Pwd.sh est un script qui vous permet de générer des login / mots de passe et de les stocker tout en les chiffrant avec gpg (chiffrement symétrique pour le coup). Pwd.sh requiert d'avoir gpg installé sur votre ordinateur :

"brew install gpg" sous mac

ou

"apt-get install gnupg" sous Debian/Ubuntu.

Ensuite pour récupérer le script pwd.sh, il vous suffit de clone le dépôt git :

git clone https://github.com/drduh/pwd.sh && cd pwd.sh

et de lancer le script comme ceci :

./pwd.sh

Utilisez ensuite la touche "w" pour enregistrer un nouveau login/mot de passe, la touche "r" pour afficher vos logins et mots de passe ou "d" pour en supprimer. Votre conteneur de mots de passe sera bien évidemment chiffré avec gpg et à la première utilisation, pwd.sh vous demandera de définir un mot de passe principal.

Le principe de pwd.sh est sympathique, car il permet de gérer quelques identifiants en ligne de commande sans se prendre la tête, mais malheureusement, il n'est pas possible d'enregistrer plusieurs logins identiques. Ainsi, si les sites dont vous voulez enregistrer les identifiants utilisent votre email comme login (ou si vous voulez mettre votre pseudo partout), vous ne pourrez en enregistrer qu'un seul.

Il faudrait juste améliorer un peu pwd.sh pour définir une clé unique qui ne soit pas le login, mais plutôt l'URL ou un nom de site.  Ou alors, se débrouiller pour utiliser des logins à chaque fois différents.

+ d'infos ici.

Cet article merveilleux et sans aucun égal intitulé : Un script pour gérer vos mots de passe avec gpg ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Tor est un outil très utilisé pour protéger son anonymat sur le net. Au lieu de sortir en direct par votre connexion, vos paquets rebondissent sur 3 machines présentes sur le réseau avant de sortir sur le net. Ainsi, il est très difficile de remonter jusqu'à vous.

Mais difficile ne veut pas dire impossible. C'est pourquoi le chercheur en sécurité Ben Caudill a imaginé une borne baptisée Proxyham faisant office de proxy et  utilisant à la fois du WiFi et la bande de fréquence de 900 MHz pour router du trafic réseau sur plus de 4 km.

Ainsi, même si on remonte jusqu'à vous, ce sera cette borne WiFi qui sera découverte et pas votre véritable position. Évidemment, vous serez dans un rayon de 4 km à la ronde, mais difficile de vous localiser avec précision.

L'antenne WiFi sera utilisée pour se connecter à une autre borne WiFi publique (genre le réseau de la bibliothèque ou du Mac Do...etc.) et les 2 autres antennes transmettront les données à 900 MHz à votre ordinateur (qui sera lui aussi équipé d'une antenne capable de recevoir du 900 MHz).

L'avantage de passer par du 900 MHz c'est que cette fréquence est très basse et difficile à traquer, car le spectre est surchargé par pleins d'autres appareils type babyphone, téléphones sans fil, talkies-walkies...etc.

Même si Proxyham n'est pas forcement le truc le plus anonymisant du monde, c'est assez rigolo à mettre en place. Ce sera utile aux dissidents politiques et aux personnes soucieuses de leur anonymat. Le chercheur a promis après la Defcon (Le 6 août) de rendre disponible les plans, le code source et les spécifications matérielles pour créer son propre Proxyham et il aimerait y intégrer dans les prochaines versions des systèmes de détection au cas où le Proxyham serait découvert et surveillé.

En plus, comme c'est petit, ça pourra être facilement dissimulé dans un faux livre, une boite, derrière un meuble...etc.

Il prévoit aussi d'en vendre sur son site pour 150 à 200 $.

Source

Cet article merveilleux et sans aucun égal intitulé : Proxyham – Un relais wifi pour protéger votre anonymat en ligne ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

AXA recherche un Technical Leader .NET & Angular.

Au sein des équipes de développement d’AXA, et dans un environnement focalisé sur l’excellence du Delivery (Agile, DevOps, software craftsmanship…), vous intervenez à la fois comme Développeur Sénior et comme garant des bonnes pratiques d’ingénierie logicielle et de design en vous appuyant sur les technologies à l’état de l’art du marché.

Important : vous évoluerez dans un environnement Agile (Scrum, Kanban, cycles courts) pour délivrer des projets à forts enjeux business. Vous maîtrisez et déployez les pratiques de développement (TDD, BDD, Pair programming, Revues de code, Clean Code, Green Code, intégration et déploiement continus).

Du coup, on attend de vous de fortes compétences de design logiciel et code mais aussi d'adaptation, pas question de laisser trainer un underscore quelque part.
Et en bon leader, vous vous assurez que toute l’équipe est au top techniquement et que les logiciels produits sont au rendez-vous en terme conception, code et performance.

Vous participez régulièrement à des Hackathons, concours de coding, ou à des événements technologiques, n'hésitez pas à l’indiquer dans vos références et à en parler si vous êtes en entretien.

Si vous êtes un ninja du code, dispo et motivé vous pouvez postuler ici.

Cet article merveilleux et sans aucun égal intitulé : Remixjobs – AXA recrute un Technical Leader .NET & Angular H/F ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Choisir son DNS c'est important et c'est une affaire de confiance.

Les DNS de Google font très bien leur travail, mais évidemment, tous les noms de domaine que vous résolvez via 8.8.4.4 et 8.8.8.8 sont ajoutés à la longue liste des données personnelles collectées sur vous.

Les DNS de votre FAI ne sont à priori pas utilisés pour vous profiler, par contre, ils sont maintenant censurés arbitrairement par certaines autorités administratives françaises. Il est donc difficile de leur faire confiance.

Les DNS des bornes Wifi ou de certains fournisseurs de DNS gratuits sont utilisés aussi comme collecteurs de données et sont les 3/4 du temps des DNS menteurs car ils ne vous envoient pas vers les véritables sites, mais vers des versions modifiées intégrants de la publicité ou d'autres trackers plus ou moins discrets.

Les DNS d'OpenDNS sont soumis au patriot act et même s'ils sont corrects, il va être maintenant difficile de leur faire confiance, car OpenDNS vient d'être racheté pour 635 millions de dollars par Cisco. Cisco est un partenaire de la NSA, qui conçoit et exporte du matériel réseau explique qu'OpenDNS permettra d'offrir une meilleure protection à leurs clients contre les cyberattaques... Hmmm... ok. Je n'ai jamais vraiment aimé OpenDNS... Quand un nom de domaine n'est pas résolu, il renvoyait l'internaute vers son propre moteur et bien sûr il se gave en données récoltées sur les internautes.

Alors que nous reste-t-il niveau DNS ? Et bien malheureusement pas grand-chose...

Vous pouvez si vous ne souhaitez pas bidouiller, faire confiance à des DNS associatifs qui s'engagent sur la pureté des résolutions de nom (pas de censure...etc.) comme les DNS proposés par FDN : 80.67.169.12 et 80.67.169.40.

Ou alors vous pouvez installer vous-même sur votre machine, votre téléphone ou votre serveur, votre propre serveur DNS qui résoudra pour vous tout ce qu'il y a à résoudre. Ça prend 5 minutes avec ce tuto et ainsi vous serez autonome. Pas de tracking, pas de censure, pas de DNS menteur.

Enfin, il existe un projet encore balbutiant nommé Namecoin qui reprend la même techno que celle utilisée par Bitcoin pour faire de la résolution de nom décentralisée et chiffrée. Aucune idée de ce que ça vaut, mais ça peut vous intéresser.

Source

Cet article merveilleux et sans aucun égal intitulé : Choisissez bien vos serveurs DNS ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Je vais vous raconter une petite anecdote que j'ai pu constater hier de mes propres yeux. Vous le savez Wikileaks a révélé que la NSA utilisait ses interceptions pour surveiller et parfois saboter des contrats initiés par des entreprises françaises dites d'importance vitale pour la France (CAC 40 et compagnie).

On ne connait malheureusement pas le nom de ces entreprises françaises espionnées mis à part Airbus qui en début d'année a porté plainte contre X pour espionnage. En effet, nos amis allemands (le BND plus exactement) auraient aidé la NSA à espionner des hauts responsables français et entre autres, Airbus. La connaissance en détail des appels d'offres ainsi dérobés aurait pu favoriser certaines entreprises américaines, laissant Airbus sur le carreau.

Si j'en crois cet article d’Air Journal daté de 2013, Airbus fait très attention à sa sécurité et cherche à se protéger des espions. Et pourtant...

Hier, justement, j'étais chez Airbus pour inauguration de l'A350 XWB vendu à Vietnam Airlines. J'ai eu la chance de visiter l'usine de production et de voir les prochains appareils en cours de fabrication.

C'était très impressionnant ! Et quoi qu’on en dise, Airbus est une belle boite qui est largement capable de dépasser les entreprises concurrentes aux États-Unis ou ailleurs. C'est donc vraiment regrettable qu'Airbus ou d'autres se fassent piller ou saboter comme ça. Bon à priori, ils font ce qu'il faut pour leur sécurité et ça a l'air de payer puisqu'ils viennent de signer un contrat de 18 milliards de dollars pour la vente de 45 A330 à la Chine (China Aviation Supplies).

Bravo les gars. Et pourtant ce que j'ai vu hier m'a un peu scotché. Comme je rentrais de Toulouse en avion, je me suis retrouvé à côté d'un monsieur très sympa qui rentrait d'un rendez-vous important avec l'une des divisions d'Airbus les plus sensibles et qui, tenez-vous bien, a sorti un Chromebook et s'est mis à rédiger des documents et des emails pros sur Google Docs et Gmail. Vous savez, la version Google Apps pour Entreprise où on peut mettre en haut à gauche et en gros, le logo de sa boite...

Cette entreprise dont Airbus est cliente est cotée en bourse et pèse lourd dans le tissu économique français. Elle bosse avec des gros industriels et des services publics ET POURTANT... Elle héberge directement aux États-Unis tout son savoir-faire et tous ses échanges professionnels. C'est très flippant quand même...

Malheureusement, ce n'est qu'un exemple parmi tant d'autres... Nombreuses sont les sociétés comme celle-ci qui n'ont aucune notion de sécurité ou de protection de leurs données vis-à-vis de puissances étrangères ou d'entreprises concurrentes.

Les mecs bossent dur, s'arrachent pour décrocher de super contrats et mener de super projets et foutent tout chez Google (donc dans les tuyaux de la NSA) parce que c'est "plus pratique". C'est quand même un sacré gâchis. Et leurs clients ne savent malheureusement rien de tout cela, car j'imagine que ce n'est pas stipulé  en clair dans leurs contrats que "Tous les documents et emails échangés seront stockés dans des data-center situés aux États-Unis et soumis au contrôle de la NSA".

Alors que faire ? Et bien si vous êtes une société de service, vous pouvez toujours basculer sur des solutions hors cloud ou à minima hors-sol US et surtout vous passer de Google Apps. Vous pouvez aussi inclure dans vos contrats une charte qui protège vos clients des yeux de la NSA en imposant un niveau de sécurité (hébergement, chiffrement...etc.) minimal. Et si vous êtes une société cliente, pourquoi n'exigeriez-vous pas de vos contractants, ce genre de charte, histoire d'être sûr qu'il n'y a pas de fuite trop facile de votre savoir-faire ou d'informations plus ou moins confidentielles ?

Et n'allez pas croire que vous n'êtes pas concerné, car trop petit pour intéresser la NSA. Je pense que ce conseil vaut aussi pour les petites boites, les PME, les startups ou les indépendants.

Parlez-en à votre boss ou votre DSI car je pense que c'est important et dans certains cas, ça peut même être un facteur de compétitivité différenciant.

Cet article merveilleux et sans aucun égal intitulé : Vous protéger de l’espionnage industriel, c’est bien. Vous assurer que vos partenaires le sont aussi, c’est mieux. ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.