Campagne de phishing OVH

Je reçois pas mal de mal de la part (soit disant) d’OVH. C’est évidement une tentative de phishing, il suffit de lire le lien pour comprendre… et il reste encore quelques fautes d’orthographe. Ils ont tout de même utilisé comme URL dans certains cas : 0vh.com, (zéro V H) qui Lire la suite…

Par Éric, il y a

Hack Academy

Je viens de découvrir un site développé par le Cigref qui tente d’expliquer simplement (et avec humour) 4 techniques de piratages : Hack Academy. Ça n’apportera rien aux gros barbus, mais je trouve ça relativement clair pour les plus novices… Le teaser sur Viméo : Et le site ou toutes Lire la suite…

Par Éric, il y a

Mon petit VPS : sécuriser Owncloud par un accès en HTTPS

Un accès sur Owncloud avec une connexion http est plutôt risquée (interception des données possibles), il est donc préférable d’y accéder en HTTPS.

Quel choix ai-je ?

  • Créer une connexion chiffrée avec un certificat privé, mais il y aura des alertes (facilement compréhensibles pour les pas trop néophytes, mais déstabilisantes pour les non initiés) et des importations à faire manuellement sur les tablettes ou smartphones…
  • Acheter un certificat auprès d’une autorité reconnue… on commence en gros à 50€ HT / an.
  • Attendre que Let’s Encrypt avance sur son projet… Et j’attends !
  • Profiter de l’offre de StartSSL qui propose un certificat gratuit pour son domaine.

Je précise que la qualité de la « sureté » de la connexion n’est pas dépendante du fait d’acheter cher ou non le certificat… La preuve ?

2015-09-11_14-33-54

 2015-09-11_14-37-38

Mais on ne protège pas le même type de contenu…

(suite…)

Par Éric, il y a

Mon petit VPS : sécuriser l’accès root

Root est un utilisateur qui a tous les droits sur le serveur… il faut donc le sécuriser au max !

Changer le mot de passe root

Il me semble impératif de changer le mot de passe root donné par OVH et qui est plutôt petit… (petit rappel pour les mots de passes).

passwd

Puis entre le nouveau de mot de passe (rien ne s’écrit, c’est normal) et le confirmer.

Empêcher root de se connecter

Si je tente de rentrer dans un système, je vais utiliser les comptes par défaut… sous linux, le super administrateur s’appelle root… On va faire en sorte qu’un seul autre utilisateur puisse se connecter, et empêcher root de se connecter.

(suite…)

Par Éric, il y a

Les mots de passe

Un mot de passe doit être compliqué

Mais ça veut dire quoi compliqué ?

Est-ce que l33t$pe4k est plus compliqué que ChevalPoneyÉcureuil ? ou encore que : Ilétaitunefois_unefillederoi_aucoeurpleindetristesse ? En tout cas, il y en a qui sont plus facile à retenir !

(suite…)

Par Éric, il y a

Faut-il stocker mes mots de passe dans mon navigateur ?

C’est très confortable, mais est-ce sécure ?

Je dirais tout simplement : ça dépend de votre navigateur !

Si vous êtes malin, vous devriez avoir une quantité non négligeable de mots de passe plutôt incompréhensibles (sinon, vous avez tout faut… j’y reviendrais dans un autre article), et vous ne pouvez pas tous les retenir. Personnellement, j’utilise keepass pour les retenir à ma place, mais là n’est pas le propos.

Considérez la chose suivante : si une personne peut physiquement avoir accès à votre ordinateur, il faut quelques secondes pour récupérer tous les mots de passes stockés dans les navigateurs. Notez que quand je parle de collecter les mots de passe en ayant accès à l’ordinateur, je suppose une clé USB qui collecte les mots de passe de tous les utilisateurs, même si l’utilisateur n’est pas connecté…

C’est évidement plus dur à distance si vous êtes la seule personne capable d’accéder au micro, mais pas impossible.

Le but est donc de compliquer cette opération.

(suite…)

Par Éric, il y a