Keepass Heartbleed—What's Next? Check Your Clients, Routers, Virtual Machines And VPNs What we thought was secure—Web servers, routers, virtual machines, virtual private networks, and even client software—isn't so safe, after all. See also: What You Need To Know About Heartbleed, A Really Major Bug That Short-Circuits Web Security Just about everything that relies on the open source cryptographic software OpenSSL is compromised by the Heartbleed bug, which can leak the contents of the memories of these networks and devices to compromise your security. Heartbleed can expose data in random 64KB “heartbeats,” and while each leak is limited to 64KB of memory at a time, an attacker can keep connecting to collect more data, which can include sensitive data like passwords, private encryption keys, and website cookies. And then there’s the Trojan horse, "Reverse Heartbleed." Vulnerable From Within Heartbleed's blade cuts across both servers and clients. The post lists potentially vulnerable clients, including traditional clients and open agents. Meticulous Testing Router Vulnerabilities
Le classement des mots de passe les plus pourris Temps de lecture: 2 min — Repéré sur Vice US Le gestionnaire de mots de passe spécialisé NordPass vient de publier la liste des codes utilisés par les internautes pour protéger leur ordinateur et comptes en tous genres. Le constat est simple: nos mots de passe sont toujours aussi ridicules et faciles à deviner. Les internautes ont une fâcheuse tendance à utiliser les mêmes codes de protection que les autres. Selon Nord Pass, parmi les 200 mots de passe les plus utilisés en 2020, seuls 78 sont différents par rapport à l'année dernière. On retrouve ainsi en tête de liste des suites de chiffres. Parmi les indémodables qui stagnent dans le top 25, l'on trouve qwerty, juste devant I love You et 654321. Davantage de mots de passe Autre phénomène intéressant à noter: on aurait aujourd'hui davantage de mots de passe à gérer qu'auparavant. La raison?
Heartbleed: Hundreds of thousands of servers at risk from catastrophic bug | Technology Hundreds of thousands of web and email servers worldwide have a software flaw that lets attackers steal the cryptographic keys used to secure online commerce and web connections, experts say. They could also leak personal information to hackers when people carry out searches or log into email. The bug, called "Heartbleed", affects web servers running a package called OpenSSL. Among the systems confirmed to be affected are Imgur, OKCupid, Eventbrite, and the FBI's website, all of which run affected versions of OpenSSL. Attacks using the vulnerability are already in the wild: one lets a hacker look at the cookies of the last person to visit an affected server, revealing personal information. SSL is the most common technology used to secure websites. Bleeding data The Heartbleed bug – so called because it exploits a failure in an extension called heartbeat – not only lets attackers read the confidential encrypted data; it also allows them to take the encryption keys used to secure the data.
Calculer la « force » d’un mot de passe Qu’est-ce que la « force » d’un mot de passe ? Par abus de langage, on parle souvent de « force » d’un mot de passe pour désigner sa capacité à résister à une énumération de tous les mots de passe possibles. Cette « force » dépend de la longueur L du mot de passe et du nombre N de caractères possibles. Elle suppose que le mot de passe est choisi de façon aléatoire. Elle se calcule aisément par la formule NL. Comment estimer la « force » d’un mot de passe ? La force d’un mot de passe peut être estimée par comparaison avec les techniques cryptographiques. Les règles édictées par l’ANSSI en matière de mécanismes cryptographiques imposent par exemple une taille de clé minimale de 100 bits. Ces chiffres permettent de calibrer la « force » d’un mot de passe. Comment renforcer mon mot de passe ? Une question qui se pose fréquemment est : mais quels critères dois-je employer pour mes mots de passe ? Quelques résultats typiques
The Bleeding Hearts Club: Heartbleed Recovery for System Administrators The Heartbleed SSL vulnerability presents significant concerns for users and major challenges for site operators. This article presents a series of steps server and site owners should carry out as soon as possible to help protect the public. We acknowledge that some steps might not be feasible, important, or even relevant for every site, so the steps are given in order both of their importance and the order they should be carried out. 1. If you haven't yet, update any and all of your systems that use OpenSSL for TLS encrypted communications. The vulnerable OpenSSL version numbers are 1.0.1 through 1.0.1f and 1.0.2-beta1. If your operating system has not yet released an updated package, download openssl-1.0.1g.tar.gz directly from and follow the instructions in the INSTALL text file to compile the new version locally. After installing a fixed version of OpenSSL, be sure to restart all services that depend on it. 2. 3. 4. 5. 6. 7.
Creer-Un-Mot-De-Passe-Securise / Tutothèques Public visé Tous, les débutants sur Internet. Durée atelier 1h30 (maximum) Pré requis Utiliser un ordinateur de manière simple. Disposer d'une connexion internet active. Avoir une adresse E-mail active (être en mesure de l'ouvrir en début d'atelier) et savoir l'utiliser (recherche d'un email reçu). Intention pédagogique Savoir comment créer un mot de passe "fort" et être en mesure de s'en souvenir pour accéder à un site web en ligne. Objectifs pédagogiques Les personnes à l’issue de la séquence devraient être capable en autonomie : de s'inscrire à un site web et de pouvoir y retourner de manière autonome. La base de l'exercice pratique utilise le site web site PIXABAY, qui après inscription qui propose des images gratuites libre d'utilisation. Mots-clefs Scénario / Déroulement de la séquence Etape 1 : Accueil et présentation des objectifs (5 min).Demander (et noter) à chaque participant son niveau informatique, et pourquoi il est présent dans ce stage. On apprend en faisant Etape 2 : Le mot de passe
Heartbleed Heartbleed is a catastrophic bug in OpenSSL: "The Heartbleed bug allows anyone on the Internet to read the memory of the systems protected by the vulnerable versions of the OpenSSL software. This compromises the secret keys used to identify the service providers and to encrypt the traffic, the names and passwords of the users and the actual content. This allows attackers to eavesdrop communications, steal data directly from the services and users and to impersonate services and users. Basically, an attacker can grab 64K of memory from a server. The attack leaves no trace, and can be done multiple times to grab a different random 64K of memory. "Catastrophic" is the right word. Half a million sites are vulnerable, including my own. The bug has been patched. At this point, the probability is close to one that every target has had its private keys extracted by multiple intelligence agencies. This article is worth reading. Possible evidence that Heartbleed was exploited last year.
Sécurité : comment choisir un bon mot de passe et le protéger ? Si vous lisez cette page, c’est que vous vous intéressez un minimum à la sécurité de vos données, et c’est déjà un excellent début. Nous avons voulu récapituler ici les règles essentielles à connaître pour la composition et la préservation d’un mot de passe. Nous en avons identifié 10 mais nous n’hésiterons pas à casser ce joli compte rond si cela s’avérait nécessaire à l’avenir. 1. Plus votre accès sera unique, moins il aura de chances d‘être forcé. Veillez aussi à ce que le mot de passe soit long avec au moins 8 caractères. source Le saviez-vous ? En attendant une généralisation de ce protocole de sécurité, lisez la suite… 2. On le voit chaque année avec le classement annuel des mots de passe les plus utilisés, les accès trop simples et trop répandus sont les plus vulnérables. Si vous vous pensez plus malin que les autres en jouant sur l‘évidence, c’est raté, ou du moins c’est dangereux. Partez du principe que dès c’est facile à retenir, c’est facile à trouver. 3. 4. 5. Pourquoi ? 6. 7.
Wild at Heart: Were Intelligence Agencies Using Heartbleed in November 2013? Yesterday afternoon, Ars Technica published a story reporting two possible logs of Heartbleed attacks occurring in the wild, months before Monday's public disclosure of the vulnerability. It would be very bad news if these stories were true, indicating that blackhats and/or intelligence agencies may have had a long period when they knew about the attack and could use it at their leisure. In response to the story, EFF called for further evidence of Heartbleed attacks in the wild prior to Monday. The second log seems much more troubling. Koeman's logs had been stored on magnetic tape in a vault. To reach a firmer conclusion about Heartbleed's history, it would be best for the networking community to try to replicate Koeman's findings. Network operators might also keep an eye out for other interesting log entries from 193.104.110.* and the other IPs in the related botnet.
Assurer sa sécurité numérique : Téléchargez le kit de sensibilisation aux risques numériques 4 thématiques pour se protéger et agir face aux risques cyber. Par Cybermalveillance.gouv.fr En juin 2018, le dispositif national Cybermalveillance.gouv.fr (partenaire de l'initiative France Num) a mis en ligne le 1er volet de son kit de sensibilisation au risque numérique pour sensibiliser les professionnels (entreprises, associations, administrations) et les particuliers. Il est disponible à cette adresse gratuitement via un simple clic : Dans ce kit, vous trouverez des contenus pédagogiques à la portée de chacun : des vidéos, des mémos, des fiches pratiques et des fiches réflexes, mais aussi de quoi organiser au sein de votre structure, une vraie sensibilisation, et partager les bonnes pratiques en matière de cybersécurité, sécurité du numérique. Découvrez le kit de sensibilisation et diffusez-le au sein de votre entreprise Un 2e volet du kit en préparation : Inscrivez-vous pour le recevoir