour des certificats valides 90 jours.
-
« Arrêt de production ou HTTPS only non supporté » Là encore c'est trompeur puisque d'un côté on dispose de mode permettant à la prod de continuer de tourner et de l'autre il blâme une limitation d'un client non-officiel dont le patch est « trivial »
-
« Non prise en compte de DANE/TLSA » Ici il est juste de pure mauvaise fois puisque cette techno a pour motivation principale de rendre obsolète l'existence des autorités de certification en permettant de publier la clé publique d'un certificat dans la zone DNS, le certificat étant du coup considéré valide même si il est autosigné.
Donc comme d'habitude, il jette le bébé avec l'eau du bain en ne regardant la sécurité que depuis sa lorgnette en fantasmant un écosystème parfait où il n'existe qu'une seule version de chaque navigateur (la dernière) et où le monde suit exactement les mêmes pratiques que lui.
« La sûreté n’est nullement le droit d’être protégé par l’État contre les agressions des particuliers. Ce droit-là existe même dans les sociétés non démocratiques. La sûreté, c’est le droit de ne pas être inquiété par les agents publics pour des actes qui n’auraient pas été préalablement prohibés par la loi, c’est la certitude de ne pouvoir être jugé que conformément aux règles de procédures pénales en vigueur et de n’encourir que des peines prescrites par la loi. En un mot, la sûreté est une garantie des individus contre l’arbitraire du pouvoir et de ses agents. C’est la sécurité du droit. Elle est donc exactement le contraire de l’accroissement de la puissance de la police que réclament et obtiennent les dirigeants politiques de droite comme de gauche depuis plus de dix ans. »
Un gros billet sur le chiffrement des communications à l'aide de TLS.
Chiffrement, vie privée, non conservation des logs, sécurité, sha3, aes, rsa, ssl, financement participatif.
Ils sont jolis ces mots hein ? Vous savez ce qu'il manque ? Libre.
Et du coup la liste est plutôt celle ci :
Boite noire, gruyère, privateur, espionnage, pot de miel, arnaque, surveillance.
Pensez plutôt à Mailpile : https://www.mailpile.is/
Mise à jour majeure de TextSecure qui enterre Telegram. J'ai mis mon article à la page http://aldarone.fr/un-peu-dintimite-dans-votre-telephone/
C'est même dangereux puisque certaines régies ne surveillent pas les codes malveillants qui pourraient être envoyés aux internaute.
Et il y a PLEIN de ransomware qui passent.