Aujourd'hui, avec MacWay, je vous propose un deal exclu au site.
Un code promo pour le SSD Samsung disque Série 850 EVO - 1 To

Equipé de la technologie V-NAND 3D, une techno basée sur une architecture 3D composée de 32 couches verticales de cellules pour doubler la capacité de ses disques durs.
Le Samsung 850 EVO va booster votre ordinateur avec une vitesse en lecture jusqu'à 540 Mo/s et un nombre d'opérations par seconde atteignant jusqu'à 94 000 en lecture.

Le SSD est actuellement au prix de 359€ TTC, en promotion à 299€ TTC pour la durée du deal.

La promo est activable avec le code;

A choper ici et sans modération (je précise pour les âmes sensibles que la dernière fois vous avez défoncé la promo avant 15h)

publicite par MacWay

Cet article merveilleux et sans aucun égal intitulé : Bon Plan: Samsung disque SSD Série 850 EVO – 1 To ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Vous connaissez sans doute le HTTP2 qui résout pas mal de soucis qu'avait le HTTP 1.1 sorti en 1999. Pour résumer, les requêtes en HTTP2 peuvent être envoyées en rafale durant la même connexion TCP (multiplexage) et les réponses peuvent être reçues dans le désordre, éliminant ce besoin de connexions multiples entre 1 client et le serveur. Le client (donc le navigateur) peut indiquer au serveur quelles sont les ressources qui sont le plus importantes pour lui, afin de les recevoir en priorité. Les entêtes HTTP sont compressées, et le serveur peut envoyer des ressources au client, même si celui-ci ne lui a rien demandé.

Bref, une bonne avancée depuis le HTTP qui permet d'accélérer vraiment le web. Voici donc un modeste article qui va vous expliquer comment l'activer sur votre serveur Apache.

Mais avant de commencer, vous devez garder en tête que tous les navigateurs ne supportent pas le HTTP2. Les navigateurs anciens accéderont toujours à votre site via HTTP 1.x.. HTTP2 requiert aussi un certificat SSL valide, car accessible uniquement via la couche TLS. Enfin, le multiplexage s'active site par site.

Je vais donc commencer par Apache et partir du principe que vous êtes comme d'habitude sous Ubuntu. Moi je suis en Ubuntu 16.04 et quand je tente d'activer le module Apache http2 avec la commande :

sudo a2enmod http2

J'obtiens ceci  comme message :

HTTP2 étant considéré encore comme quelque chose d'expérimental sous Ubuntu 16.04, il va falloir ajouter quelques dépôts Xenial dans votre sources.list :

sudo nano /etc/apt/sources.list

et ajoutez les lignes suivantes à la fin du fichier :

deb-src http://archive.ubuntu.com/ubuntu/ xenial main universe restricted multiverse

deb-src http://security.ubuntu.com/ubuntu xenial-security main universe restricted multiverse

deb-src http://archive.ubuntu.com/ubuntu/ xenial-updates main universe restricted multiverse

Faites ensuite un

sudo apt-get update

sudo apt-get upgrade

Ensuite, on va installer la lib http2 et télécharger les sources d'Apache et compiler tout ça :

sudo apt-get install libnghttp2-dev

mkdir apache2

cd apache2

sudo apt-get source apache2

sudo apt-get build-dep apache2

cd apache-2.4.18

sudo fakeroot debian/rules binary

Et une fois que le module est compilé, copiez-le au bon endroit

sudo cp ./debian/apache2-bin/usr/lib/apache2/modules/mod_http2.so /usr/lib/apache2/modules/

Ensuite il faut signifier à Apache l'existence de ce module. Pour cela, éditez le fichier :

sudo nano /etc/apache2/mods-available/http2.load

Et ajoutez-y la conf suivante :

LoadModule http2_module /usr/lib/apache2/modules/mod_http2.so

<IfModule http2_module>

LogLevel http2:info

</IfModule>

Et maintenant on peut activer le fameux module http2 :

sudo a2enmod http2

Maintenant, il faut ajouter le protocole http2 pour chaque virtualhost en SSL. Par exemple pour le virtual host par défaut en SSL, éditez le fichier :

sudo nano /etc/apache2/sites-enabled/default-ssl.conf

Et ajoutez-y la ligne

Protocols h2 http/1.1

Comme ceci :

A faire partout là où c'est nécessaire (sur les sites en SSL). Ou alors si vraiment vous êtes sûr de votre coup, vous pouvez activer http2 sur l'ensemble de vos sites en éditant le fichier

sudo nano /etc/apache2/apache2.conf

Et en y ajoutant la ligne

Protocols h2 http/1.1

Une fois que tout cela est fait, il ne vous reste plus qu'à relancer Apache avec la commande suivante :

service apache2 restart

Et voilà, votre serveur supporte le http2 et pour tester vos sites, vous pouvez le faire via cet outil.

Cet article merveilleux et sans aucun égal intitulé : Installer et activer HTTP2 sur Apache2 ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Hier, Wikileaks a publié environ 8700 documents datés entre 2013 et 2016, qui selon leurs dires, viennent du Centre de Cyber Intelligence de la CIA. En gros, le service qui s'occupe de l'espionnage cyber chez nos amis américains. Ce service a la particularité d'être sur un réseau haute sécurité totalement isolé à Langley en Virginie et dispose aussi d'une antenne en Europe dans la jolie ville de Francfort en Allemagne (dans le consulat US).

 

Et le contenu rassemblé sous le hashtag #Vault7 n'est pas triste. Premièrement, on y trouve pas mal d'exploits Android qui ont été développés par la CIA, la NSA, le GCHQ (la NSA anglaise) et des vendeurs privés, sur la base de failles non connues (0days).

Ces attaques visant les smartphones permettent à la CIA de contourner le chiffrement de WhatsApp, Signal, Telegram et d'autres, leur permettant de collecter les messages textes et audio en clair.

La CIA utilise aussi des malwares et des outils de hack pour cibler les iPhone, les télévisions (smart TV), mais aussi une boite à outils baptisée Hive permettant de cibler les routeurs et les OS comme Linux, macOS et Windows.

Par exemple, concernant les télévisions, l'une de ces attaques nommée "Weeping Angel" permet de faire croire à la cible que sa TV est éteinte, alors qu'elle enregistre toutes les conversations dans la pièce et balance tout ça à la CIA via Internet.

Autre exemple, le programme "Hammer Drill" qui permet d'infecter des fichiers distribués via CD/DVD pour franchir les fameux Air Gap (lorsqu'un ordinateur ou un routeur n'est pas connecté à un réseau accessible depuis l'extérieur, voire totalement hors réseau). Pour cela, la CIA place le malware sur un DVD vu comme vierge par le logiciel Nero et au moment de la gravure, ce malware prend soin d'infecter les fichiers gravés.

La CIA a aussi mis au point un malware baptisé "Rain Maker" qui ressemble à un film ou un MP3 et qui exploite une version modifiée de VLC (lire le CP de VLC à ce sujet) afin de collecter de manière invisible les données présentes sur la machine en les stockant sur des fichiers invisibles sur une clé USB.

Dans un document daté de 2014, la CIA a même cherché à infecter à distance le système embarqué de certains véhicules. Flipppppaaaaant.

Pour le moment, il s'agit d'un premier jet nommé "Year Zero", et la suite devrait bientôt arriver. Selon Wikileaks, 500 programmes de la CIA ont fuité... Je pense que ça va être aussi passionnant qu'au moment des révélations de Snowden et faire prendre conscience aux gens et aux sociétés qu'on ne plaisante pas avec la sécurité (y compris celle des objets connectés).

Ce qu'il faut surtout retenir de tout ça c'est que :

• La CIA a perdu le contrôle d'une grande partie de ses outils de hack (malware, 0days, exploits...etc.)
• Cette archive en plus d'avoir été donnée a Wikileaks, est aussi dans les mains d'anciens employés gouvernementaux et de sous-traitants
• La CIA achète des failles 0day et des exploits à des sociétés privées, voire sur le maché noir.
• La CIA en plus de disposer d'un tas d'outils visant Windows, Linux, macOS, iOS, Android, tout un tas de routeurs et d'objets connectés comme les TV Samsung, sait aussi déjouer la plupart des antivirus du marché.
• La CIA collecte les signatures des attaques de pays étrangers comme la Russie pour maquiller l'origine de ses propres attaques.
• Certe, la CIA peut contourner le chiffrement de la plupart des applications de communication type WhatsApp, Signal, Telegram, Wiebo, Confide et Cloackman. Mais cela ne veut pas dire que le chiffrement de ces applications est cassé. Non, cela veut dire qu'en infectant un smartphone Android, il est possible d'intercepter les messages. Mais ça, c'est pareil avec tout... À partir du moment ou quelqu'un a la main sur votre machine avec un malware, peu importe le chiffrement que vous mettrez en place, il aura accès à vos données. Donc pas de panique, cela reste des attaques ciblées.

La CIA se comporte de manière totalement irresponsable en stockant des 0days et des exploits sans plus de contrôle. Il y aurait potentiellement 5000 accrédités CIA en contact avec un ou plusieurs de ces outils. Je comprends la finalité qui est d'espionner, mais à partir d'un certain point, quand une faille est suffisamment menaçante, il ne faut pas attendre qu'un pays ennemi (ou pas) des États-Unis la découvre et l'exploite pour son profit. C'est totalement idiot de croire qu'on est les seuls à découvrir telle ou telle faille. Fatalement un jour, elle est redécouverte par d'autres personnes.

Donc dans l'intérêt de la sécurité de tout le monde, y compris dans l'intérêt de la sécurité des États-Unis, la CIA aurait dû communiquer ces failles aux éditeurs et constructeurs, à minima américains (si on se place dans une perspective "America First" chère à Trump), pour que ces derniers corrigent et tirent la sécurité globale vers le haut.

J'invite les sociétés visées dans ces documents et celles qui s'inquiètent de leurs failles potentielles (y compris sur de l'IoT) à se rapprocher de leurs boites de sécu préférées pour lancer des audits sérieux puis à basculer en mode Bug Bounty privé puis public, via Bountyfactory.io (qui, je le rappelle n'est pas hébergé aux États-Unis, donc hors Patriot Act et compagnie).

Vous pouvez consulter le communiqué de presse ou télécharger les fichiers en torrent (pass: SplinterItIntoAThousandPiecesAndScatterItIntoTheWinds)

Cet article merveilleux et sans aucun égal intitulé : #Vault7 – Le fiasco de la CIA ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Si vous voulez centraliser vos accès SSH sur une seule machine, je vous invite à jeter un oeil à Keybox. Cette console java une fois installée et lancée sur votre machine (ou un serveur distant ou un NAS) vous offre une interface web (https://127.0.0.1:8443) qui permet de configurer vos accès à plusieurs serveurs SSH, et de gérer les utilisateurs qui accèderont à Keybox ainsi que leurs droits et surtout la possibilité de faire des trucs cool avec ces sessions SSH.

Des trucs cools comme synchroniser plusieurs terminaux pour que toutes les commandes que vous tapez le soient en même temps sur tous vos serveurs. Pratique si vous avez des choses répétitives à faire sur plusieurs d'entre eux. Vous pouvez aussi faire ça avec des scripts bash que vous pouvez lancer en simultané sur tous vos serveurs.

Lorsqu'une session est ouverte, vous pouvez aussi via le menu Keybox dupliquer vos sessions, modifier la taille du terminal et surtout pousser directement des fichiers sur votre serveur. Pratique quand si vous ne maitrisez pas la commande "scp". :-)

Keybox est pratique, car il permet aussi de gérer les clés SSH publiques de vos utilisateurs et vous pouvez les révoquer à tout moment. Et en plus il y a quelques thèmes pour ne pas vous casser les yeux sur votre terminal.

Niveau sécurité, le login par défaut est "admin" et le mot de passe est "changeme" donc il faudra bien penser à le changer. Un QR code à scanner avec votre mobile vous sera aussi proposé pour activer de l'authentification double facteur avec votre mobile (en passant par FreeOTP ou Google Authenticator).

Vous trouverez plus d'infos ici.

Cet article merveilleux et sans aucun égal intitulé : KeyBox – Une console pour centraliser vos accès SSH ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Je ne sais pas si vous suivez un peu ce qui se passe au niveau européen en matière de protection des données personnelles, mais le 27 avril dernier, après 4 ans de négociations tendues, l'Europe a voté le RGPD (pour "Règlement général sur la protection des données" ou en anglais : General Data Protection Regulation, GDPR)

La RGPD doit permettre d’harmoniser le droit de la protection des données personnelles au sein de l’Union européenne et de moderniser ses principes à l’ère numérique. Dit comme ça c'est pas passionnant mais vous allez voir, ce texte est très important.

En effet, cela va obliger toutes les entreprises européennes à adapter leurs outils et leurs procédures avant l'application du texte le 25 mai 2018.

En quoi ça consiste ?

Et bien comme cela va permettre de redonner aux citoyens le contrôle de leurs données personnelles (youpi !!), il faut, entre autres choses, que le consentement de l'internaute ne soit jamais implicite ou général.

Et évidemment, comme on sait très bien que certaines entreprises ne joueront pas le jeu, tous les acteurs du privé et du public vont donc devoir PROUVER la conformité légale des traitements de données personnelles mis en oeuvre chez eux.

Cela veut dire que la société que vous dirigez ou pour laquelle vous travaillez va devoir tracer et documenter le consentement des internautes, ainsi que l'autorisation d'accès, de rectification, de suppression et d'opposition à ces données personnelles. Sans oublier les nouveaux droits qui sont créés pour l'occasion tels que le droit de portabilité des données ou un droit offrant des limites dans le traitement de celles-ci.

L’article 32 du RGPD sur la sécurité des traitements de données précise les différents critères que les sociétés doivent prendre en compte pour déterminer le niveau de sécurité à adopter. Par exemple: l’état de l’art, les coûts de mise en œuvre de la sécurité, le traitement concerné y compris sa finalité et son contexte, et la probabilité et la gravité des risques pour les droits et libertés des personnes.

La logique consiste à adapter les mesures de sécurité aux risques identifiés pour les traitements de données personnelles.

Attention, grosse innovation, le RGPD prévoit aussi l’évaluation des risques sur la vie privée présentés par le traitement de données. Il incombe alors aux sociétés de réaliser une étude d’analyse d’impact pour tous les traitements de données susceptibles de générer un risque élevé sur la vie privée des personnes concernées.

Selon le RGPD, certains traitements de données sont considérés comme risqués et soumis à une étude d’analyse d’impact, du fait de la nature des données traitées (traitement à grande échelle de données sensibles ou pénales) ou de leur finalité (profilage, surveillance à grande échelle de zones accessibles au public …).

S’agissant des garanties à mettre en place, l’article 32 énumère certaines mesures susceptibles d’être utilisées par les sociétés tels que :

• le recours à la pseudonymisation
• le chiffrement des données
• l’adoption de moyens permettant de garantir la confidentialité
• l’intégrité, la disponibilité et la résilience des systèmes
• l’adoption de moyens permettant de rétablir la disponibilité et l’accès aux données personnelles en cas d’incident technique ou physique
• la vérification régulière des mesures

Les codes de bonne conduite et les certifications mentionnés dans le RGPD sont des solutions également susceptibles d’être envisagées en ce qui concerne la sécurité.

Et lorsque la fameuse étude d’analyse d’impact révèle un niveau de risque élevé il est obligatoire de consulter la CNIL avant la mise en œuvre du traitement de données concerné. Cela implique notamment que les mesures dédiées à la sécurité du traitement doivent être communiquées à la CNIL qui décide ensuite si elles sont suffisantes afin de valider ou non le traitement.

Toujours selon ce texte, la sécurité des données impose aussi aux entreprises de notifier à la CNIL toutes violations de données personnelles dans la limite de 72 heures après en avoir eu connaissance dans un premier temps. Mais aussi à la personne concernée en cas de mesures de sécurité jugées insuffisantes par la CNIL.

Cette obligation est étendue aux sous-traitants qui doivent notifier aux sociétés, les violations de données dès qu’ils en ont connaissance. Ces violations de données sont généralement la conséquence d’un ou de plusieurs incidents de sécurité (ex : introduction frauduleuse dans le SI, extraction, reproduction ou diffusion de données).

Et si on décide de ne rien faire ?

Et bien, PAF, sanction ! C'est la CNIL qui s'en chargera en France, distribuant de jolies amendes allant jusqu'à 4% du chiffre d’affaires mondial de l’entreprise ou 20 millions d’euros max. Pour les autres violations des obligations prévues par le RGPD, les sanctions pourront aller jusqu’à 2% du chiffre d'affaire mondial ou 10 millions d’euros max.

Bon OK alors faut faire quoi ?

Vous l'aurez compris, en plus d'offrir à l'internaute un haut niveau de sérénité concernant ses données personnelles, la détection des incidents et leur rectification en amont permettent d’éviter la notification puisqu’il n’y a pas de violation.

Cette nouvelle réglementation impose l’établissement d’un état des lieux des traitements de données mis en œuvre au sein de la société, ce qui permettra notamment de déterminer les priorités pour la mise en conformité ainsi que son accompagnement.

Je vais donc prêcher pour ma paroisse, mais sur le plan de la sécurité, l’introduction de la pratique du Bug Bounty me semble vivement recommandée afin de détecter les incidents de sécurité en amont, et donc de les prévenir en corrigeant les failles découvertes.

Voilà pour le petit topo sur le GDPR, j'espère que ça vous a plu. Si vous voulez plus d'infos, le texte officiel est disponible ici en PDF.

Merci beaucoup à Eric A. Caprioli, Avocat à la Cour, Docteur en droit, membre de la délégation française aux Nations Unies et à Isabelle Cantero, Avocat associé (Caprioli & Associés), responsable du Pôle Vie privée et données personnelles pour leur aide dans la rédaction de cet article.

Cet article merveilleux et sans aucun égal intitulé : ⚡️ GDPR / RGPD ⚡️ – Le réglement européen qui va protéger les internautes, et donner du boulot de mise en conformité aux entreprises ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.