Un moyen pour exporter vos codes OTP depuis Google Authenticator en vue de les importer dans une autre app du genre FreeOTP+.

1. Dans GA : menu > Transférer des comptes.
2. Scannez le/les QR Codes avec un autre téléphone de confiance, et copiez-collez l'URL résultante sur un bloc note de confiance type ZeroBin.
3. Sur votre PC installez Node.js si ce n'est pas déjà fait.
4. Créez les 2 fichiers index.js et migration-payload.proto et collez-y le contenu depuis ce lien.
5. Lancez npm install protobufjs hi-base32
6. Lancez node index.js <url obtenue depuis le QR code de GA> autant de fois que vous avez d'URL
7. Dans FreeOTP+, faites menu > Ajouter un jeton.
8. Tapez l'émetteur, le compte et le secret tels qu'obtenus dans la sortie console du script (pas la peine de changer les autres paramètres).
9. Testez que l'OTP obtenu fonctionne.
10. Faites de même pour tous vos codes.

Pensez à nettoyer l'historique de votre console à la fin. Si vous êtes avec un système UNIX, faites:

history -c 
history -w

Vous pouvez aussi supprimer le fichier ~/.bash_history ou l'éditer et supprimer uniquement les lignes qui contiennent vos URLs entrées à l'étape 6.

Dix règles de sécurité à suivre lorsque vous travaillez avec NPM.

Un outil gratuit pour faire des scans de sécurité sur votre code.

Un topo sur une façon t'implémenter les refresh tokens JWT de manière sécurisée.

À utiliser sur vos propres infrastructures évidemment :)

AutoPWN Suite is a project for scanning vulnerabilities and exploiting systems automatically.

Une liste de bonnes pratiques de sécurité informatique qui couvre plein de domaines. Attention c'est long 😁

Les SMS sont un peu comme les mails (lorsqu'ils sont utilisés sans surcouche chiffrée) : c'est un vieux protocole qui est tout sauf sécurisé. Ça pose problème notamment pour la vie privée mais également pour l'authentification à deux facteurs.

Un outil pour tester la sécurité de votre serveur.

Via https://korben.info/owasp-zed-attack-proxy.html

Une lib pour améliorer la sécurité d'une application Express.js en ajoutant plusieurs headers HTTP dans les réponses.

Un excellent article sur les commandes à connaître pour détecter une intrusion sur un serveur Linux.

Je copie ça rapidement ci-dessous.

# Voir si quelqu'un est connecté à la machine
w
who

# Traces des dernières connexions
last
lastb

# Historique des dernières commandes
history
su user1
history
cat /home/user/.bash_history

# Utilisateurs existants
less /etc/passwd
cat /etc/passwd
cat /etc/passwd | grep /bin/bash

# Processus
ps
ps aux
top
htop

# Connexions ouvertes par processus
lsof -i
lsof -i -p <pid-proc>

# Fichiers ouverts par processus
lsof -l
lsof -p <pid-proc>

# Ports/routes exposées
## liste les ports TCP/UDP exposés avec les services
netstat -lntup
ss -lntup
## liste les routes
netstat -r
## affiche les stats des cartes
netstat -s
ss -s

# Cartes réseaux
ip address
ip a

# Routes
ip route

# Crontab
crontab -l
crontab -u user -l

# Fichiers modifiés récemment
## Les derniers 5 jours
find / -mtime -5 -ctime -5
## La dernière minute
find / -mmin -1

# Les logs
cat /var/log/syslog
cat /var/log/syslog | less
tail -f -n 5 /var/log/syslog
cat /var/log/syslog | grep fail
tail -f /var/log/syslog

# Les clés SSH autorisées
cat /root/.ssh/authorized_keys
cat /home/debian/.ssh/authorized_keys
cat /home/user1/.ssh/authorized_keys

# Le contenu de /tmp
ls /tmp
ls -la /tmp
ls -la /tmp | more
less /tmp
ls -la /tmp | grep xxx

Ce site répertorie des caméras IP non-protégées et donc en libre accès sur le web. Parfait pour sensibiliser à la nécessité de protéger une webcam...

Via https://sebsauvage.net/links/?-6pP7Q

Une checklist à remplir pour surfer en toute sécurité sur le net. Les outils sont bien sûr échangeables contre d'autres. C'est toujours bien d'avoir ce genre de compilation de points à connaître.

Moi qui suis habituellement très attaché au filaire, voilà une raison de plus :)

Le script python utilisé est dispo ici : https://github.com/thewhiteh4t/pwnedOrNot

Un petit topo sur pourquoi HTTPS seul ne vous protège pas intégralement sur un réseau wifi public. Très instructif !

Quelques services qui mettent la sécurité parmi leurs priorités. Au delà du mail et VPN, il y a de la messagerie, du cloud, etc.

Incroyable cette histoire !

Il est impossible de changer en CSS la taille d'un lien "visité" (via la pseudo-classe :visited) parce que ça permettrait ensuite à un site mal intentionné de connaître votre historique de navigation en testant la taille de plusieurs liens (et plutôt des liens gênants, forcément :P). Et du coup on pourrait penser que le site en question peut aussi vérifier la couleur pour déterminer les sites visités grâce à window.getComputedStyle(). Eh bien non, parce que cette fonction ment dans ce cas bien précis ! Elle renvoie la couleur normale d'un lien.

Fascinant :)

Méfiez vous des méthodes de sérialisation ! Elles font parfois plus que ce que l'on imagine.

Un looong guide sur comment sécuriser un serveur Linux.