Christophe, officier de police judiciaire, est recruté comme brigadier à la DGSI. Pendant plusieurs mois, il revend des informations confidentielles sur le darkweb. Enquêteur de police le jour et délinquant la nuit, il raconte cette double vie qui l'a mené en prison.
Passionnante histoire.
TL;DR:
"Le protocole AT a été pensé pour être décentralisé. Dans la pratique, Bluesky ne l’est pas. La possibilité de créer facilement un PDS n’est qu’un petit élément parmi d’autres. Même si l’on peut créer des relais, leur mise en œuvre est complexe et sans doute bien trop onéreuse en stockage et bande passante pour être intéressante."
"On ne peut pas dire que Bluesky soit actuellement décentralisé, et encore moins fédéré. Il y a bien un centre, et il est géré par l’entreprise Bluesky. Sans son relai, rien ne fonctionne. Chaque serveur de données personnelles ne sert ainsi que comme petit réservoir pour les informations d’une personne, incapable de fonctionner par lui-même."
Lorsque votre certificat SSL est compromis (par exemple parce que sa clé privée a été volée), vous pouvez le révoquer, c'est-à-dire le signaler comme étant invalide et plus digne de confiance.
Mais comment le navigateur sait-il qu'un certificat est révoqué, car ce n'est pas une information que celui-ci contient ? Deux mécanismes existent : CRL et OCSP.
Cet article les présente ainsi que les problématiques liées.
ÉDIT : OCSP a depuis été déprécié en faveur de CRL : https://www.abetterinternet.org/post/replacing-ocsp-with-crls/
Lorsque vous achetez un certificat SSL, il n'est pas rare que des garanties, des assurances, soient proposées pour couvrir certains dommages pouvant résulter de mauvais usages. Quels usages ? Est-ce que ces assurances servent vraiment à quelque chose ?
Une critique de WebP, pas forcément adapté pour toutes les images et dont le poids peut parfois être supérieur à un JPEG pour une qualité pas nécessairement meilleure.
Bref, ne pas tout convertir bêtement en WebP, mais tester avant et ne garder que ce qui nous convient (qualité vs. taille du fichier).
Les courbes elliptiques, c’est la promesse de la robustesse des communications chiffrées de TLS sans la lourdeur des tailles de clés utilisées avec l’algorithme RSA. Il ne sera pas question de mathématiques aujourd’hui (je suis trop mauvais pour ça, vous avez qu’à voir Wikipedia pour ça), juste de quelques notes sur leur utilisation, pour du certificat autosigné, de la vérification, et un micro rappel de Let’s Encrypt.
Faites une petite recherche rapide, et 99,9% des tutos pour générer un certificat, que ça soit pour de l’auto-signé, ou dans le cadre de la commande chez une autorité « classique », et vous aurez du RSA avec un panel de 2048 à 4096 bits de taille de clé. Sans faire de benchmark, je peux vous assurer que si 2048bits est assez classique, 4096 ça commence à être assez lourd à gérer. Les courbes elliptiques sont des objets mathématiques qui promettent de garder la complexité mathématique, clé de la robustesse en matière de cryptographie, mais avec une taille de clé beaucoup plus réduite, ce qui permet d’améliorer la consommation de ressources et la performance du chiffrement des communications, parce que c’est le contexte dans lequel elles ont été envisagées et déployées.
Typiquement, pour déployer un virtualhost « par défaut » sur mon serveur web Nginx, j’ai voulu générer un certificat auto-signé certes, mais avec les courbes elliptiques comme base cryptographique. C’est plutôt simple au final, ça se joue en à peine plus de temps, ça repose sur l’incontournable OpenSSL, malgré les problèmes qu’il pose ces dernières années, surtout en tant que bibliothèque applicative. On commence par lister les courbes disponibles :
openssl ecparam -list_curves
Vous choisissez ce que vous voulez, pour des raisons de compatibilité, j’ai sélectionné secp384r1 qui est la plus utilisée derrière sa petite sœur en 256bits et qui est nommée prime256v1 (parce que nique la cohérence, hein). C’est au passage celle que j’utilise sur le blog
Ensuite, on fait les étapes classiques pour un autosigné :
openssl ecparam -genkey -name secp384r1 -out key.pem openssl req -new -sha256 -key key.pem -out csr.csr openssl req -x509 -sha256 -days 365 -in csr.csr -out certificate.pem
Pendant la phase de création du CSR, vous répondez comme vous le souhaitez aux questions, comme on est sur de l’autosigné vous pouvez être créatif si ça vous chante
Et voilà, vous n’avez plus qu’à renseigner la clé et le certificat dans votre Virtualhost par défaut, comme ça, si vous interrogez l’IP de votre serveur web, c’est ce certificat « placeholder » qui apparaitra (autosigné certes, mais certificat quand même) et ça masquera le reste de vos virtualhosts, parce que sinon le serveur web présente le premier chargé dans les configurations incluses (je me demande si j’en ferai pas une démo en live tiens…).
Oui je sais ça parait con, mais ça m’est déjà arrivé une quantité beaucoup trop importante de fois de ne pas être certain qu’un nouveau certificat à installer correspond encore à la clé qui est déjà déployée, ou si une nouvelle clé à été générée pour l’occasion. La joie de l’infogérance et des tickets traités par plusieurs admins successivement.
Idem, quand on cherche les manipulations à effectuer, on trouve quasi systématiquement la méthode basée sur le modulus. Sauf que cette méthode est propre à l’algorithme RSA, et n’est donc pas applicable pour des courbes elliptiques. Malgré tout, on peut s’en sortir. L’astuce consiste cette fois à comparer la clé publique entre la clé et le certificat. D’abord pour la clé :
openssl ec -in key.pem -pubout |openssl md5 openssl x509 -in certificate.pem -noout -pubkey |openssl md5
Si les deux résultats sont identiques, vous pouvez les charger dans le serveur web (ou dans l’interface de votre fournisseur d’infrastructure, si vous êtes dans le claude).
Let’s Encrypt (et certainement d’autres fournisseurs) supporte les courbes elliptiques depuis un moment déjà. Personnellement, je préfère utiliser le léger acme.sh plutôt que l’officiel certbot, que je trouve particulièrement lourd. La génération est plutôt simple :
acme.sh --issue --ecc -k ec-384 -d www.domain.tld -w /var/www/ --debug
Évidemment c’est à adapter au domaine, et au dossier par lequel il va bosser le challenge. Perso je préfère ensuite faire une installation dans un dossier dédié pour inclure la commande de rechargement du serveur web derrière :
acme.sh --install-cert -d domain.tld --fullchain-file /etc/nginx/ssl/domain.tld.crt --key-file /etc/nginx/ssl/domain.tld.key --reloadcmd "systemctl reload nginx"
Voilà, comme on le voit, il ne faut pas grand chose pour passer à cette méthode cryptographique, et investiguer à son sujet est à peu près aussi simple qu’avant. Juste je trouve qu’il y a vraiment peu d’articles qui incluent les courbes dans les manipulations. Bon ben voilà
L’Intelligence Artificielle a-t-elle décidé de scier la branche sur laquelle elle est assise ?Aujourd’hui, Google et les IA puisent sans vergogne dans les blogs comme framboise314.fr pour fournir des réponses instantanées… mais sans renvoyer les lecteurs vers les sites d’origine. Résultat : des visites qui s’effondrent, des revenus en berne, et des passionnés qui risquent de jeter […]
Cet article L’IA va-t-elle tuer les sites comme framboise314 ? a été publié en premier sur Framboise 314, le Raspberry Pi à la sauce française.....
Si vous ne disposez pas d'un serveur dédié ou mutualisé avec un accès à une interface de gestion des tâches Linux, on parle ici de cron, alors cela peut être une fonctionnalité qui vous manque.
Heureusement, il existe un service web open-source qui permet d'exécuter des jobs (cron) pour vous, le tout gratuitement et en français (multilingue).
cron-job.org est un service en ligne gratuit qui permet de planifier et d’automatiser l’exécution de requêtes HTTP vers vos sites web, APIs ou scripts, à des intervalles personnalisés allant de chaque minute à une fois par an.
Le paramétrage se fait via une jolie interface web ou une API REST, ce qui le rend accessible même pour ceux qui n’ont pas de serveur dédié ou de connaissances système :
Vous pourrez par exemple automatiser des scripts de maintenance ou de sauvegarde sur un site web, lancer des tâches récurrentes sur des APIs (envoi de newsletters, nettoyage de base de données, etc.), ou encore surveiller la disponibilité d’un service ou d’un site web.
Ce site existe depuis 2010 et avec près de 400K utilisateurs il exécute des millions de tâches quotidiennement. Il est gratuit et sans publicité : financé uniquement par des dons.
C'est une solution simple, puissante et gratuite pour externaliser la planification et l’automatisation de tâches web, sans dépendre d’un cron local ou d’un serveur dédié. Je l'utilise depuis peu pour la publication programmée en remplacement du scheduler (foireux de WordPress) sur Blogmotion, je pense que cela fera l'objet d'un article dédié.
Une belle alternative à easycron dont l'offre gratuite n'est pas aussi généreuse et fournie
Article original écrit par Mr Xhark publié sur Blogmotion le 05/07/2025 |
2 commentaires |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons
uBlock has been my favourite web browser extension for years, removing all ads including video ads in YouTube for example.
Firefox and Safari are essentially your only options if you don't want a chromium based browser. Firefox is the only one of those that supports adblocking at the level uBlock Origin operates.
For Brave, Vivaldi, Opera GX, Edge etc, to continue to support uBO, they would need to maintain a fork of Chromium that supports Manifest v2 and it's likely that Google will continue to merge anti-user privacy stuff into Chromium that makes supporting v2 untenable at some point in the future.
Quoting uBlock official documentation:
uBlock works best on Firefox.
Connexion