HOME > RSS > BLOGS France > KORBEN

R S S : KORBEN


PageRank : 20 %

VoteRank :
(0.77 - 1 vote)





tagsTags: , , , , , ,


Français - French

RSS FEED READER



Rien à cacher – Le documentaire

22 November, by Korben[ —]

Il y a une analogie d'Edward Snowden sur la vie privée qui est super connue, mais que j'aime bien, car n'importe qui peut la comprendre :

Dire que votre droit à la vie privée importe peu, car vous n’avez rien à cacher revient à dire que votre liberté d’expression importe peu, car vous n’avez rien à dire. Car même si vous n’utilisez pas vos droits aujourd’hui, d’autres en ont besoin. Cela revient à dire : les autres ne m’intéressent pas.

Je n'avais pas encore pris le temps de regarder le documentaire Nothing To Hide disponible en ligne depuis quelques semaines, et il est important que vous le regardiez aussi (ou le fassiez regarder).

Ce doc soulève la question de l'acceptation de la surveillance de masse par les gens. Les États et les entreprises tentent progressivement de faire entrer dans la normalité l'abandon de la vie privée, et quand on voit le nombre de personnes mal informées qui répètent en boucle "Je m'en fiche, je n'ai rien à cacher", j'ai tendance à croire qu'ils y arrivent très bien.

C'est pour cela que ce genre de documentaire est important. Pour ouvrir cette petite porte mentale qui présentera le problème sous un angle différent de celui qu'on nous propose partout, tout le temps et que malheureusement certains reprennent à leur compte.

Bon visionnage !



Cet article merveilleux et sans aucun égal intitulé : Rien à cacher – Le documentaire ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.


Edito du 19/11/2017

19 November, by Korben[ —]

On est dimanche matin, c'est calme et je me suis dit que j'allais vous écrire un petit édito. Si vous me suivez sur Instagram ou Twitter, vous devez déjà presque tout savoir, mais ce n’est pas grave. Il y a plein de trucs cools cette semaine.

Tout d'abord, ça y est je suis inscrit à la salle de sport. J'ai dit au gérant : "je n’ai jamais fait de sport, je n’aime pas ça et je n’ai pas le temps, qu'est ce que vous me proposez ?". Il m'a répondu : "Pas de problème, j'ai exactement ce qu'il vous faut". Parfait. En plus, c'est un peu tech avec un genre de clé USB qui se branche sur les machines, du coup je peux suivre ma progression sur l'appli mobile. Et cette semaine, je me suis classé 25e. Ce qui est nul, mais super bien pour moi.

Autre truc cool, j'ai fait mon premier escape game hier. C'était chez Steam Escape qui a plusieurs salles un peu partout dans mon coin (Cournon, Vichy, St Étienne, Limoges). Ambiance Steam Punk, avec une enquête à mener dans les wagons de l'Orient Express. Vraiment très bien foutu aussi bien au niveau des énigmes que de l'ambiance générale et des décors. J'ai adoré et j'ai hâte d'y retourner pour mener à bien d'autres missions ! En plus, nous avons réussi, et fini 2e du mois sur cette mission.

Pour terminer, si vous êtes à Paris ce mard 21 novembre, je serai au Dell EMC Forum pour faire une petite conf. J'espère vous y voir nombreux ! Autrement, j'y ferai des interviews sur Periscope et je filmerai peut être aussi quelques confs sympa, donc surveillez mon Twitter mardi si cela vous intéresse.

Voilà pour ma folle actu. Et vous ça roule ?

Cet article merveilleux et sans aucun égal intitulé : Edito du 19/11/2017 ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.


Alexa et son perroquet

17 November, by Korben[ —]

Voici un perroquet gris du Gabon, appelé aussi perroquet Jaco (non, ce n'est pas son prénom), qui pilote Alexa pour allumera la lumière.

C'est ouf

Je ne connais pas bien ce genre de volatile et je suis impressionné par sa faculté d'imitation. Car au-delà de l'effet "Waouh il a allumé la lumière", il imite surtout à la perfection les voix, le rire et les intonations de ses humains adoptifs. Et son "OK" avec la voix d'Alexa est juste parfait.

Reste maintenant à savoir si Amazon va ajouter un filtre anti-Jaco à sa prochaine mise à jour ou si les fans de domotique équipés d'Alexa et d'un perroquet gris comme celui-ci vont péter un câble et zigouiller la volaille au bout d'un moment.

Petite parenthèse aussi concernant cette espèce animale protégée. Il est probable que cela donne envie à certains d'entre vous d'adopter ce genre de perroquet. Pourquoi pas, mais prenez bien conscience que ça fait du bruit, que ça chie partout, qu'il faut s'en occuper et que ça peut vivre 80 ans (donc plus vieux que vous, vu toutes les merdes cancérigènes qu'on absorbe à longueur de temps...).

Si malgré tout ça vous en voulez quand même un, adoptez en un qui a été abandonné. Ça lui permettra de retrouver une famille, et ça n'encouragera pas le commerce de ce genre de bestiole. Puis avec un peu de chance, il vous récitera quelques infos croustillantes sur les anciens proprios.

Cet article merveilleux et sans aucun égal intitulé : Alexa et son perroquet ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.


Github sort Teletype, un plugin Atom pour coder de manière collaborative

https://korben.info/github-sort-teletype-plugin-atom-coder-de-maniere-collaborative.htmlplay episode download
17 November, by Korben[ —]

Bonjour tout le monde ! Ça va bien dormi ?

Petite news intéressante aujourd'hui qui devrait plaire aux développeurs. Vous connaissez tous Etherpad et ses dérivés qui permettent d'écrire des documents à plusieurs de manière totalement simultanée.

Et bien Github vient de sortir Teletype, un package pour l'IDE Atom qui permet de faire du développement "social", c'est-à-dire à plusieurs sur le même fichier source. Teletype propose donc une édition sans conflit, grâce à WebRTC via une connexion P2P chiffrée entre les clients.

Encore en beta, ce package, si on met de côté ses éléments graphiques, est une véritable bibliothèque qu'il va être possible d'intégrer dans d'autres IDE ou plateformes. À terme, on devrait donc voir fleurir cette possibilité d'édition de code collaborative dans d'autres éditeurs qu'Atom.

Ça va chauffer dans les open spaces Et si vous bossez à plusieurs et à distance sur les mêmes projets, je pense que Teletype va changer votre vie (Oui, je ne suis jamais dans l'exagération ;-))).

Pour installer Teletype et le tester, c'est par ici.

Cet article merveilleux et sans aucun égal intitulé : Github sort Teletype, un plugin Atom pour coder de manière collaborative ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.


Comment augmenter la taille des onglets Firefox ?

16 November, by Korben[ —]

Apparemment, la nouvelle version 57 de Firefox provoque un petit désagrément au niveau de la taille des onglets. En effet, lorsqu'on en ouvre un très grand nombre, ils deviennent de plus en plus petits, ce qui rend impossible la lecture de ce qu'il y a d'écrit sur l'onglet.

Heureusement, 2 super lecteurs, Godefroy et Alexis m'ont envoyé des emails pour me proposer cette astuce que je partage avec vous.

Pour fixer vous-même la taille des onglets et ainsi régler le souci, 2 possibilités s'offrent à vous. La première consiste à changer le thème via le menu "Personnaliser" de Firefox, pour augmenter la densité.

Si cela ne vous convient pas, vous pouvez aussi taper dans la barre d'adresse :

about:config

Puis rechercher la clé :

browser.tabs.tabMinWidth

Augmentez ensuite la valeur de la clé à votre convenance pour avoir des onglets un peu plus grands. Entre 110 et 180 c'est une bonne taille. Et pas besoin de relancer le navigateur, maintenant ça s'applique en live !

Et voilà le résultat ! C'est beaucoup mieux non ?

Encore merci à Alexis et à Godefroy pour l'astuce.

Cet article merveilleux et sans aucun égal intitulé : Comment augmenter la taille des onglets Firefox ? ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.


Une backdoor dans les OnePlus qui permet de choper un accès root sans avoir à débloquer le bootloader

15 November, by Korben[ —]

Amis possesseurs de OnePlus, j'ai une mauvaise nouvelle à vous annoncer. Un internaute répondant au doux nom de Elliot Anderson (Mr Robot), a mis en ligne sur son Twitter des captures écran prouvant l’existence d'un backdoor dans OxygenOS (la distrib Android de Oneplus).

La faille se situe dans l'application de diagnostic EngineerMode développée par Qualcomm, et laissée (accidentellement ??) dans OxygenOS.

Pour savoir si votre téléphone OnePlus possède cette faille, rien de plus simple. Allez dans les paramètres -> Applications -> Menu -> Et affichez les applications système. Vous devriez y voir l'app EngineerMode.

Une personne avec un accès physique à votre smartphone ou une application tierce malveillante peut donc exploiter EngineerMode pour se mettre root sur votre appareil et ainsi accéder à toutes les données et les fonctions du système. Pour le petit lulz, EngineerMode nécessite une clé secrète pour passer en mode root sans même avoir besoin de débrider le bootloader. Et cette clé, après un peu de reverse engineering, c'est "Angela". Oui comme dans Mr Robot.

Donc pour être root sur un OnePlus 5T par exemple, il suffit d'entrer la commande suivante dans votre terminal (+ d'infos ici) :

adb shell am start -n com.android.engineeringmode/.qualcomm.DiagEnabled --es "code" "angela"

Chauuuud... On attend avec impatience la réaction et les explications de OnePlus et surtout un patch pour corriger rapidement cette faille béante. En attendant, si vous voulez sécuriser votre téléphone, lancez un shell ADB et entrez les commandes suivantes pour désactiver EngineerMode.

setprop persist.sys.adb.engineermode 0

setprop persist.sys.adbroot 0

D'autres roms stock d'autres constructeurs, contenant aussi l'application EngineerMode sont en cours d'analyse. Il n'est pas improbable que cette backdoor soit découverte aussi ailleurs que chez OnePlus... A suivre donc.

Cet article merveilleux et sans aucun égal intitulé : Une backdoor dans les OnePlus qui permet de choper un accès root sans avoir à débloquer le bootloader ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.


Le nouveau Firefox Quantum est disponible. C’est l’occasion de lui redonner une chance, histoire de ne pas mourir bête et buté ;-) .

15 November, by Korben[ —]

Vous le savez, je suis un grand défenseur de Firefox. Ça doit être, avec VLC, mon logiciel libre préféré et je trouve important de soutenir ce genre d'outil, car si un jour on le perd, on se retrouvera tous à utiliser un navigateur made in Google ou Microsoft qui pourront enfin imposer leurs propres standards, bien loin de l'intérêt commun. Et ce serait dommage quand même.

Alors oui, je sais, beaucoup ont abandonné Firefox à l'époque ou celui-ci rencontrait de gros problèmes au niveau de la gestion mémoire. Mais depuis, pas mal d'eau a coulé sous les ponts. Et si je vous en parle aujourd'hui, c'est pour vous annoncer la sortie d'une nouvelle version majeure de Firefox. Estampillée du numéro 57 et baptisée Firefox Quantum, cette nouvelle version apporte pas mal de nouveautés.

Je vais donc commencer en vous parlant de Quantum, le moteur d'affichage remplaçant Gecko. Quantum est basé sur le projet Servo et son atout principal c'est la vitesse. En effet, Quantum sait exploiter toutes les capacités des processeurs récents (CPU / GPU) et Mozilla peut maintenant se vanter d'avoir un Firefox affichant des pages 30% plus rapidement que Chrome. (Faites le test !)

À côté de ça, cette version 57 signe aussi l'arrivée de Photon, la nouvelle interface graphique qui d'après Mozilla est beaucoup plus réactive et légère. L'une des grosses nouveauté, c'est que dorénavant, la barre de recherche et la barre d'adresse sont unifiées.

Niveau extensions, pas mal de changement aussi puisque seules les WebExtensions sont supportées. Exit donc les anciennes extensions à base de XUL / XPCOM. Cela embête pas mal de monde, mais progressivement les développeurs mettent à jour leurs extensions. L'avantage c'est que WebExtensions est un standard déjà utilisé par Chrome, Opera, Edge...etc, ce qui permet un développement plus rapide, multi-navigateurs, sans avoir à réécrire tout le code.

Voilà pour le petit tour rapide de Firefox 57. Pour ma part, je l'utilise en version Nightly depuis des semaines, donc je peux vous donner mon ressenti.

Premièrement je n'ai plus de crash intempestif, chose que je pouvais parfois avoir avec les versions majeures précédentes.

Après niveau vitesse d'affichage, j'ai effectivement constaté une nette amélioration. Mais je suis un barbare du surf et j'ai tendance à ouvrir simultanément une 40aine ou plus d'onglets, et forcement, en fonction des sites ouverts, ça peut se mettre à consommer plus ou moins de RAM ou de CPU. Mais là je ne suis pas certain que Mozilla puisse faire grand-chose, car ça dépend beaucoup de chaque site. Et si en plus ces sites minent de la cryptomonnaie, je vous laisse imaginer.

Et je vous rassure Chrome et Edge ne font pas mieux lorsqu'on ouvre énormément d'onglets. Heureusement, j'ai découvert cette petite astuce qui me permet de soulager un peu la consommation mémoire de Firefox sans avoir à le relancer.

En conclusion, ce que je peux vous dire c'est que c'est un bon cru et je vous invite à l'installer comme navigateur par défaut durant quelques semaines pour le tester. Après libre à vous de le virer si vous n'êtes pas satisfait, mais on moins, vous aurez fait votre propre expérience de Quantum.

En ce qui me concerne, il est adopté depuis longtemps !

Cet article merveilleux et sans aucun égal intitulé : Le nouveau Firefox Quantum est disponible. C’est l’occasion de lui redonner une chance, histoire de ne pas mourir bête et buté ;-) . ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.


iPhone 8 Plus VS Galaxy Note 8 : Duel photos et videos

14 November, by Korben[ —]

Si vous êtes en mode changement de smartphone alors novembre est fait pour vous. En effet, c'est le big mois des promos high tech et on va bientôt entrer dans la période où tous les gadgets qui nous font tripper vont être à prix réduit.

Et dans l'idée ou les capacités vidéo et photo du matos sont des critères primordiaux pour effectuer votre achat ou le shift, passer de Android à iOS ou vice versa, on vous propose la vidéo la plus complète possible pour vous aider à faire votre choix entre deux big boss du moment:

A ma gauche, dans le coin bleu, le Galaxy Note 8, avec son écran 6,3 pouces, son Double objectif photo et sa technologie Dual Pixel et accompagné de son stylet S Pen.

A ma droite droite, dans le coin rouge, l'iPhone 8 Plus, avec son chassis tout en verre, ses 5,5 pouces d'écran et ses pixels à double transistor pour une une vue sur l’écran depuis quasiment n’importe quel angle.

Cet article merveilleux et sans aucun égal intitulé : iPhone 8 Plus VS Galaxy Note 8 : Duel photos et videos ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.


A propos de la divulgation coordonnée de vulnérabilités

https://en.wikipedia.org/wiki/Parable_of_the_Good_Samaritan#As_a_metaphor_and_nameplay episode download
13 November, by Korben[ —]

Depuis un petit moment maintenant, de nombreuses sociétés et organisations tentent de trouver des solutions pour contrer le Bug Bounty sauvage (open bug bounty) ou encore empêcher le full disclosure qui consistent à révéler publiquement une faille de sécurité.

Vous connaissez aussi sans doute aussi le concept de “Divulgation Responsable” (Responsible Disclosure), qui reprend le concept du Full Disclo, à la différence prêt que cette fois, le découvreur de la faille laisse le temps à l'éditeur de publier un correctif.

Mais cela ne se passe pas toujours sans chamaillerie. En effet, les chercheurs souhaitent prévenir le plus vite possible la communauté de leur découverte et les éditeurs prennent souvent beaucoup de temps à proposer un correctif. Et pendant ce temps, le système impacté reste à la merci d'éventuels attaquants.

C’est la raison pour laquelle de nombreuses organisations plaident en faveur du concept de “Divulgation coordonnée de vulnérabilités” (DCV) afin de promouvoir et renforcer la coopération entre les différents acteurs de la cybersécurité qui tous ont un objectif commun : rendre l’Internet plus sûr.

Sur le blog de YesWeHack, nous avons publié un article à ce sujet, que je partage avec vous ici.

---

La Divulgation coordonnée de Vulnérabilités ( DCV ) est un processus visant à réduire les risques et in fine à atténuer les dommages potentiellement causés par une vulnérabilité ciblant un système d’information. La DCV ( CVD en anglais ) est un processus que l’on ne peut pas réduire au déploiement d’un correctif ou à la publication d’un rapport quand bien même ces événements sont des indicateurs de l’efficience de la coopération.

La divulgation coordonnée des vulnérabilités est donc le processus qui consiste à collecter des informations auprès des chercheurs de vulnérabilités, à coordonner le partage de ces informations entre les acteurs et à divulguer l’existence de vulnérabilités (logicielles, voire matérielles) et leurs mesures d’atténuation à diverses parties prenantes, y compris le grand public.

Cette pratique accroît de manière significative les chances de réussite de tout processus de réponse à vulnérabilité. Les contributions sont souvent des rapports de vulnérabilité rédigés par des chercheurs en sécurité.

Les rapports DCV concernant un produit (logiciel ou matériel) comprennent généralement des correctifs ainsi que des documents de rapport de vulnérabilité ou des enregistrements dans une base de données de vulnérabilités. Notez que de nombreuses vulnérabilités opérationnelles peuvent être aussi corrigées par l’opérateur et elles ne se traduisent pas forcément par une divulgation publique.

La divulgation des vulnérabilités est un processus par lequel les fournisseurs et les personnes qui découvrent des vulnérabilités peuvent travailler en collaboration pour trouver des solutions qui réduisent les risques associés à une vulnérabilité.

Norme ISO/CEI 29147 définissant la Divulgation de Vulnérabilités

Ce processus comprend des actions tels que le signalement, la coordination et la publication d’informations sur une vulnérabilité, son atténuation voire, dans l’idéal, sa résolution.

À ce stade, décortiquons la DCV :

Les principes:

  • Réduire les risques donc les dommages
  • Croire aux bonnes actions donc aux bons samaritains
  • Éviter le hasard
  • Stimuler la coopération
  • Suivre la déontologie
  • Apprendre de la boucle OODA
  • Considérer la DCV comme un processus naviguant entre le “meilleur” et le “pire”.

Les objectifs :

  • veiller à ce que les vulnérabilités identifiées soient prises en compte;
  • réduire au minimum le risque de vulnérabilité;
  • fournir aux utilisateurs suffisamment d’informations pour évaluer les risques liés aux vulnérabilités de leurs systèmes;

Les acteurs :

La Divulgation coordonnée de Vulnérabilités commence communément par la détection d’une vulnérabilité et se termine par le déploiement de correctifs ou d’atténuation.

Par conséquent, plusieurs acteurs sont impliqués dans le processus de CVD :

  • Chercheur en sécurité – la personne ou l’organisation qui identifie la vulnérabilité.
  • Rapporteur – la personne ou l’organisation qui avise le fournisseur de la vulnérabilité.
  • Fournisseur – la personne ou l’organisation qui a créé ou entretient le produit vulnérable.
  • Administrateur système – personne ou organisation qui doit déployer un correctif ou prendre d’autres mesures correctives.
  • Coordinateur – personne ou organisation qui facilite le processus d’intervention coordonnée.

Les étapes :

  • Découverte – Quelqu’un découvre une vulnérabilité dans un produit.
  • Rapport – Le fournisseur du produit ou un tiers coordinateur reçoit un rapport de vulnérabilité.
  • Qualification – Le destinataire d’un rapport le valide pour s’assurer de son exactitude avant de le prioriser en vue d’une action ultérieure.
  • Remédiation – Un plan d’assainissement (idéalement un correctif logiciel) est élaboré et mis à l’essai.
  • Sensibilisation du public – La vulnérabilité et les mesures correctrices sont divulguées au public.
  • Déploiement – Les mesures correctrices sont appliquées aux systèmes concernés.

La phase de rapport est importante, car elle requiert de créer des canaux sécurisés pour éviter que les informations transmises soient interceptées par une tierce partie.

Ce processus connaît cependant des obstacles :

  • Aucun contact du fournisseur disponible – Ceci peut se produire parce qu’un contact n’a pas pu être trouvé ou parce que le contact n’est pas réactif.
  • Cessation de coopération – les participants au processus de DCV pourraient avoir d’autres priorités qui attirent leur attention.
  • Fuites d’information – Qu’elles soient intentionnelles ou non, les informations destinées à un groupe restreint d’acteurs, peuvent être transmises à d’autres personnes qui ne participent pas au processus de DCV.
  • Découverte indépendante – Toute vulnérabilité qui peut être trouvée par un individu peut être trouvée par un autre, et tous ne vous en parleront pas.
  • Exploitation active – Les preuves qu’une vulnérabilité est activement exploitée par des adversaires nécessitent d’accélérer le processus de DCV pour réduire l’exposition des utilisateurs au risque.
  • La communication se détériore – La DCV est un processus de coordination d’activités humaines. En tant que tel, son succès dépend de la quatité des relations entre les participants.
  • Marketing – Dans certains cas, les vulnérabilités peuvent être utilisées comme un outil de marketing. Cela n’est pas toujours propice au bon déroulement du processus de DCV.

En synthèse :

Les pratiques de divulgation des vulnérabilités ne se limitent plus aux applications web. L’Internet des objets et la constellation de systèmes SCADA, d’appareils de santé connectés, de caméras de surveillance, de voitures connectées, de drones, etc. sont devenus tellement dépendants des logiciels et de l’Internet qu’ils augmentent le périmètre d’exposition et, de ce fait, seront inéluctablement exposés à de nouvelles attaques.

La Divulgation coordonnée de Vulnérabilités est une alliée majeure pour fédérer le plus grand nombre d’acteurs du cyberespace et stimuler l’échange de savoirs pour mieux assurer dès la conception : la sécurité et la protection de la vie privée.

En incitant à la coopération, la DCV permettra à tous les acteurs de la cybersécurité non seulement de défendre leurs bastions et leurs patrimoines informationnels, mais aussi de lutter plus efficacement contre le marché noir et/ou la revente de Zerodays.

Le décor est maintenant planté, alors passons de la théorie à la pratique.

Security.txt : la prometteuse RFC !

Afin de répondre au manque de contacts mis à disposition pour divulguer une vulnérabilité sur un site web , le chercheur en sécurité EdOverflow, bien inspiré par le rôle du fameux robots.txt, a suggéré depuis début août 2017 d’inclure dans chaque site web le fichier security.txt comme fichier de référence contenant la marche à suivre pour divulguer plus efficacement à l’éditeur d’un site un bug, une vulnérabilité.

Cette méthode a le mérite d’établir des lignes directrices claires pour les chercheurs en sécurité sur la façon de signaler les problèmes de sécurité et permet aux programmes de Bug Bounty de s’en inspirer pour mieux définir le périmètre d’attaque proposé aux futurs chercheurs.

Security.txt est une ébauche qui a été soumise à l’examen de la RFC. Cela signifie que security.txt en est encore aux premiers stades de développement. Vous pouvez y contribuer sur github !

Le Bug Bounty comme composant de votre politique de divulgation

Dans le cadre d’un développement agile sur leurs propres produits, de plus en plus de fournisseurs choisissent d’être pro-actifs en stimulant et en coopérant avec les chercheurs de vulnérabilités :

  • soit en misant sur les ressources et expertises en interne.
  • soit en contractant directement avec des chercheurs externes
  • soit en passant par une plateforme qui va mettre en relation des chercheurs et l’éditeur de la solution. Ce dernier paiera donc au résultat et pourra choisir différentes formules et options payantes telles que le management de programme voire le patch management si ses ressources en interne ne sont pas suffisantes.

La création et l’instauration dans la durée d’un programme de Bug Bounty sont considérées comme des indicateurs de maturité de la cybergouvernance des éditeurs en matière de vulnérabilité.

Depuis 2013, YesWeHack travaille au développement d’outils qui facilitent grandement la mise en place d’un politique incitative à la divulgation coordonnée de vulnérabilités. Sa communauté et son écosystème de services permettent aux organisations et aux chercheurs en sécurité informatique de mieux coopérer.

Grâce aux outils développés par YWG-H, les organisations bénéficiaires peuvent contourner plus aisément les obstacles rencontrés par leur politique de DCV. De plus, les organisations gagnent en notoriété en démontrant leur appétence et leur volonté d’améliorer en continu leurs systèmes.

Notre plateforme européenne de Bug Bounty a beaucoup d'avantages qui la rendent unique :

  • un recours à des partenaires et prestataires européens pour des questions de souveraineté.
  • une infrastructure légale et technique qui répond aux exigences de sécurité les plus élevées.
  • la sécurité et la confidentialité des communications basées sur le chiffrement et le respect des normes ISO.
  • une sécurisation des transactions financières entre les organisations et les chercheurs en sécurité.
  • une plateforme de paiement conforme aux dispositifs européens de lutte contre le blanchiment d’argent et contre le financement du terrorisme.
  • un accompagnement tout au long du processus : de la rédaction du programme jusqu’à l’aide aux correctifs.
  • un classement opérationnel des meilleurs chercheurs : Gestion d’une communauté de chercheurs en sécurité.
  • une réactivité qui permet de mobiliser les meilleurs chercheurs en un temps record.
  • une capacité d’organisation de différents types de programmes de Bug Bounty (Privé / public / In situ / Hardware et/ou Software).

Quelle démarche adopter si un produit ne propose ni Bug Bounty ni Security.txt ?

Il existe un outil simple et efficace pour éviter les remontées sauvages de vulnérabilités : Zerodisclo.com

Il est important de noter que certains produits (logiciel ou physique) ne disposent pas de leur propre programme de Bug Bounty. Il est ainsi délicat pour un chercheur en sécurité de pouvoir remonter une vulnérabilité à une société éditrice. Tous les pays ne disposent pas d’une loi permettant ce type de pratique comme c’est l’objet de l’article 47 de la Loi pour une République numérique initiée par l’ANSSI.

YesWeHack a crée Zerodisclo.com pour faciliter les remontées de vulnérabilités de façon sécurisée, voire anonyme, et ainsi mettre en relation les différents acteurs œuvrant pour un Internet plus sûr. Grâce à Zerodisclo plusieurs obstacles sont levés : Pas de login, anonymisation du rapport via le réseau Tor (.onion) et chiffrement obligatoire et automatique du contenu du rapport avec la clef PGP publique du CERT choisi. Vous pouvez consulter la liste des CERTs inclus dans ZeroDisclo.com

À titre d’exemple : vous pouvez aussi rapporter directement au CERT FR en cliquant sur le lien suivant > https://zerodisclo.com/#cert-fr

J'espère que certe article vous aura aidé à y voir plus clair sur ce qu'est la Divulgation coordonnée de Vulnérabilités et que cela vous aura donné envie de vous y mettre pour reprendre enfin le contrôle de vos vulnérabilités.

Cet article merveilleux et sans aucun égal intitulé : A propos de la divulgation coordonnée de vulnérabilités ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.


Accèder aux modules cachés de Jetpack pour WordPress

10 November, by Korben[ —]

Si vous utilisez le WordPress pour votre site, peut-être avez-vous installé en plus, l'extension Jetpack qui permet de profiter des certaines fonctionnalités du site WordPress.com sur sa version auto-hébergée. Jetpack offre pas mal de fonctionnalités supplémentaires pour améliorer la sécurité de votre site, faire des sauvegardes, optimiser le SEO, mieux gérer votre contenu, accéder à des stats et j'en passe.

Toutefois, parce qu'ils sont encore en test, ou parce qu'ils vont bientôt être abandonnés, certains modules demeurent cachés dans l'interface de Jetpack. Voici comment les afficher pour pouvoir les installer (à vos risques et périls évidemment )

Pour cela, ouvrez la page de paramétrage de l'extension Jetpack et rendez-vous tout en bas de celle-ci. Vous devriez voir un petit lien nommé "Debug".

Cliquez dessus, et vous arriverez sur une page sur laquelle se trouve le lien suivant : "Access the full list of Jetpack modules available on your site"

Et voilà, ainsi, vous aurez accès à l'intégralité des modules proposés par cet super extension !

Enjoy !

Source

Cet article merveilleux et sans aucun égal intitulé : Accèder aux modules cachés de Jetpack pour WordPress ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.


0 | 10 | 20 | 30 | 40 | 50 | 60 | 70 | 80 |...










mirPod.com is the best way to tune in to the Web.

Search, discover, enjoy, news, english podcast, radios, webtv, videos. You can find content from the World & USA & UK. Make your own content and share it with your friends.


HOME add podcastADD PODCAST FORUM By Jordi Mir & mirPod since April 2005....
ABOUT US SUPPORT MIRPOD TERMS OF USE BLOG OnlyFamousPeople MIRTWITTER