Korben - Site d'actualité geek et tech

L’authentification double facteur (2FA), oui mais pas n’importe comment !

31

Il y a un truc simple que vous devez absolument faire sur tous les services que vous utilisez (ou au moins ceux que vous jugez comme cruciaux), c'est activer l'authentification double facteur appelée aussi 2FA. Le concept est simple, une fois activé, en plus de votre mot de passe, on vous demandera un code unique valide sur une durée limitée. Ce code unique est parfois envoyé par email, parfois par SMS, et parfois disponible dans une application dédiée rien qu'à ça.

C'est très important d'activer l'authentification double facteur, car en cas de vol de mot de passe (via une attaque man in the middle, un phishing ou autre), il n'y a plus de barrière qui s'oppose au criminel qui veut se connecter sur l'un de vos comptes. Et cela peut avoir des conséquences dramatiques comme le vol d'argent (PayPal, la banque...etc.), ou l'usurpation d'identité (Twitter, Facebook, votre boite mail...etc.).

L'envoi de code par SMS ou email est la méthode la plus courante, car la plus commode. Il suffit d'avoir as à votre boite mail ou à votre carte SIM avec le bon numéro de téléphone et c'est réglé.

,MAIS si j'écris cet article aujourd'hui, c'est pour vous décourager d'utiliser l'authentification double facteur autrement qu'avec une application dédiée. Et je vais vous expliquer pourquoi.

Prenons d'abord l'exemple de la boite mail. Si un quelqu'un prend le contrôle de votre boite mail, il pourra tout faire, y compris réinitialiser vos mots de passe sur tous vos sites préférés et lorsqu'un code 2FA lui sera demandé, il le recevra direct par mail. Donc ça ou rien c'est presque la même chose.

Le code 2FA reçu par SMS est-ce qu'il y a de plus pratique et c'est ce que la plupart des gens choisissent. Il suffit d'avoir accès à une SIM avec son numéro et c'est bon. Évidemment, le jour où vous changez brusquement de numéro de téléphone, vous l'avez dans l'os. Et là, ça dépendra des sites. Pour certains, ce sera mort et perdrez à tout jamais votre compte. Pour d'autre, il y aura toujours moyen de récupérer un mot de passe et de faire sauter le 2FA (mais à quoi bon avoir mis cette protection dans ce cas ?) et dans d'autres cas, l'accès pourra vous être rendu, mais toutes les données de votre compte seront effacées. Ce qui peut aussi être problématique.

Mais je vous déconseille aussi d'activer le 2FA par SMS.

Pourquoi ?

Et bien pour 2 raisons...

La première, c'est que certains ont trouvé le moyen d'exploiter une faille dans le protocole SS7 des réseaux mobiles afin de détourner des SMS. Comme l'explique cet article, des gens se sont fait piller leur compte en banque juste comme ça à cause de cette faille.

Mais il n'est pas nécessaire d'aller aussi loin dans la technique quand on peut compter sur la négligence de nos opérateurs téléphoniques (et ça, c'est la seconde raison). En effet, je vois souvent des articles ou des tweets qui expliquent qu'un criminel à trompé le call center d'un opérateur pour se faire envoyer une copie de la carte SIM de sa victime et ainsi lui dérober de l'argent.


C'est moche hein. C'est donc aussi pour ça que je vous déconseille de vous faire envoyer vos codes 2FA par SMS.

Alors que nous reste-t-il ?

Et bien la dernière option, c'est une application qui vous génère des codes 2FA à la volée. Et là sans être infaillible, c'est déjà un peu plus costaud, car si quelqu'un veut accéder à vos comptes, il devra, en plus de récupérer votre mot de passe, vous voler votre téléphone et connaitre le code pour le déverrouiller. Bien sûr si vous n'avez mis aucune sécurité de verrouillage à votre smartphone, que votre application 2FA ne vous réclame pas de code PIN ou de mot de passe et qu'en plus, vos mots de passe de sites web sont enregistrés dans votre navigateur, je ne peux rien faire pour vous. Limite, vous méritez de vous faire piller votre compte bancaire.

Notez que quand vous activez l'authentification double facteur pour l'utiliser via une app, il faut être très précautionneux. En effet, le site vous fournira une clé ou un QR code qu’il faudra conserver en sécurité quelque part pour que si vous perdez votre téléphone ou que vous le formatez, vous puissiez toujours accéder à votre compte.

Il existe masse d'applications 2FA donc loin de moi l'idée de vous en conseiller une ultime... Mais évitez Google Authenticator ou FreeOTP qui ne permettent pas de configurer un code de verrouillage (Pin ou mot de passe). Évitez aussi toutes les apps qui vous force à stocker vos configs 2FA dans le cloud en échange de la création d'un compte chez eux.

De toutes celles que j'ai testées, mes préférées sont Authy et LastPass Authenticator (qui propose un backup sur votre compte Lastpass, mais vous n'êtes pas obligé de l'activer).

Voilà... Donc pour résumer :

  • Activez l'authentification 2FA partout si c'est dispo.
  • Ne demandez jamais à recevoir de code 2FA par email.
  • Ne demandez jamais à recevoir de code 2FA par SMS.
  • Utilisez uniquement une application 2FA qui propose une protection PIN ou mot de passe.
  • Évitez les applications qui stockent vos 2FA dans le cloud.
  • Pensez bien à conserver en lieu sûr vos clés secrètes ou QR code 2FA pour les réactiver en cas de perte, de panne ou de formatage de votre mobile.
  • Vous pouvez aussi opter pour les systèmes 2FA physiques mais cela fera l'objet d'un probable autre article car je n'en ai pas encore testé réellement.

Je pense que j'ai tout dit !

Bonne activation de 2FA à tous !!

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin
Sunberry - L'énergie solaire à la portée de tous

Produisez votre énergie et faites de grosses économies 

DIY addict, avec Sunberry, on vous propose d'assembler votre chauffage solaire Sunberry et de commencer à capter l'énergie gratuite du soleil pour chauffer votre maison, votre eau chaude ou votre piscine. La Sunberry App vous permet de suivre en direct votre production d'énergie solaire et le montant des économies réalisées, en toute autonomie.Le tout en opensource ;)

Découvrez Sunberry et bidouillez un max

En ce moment vous pouvez aussi profiter d'une réduction pour pouvoir fabriquer votre chauffage solaire à moindre coût.39€ au lieu de 49€

Pour recevoir votre code de réduction c'est ici (email à rentrer sur le site de Sunberry)

Déballage d’un ordinateur quantique

12

Je pense que vous n'avez pas encore la place d’accueillir chez vous un ordinateur quantique (ni chez moi je vous rassure), puis de toute façon Steam n'est pas encore dispo sur ce genre de bécanes, alors à quoi bon ?

Non, ce n'est pas une raison pour ne pas s'intéresser à cette techno. Je vous propose de regarder cette vidéo en anglais (avec sous titres VO) de Linus tech tips, qui s'est rendu chez D-Wave, l'un des fabricants d'ordinateurs quantiques les plus connus, pour vous montrer à quoi ça ressemble *vraiment* et comment ça fonctionne.

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin

Geostorm – Re la fin du monde

6

J'ai toujours beaucoup aimé les films catastrophes même ceux de seconde zone avec des effets spéciaux pourris qui passent sur M6. Quoique maintenant que le climat part en sucette, c'est un peu moins "fun".

Mais bon, nos amis américains n'ont pas abandonné le genre et reviennent avec Geostorm. L'histoire se situe dans un monde où l'Humain a appris à maitriser le dérèglement climatique grâce à une flopée de satellites capable d'influencer la météo. Le mec en charge de ce truc c'est Jake, incarné par Gerard Butler et malheureusement, il galère un peu, car il semblerait que le réseau de satellites soit sous l'emprise de quelqu'un d'autre (un hacker avec une capuche ?) qui s'amuse à lancer une giga tempête mondiale... Une "geostorm".

On est donc dans le même esprit que le film 2012 sauf que là ce n’est pas la nature toute seule, mais l'Homme qui prend le contrôle de la nature pour détruire l'Humanité. D'une logique sans faille. Un peu triste quand même de se dire qu'à Hollywood, ils considèrent que le réchauffement climatique c'est mort, et qu'on a plus qu'à espérer qu'un génie trouve le moyen technologique de réguler le climat.

J'ai lu quelques critiques de la bande-annonce et tout le monde pense que ce film est une grosse bouse annoncée. Ça tombe bien, j'adore les grosses bouses cinématographiques. C'est donc un film que je vais attendre avec impatience.

Date de sortie le 1er novembre 2017 !

Source

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin

Adapter le concept de la Zip Bomb pour défendre son site web des scripts kiddies

21

Hier, le développeur Christian Haschek a publié sur son blog un article qui explique comment il a dépoussiéré le concept de "zip bomb" pour en faire une méthode de défense contre les scanners de vulnérabilités.

Mais avant d'aller plus loin, qu'est-ce qu'une "zip bomb" ? Et bien cela consiste à créer un fichier zip contenant de la donnée ultra répétitive qui ne pèsera que quelques kb dans sa version compressée, mais qui générera un fichier de plusieurs petabytes si vous tentez de le décompresser. L'idée est bien évidemment de faire crasher la machine ou le soft en saturant le disque dur ou la RAM.

Vous pouvez trouver une bombe zip en téléchargement ici, si vous voulez faire sauter votre disque dur. Le concept de la zip bomb est assez ancien et Christian l'a adapté pour défendre son site et faire chier les scripts kiddies.

Les navigateurs ne sachant pas décompresser du zip, il a donc fabriqué une gzip bomb...

...qu'il envoie ensuite via une page PHP lorsqu'il détecte le user-agent d'un scanner de vuln (voir son article pour consulter le code associé).

C'est basic, mais efficace car ça fait planter des navigateurs comme Chrome, IE ou encore Edge et détraque certains scanners de vuln comme SQLmap ou Nikto.

Maintenant si vous voulez tester par vous même, vous pouvez cliquer ici à vos risques et périls : https://blog.haschek.at/tools/bomb.php

Source


Hack du scanner Iris du S8

Après les Galaxy Note 7 qui prend feu, le spot de pub qui nous explique que maintenant, ça y est, ils ont compris et ils font les meilleurs tests qualité possibles sur leur matos, voici que la sécurité de déverrouillage par l'iris présente dans le Galaxy S8 et le Galaxy S8 Plus est mise à mal.

En effet, les hackers du CCC...

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin
Hacking Éthique : Un Cours Complet pour s'initier à la sécurité informatique

Apprenez la sécurité informatique pour vous protéger des cyberattaques - déjà + de 5000 inscrits

Vous découvrirez les "malwares" (trojan, keyloggers, backdoors...etc) les plus populaires et vous apprendrez à vous en défendre à l'aide de divers outils et méthodes.Vous apprendrez les concepts de base en Cryptographie et en Stéganographie. Vous aurez des notions de SSL/TLS, PGP, etc…Et tout ça en créant votre propre laboratoire de test pour pratiquer sans casser.Préparez-vous au métier de « responsable de la sécurité des systèmes d’information », de « consultant en sécurité informatique », ou à des certifications comme CEH (Certified Ethical Hacker)

Le cours est proposé aux lecteurs du blog à 10€ au lieu de 160€

Comment créer une application web performante ? #RjTalk

5

Lors du dernier Remixjobs Day, Hicham Hsissi, responsable technique de Lab5com est venu présenter les moyens existants permettant de créer une application web performante (temps de réponse et de consommation mémoire réduits), aussi bien côté Back que côté Front, sans que ça ne soit au détriment de l'architecture. Pour cela il a utilisé Symfony3, Php7, ElascticSearch, Varnish et Memcached.

Je me dis que ça pourrait en intéresser certains d'entre vous.

Pour aller plus loin dans le développement d'applications:


Historique de la vie d’une application: choix techniques et évolutions

L'un d'entre eux, Gwenn Guihal, était venu à un RJTalk expliquer comment avec son équipe, ils avaient fait évoluer l'application mobile du service.
Faut savoir que les applis mobiles ça devient huge en temps de consommation utilisateur aujourd'hui, en tête on retrouve surtout dans nos habitudes d'utilisation, les applis media type Netflix, Youtube etc...


Comment orienter son back-end pour mobile avec Ruby On Rails

La retro-ingénierie ça m'a toujours fait kiffer et même si je ne suis pas un Jedi du back-end, savoir ce qui se passe dans la matrice c'est trés interessant, je pense d'ailleurs que tout bon dev front-end doit avoir, sans pour autant en devenir un spécialiste, des notions de back-end pour avoir une meilleure vision de son code en front.

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin

Pop OS – La distrib Linux qui promet de vous aider à libérer votre potentiel créatif

4

System76 est un fabricant américain d'ordinateurs (portables, desktop, serveurs) qui a la particularité de livrer son matos avec Linux installé dessus contrairement à 99% des autres gros fabricants de PC.

Cool !

Ça évite de se prendre la tête pour trouver du matos compatible avec sa distrib préférée. Mais System76 ne s'arrête pas là, puisqu'ils viennent d'annonce qu'ils sortiront en Octobre 2017 leur propre distribution Linux. Baptisée Pop!_OS, cette distrib basée pour le moment sur Ubuntu 17.04 a été conçue pour contenter les créateurs de toutes sortes : Concepteurs de modèles 3D, développeurs, scientifiques, écrivains, graphistes ou Géo Trouvetout du XXIe siècle.

J'ai lu pas mal de sujets sur leur reddit et j'avoue qu'autant le côté "créateur" me charme beaucoup (C'est plus évident que de dire que c'est une distrib conçue pour les gamers ou pour les fondus de bureautique...lol) autant j'ai encore du mal à voir le côté différenciant avec une Ubuntu classique à part le look plutôt cool. Mais ce que j'ai testé est encore une alpha donc j'espère que ça s'éclaircira au fur et à mesure. Rien que si les tablettes graphiques les plus utilisées du marché pouvaient toutes fonctionner direct, ça aurait un peu plus de sens.

Bienvenue donc à PopOS et vivement octobre qu'on en voit un peu plus !

Si vous voulez tester Pop!_OS, la version Alpha est disponible ici.

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin

  • DANS TON CHAT (BASHFR)

    <Sundro>: et t'as fait comment pour conclure?
    <lloid>: bin. . .j'ai commencé par inviter ta soeur au resto, ensuite on a été se faire un ciné, classique mais bon ça marche toujours =D et ensuite on a fait ce qu'on avait à faire =x
    <Sundro>: xD mais non pour la philo
    <Sundro>: t'es con =p
    <lloid>: Aaah
    <Sundro>: attends. . .
    <Sundro>: t'as fait quoi avec ma soeur?!?

    -- http://danstonchat.com/9463.html
  • Serveur NAS WD My Cloud Pro PR2100

    NAS 2 baies avec un cloud personnel

    Avec une capacité de stockage allant jusqu’à 16 To, le My Cloud Série Pro PR2100 offre à votre équipe la solution de stockage réseau idéale pour modifier, sauvegarder et partager des fichiers de travail à distance à l’aide d’une connexion Internet. Compatible Mac et PC, le My Cloud Série Pro PR2100 vous permet de protéger votre contenu quel que soit votre système d’exploitation.


    En Savoir +

  • RSS Emplois sécurité

  • Serveur NAS WD My Cloud EX2 Ultra

    Fonctions spécifiques pour sécuriser et synchroniser vos fichiers importants

    Le WD My Cloud EX2 Ultra est une solution de stockage WD à deux disques durs. Il est parfait pour stocker tous vos contenus multimédia et vos fichiers depuis un emplacement centralisé. Pour sécuriser vos données les disques seront en RAID 0, 1, indépendants ou en JBOD.


    En Savoir +

  • Site hébergé par
    Agarik Sponsor Korben
  • Selection de contenus

  • Glasswire – Pour garder un oeil

    sur votre activité réseau

    Si vous êtes curieux et que vous voulez savoir comment ça se passe niveau bande passante sur votre ordinateur Windows, voici un petit freeware qui va vous rendre bien service.
    Appelé Glasswire, cet outil propose des fonctionnalités de visualisation

    Une astuce pour rendre Windows 10 plus rapide

    Si vous trouvez que Windows 10 est un peu lent, que vos applications ne se lancent pas très vite, que vos compilations prennent du temps, voici une petite astuce débusquée par Brominou pour accélérer le bouzin.
    Cliquez dans la zone de