J’utilisais jusqu’ici Backintime, mais ai eu des problèmes avec. Surtout, Backintime nécessitait un accès SSH côté serveur, ce qui était un gros risque de sécurité.
Continuer la lecture de DejaDup à la place de Backintime pour les sauvegardes desktop à distance (via k3s)Archives de catégorie : Sécurité
aes-xts indisponible après upgrade vers debian buster sur Olinuxino A20
Suite à l’upgrade de Debian de Stretch vers Buster sur Olinuxino A20, on perd le support de l’algorithme de chiffrement aes-xts dans le kernel. Il a donc fallu re-chiffrer en aes-cbc les périphériques concernés.
Continuer la lecture de aes-xts indisponible après upgrade vers debian buster sur Olinuxino A20Nouvelle ROM LineageOS pour ZTE Open C, avec le correctif de sécurité pour le PNG
Suite à mon article sur la compilation de LineageOS, j’ai compilé une ROM qui contient les derniers patchs de sécurité. Ca corrige notamment la faille liée aux images PNG.
Sauvegardes via Internet, automatisées et auto-hébergées avec Backintime et Docker
Faire des sauvegardes régulières est crucial. Mais rares sont les personnes qui le font sérieusement. Il faut donc les automatiser et les rendre faciles d’utilisation.
Pour résister à un cambriolage, incendie ou autre gros pépin, le mieux est que cette sauvegarde soit externalisée. Dans ce cas, il est important que les données soient chiffrées, et que le flux réseau ne soit pas excessif.
Ca faisait longtemps que j’avais l’idée de faire des sauvegardes croisées et auto-hébergées : je stocke les sauvegardes d’un copain, et il stocke les miennes. Et je pourrais ainsi fournir une solution de sauvegarde simple et automatique à toutes les personnes pour qui j’ai installé Linux.
C’est BackInTime que j’ai choisi pour faire ça côté client, et Docker m’a permis de mieux sécuriser les choses côté serveur.
Firefox OS et les failles WiFi et Spectre/Meltdown
En résumé : tout le monde s’en fout. Les appareils Firefox OS sont certainement concernés, mais ne seront probablement jamais patchés.
Continuer la lecture de Firefox OS et les failles WiFi et Spectre/Meltdown
Orange accède aux mots de passe en clair dans Flexible Contact Center
Flexible Contact Center est un service de call-center en mode SaaS, commercialisé par Orange, à destination des entreprises.
Les mots de passe des comptes qui sont créés sur cette plateforme sont apparemment stockés en clair, puisqu’il leur arrive de les envoyer par email.
Continuer la lecture de Orange accède aux mots de passe en clair dans Flexible Contact Center
Faiblesses du firmware du modem câble Sagem F@st 3284 DC de RED by SFR
Je suis tombé sur quelques faiblesses du firmware du modem Sagem F@st 3284 DC, en tous cas dans la version que j’ai pu tester (NCC-PC20_2.101.0, sur une version 1.0 du matériel, fournie par RED by SFR)
Continuer la lecture de Faiblesses du firmware du modem câble Sagem F@st 3284 DC de RED by SFR
Chiffrement du filesystem en auto-hébergement
J’ai investigué quelques solutions pour chiffrer le filesystem de mes serveurs auto-hébergés. En prenant notamment en compte leurs contraintes particulières : pas d’accès « console » simple, faible puissance et filesystem sur carte SD.
Continuer la lecture de Chiffrement du filesystem en auto-hébergement
Divulgation responsable de failles de sécurité : le parcours du combattant
Signaler une faille de sécurité n’est pas si simple que ça. Il faut savoir qui contacter, et ne pas être pris pour un méchant pirate.
Voici mon expérience avec des failles découvertes dans les modem SFR/Numericable (voir l’article dédié).
En tout, 14 mois se sont écoulés entre la découverte et la fin des corrections, pour de multiples raisons.
Continuer la lecture de Divulgation responsable de failles de sécurité : le parcours du combattant
Failles de sécurité sur les modems SFR/Numericable
Au départ, je cherchais à désactiver automatiquement le WiFi de mon modem la nuit. Comme il y a une interface web d’administration du modem, j’ai essayé de scripter les opérations sur cette interface.
C’est en développant ce script que j’ai découvert plusieurs failles de sécurité dans cette interface d’administration. Dans certaines conditions, cela permettait à n’importe qui sur Internet de voir et modifier tous les paramètres du modem. Les failles les plus critiques ont maintenant été corrigées par SFR/Numericable.
Continuer la lecture de Failles de sécurité sur les modems SFR/Numericable