---

Security - Sécurité

LUKS

De quoi se prémunit-on, ne se prémunit-on pas dans les cas suivants :

• boot non chiffré
• racine chiffrée
• home etc chiffrés

Spoofer une empreinte SSH ne semble pas possible sauf à casser le chiffrement.

Si on modifie les données du disque sans changer l’empreinte SSH, il reste possible de modifier le comportement. Implique qu’il y ait une attaque physique, retrait du disque, modification des données limitées à la partition non chiffrée.

UEFI

• https://itsfoss.com/secure-boot-shim-file/ : explication secure boot + shim

• https://www.acceis.fr/bypass-dun-mot-de-passe-bios-perdu-via-dump-et-injection-dun-uefi/ : sondes, raspberry, réécrire l’EEPROM.

Perdu, avoir sa clé dans TPM semble une mauvaise idée : https://pawitp.medium.com/the-correct-way-to-use-secure-boot-with-linux-a0421796eade

Invite à mettre un MDP sur UEFI, sinon secureboot n’est pas sécurisé. https://wiki.archlinux.org/title/Unified_Extensible_Firmware_Interface/Secure_Boot

TPM2 et déverrouillage de disque : mauvaise idée de confier la clé à TPM ? https://oddlama.org/blog/bypassing-disk-encryption-with-tpm2-unlock/

Exploitation

• Voir les différentes plateformes de scan/tests de failles.
• https://github.com/liamg/traitor

VPN

• https://securite.developpez.com/actu/357446/Securite-en-ligne-compromise-une-attaque-inedite-menace-la-securite-de-presque-toutes-les-applications-VPN-et-remet-en-question-leur-utilite-fondamentale/ : des routes IP dictées par un serveur DHCP malicieux comprometteraient le fonctionnement du VPN.

Juridique

    ON NE DONNE PLUS SON CODE DE DÉVERROUILLAGE EN GARDE À VUE SANS EN AVOIR ÉTÉ REQUIS PAR UNE JURIDICTION
    (Le procureur n’est PAS une juridiction. L’OPJ n’est PAS une juridiction. Le juge d’instruction EST une juridiction — mais il y a d’autres arguments à faire valoir). https://t.co/Bng9Z2rNDJ
    — Maitre Eolas (@Maitre_Eolas) October 4, 2024

Traces

• dhcpcanon : limiter les infos identifiantes de DHCP
• Les logs : https://poweradm.com/disable-logs-linux/

Side-channel

• les ondes sonores, les frappes du clavier…
• https://www.nassiben.com/video-based-crypta

Algorithmes

• https://peergos.org/posts/blake3 : Blake3 au lieu de sha256, algos utilisés par quoi/où ?

Liens

• https://wonderfall.space/linux-securite/
• https://www.whonix.org/wiki/Dev/Strong_Linux_User_Account_Isolation : problèmes avec sudo, xorg, les keyloggers, linux…
• https://mjg59.dreamwidth.org/55845.html : UEFI, TPM, l’hibernation sous Linux
• https://mjg59.dreamwidth.org/57199.html : Chaine de confiance, systemd-boot, TPM
• https://0pointer.net/blog/authenticated-boot-and-disk-encryption-on-linux.html : Pourquoi la FDE est mal implémentée dans les distribs.
• https://www.maketecheasier.com/best-steganography-tools-linux/ : stéganographie, avec des images ou de l’audio
• https://karl-voit.at/cloud/ : fuites dans le cloud
• https://mjg59.dreamwidth.org/68537.html : fingerprinting, ne peut pas servir à déverouiller l’accès à des secrets sous Linux
• https://binarly.io/posts/The_Far_Reaching_Consequences_of_LogoFAIL/ : Contournement de secureboot dû au code de chargement de l’image du logo
• https://linuxfr.org/users/gnuromain/journaux/securiser-le-boot-dans-un-datacenter-hostile-heads-trenchboot-me-que-choisir-en-2025 : chaîne de boot

---

Security : Bitwarden, gpg comment faire, Intrusion Detection System (IDS), Luks, nftables, Outils cryptiques, Password Store, Passwords, Sécurité, Sécurité Serveurs, ssss bien raisonnable