"Daniel Stenberg, le papa de curl (oui le truc qui tourne sur vos frigos connectés, vos voitures, vos satellites et probablement votre ex qui n'a vraiment pas de coeur), a publié un post assez édifiant sur la sécurité de la chaîne d'approvisionnement logicielle, et spoiler : la liste de ce qui pourrait mal tourner est suffisamment longue pour ruiner définitivement votre confiance en tout.
On y parle de Jia Tan (le fantôme de XZ), de contributeurs blackmailés, de mirrors "temporaires" infectés, de deepfakes d'un committer bien connu qui vous explique que "ouais t'inquiète le patch il est bon" et de CI hébergées dans le cloud qui se font compromettre. Bref, le catalogue complet du cauchemar d'un mainteneur, avec la cerise sur le gâteau : tout ça peut arriver en même temps.
La réponse de Daniel ? Vérifier. Tout. Toujours. Deux cents jobs CI par commit, valgrind, sanitizers, fuzzing continu via Google OSS-Fuzz, 2FA obligatoire, zéro blob binaire, zéro Unicode chelou dans le code et une politique d'ABI tellement stable qu'elle est devenue une religion. Une page dédiée vient même d'être ajoutée au site de curl pour que n'importe qui puisse vérifier que ce qu'il télécharge est bien ce qui a été signé.
Morale de l'histoire : curl tourne depuis 30 ans parce que quelqu'un fait vraiment son boulot, pendant que nous, on ship en prod sans lire les diffs."
Copié/collé d'un CanardPC de novembre 2019:
Google, Microsoft, Intel et sept autres grandes entreprises informatiques (dont Alibaba et Tencent) viennent de se regrouper pour un former un [...] consortium de Confidentialité informatique, qui aurait pour but d'oeuvrer à la sécurisation des données personnelles sur Internet. Seule bonne nouvelle, après ce grand rire qui fait du bien: le consortium sera présidé par la Linux Foundation, un peu comme si Marc Dutroux, Emilie Louis et Michel Fourniret lançaient un Consortium de la Protection de l'Enfance présidé par l'UNICEF.
Ah bah maintenant, on se sent plus rassuré.
ssh-audit is a tool for ssh server & client configuration auditing.
Ça aussi, il faudrait essayer ;-)
The five first minutes on a server.
(et il est bien bien sécurisé... Sans doute un peu trop?)
It boils down to this. An upgrade costs money, sometimes a lot of money, but the result has no visible outcome. In fact, in many cases the only outcome is an assurance that you've reduced the probability of attack, intrusion, breach and related unpleasantness. By any measure, that's a tough...
Sous le coude.
Email surveillance violates our fundamental rights and makes free speech risky. This guide will teach you email self-defense in 40 minutes with GnuPG.
Delta Chat - Email Based Instant Messenger
NEED HELP unlocking your digital life without paying your attackers*?
Ransomware is malware that locks your computer and mobile devices or encrypts your electronic files. When this happens, you can’t get to the data unless you pay a ransom. However this is not guaranteed and you should never pay!