Je suis totalement d'accord. Tous ces projets de "Tor-box" sont fondamentalement dans l'erreur. Tor *DOIT* tourner directement sur le poste final, surtout pas sur un boîtier intermédiaire.

Ah oui justement à propos de la (non) sécurité d'X11, rares sont les OS qui isolent correctement la couche graphique (typiquement, les applications peuvent intercepter facilement les événements souris/clavier destinés à d'autres applications). Cela touche tous les OS. D'après quelques articles que j'avais pu lire, l'OS le plus avancé sur la protection des GUI est... Windows.
Ceci dit, j'ai noté que la dernière version de Firejail (encore en RC) implémente un mécanisme d'isolation X11 pour chaque appli. à explorer... (voir https://l3net.wordpress.com/2016/04/03/firejail-0-9-40-rc1-release-announcement/)

Liste de serveurs VNC ouverts à internet sans la moindre sécurité.
*facepalm*

Ah oui, ils pensent décidément à tout dans Python :-)     Le slogan de Python, c'est « Batteries are included ».
Typiquement: je m'étais fait chier à implémenter une fonction de conversion des couleurs RGB<-->HSL... pour m'apercevoir que Python l'incluait déjà aussi  ^ ^

Une fonction de comparaison de chaînes à temps constant, ça peut paraître con, mais c'est à cause de ce manque qu'un spécialiste en sécurité avait réussi à trouver une attaque sur ZeroBin permettant de supprimer des pastes. J'ai trouvé ça magnifique. (Voir la section « 2.7 HMAC Not Compared in Constant Time » dans https://defuse.ca/audits/zerobin.htm )

Euh... What ?
D'abord:
1) Un logiciel aura un accès bas niveau au processeur ???  Et si des logiciels malveillants avaient aussi cet accès ?  Est-ce que globalement ça va améliorer la sécurité ?  J'ai des doutes.
2) Entre Avast (le logiciel) et le processeur, il y a Android (Google). Est-ce que Google est content qu'un éditeur de logiciel et un fabricant de processeur court-circuitent complètement le modèle de sécurité d'Android ?

Je ne suis pas certain que ce concept soit vraiment une bonne idée.

Non mais sérieusement ? L'éditeur d'antivirus Comodo inclu un serveur VNC pas/peu protégé dans ses produits, ce qui permet de prendre le contrôle à distance de l'ordinateur... facilitant ainsi son piratage.  Un serveur VNC avec les droits ADMIN.     *facepalm*
Comment, en 2016, on peut être éditeur de logiciel de sécurité et continuer à penser qu'ouvrir un serveur VNC à internet est encore une bonne idée ??? SÉRIEUSEMENT ???
(source: https://code.google.com/p/google-security-research/issues/detail?id=703)

Comment bien stocker un mot de passe en 2016 (pour php, java, C#, Python, Ruby, etc.)

Moralité: se méfier du marketing.

C'est beau, c'est bien. Et le mieux, c'est que la contribution que ce gouvernement a choisi d'apporter va bénéficier à *tout* le monde, pas qu'au pays lui-même.

Quelques conseils pour construire des règles CSP de base pour votre site (Content-Security-Policy).
Un site pour les vérifier: https://securityheaders.io/

Il suffit de retirer « de bout en bout ». Blackberry s'oppose au chiffrement tout court.
Si c'est censé être chiffré entre Alice et Bob, et que quelqu'un au milieu peu déchiffrer, alors la sécurité ne vaut *rien*.
Au moins je sais que je n'achèterai jamais de produits Blackberry.

Oh misère....  :-(
Je rappelle les URL de téléchargement direct pour Windows: http://sebsauvage.net/links/?rqfDCw

Un bon article qui défend le chiffrement face aux multiples attaques dont il fait l'objet par les démagos de tous bords.
Reduire ou limiter la cryptographie, c'est réduire notre sécurité.

PUTAIN MAIS DELL, QU'EST-CE QUI TE PERMET DE METTRE CE GENRE DE CERTIFICAT RACINE A LA CON ???
Non mais quel trahison de la confiance des utilisateurs ! C'est infecte.
Rhâââ.
Quand est-ce que les fabricants vont respecter leurs clients ???  (entre ça et Lenovo et ses spywares inclus dans le BIOS qui ré-injectent leur process dans Windows même quand vous ré-installez  >:-(((

Aux Etats-Unis, les policiers sont de plus en plus équipés de caméras à l'épaule. Petit problème: il semblerait qu'un bon paquet de ces caméras aient été infectées par un malware connu, Conficker (cf. http://sebsauvage.net/rhaa/?2009/04/09/23/35/41)
Le fournisseur n'a pas encore répondu de ce problème.
Vous comprenez mieux le danger des technologies de surveillance ? Une fois qu'elle sont en place, viendra un jour où elles seront piratées et se retourneront *contre* vous.
Alors nous promettre plus de sécurité en échange de plus de surveillance, bonne blague.

Oui, tout à fait !
La monoculture technologique est nuisible à la sécurité.
On peut faire un parallèle avec la biologie: Le manque de variété génétique d'une population est préjudiciable à sa survie: Si un virus assez ciblé arrive, il peut décimer la population.
Une plus grande variété génétique dans la population assure de meilleures chances de survie (parce qu'une partie de la population aura une résistance naturelle au virus).
Diversifions !  :-)

Une application pour savoir à quelles failles courantes votre Android est sensible.  :-@
https://play.google.com/store/apps/details?id=com.nowsecure.android.vts

A noter que ce n'est un problème QUE SOUS WINDOWS (Avec Linux, les dépôts vous fournissent les mises à jour).

Pour que vos proches sous Windows mettent à jour VLC sans manipulations compliquées: https://ninite.com/vlc/ninite.exe
Télécharger, lancer, VLC sera mis à jour automatiquement.

Pour détourner le fonctionnement normal d'un ordinateur, il y a des tonnes de façon de faire: modification des exécutables (méthode la plus commune), modification des scripts de démarrage, modification des secteurs de démarrage... mais de toutes, je suis tombé sur un assez subtile, une à laquelle on ne pense pas forcément.

Je suis arrivé un jour sur un ordinateur qui n'affichait pas correctement certains sites web. Certains marchaient bien, d'autres pas du tout, d'autres s'affichaient de façon étrange. Après avoir lancé MalwareByte pour un scan complet: Rien. Quelques autres antivirus: Toujours rien de détecté.  Pas de logiciel remplacé. Le navigateur est récent et à jour. Pas de plugins/extensions bizarres dans le navigateur. Pas de service ou application étrange lancée au démarrage de l'ordinateur. Pas de fichiers hosts modifié. Aucun proxy configuré dans le navigateur.
Je me suis gratté la tête un moment... et puis l'illumination: Je suis allé voir dans la config IPv4 du système:  Les serveurs DNS avaient été détourné et configurés pour pointer vers des adresses bizarres.
Il n'y avait pas le moindre malware présent sur l'ordinateur, pas le *moindre* fichier infecté, aucun fichier de démarrage modifié. Mais par cette seule modification de la config DNS, le pirate pouvait faire afficher n'importe quoi à la place d'un site officiel.

Même sans rien installer (rootkits, chevaux de troie, virus, logiciels espions), il est possible de détourner le comportement d'un ordinateur en altérant très légèrement sa configuration. Pensez-y le jour où vous déverminez une Fenêtre™.

qqqq... QUOI ???  Il y a plusieurs centaines de milliers de sites web qui utilisent les MÊMES nombres premiers dans leur certificat D-H TLS ?  http://sebsauvage.net/galerie/photos/Bordel/homer.png
(Cet article parle d'une nouvelle attaque contre l'échange de clés Diffie-Hellman qui permet de pré-calculer l'attaque pour un couple de nombre premiers, et ainsi de réduire le temps de calcul pour déchiffrer des messages particuliers utilisant ces nombres premiers.)

Aha... c'est fun.
Des centaines d'applications sur l'AppStore d'Apple contiennent un logiciel malveillant. Comment est-il arrivé là ?  Et bien des tas de développeurs ont téléchargé une version vérolée de l'outils XCode d'Apple qui est utilisé pour développer les applications pour iPhone. S'attaquer aux outils qu'utilisent les développeurs plutôt que s'attaquer aux développeurs ou aux AppStore eux-même. Pas con. Un développeur ne verra pas forcément que ses librairies ou son compilateur sont vérolés.
(D'où l'intérêt de ne pas télécharger ses outils de développement n'importe où.)
Chaque fois qu'un développeur compilait son application avec cette librairie, le malware était automatiquement inclus dans le logiciel.

Parmi les applications infectées, on retrouve Angry Birds 2 et WeChat.

C'était quoi le gros argument des AppStore déjà ?  Ah oui qu'ils ne distribuent que des applications vérifiées et sécurisées ?  Et ça fait combien de temps que ces applis vérolées traînent sur l'AppStore ?
(source: http://researchcenter.paloaltonetworks.com/2015/09/malware-xcodeghost-infects-39-ios-apps-including-wechat-affecting-hundreds-of-millions-of-users/

Oups... et dites-vous bien qu'en matière de sécurité, il y a encore plus opaque que les constructeurs automobile: Les banques.

Mais là on est d'accord, c'est pas une faille d'Android en général, mais juste une faille d'un logiciel spécifique, HangOut, l'espèce de gros bouzin de Google.  Donc n'utilisez pas HangOut.

EDIT: http://links.kevinvuilleumier.net/?9FxdYw  Merci.
Donc en fait, c'est une faille dans une librairie utilisée par HangOut, mais il est tout à fait possible que d'autres applications l'utilisent également.

Haha... qu'est-ce que ça peut me faire marrer. Même si j'imagine bien la panique chez certains utilisateurs.
Comme dit http://www.mypersonnaldata.eu/shaarli/?aYiDpA, le pseudonymat, c'est pas que pour les pirate-terroristes-pédophiles-trolls d'internet.  Ça sert aussi à *protéger* les gens. Tout comme l'anonymat ou la crypto.
EDIT: En fait, le piratage est même plus vaste que prévu: Ce ne sont pas juste les comptes utilisateurs qui ont été piratés: http://arstechnica.com/security/2015/08/ashley-madison-hack-is-not-only-real-its-worse-than-we-thought/