Archive for the 'IT Security' Category

In 2020, having an IDN still isn’t easy

As you know, I own the éé.net domain since April 2011. This domain name has accents, and as such is considered an IDN, an Internationalized Domain Name.

Since around 2003, it is officially possible to register a domain name with non-ASCII characters. This enables non-english speaking countries to get specific domains tailored to their needs. Chinese, Arabic, Indian and other domains for example.

Continue Reading »

No Comments »

Bruno Kerouanton on août 15th 2020 in IT Security

Les schémas URI

Lorsque j’ai créé mon fichier security.txt, je me suis demandé si il était possible de mentionner dans le champ « Contact » autre chose qu’une adresse de courriel. En effet, je laisse ouvert mes messages directs sur Twitter afin d’être contacté rapidement, cela est donc pratique.

J’aurai donc bien apprécié avoir la possibilité de mentionner sur la ligne contact de mon fichier l’information permettant de me contacter via Twitter. Intuitivement, cela aurait été précisé en mentionnant « twitter:@kerouanton« , ou encore « linkedin:kerouanton » mais malheureusement cela n’est pas possible.

Continue Reading »

No Comments »

Bruno Kerouanton on août 12th 2020 in IT Security

Le fichier security.txt

Les années passent, et les procédures de sécurité également. Depuis que je me suis remis à la SSI, je découvre que certaines méthodes que j’utilisais sont devenues obsolètes, telles que le Certficate-Pinning, déprécié au profit de l’entête HTTP Expect-CT (Je n’ai trouvé que des drafts de la spécification sur le site de l’IETF, désolé).

Continue Reading »

1 Comment »

Bruno Kerouanton on août 11th 2020 in IT Security

Burned

Depuis 2009, je suis membre d’ASIS International, et reçois la revue mensuelle Security Management. Elle s’adresse particulièrement aux directeurs sécurité américains, mais certains articles sont intéressants. Le numéro de février mettait en exergue le syndrome d’épuisement professionnel, également appelé Burnout.

Je ne vais pas vous faire une traduction intégrale de l’article, mais simplement relever quelques points qui méritent l’attention des professionnels de la sécurité, physique ou non.

En deux mots, les responsables de la sécurité, qu’ils soient RSSI ou non, sont de plus en plus sous stress. La digitalisation croissante, l’utilisation permanente de technologies connectées souvent mal ou pas sécurisées, un je-m’en-foutisme des utilisateurs qui ne comprend pas les enjeux et pense qu’il suffit de nommer un RSSI pour que tout soit automagiquement résolu, n’arrange rien. Sans compter l’augmentation des menaces en tous genres, des cyberattaques à l’utilisation massive de ransomware et de botnets, l’espionnage étatique et j’en passe.

Bref, le RSSI a fort à faire. Son périmètre et sa part de responsabilités explose, mais si ses moyens n’évoluent pas, il ne peut se produire qu’une chose : le burn-out. Et ce n’est pas sa faute…

Continue Reading »

No Comments »

Bruno Kerouanton on mars 1st 2017 in IT Security

CISOs, Techies and Board execs. The unsolvable issue?

I have been participating in NG Security European summit lately, where there were lots of nice presentations about how CISOs are perceived by Board and Business Leaders. And the resuts are frightening. As IT needed decades to get at the Board level, Infosec isn’t mature yet and need to evolve its way to sell itself better.

Continue Reading »

2 Comments »

Bruno Kerouanton on avril 13th 2016 in IT Security

Layered security on my laptop, in 10 (not so easy) steps !

160106-hardening0Some of my friends tell my I’m kind of paranoid, but I can’t help keeping my laptop very secure (at least as much I believe).

When Windows 10 was released, I had the following options: either keep Windows 8 on my PC, or upgrade to Win10, with some advantages. The start menu was back (although I didn’t need it since I’m using the great TrueLaunchBar utility since many many years), it was a free upgrade (I know what you’ll think about this), and it allowed me to be more secure and test new features. On the other side, it’s obvious Microsoft has shifted into the Cloud business, and now heavily relies on data harvesting. That means I need to harden my laptop to prevent any data leaks.

If you want to understand how to setup a similar config, here is my step-by-step checklist of what I’ve done :

Continue Reading »

15 Comments »

Bruno Kerouanton on janvier 5th 2016 in IT Security

My own Spam Tracker

spamtracker

Since nearly 10 years, I use dedicated email addresses/passwords for every single website or company I register online.

That may seem cumbersome to many, as I need to log into a custom platform to create a new email address during registration, and I need to keep a record of all those passwords/emails/credentials somewhere, to remember what and where I’ve done, but this has numerous benefits :

Continue Reading »

6 Comments »

Bruno Kerouanton on janvier 5th 2016 in IT Security

CISOs, are corporate Policies obsolete? And are you already dead?

suicide

I’ve always wondered about this dilemna :
Even if, as a CISO, you define the best Infosec policy ever, and forbid your users all use of Cloud or unknown services such as Gmail, Dropbox, LogMeIn, TeamViewer to prevent Data Leakage, is that really efficient ?

Your company is not in a closed environment. Or it is already in bankrupcy, because you don’t have clients and contractors.

Continue Reading »

2 Comments »

Bruno Kerouanton on octobre 9th 2014 in IT Security

New malware received : Dossier_1848785.exe

140110-malwareI’ve just received a new malware in one of my spam mailboxes.

140110-email1

The embedded file is a Zip archive, containing a fake PDF (the icon is a PDF, but it’s really a .exe file).

Continue Reading »

No Comments »

Bruno Kerouanton on janvier 10th 2014 in IT Security

So. I’ve erased all my Tweets – Bref. j’ai effacé mes Tweets !

140108-Banning-TwitterAmongst the good resolutions I’ve taken for 2014, I’ve decided to reset my Twitter account !

You may have noticed that I didn’t tweet anything after december 30th, 2013. The reason for this is that I wanted to archive all my previous tweets and delete them. It’s really no use keeping them on Twitter, as I realized most tweets are about fresh news that becomes obsolete a few days after, or excerpts from « personal messages » between Twitter users, that don’t need to stay online.

Continue Reading »

6 Comments »

Bruno Kerouanton on janvier 8th 2014 in Blog's life, General, IT Security