Fishing i-prof

I-prof ou i-professionnel est une plateforme qui permet la communication et le suivi de carrière des enseignants. Pour la première fois aujourd’hui, j’ai reçu sur mon adresse académique un fishing m’invitant à me connecter sur mon compte (avec une fausse URL bien sur…). Bon, c’est assez grossier pour l’instant !

Mots de passe URSSAF en 2019

Le top de la sécurité… On peut dénoncer ce genre de trucs à l’ANSSI ? Le mot de passe doit comporter exactement 8 caractères avec : – au moins 1 lettre, – au moins 1 chiffre, – sans caractères spéciaux. autoentrepreneur.urssaf.fr le 17/10/2019 Curieux de savoir comment sont stockés les Lire la suite…

Par Éric, il y a

Campagne de phishing OVH

Je reçois pas mal de mal de la part (soit disant) d’OVH. C’est évidement une tentative de phishing, il suffit de lire le lien pour comprendre… et il reste encore quelques fautes d’orthographe. Ils ont tout de même utilisé comme URL dans certains cas : 0vh.com, (zéro V H) qui Lire la suite…

Par Éric, il y a

Hack Academy

Je viens de découvrir un site développé par le Cigref qui tente d’expliquer simplement (et avec humour) 4 techniques de piratages : Hack Academy. Ça n’apportera rien aux gros barbus, mais je trouve ça relativement clair pour les plus novices… Le teaser sur Viméo : Et le site ou toutes Lire la suite…

Mon petit VPS : sécuriser Owncloud par un accès en HTTPS

Un accès sur Owncloud avec une connexion http est plutôt risquée (interception des données possibles), il est donc préférable d’y accéder en HTTPS.

Quel choix ai-je ?

  • Créer une connexion chiffrée avec un certificat privé, mais il y aura des alertes (facilement compréhensibles pour les pas trop néophytes, mais déstabilisantes pour les non initiés) et des importations à faire manuellement sur les tablettes ou smartphones…
  • Acheter un certificat auprès d’une autorité reconnue… on commence en gros à 50€ HT / an.
  • Attendre que Let’s Encrypt avance sur son projet… Et j’attends !
  • Profiter de l’offre de StartSSL qui propose un certificat gratuit pour son domaine.

Je précise que la qualité de la « sureté » de la connexion n’est pas dépendante du fait d’acheter cher ou non le certificat… La preuve ?

2015-09-11_14-33-54

 2015-09-11_14-37-38

Mais on ne protège pas le même type de contenu…

(suite…)

Mon petit VPS : sécuriser l’accès root

Root est un utilisateur qui a tous les droits sur le serveur… il faut donc le sécuriser au max !

Changer le mot de passe root

Il me semble impératif de changer le mot de passe root donné par OVH et qui est plutôt petit… (petit rappel pour les mots de passes).

passwd

Puis entre le nouveau de mot de passe (rien ne s’écrit, c’est normal) et le confirmer.

Empêcher root de se connecter

Si je tente de rentrer dans un système, je vais utiliser les comptes par défaut… sous linux, le super administrateur s’appelle root… On va faire en sorte qu’un seul autre utilisateur puisse se connecter, et empêcher root de se connecter.

(suite…)