Sous le coude : un historique des conneries qu'a pu faire Microsoft en termes de sécurité.

Je pose ça là.
(Si vous cherchez un service VPN sûr et fiable, je recommande Mullvad.net ou ProtonVPN. Ils sont payants.).

Désastre en sécurité en approche : Recall est UNE FOIS DE PLUS une foutue FBI (Fausse Bonne Idée) de Microsoft. Comme l'autorun. Comme le fait de masquer les extensions de fichiers. Comme ouvrir les ports 135/445 par défaut sur toutes les IP.

Démonstration avec loutils : https://github.com/xaitax/TotalRecall

Failles chez TicketMaster (le vendeur de billets de spectacles en ligne): Sont a priori dans la nature les noms, adresses, email et téléphone des 560 millions (!) de clients TicketMaster.

C'est rigolo.
Et ça montre aussi comment une entreprise ne DOIT PAS répondre quand on lui signale une faille de sécurité.

Ça ne sent vraiment pas bon, cette attaque de decloaking des utilisateurs de vpn.
En gros, quand l'utilisateur d'un vpn est sur un réseau WiFi, il est possible pour le serveur DHCP (qui lui fournit son adresse IP sur le réseau local) de forcer le client à faire passer une partie du trafic hors du vpn.
Voyons comment les fournisseurs de vpn vont réagir.

Une options d'Android, si elle est activée, laisse fuiter votre adresse IP réelle si vous êtes en VPN.

C'est rigolo : Le gouvernement US est bourré de produits Microsoft à tous les étages, et les institutions commencent à se rendre compte que non seulement ils sont très dépendants de Microsoft, mais que Microsoft ne se bouge pas trop le cul pour résoudre les problèmes de sécurité.
À tel point que certains officiels qualifient Microsoft de "problème de sécurité national".

Utilisation de la base de registre Windows pour attaquer Windows. Franc succès. (Privilege escalation, etc.)
(Seconde partie : https://googleprojectzero.blogspot.com/2024/04/the-windows-registry-adventure-2.html)

Ambiance.

Ben finalement les attaques contre les systèmes informatiques de l'éducation nationale française, c'était pas les Russes, c'était un ado de 17 ans.

Un faille qui permet de crasher un serveur HTTP/2 avec une simple requête HTTP.

Fuite de données chez le plus gros fournisseur d'accès américain : 73 millions de personnes dont les données partent dans la nature : Nom, prénom, adresse, numéro de téléphone, date de naissance et numéro de sécurité sociale.
Oui 73 millions c'est à peu près la population française en entier.

Les "Passkeys" (WebAuthN de son petit nom technique) sont une n-ième tentative pour se débarrasser des mots de passe. Je ne retiens pas mon souffle, car tant d'autres tentatives ont échoué avant cela.
Ceci étant dit, il est amusant de constater que les Passkeys reviennent au bon vieux concept de PGP: Une clé publique et une clé privée.  Le tout avec une API Javascript spécifique dans les navigateurs (Firefox la supporte déjà).

Pourquoi ça pourrait marcher ?
- Déjà parce que les GAFAM - pour une fois - sont tous ensemble pour travailler sur le sujet.
- Ensuite parce que fondamentalement les systèmes à clé publique/clé privée ont fait leurs preuves en matière de sécurité.
- Et enfin parce qu'ils ont inventé un système qui a priori simplifie la gestion de ces clés (complexité de gestion qui a été à la base de l'échec de PGP).

Pourtant, il y a quand même le souci de savoir comment sont stockées et gérées ces clés privées (dans le système d'exploitation lui-même, a priori), et surtout comment les sauvegarder. Là c'est encore assez bancal.
(Par exemple sous Android, la clé privée peut être stockée sur le smartphone, et déblocable avec la lecture d'empreinte.)

Pour expliquer de manière simplifiée le processus d'authentification :
- Lorsque vous arrivez la première fois sur le site et que vous demandez à vous créer un compte, votre navigateur créé une paire de clés privées et publiques et un identifiant de clé, et envoie clé publique et identifiant au site.
- Vous arrivez les fois suivantes sur le site pour vous authentifier. Alors :
- Le site récupère l'identifiant de votre clé via l'API Javascript WebAuthN.
- Le site vous envoie un challenge (données aléatoires et quelques informations).
- Le navigateur active Passkey qui vous demande de vous authentifier (sur le périphérique: par exemple empreinte digitale sur smartphone).
- Passkey signe le challenge avec votre clé privée et la renvoie au site.
- Le site vérifie la signature du challenge avec votre clé publique.

Pourquoi c'est intéressant ?
1) Sécurité : Parce que même en cas de piratage complet du site web, le pirate n'aura que les clés publiques dont il ne pourra rien faire. Il n'a aucun mot de passe, et ne peut pas calculer la clé privée. Côté client, la clé privée est censée être bien protégée par le système d'exploitation (la plupart des OS ont un système de stockage sécurisé bien isolé, chiffré et stocké dans votre profile utilisateur. Il est déjà utilisé pour stocker vos mots de passe. Par exemple sous Linux le logiciel seahorse permet de voir votre trousseau de clés.)
2) Simplicité : Pas de gestion complexe des clés. C'est le système d'exploitation qui s'en occupe à la demande du navigateur. Cela laisse aussi la liberté au système d'exploitation de choisir la manière de les stocker de manière sécurisée, et aussi le choix de la manière de vous authentifier (empreinte digitale, mot de passe...). Sachant que vous êtes déjà authentifié·e pour pouvoir utiliser votre système d'exploitation, le nécessaire est déjà en place.

Ce que j'en pense ?
Cette fois ça pourrait marcher, mais ma crainte est que les clés privées restent prisonnières des systèmes d'exploitation avec aucun moyen de les sauvegarder autrement que dans le cloud des GAFAM.
C'est déjà le cas de Google qui est très pressé de sauvegarder tous vos mots de passe dans son cloud, mais qui - à ma connaissance - n'offre pas d'option pour tout exporter. Ce qui rendrait votre identité en ligne *encore* prisonnière d'un GAFAM. C'est le risque principal actuellement à mon sens.
Les gestionnaires de mot de passe - tel Keepass ou BitWarden - gèrent déjà les Passkeys, ce qui permettra au moins d'avoir un stockage non dépendant d'un GAFAM. Mais la plupart des gens ne les utiliseront pas et prendront la solution par défaut, et se retrouveront pieds et poings liés aux GAFAM... une fois de plus.

EDIT: Un autre avis sur le sujet : https://mart-e.be/2023/05/les-passkeys-une-bonne-idee-trop-centralisee

Une liste pour sécuriser Linux à tous les niveaux (noyau, bluetooth, réseau, protection des logins contre le brute-force, etc.)

Microsoft a patché en Février une faille critique, 6 mois après avoir été informé que la faille était exploitée.
SIX. MOIS.
Pour une faille critique.

Bon ben LDLC vient de se faire leaker une base de 1,5 million de clients avec nom, prénom, email, téléphone, adresse...

Failles de sécurité dans les pilotes NVidia pour Linux.

Rappel aux développeurs : On ne doit plus utiliser les "questions de sécurité". C'est une *mauvaise* pratique.

Cette enchaînement d'exploitation de failles de l'iPhone est très impressionnante.

Trois fucking millions de brosses à dent connectées piratées ont été utilisées pour attaquer une banque, écroulant leur système informatique et leurs faisant perdre des millions d'euros.

EDIT: cette histoire est probablement un fake: https://cyberplace.social/@GossiTheDog/111886558855943676
https://www.bleepingcomputer.com/news/security/no-3-million-electric-toothbrushes-were-not-used-in-a-ddos-attack/

« L’entreprise Viamedis, qui s’occupe du tiers payant pour 20 millions d’assurés en France, vient d’être piratée. »
« En tout, c’est plus de 20 millions de numéros de sécurité sociale qui pourraient être concernés. L’état civil, le nom de l’assureur santé ainsi que les garanties ouvertes au tiers payant de très nombreux Français et Françaises sont peut-être également dans la nature.  »

EDIT: Finalement c'est pas 20 millions, mais 33 millions : https://www.lemonde.fr/pixels/article/2024/02/07/piratage-de-viamedis-et-almerys-les-donnees-de-plus-de-33-millions-de-personnes-concernees-selon-la-cnil_6215292_4408996.html

Si *vraiment* vous avez besoin d'un anti-malware pour Android parce que vous téléchargez des apk de sources un peu douteuses (vous prenez des risques !), l'un des moins pires que j'ai trouvé est LookOut Mobile.
L'appli gratuite n'est pas pénible (elle ne passe pas son temps à vous proposer la version payante), elle détecte en temps réel, et elle voit des malwares spécifiques à Android que d'autres n'ont même pas vus.

(PS: Test empirique de ma part: Je me suis "amusé" à récupérer divers malwares Android d'une base en ligne et les balancer à différents antimalwares Android. Ça a été effrayant: Certains antimalwares (pourtant réputés sur PC) n'ont carrément rien vu. Lookout me les a tous repérés.)
PS: Non je ne touche rien de LookOut Mobile.

PS: Je parle ici de la partie "antimalware" de Lookout Mobile, qui surveille gratuitement les fichiers et applications installées. Je n'ai absolument pas activé ni testé les options payantes (protection contre les sites malveillants, VPN, etc.)