Même si j'utilise exclusivement Firefox, je continue à regarder un peu ce que fait Google avec son Chrome et aujourd'hui, je vais vous parler d'une fonctionnalité expérimentale disponible dans Chrome 63 destinée à améliorer la sécurité de l'utilisateur lors de ses séances de surf.

Cela fait déjà un petit moment (environ 6 ans) que Chrome repose sur une architecture multiprocess, qui place en sandbox (donc en isolation), chaque onglet ouvert sur le navigateur. Cela permet d'empêcher d'éventuelles fuites de données, suite à l'ouverture d'un site malveillant.

Mais depuis hier, on peut trouver dans Chrome, une fonctionnalité baptisée Strict Site Isolation qui permet de pousser encore plus loin ce concept de Sandbox. En gros, si vous activez cette nouvelle option, chaque contenu ouvert dans une page web sera isolé par site. Pour que vous compreniez bien, avec le système classique, si vous ouvrez Korben.info, tout ce que la page appelle comme contenu (korben.info, youtube.com, scripts externes...etc) est isolé dans la même Sandbox sans tenir compte de sa provenance.

Avec l'isolation stricte de sites, si vous ouvrez Korben.info, tout ce que la page appelle comme contenu sera placé dans une sandbox séparée par site (Korben.info aura sa sandbox et Youtube.com aura sa sandbox...etc).

L'objectif est de renforcer la sécurité face à des exploitations malicieuses d'iframe ou de scripts externes. Mais pour le moment, cette fonctionnalité n'est pas encore activée par défaut, car elle bouffe pas mal de ressources. Si vous l'activez, la consommation mémoire de Chrome va augmenter de 10 à 20%. Google doit donc encore faire pas mal d'optimisation pour la proposer à tout le monde.

Si toutefois vous souhaitez l'activer, c'est possible.

• 1/ Entrez dans la barre d'adresse chrome://flags/#enable-site-per-process et faites Entrée.
• 2/ Vous devriez tomber sur la section "Strict site isolation". Appuyez sur le bouton "Enable" pour l'activer.
• 3/ Relancez le navigateur

Cet article merveilleux et sans aucun égal intitulé : Strict Site Isolation – Chrome monte d’un cran sa sécurité ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Si vous avez l'habitude de tester régulièrement le chiffrement TLS/SSL de sites web ou services en ligne (STARTTLS), voici un outil en ligne de commande qui vous fera gagner pas mal de temps.

TestSSL.sh est libre et open source et permet de tester les protocoles, les ciphers supportés, et remonte des infos sur la robustesse des PFS (Perfect Forward Secrecy) ainsi que certaines failles cryptographiques connues. Les tests sont effectués directement depuis votre machine (pas d'intermédiaire) et vous pouvez les dérouler en série ou en parallèle avec les paramètres qui vont bien.

Pour l'installer et l'utiliser sur le site de votre choix, rien de plus simple. Ouvrez un terminal et entrez la commande suivante :

git clone --depth 1 https://github.com/drwetter/testssl.sh.git

cd testssl.sh

./testssl.sh https://qwant.com

Notez qu'il y a pas mal de paramètres qui vous permettront de cibler uniquement les retours qui vous intéressent (par exemple les vulns) et de sortir du log au format CSV ou JSON.

Bref, de quoi avoir un bon aperçu de l'état de votre chiffrement TLS/SSL.

Source

>>> Hacking

Cet article merveilleux et sans aucun égal intitulé : TestSSL.sh – Un script en ligne de commande pour tester le chiffrement de vos sites web ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Les 2 frères derrière LazyClip m'ont envoyé leur nouvelle parodie du prochain Starwars The Last Jedi. C'est frais et amusant, et je pense que ça va vous plaire :)

Pour la petite histoire, il ont réalisé cette vidéo grâce à Blender 3D, Hitfilm Express, Photoshop et Cubase pour la musique.

Cet article merveilleux et sans aucun égal intitulé : Une petite parodie du prochain Star Wars ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Ça tire dans tous les sens au sujet du Bitcoin depuis quelques jours, mais c'est normal puisque la cryptomonnaie vient de dépasser les 11 000 boules, faisant rager tous ceux qui regardent le train passer, et offrant un faux sentiment d'invincibilité à ceux qui y sont grimpés.

On a par exemple le prix Nobel Joseph Stiglitz qui est monté au créneau contre le Bitcoin, souhaitant même qu'on l'interdise. Pour lui, cette monnaie virtuelle rencontre du succès, car elle est utilisée en majorité pour financer des transactions illégales, et selon lui cela ne durera pas, et la bulle éclatera.

De l'autre côté, on a John McAfee, qui semble s'être brossé les dents et qui déclare sur Twitter qu'il mangera sa bite (je cite, hein...) si le Bitcoin n'atteint pas 1 million de dollars d'ici à 2020.

When I predicted Bitcoin at $500,000 by the end of 2020, it used a model that predicted $5,000 at the end of 2017. BTC has accelerated much faster than my model assumptions. I now predict Bircoin at $1 million by the end of 2020. I will still eat my dick if wrong. pic.twitter.com/WVx3E71nyD

— John McAfee (@officialmcafee) November 29, 2017

<script async src="https://platform.twitter.com/widgets.js" charset="utf-8">

Alors évidemment, tout cela génère beaucoup de bruits et de conversations. Et je vais me permettre de rajouter ma modeste pierre à cet édifice de porridge, et vous donner mon avis sur tout cela.

Tout d'abord, pour répondre à Mr Stiglitz, oui le Bitcoin peut être utilisé pour des transactions illégales. Tout comme le dollar papier ou l'euro papier. Et même s’il est virtuel, le Bitcoin est selon moi, similaire à une monnaie physique puisqu'il peut être imprimé et échangé sans nécessiter l'approbation d'un organisme central.

Je le mets donc au même niveau que des pièces d'or ou des billets de 100 dollars/euros (si on oublie cette histoire évidemment), avec un petit bémol :  On peut suivre à la trace toutes les transactions Bitcoin. Il est donc parfaitement explicable que cette monnaie serve "aussi" à financer des choses illégales.

Ensuite, pour répondre à McAfee, je lui déconseille de manger sa bistouquette. On ne sait jamais quand ça peut servir ;-). Mais plus sérieusement, il me fait bien marrer avec ses prédictions magiques. Évidemment, le Bitcoin à 1 million de $, ça fait rêver et ça donne envie d'en acheter, mais avant il faut bien capter un petit truc (et c'est là que je la ramène avec mon sens de l'observation à toute épreuve ;-))).

Le Bitcoin, il y a, selon moi, 2 manières de l'envisager.

Premièrement, vous pouvez l'envisager comme une religion. C'est-à-dire que vous vous donnez corps et âme au Bitcoin, vous êtes à fond sur le concept de monnaie décentralisée, et comme John McAfee, vous croyez avec ferveur que cela réalisera un vieux rêve libertarien et qu'il vous rendra riche, sans chercher plus de preuve. Et je peux le comprendre, car jusqu'à présent, la montée en flèche du cours du Bitcoin donne sacrément raison aux croyants.

Ou comme pour toutes les religions, vous faites peut-être partie de ses détracteurs. Pour vous le Bitcoin est une bulle et elle va éclater et tout le monde va pleurer du sang. Vous avez peut-être raison aussi, mais dans ce cas, je ne comprends pas pourquoi cela vous énerve. Vous devriez au contraire être détendu et attendre le bon moment pour dire "Ahah, je vous l'avais bien dit".

La seconde manière, et c'est la mienne, c'est de l'envisager comme quelque chose qui s'observe avec un certain lâché prise. Oui le Bitcoin peut monter jusqu'à 500 000, 1 million ou 500 millions de dollars. C'est tout à fait probable. Mais c'est aussi probable que demain, il se casse la gueule pour retomber jusqu'à zéro. Tout est envisageable, tout est possible. Il faut accepter cette incertitude pour justement pouvoir jouer sereinement avec.

Et la vérité, celle que vous devriez toujours garder en tête, c'est que personne, je dis bien personne, ni McAfe, ni Stiglitz, ni CryptoMachinGourouTrader, ni Dieu lui-même ne peut le savoir. Cela fait partie des grands mystères de la vie. Personne ne peut savoir ce que va devenir le Bitcoin et surtout, puisque c'est de ça qu'il s'agit quand on regarde les médias, jusqu'où va monter ou baisser sa valeur. Je le constate depuis que j'ai mis le doigt dedans... Une bonne nouvelle peut faire baisser un cours. Une mauvaise nouvelle peut le faire monter. Ou alors il ne se passe rien. Sans oublier que régulièrement, ça monte ou ça baisse et personne n'a d'explication. C'est comme ça, il faut l'accepter.

C'est pourquoi, si vous souhaitez en acheter, je vous recommande de mettre de l'argent que vous devrez considérer comme perdu à tout jamais. C'est très difficile de ne pas attraper la fièvre quand le cours monte ou de ne pas paniquer quand cela baisse, et ceux qui tireront leur épingle du jeu seront ceux qui resteront détachés de tout cela tout en restant suffisamment prudents. Personne ne peut lire dans l'avenir et la seule vérité c'est celle du cours actuel et c'est ce cours qui fait la loi.  Au mieux, si vous vous mettez à l'analyse fondamentale et/ou technique du cours du Bitcoin, vous pourrez dégager quelques probabilités, mais cela restera des probabilités et tout peut arriver.

Donc soyez très prudents, n'écoutez personne, moquez vous des oiseaux de bonne ET de mauvaise augure, gardez bien en tête que tout peut arriver, le pire comme le meilleur et surtout apprenez et amusez-vous car c'est tout ce que vous pouvez être certain d'avoir au final.

Cet article merveilleux et sans aucun égal intitulé : Bitcoin – Jusqu’où ça va monter ? Quand est-ce que ça va baisser ? Le secret est dans cet article au titre aguicheur. ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Gaffe à vous si vous avez l'habitude d'utiliser TeamViewer pour prendre le contrôle à distance de machines. En effet, le développeur XPL0 a mis en ligne sur son Github, un proof of concept qui se présente sous la forme d'une DLL injectable capable de modifier en mémoire les permissions de TeamViewer.

Cela signifie que quelqu'un peut vous piéger alors que vous êtes en train de le dépanner ou de lui faire une démo, et prendre le contrôle de votre machine sans avoir les droits initiaux.

Démonstration :

J'ai pas creusé plus pour le moment mais j'attends avec impatience la réaction de TeamViewer. En attendant, soyez prudent avec cet outil.

Cet article merveilleux et sans aucun égal intitulé : Teamviewer – Attention à la modification non autorisée des permissions ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.