Au départ, je cherchais à désactiver automatiquement le WiFi de mon modem la nuit. Comme il y a une interface web d’administration du modem, j’ai essayé de scripter les opérations sur cette interface.
C’est en développant ce script que j’ai découvert plusieurs failles de sécurité dans cette interface d’administration. Dans certaines conditions, cela permettait à n’importe qui sur Internet de voir et modifier tous les paramètres du modem. Les failles les plus critiques ont maintenant été corrigées par SFR/Numericable. Continuer la lecture de Failles de sécurité sur les modems SFR/Numericable→
Le processeur Allwinner A20 est capable d’accélérer matériellement un certain nombre d’algorithmes de cryptographie. J’ai voulu tester s’il était possible d’en tirer parti sur Olinuxino A20, avec Debian Jessie.
La première semaine de janvier, je suis allé à Berlin faire un Hackathon pour le projet Kiwix : l’occasion d’avancer sur l’intégration d’Evopedia dans Kiwix.
Par défaut, les dataSources déclarées dans Tomcat affichent le mot de passe jdbc en clair dans conf/server.xml.
Dans pas mal d’entreprises, le répertoire de tomcat est accessible en lecture à de nombreuses personnes. C’est très pratique pour diagnostiquer, mais pose un problème de sécurité en exposant ce mot de passe.
Voici quelques pistes d’amélioration que j’ai investiguées, en essayant de trouver un équilibre entre les besoins des développeurs et ceux de l’exploitation (oui, ça ressemble à de la démarche devops ).
Voici des comportements que j’ai souvent vus en entreprise. Ils ont tous une logique certaine, mais cachent en général une négligence (et parfois méconnaissance) de la sécurité informatique.
Il faut dire que sécuriser, c’est des contraintes à court terme, pour (peut-être) réduire un risque à moyen terme. Donc ça va souvent à contre-courant.
J’ai appris quelques trucs suite à un plantage système. Rien d’exceptionnel, mais deux astuces utiles quand on doit réparer le filesystem d’un serveur debian via SSH.
).