Ce tutoriel de ZoneTuto explique comment configurer le montage automatique d’un volume chiffré avec LUKS (Linux Unified Key Setup) au démarrage du système. Il détaille les étapes clés :

• Préparation du volume chiffré et création d’une clé de déchiffrement dédiée.
• Configuration de /etc/crypttab et /etc/fstab pour un montage automatique.
• Sécurisation de la clé et gestion des permissions.

Idéal pour ceux qui souhaitent allier sécurité et praticité sous Linux.

Lyra Rebane défend l’idée que beaucoup de sites n’ont pas besoin de JS ou de frameworks lourds pour offrir une expérience riche : modernes, HTML et CSS seuls suffisent souvent. L’article montre de nouveaux outils CSS (naming, nesting, pseudo-classes, color mixing, unités viewport dynamiques, etc.), des composants interactifs accessibles (via « \:checked », « \:has », « details/summary », etc.), et des effets visuels performants. L’auteur insiste aussi sur les bénéfices pour la performance, l’accessibilité, la vie privée, et le plaisir de coder léger, esthétique et fonctionnel.

L’article souligne l’importance d’une gestion rigoureuse des versions npm pour sécuriser ses projets JavaScript, surtout après des attaques comme celles sur chalk et debug. Il recommande d’utiliser des versions exactes pour les dépendances critiques (ex: "react": "18.2.0") plutôt que des ranges permissifs (^, ~, >=), et d’always commiter les lock files (package-lock.json ou yarn.lock) pour éviter les incohérences entre environnements. Une méthodologie sécurisée inclut : des audits réguliers (npm audit), des mises à jour contrôlées (via npm-check-updates), des tests complets après chaque modification, et l’intégration de vérifications automatiques dans le CI/CD. L’objectif est de minimiser les risques liés à la supply chain en privilégiant la sécurité à la commodité, notamment pour les packages critiques en production. Une checklist pratique résume les bonnes pratiques : versions exactes, lock files versionnés, audits automatiques, monitoring continu et backups des versions stables. La sécurité devient ainsi un investissement clé pour la stabilité des projets.

L'auteur explique qu’il n’existe pas de solution miracle pour empêcher les données sensibles (mots de passe, clés API, PII) d’apparaître dans les logs, mais une combinaison de "balles de plomb" — des mesures ciblées et complémentaires — permet de réduire significativement les risques. Il identifie d’abord les causes courantes : logs directs accidentels, objets "éviers de cuisine" (comme les erreurs HTTP contenant des configurations sensibles), changements de niveau de log, secrets intégrés dans des URLs ou des télémetries, ou encore les entrées utilisateurs imprévisibles.

Pour y remédier, il propose 10 pistes :

• Architecture des données : centraliser les flux de logs pour mieux les contrôler.
• Transformations : minimisation, rédactions, tokenisation ou masquage des données avant logging.
• Primitives de domaine : encapsuler les secrets dans des objets dédiés (ex. Secret) pour empêcher leur logging accidentel, avec des vérifications à la compilation ou à l’exécution.
• Objets à lecture unique : des wrappers qui bloquent l’accès au secret après sa première utilisation.
• Vérification de souillure (taint checking) : analyser statiquement les flux de données pour détecter les fuites vers les logs.
• Formatteurs de logs : filtrer ou redacter automatiquement les champs sensibles dans les pipelines de logging.
• Tests unitaires : faire échouer les tests si des secrets sont détectés dans les sorties.
• Scanners de données sensibles : outils comme TruffleHog pour détecter a posteriori les fuites, avec échantillonnage pour optimiser les coûts.
• Prétraitement des logs : nettoyer les flux avant stockage (ex. avec Vector).
• Sensibilisation des équipes : former les devs et leur donner les outils pour signaler et corriger les problèmes.

La stratégie globale repose sur 4 piliers :

1. Poser les bases (culture sécurité, définition des "secrets", logs structurés).
2. Cartographier les flux de données pour identifier les points critiques.
3. Protéger les goulots d’étranglement (ex. pipeline centralisé de logs) avec des contrôles en profondeur.
4. Prévoir la réponse aux incidents : isolation, nettoyage, analyse post-mortem.

En combinant ces approches — et en acceptant que le "zéro fuite" soit un idéal —, on limite efficacement les risques, tout en renforçant la résilience globale du système.

L’article explique comment l’auteur a remplacé Apache par Traefik comme reverse proxy, principalement pour intégrer Crowdsec (notamment son module AppSec, compatible uniquement avec Nginx, OpenResty ou Traefik) et bloquer efficacement les scans malveillants (comme les requêtes vers .env ou X11). Traefik centralise le routage, simplifie la gestion des certificats Let’s Encrypt, et permet d’appliquer des middlewares de sécurité (HSTS, CSP, rate limiting, etc.). L’installation se fait en binaire (hors Docker), avec une configuration modulaire (fichiers YAML pour les sites, middlewares, et le dashboard). L’intégration de Crowdsec se fait via un bouncer Traefik et le module AppSec, qui analyse les requêtes en temps réel et bannit les IP suspectes (ex : accès à .env). Malgré quelques péripéties (notamment avec les versions de Crowdsec et des conseils erronés de ChatGPT), le résultat est un système sécurisé, évolutif, et facile à surveiller via les logs et métriques. L’auteur souligne la satisfaction d’avoir un WAF performant et open source, tout en partageant ses fichiers de configuration et astuces pour reproduire la solution.

L’article explique les mécanismes de restriction entre VirtualHosts sous Apache, notamment avec le renforcement introduit dans la version 2.4.64 (juillet 2025). En HTTP, Apache sélectionne le VirtualHost via l’entête Host, sans restriction particulière. En HTTPS, l’extension SNI permet de sélectionner le bon certificat avant le chiffrement. Apache bloque désormais les requêtes dont l’entête Host ne correspond pas au SNI présenté (erreur 421 Misdirected Request), y compris en l’absence de SNI, suite à la correction de la faille CVE-2025-23048. Ce changement peut impacter les configurations existantes, comme celles utilisant HAProxy ou des outils de monitoring, qui doivent désormais explicitement activer le SNI pour éviter les blocages. Les serveurs sous Debian 12 (bookworm) recevront cette mise à jour début septembre 2025.

Le 26 août 2025, le système de build Nx (4M+ téléchargements hebdomadaires sur npm) a été compromis par un malware JavaScript intégré dans les versions 20.11.0 et 21.7.0. Ce script malveillant a exploité des outils d’IA populaires (Claude, Gemini, Amazon Q) pour voler des données sensibles (tokens GitHub, clés privées, portefeuilles crypto), marquant la première attaque documentée utilisant l’IA comme vecteur de vol. Le malware, activé via un script postinstall, contournait les sécurités des LLM pour scanner les systèmes et exfiltrer 2 349 secrets vers des dépôts GitHub publics en seulement 5 heures. Malgré des erreurs techniques (syntaxe incorrecte, garde-fous IA partiellement efficaces), l’incident révèle une nouvelle génération de menaces : des attaques ciblant la confiance accordée aux assistants IA et aux paquets open source. L’analyse technique met en lumière les failles de l’intégration rapide de l’IA dans les workflows dev, et souligne l’urgence de renforcer la vérification des dépendances, la surveillance des outils IA et la détection proactive des comportements suspects. Une alerte pour l’écosystème tech, où l’automatisation intelligente devient à la fois une promesse et une vulnérabilité majeure.

Le 17 août 2025, le blog de l’auteur a subi un incident informatique : environ 179 000 requêtes web en 14 heures, ciblant uniquement trois fichiers sitemap.xml, provenant de 168 000 adresses IP uniques (majoritairement IPv4). L’attaque, jugée naïve et peu sophistiquée, a permis à l’auteur de réviser ses connaissances sur nftables et fail2ban. Après avoir bloqué l’accès aux fichiers ciblés via Apache, il a tenté de filtrer les requêtes avec fail2ban, mais a dû ajuster sa stratégie face à la charge : bannissement par grands blocs d’IP (/8 puis /16 en IPv4), limitation du trafic entrant, et enfin blocage par pays (sauf France). Malgré des erreurs initiales (rechargement intempestif de fail2ban, lecture complète des logs), l’incident a été maîtrisé en combinant ces outils et en nettoyant les logs pour éviter d’alourdir les sauvegardes. L’auteur souligne l’importance de bien connaître ses outils avant un incident et partage des commandes utiles pour nftables et fail2ban.

Un retour d’expérience technique et pédagogique sur la gestion d’un flux massif de requêtes indésirables.

Un guide pour la sécurisation d'un serveur linux

L'article traite de l'authentification multifacteur (MFA), une méthode cruciale pour sécuriser l'accès à nos données numériques. L'auteur explique que l'authentification repose généralement sur trois catégories : ce que l'on sait (comme un mot de passe), ce que l'on possède (comme un téléphone), et ce que l'on est (comme une empreinte digitale). L'authentification multifacteur combine au moins deux de ces catégories pour renforcer la sécurité. L'article met en lumière les risques associés à l'utilisation de codes envoyés par SMS et recommande plutôt l'utilisation de codes générés par des applications utilisant le standard TOTP (Time-based One-Time Password). Il décrit également le fonctionnement des algorithmes HOTP et TOTP et souligne l'importance de choisir des applications de MFA fiables et bien maintenues. Enfin, l'auteur insiste sur la nécessité de sauvegarder et synchroniser les secrets d'authentification pour éviter de les perdre en cas de vol ou de perte du téléphone.

L'auteur souhaite sécuriser son réseau local très ouvert, notamment contre les robots d'IA qui consomment des ressources. Il utilise pour cela Reaction, une alternative légère et performante à Fail2Ban, écrite en Rust, pour bloquer les connexions indésirables. Les logs sont centralisés sur une machine via rsyslog, où Reaction sera installé pour surveiller et réagir en exécutant des commandes SSH sur le routeur/firewall, un Turris Omnia sous OpenWRT. La configuration du firewall, basée sur nft, a été modernisée pour supporter à la fois IPv4 et IPv6.

L'auteur raconte comment un contributeur du projet curl a soumis une demande de modification où il a remplacé une lettre ASCII par une alternative Unicode dans une URL, sans que personne ne le remarque. Cela a conduit l'équipe à renforcer leurs processus de révision pour détecter de tels changements invisibles à l'œil nu. GitHub, où le projet est hébergé, n'a pas réagi de manière significative à ce problème, ce qui a incité l'équipe à implémenter ses propres vérifications pour identifier les caractères Unicode ambigus. Ces mesures visent à prévenir les attaques potentielles exploitant des failles similaires dans le futur.

Un article expliquant en détail le fonctionnement de TLS

Présentation de IPDEX, un nouvel outil de CrowdSec en CLI pour obtenir des informations sur une ou plusieurs adresses IP

L'article explique ce qu'est le protocole TLS : utilité et histoire.

L'article explique comment intégrer un système d'authentification unique (SSO) dans une application Symfony. Il décrit les avantages d'un authentificateur SSO personnalisé, tels que l'uniformité de l'authentification et une sécurité renforcée grâce à des fonctionnalités comme l'authentification multifacteur. L'article détaille le flux de travail de haut niveau, incluant la redirection vers un fournisseur d'identité, l'échange de codes d'autorisation, et la création d'un jeton de session. Il fournit également des instructions sur la configuration des dépendances, la mise en place d'un authentificateur personnalisé, et la configuration de l'environnement. Enfin, l'article conclut en soulignant les bénéfices de cette approche, notamment la modularité et l'amélioration de l'expérience utilisateur.

L'article explore la création d'agents autonomes basés sur l'intelligence artificielle pour automatiser des tâches quotidiennes, comme l'analyse des demandes de tirage et la génération de notes de version. Contrairement aux scripts d'automatisation traditionnels, ces agents utilisent des modèles de langage avancés pour interpréter et prendre des décisions contextuelles. L'article détaille les outils clés tels qu'AgentGPT, LangChain, et le Vercel AI SDK, et explique comment les intégrer de manière sécurisée dans des environnements de développement. Enfin, il propose un guide pratique pour mettre en place un agent capable de répondre à des déclencheurs spécifiques et de s'intégrer dans un pipeline CI/CD pour améliorer l'efficacité des développeurs.

Quelques conseils pour sécuriser son site web, hébergé dans le cloud ou pas

L'article critique l'adoption des "passkeys" comme alternative aux mots de passe, soulignant les problèmes liés à la dépendance envers les grandes entreprises, les implémentations propriétaires complexes et la nécessité d'utiliser des smartphones. Il met en garde contre les risques pour la vie privée et la liberté, tout en remettant en question l'efficacité réelle des passkeys pour améliorer la sécurité.

L'article explique comment surveiller les logs sur un serveur Linux pour améliorer la sécurité et diagnostiquer les problèmes. Il détaille l'emplacement des fichiers de logs dans /var/log et l'utilisation d'outils comme journalctl pour analyser les logs de démarrage et de connexion. Il aborde également la configuration de la rotation des logs via /etc/logrotate.conf.