Hello,

Comme je sais qu'il y a ici pas mal de gens qui bossent dans la sécurité informatique, j'ai une question : je suis tombé sur les CGU de Let's Encrypt (https://letsencrypt.org/documents/LE-SA-v1.7-June-04-2026-diff.pdf). Est-ce que cela veut dire que Let's Encrypt devient un pouvoir politique malgré lui, plutôt qu'un service universel ? Doit-on se poser la question de trouver une alternative à Let's Encrypt ?

Si je comprends bien, on a un problème de gouvernance problématique.

Pour qu'une autorité de certification soit reconnue, il faut qu'elle soit validée au sein des navigateurs par les organismes qui gèrent les "Root Stores" (magasins de certificats). Ces organismes se résument à un quatuor d'entreprises privées : Microsoft, Alphabet (Google), Apple et Mozilla.

Ces entreprises privées, ainsi que les autorités de certification, se coordonnent au sein du CABF (CA/Browser Forum). Le problème, ces acteurs dominants sont tous américains. L'organisme qui édite les certificats (Let's Encrypt) et ceux qui les valident (les navigateurs) sont donc juridiquement dépendants des lois américaines (comme les sanctions de l'OFAC). L'Internet mondial est donc une extension du droit américain. Si l'État américain décide de mettre sous embargo n'importe quel pays ou entité, toute cette chaîne doit s'y plier. Il y a donc un déséquilibre énorme des pouvoirs, centralisés sur un seul gouvernement.

Et nous avons un autre souci. Imaginons que demain, on crée un organisme supranational qui chapeaute au niveau mondial les certifications. Son but serait d'éviter qu'un pays puisse s'approprier une certification (comme un régime autoritaire créant un MiTM), avec pour seule mission la sauvegarde et la sécurité des utilisateurs du réseau, au-delà du droit d'un pays.

Dans les faits, cet organisme ne verrait jamais le jour. Car pour fonctionner, il lui faudrait l'accord technique des entreprises qui contrôlent les navigateurs pour inclure sa certification racine. Si ces entreprises américaines décident de ne pas l'inclure, il n'y a plus aucune possibilité d'avoir une alternative viable. Aujourd'hui, par l'entremise de ces entreprises technologiques, les États-Unis ont un droit de veto technique sur le monde entier.

#Infosec #CyberSecurite #MastoSec #LetsEncrypt #PKI #SouveraineteNumerique #GouvernanceInternet #Geopolitique #Decentralisation

Why do luxury hotels need tougher security? 🎯
Because high-profile guests, valuable assets, and VIP events come with high-stakes risks. From discreet patrols to executive protection, smarter systems are no longer optional.

#HotelSecurity #LuxuryHotels #SecurityGuards #ExecutiveProtection #CCTV #HospitalitySecurity #Mastosec
Visit Our Website:https://uniguards.com/

Night shift security guards are the real MVPs for financial institutions. When the lights go out, threats go up. Armed or unarmed, paired with mobile patrols or remote CCTV—prevention starts at night.

Explore how smart banks are leveling up their security game… quietly.
#Security #NightShift #ArmedSecurity #FinancialSecurity #BankSecurity #CCTV #SecurityGuards #Mastosec #SafetyFirst #Infosec #PhysicalSecurity

Golf courses look serene, but their location and size can create major security blind spots. Remote sites? Go mobile. Large grounds? Think CCTV + patrols. Public access? Armed or unarmed guards. 👀

Security isn't one-size-fits-all—adapt it to your terrain.
(P.S. There’s a smart breakdown on this topic in a recent blog I saw. Worth a scroll.)

#Security #GolfCourse #CCTV #PhysicalSecurity #PrivateSecurity #Mastosec

👮‍♂️ Hospital security guards do more than guard doors. From de-escalating violence to monitoring CCTVs & protecting patients, their role is vital. Whether armed or unarmed, they keep healthcare running safely.

P.S. Found a great breakdown of their duties recently—worth a look if you're in security or healthcare. 😉

#HospitalSecurity #HealthcareWorkers #SecurityGuards #ArmedSecurity #SecurityCompanies #PublicSafety #CCTV #Mastosec

Thank you @arcanicanis for making us users on here safer and reporting this critical Mastodon vulnerability.

And @Gargron and team for the prompt fix and patching of mastodon.social.

If your instance isn't patched, you should probably ping your admin.

"Due to insufficient origin validation in all Mastodon, attackers can impersonate and take over any remote account.”

https://github.com/mastodon/mastodon/security/advisories/GHSA-3fjr-858r-92rw

#Mastodon #MastoSec #CVE_2024_23832 #MastoAdmin

» What is the number one vulnerability?

That question caught me by surprise.
...
I responded with “developers pushing credentials into public repositories”.

The interviewer smiled at me, she liked my answer, but clearly I was wrong. She said

The number one vulnerability is system misconfiguration «

@alevsk

https://www.alevsk.com/2022/11/system-misconfiguration-is-the-number-one-vulnerability-at-least-for-mastodon/

#Infosec
#FediSec
#MastoSec
#vulnerability
#cybersecurity