Wouhou !  Nos amis de Telecomix ont mis en place un VPN (OpenVPN) en libre accès pour permettra aux dissidents de communiquer.  http://wnh.me/
♥ Telecomix.

Instructions pour Windows:
1) Téléchargez et installez OpenVPN (http://openvpn.net/index.php/open-source/downloads.html)
2) Téléchargez le script de connexion et le certificat Telecomix (http://web.wnh.me/files/openvpn.zip) et dézippez-le dans le répertoire "config" d'OpenVPN (sous Windows: c:\Program Files\OpenVPN\config\)
3) Lancez OpenVPN en tant qu'admin (clic-droit, Exécuter en tant qu'administrateur)
4) Clic-droit sur l'icône d'OpenVPN dans la barre des tâches > Connecter
5) A la connexion, mettez ce que vous voulez comme login et mot de passe.

Vérifiez votre adresse IP: http://monip.org
Et voilà, votre FAI et votre gouvernement ne peuvent plus savoir ce que vous faites, ni quel site vous visitez, ni avec qui vous communiquez, ni même quels protocoles vous utilisez. Avantage: Même dans un environnement non sécurisé, vos communications sont chiffrées.

Cette page test les algos de chiffrement/signature SSL acceptés par votre navigateur. Pratique.
(via http://links.kevinvuilleumier.net/?N8QK9A)

Une petite lib php pour faire de la stégano (planquer des données dans un PNG). Voir: http://www.joshianlindsay.com/index.php?id=126

Tiens... peut-être un remplaçant de CryptoCat qui ne nécessite pas d'extension navigateur.  à tester... (via http://links.kevinvuilleumier.net/?FyIeMw)

OH ! Très joli SFR ! Ils font aussi des attaques MITM en substituant les certificats SSL pour déchiffrer tout votre trafic.
(Et là on dit merci à CertWatch et CertPatrol)

Et voilà une nouvelle source pour le Rainbow Cracking.
http://crackstation.net/

Sauf que - je le répète - si votre système de stockage de mots de passe utilise un salt, ces jolies tables de hash sont inutilisables pour retrouver les mots de passe.

Mais enfin... NON !  On utilise JAMAIS un UUID comme token !  Rhhâââ...
Les UUID offrent la garantie d'unicité, mais en **aucun cas** d'aléa non prédictible.
Ou alors il faut recourir à des fonctions crypto, par exemple en concaténant un salt à l'UUID et en hashant le tout (sha1 ou autre). Là on a un token assez solide (et résistant à l'attaque d'anniversaire). L'idéal étant tout de même un véritable générateur aléatoire, mais ce n'est pas à la portée de tous.
(Et là je viens de m'apercevoir que dans Shaarli, comme un con, j'ai oublié d'ajouter un salt avant de hasher pour générer les tokens ...  doh. Rassurez-vous, le risque sécurité est très faible (Je vois mal quelqu'un lancer une attaque d'anniversaire à travers une attaque CSRF... ou alors je me trompe ? En javascript ? ça me paraît assez peu réaliste.)

(Oui j'ai bien conscience que j'ai dû perdre quelques lecteurs depuis le début de cet article.)

EDIT: Si vous voulez patcher Shaarli tout de suite, dans la fonction getToken() modifiez la ligne:
$rnd = sha1(uniqid('',true).'_'.mt_rand());
en:
$rnd = sha1(uniqid('',true).'_'.mt_rand().'####CE QUE VOUS VOULEZ, ÇA PEUT MÊME ÊTRE ASSEZ LONG####');

Et voilà. Bye bye l'attaque d'anniversaire.

L'appli de BitTorrent a l'air très sympa, mais je me pose encore des questions côté sécurité. à voir...

"Et sur ce point Mega va plus loin que les autres en utilisant les données sur votre manière d’écrire et de déplacer votre souris pour renforcer votre clé de chiffrement."

Pfff... c'est ce que font tous les logiciels qui génèrent des clés depuis des années (TrueCrypt par exemple).

Tiens donc: Un service d'envoi de fichier, mais chiffré côté client (javascript dans le navigateur). à tester.
(via Ballajack)
EDIT: ça n'a pas l'air de marcher terrible.

TL;DR mais l'idée est simple: Le chiffrement est notre salut.
Devant la poussée massive et répétée des états et entreprises pour prendre le contrôle d'internet (DPI, saisie des noms de domaine, pressions légales, morales et financières), point de salut en dehors du chiffrement (et ses technologies associées: onion-routing, DHS, routage décentralisé, etc.)

Mais comme il le dit: « Left to its own trajectory, within a few years, global civilization will be a postmodern surveillance dystopia, from which escape for all but the most skilled individuals will be impossible. »
Cet accès à des communications chiffrées et protégée reste pour le moment malheureusement l'apanage de quelques technophiles (Qui dans le grand public connaître TOR ou Freenet ?).
Les hackers sont les chevaliers qui combattent, en tête de pont, pour notre liberté sur le net.

Il y a quelques spécialistes en crypto dans le coin ? J'aimerais que vous lisiez cette page et que vous me disiez ce que vous en pensez là:
http://sebsauvage.net/paste/?976d7cef3f32e6d6#qFT/T0IwIkFjdZVv+E3UBJpXOebKfztqfBBpHzgXo9I=

EDIT: la suite là: http://sebsauvage.net/links/?xUKlOQ

(En France:) Vous refusez de donner le mot de passe de votre disque chiffré ? 3 ans d'emprisonnement (via DotMana).

Woao... La clé cryptographique maîtresse des PS3 a été extraite et publiée. C'est elle qui vérifie le bootloader. Autrement dit: Toutes les PS3 sont désormais bidouillables à volonté. C'est le retour de Linux sur cette machine.

Un nouveau framework de passage de message (pensez XMPP) sécurisé et décentralisé, basé sur GnuNet.

Le prochain algo de hashage de mots de passe dans php 5.5 sera par défaut bcrypt, ce qui est un bon choix. J'aurais aimé voir PBKDF2, mais bcrypt est déjà un énorme progrès par rapport à un simple sha1() (ou même sha256()), même avec un salt.

Woao... vous vous souvenez de l'attaque "cold boot" qui consiste à freezer des barettes de RAM avec un réfrigérant pour piquer les données ?
Voici une parade: Toute la RAM est chiffrée en AES 256 bits, et la clé et l'état interne de la machine AES reste stockée dans les registres du processeur, jamais en RAM.  Impressionnant.
Bien sûr cela a un impact sur les performances.

Une lib FUSE pour lire les volumes chiffrés FileVault2 de MacOSX sous Linux: http://code.google.com/p/libfvde/

Telecomix nous livre une petite liste de logiciel de VOIP chiffrés qui peuvent remplacer Skype: Jitsi, I Hear U, cSIPsimple, SFLphone, Mumble. Voir aussi http://ekiga.org/

Petit article sur l'auteur de crypto.cat, un web chat chiffré côté client à la manière de ZeroBin. Il continue à être copieusement emmerdé par les autorités américaines.
(Le site crypto.cat ne peut pas lire vos conversations, et les données chiffrées sont automatiquement supprimées 30 minutes après la fin d'une discussion.)

EDIT: Tiens justement il fait un AMA sur Reddit:
http://www.reddit.com/r/IAmA/comments/x9q0a/im_nadim_kobeissi_cryptocat_developer_and/

Reflets a mis en place un VPN pour faire de la VOIP chiffrée et anonyme. VRAIMENT chiffrée et anonyme, pas comme Skype. (cf.http://sebsauvage.net/links/?U5otxg)

4 clés ? Quel intérêt ? Une seule clé, plus longue, revient au même. Multiplier les clés, en crypto, fausse bonne idée.

Le célébrissime auteur de PGP va sortir une nouvelle application de VOIP chiffrée (et payante) pour iPhone, Android, PC et Mac: SilenceCircle (https://silentcircle.com/). La résurrection de phpFone ? http://www.pgpi.org/products/pgpfone/
En tous cas, je lui fait infiniment plus confiance qu'à Skype/Microsoft.

A noter qu'il est un peu attristé de voir ce que PGP est devenu (aux mains de NAI/McAfee, puis Symantec): « PGP moved too far away from individual users. It was geared so heavily toward enterprise that I felt it was hard to use for ordinary people. That was kind of sad. My original intent was individuals. Now I get to go back to individuals again. »

J'aime bien ce gars. C'est un hacktiviste avant l'heure.

Je me garde cette page de HackNews pour les commentaires: Certains suggèrent des alternatives à PBKDF2/bcrypt pour dériver un mot de passe (comme scrypt qui a l'air intéressant... justement parce qu'il est couteux pas seulement en CPU mais aussi en mémoire et qu'il semble difficile à paralléliser... mais alors à coupler obligatoirement à du rate-limiting, sinon c'est la porte ouverte au DDOS)
http://www.tarsnap.com/scrypt.html

Un outils pour bruteforcer les conteneurs TrueCrypt. A noter que 30 secondes pour tester 10000 mots de passe, ça fait environ 333 mots de passe testés par seconde. C'est extrêmement long (Les crackeurs comme John The Ripper, pour les hash Windows, en testent plusieurs MILLIONS par seconde). Cela me conforte dans l'idée que les concepteurs de TrueCrypt ont vraiment bien pensé leur système.
http://code.google.com/p/truecrack/

Notez que l'année dernière, le FBI a passé un an sur un conteneur TrueCrypt et s'y est cassé les dents.