Édit : complément : https://next.ink/174624/une-porte-derobee-dans-une-puce-bluetooth-tres-populaire-pas-si-vite/

De nouvelles failles découvertes dans X.Org.

Sous le coude : Un honeypot (voir https://trapster.cloud/fr/)

Article du spécialiste sécurité Bruce Schneier sur les sbires d'Elon en train de prendre le contrôle de tous les systèmes informatiques des USA.
(Article complet là : https://archive.ph/lSHkJ ou là : https://app.wallabag.it/share/67adc9487c29b1.85671818)
On peut s'attendre, dans les mois ou les années à venir, à des failles de sécurité absolument énorme dans l'informatique des USA (trésor, administration, santé, forces de l'ordre...).

2,8 millions 😮 d'adresse IP qui bruteforcent les VPN.
D'habitude quand il y a des attaque brute-force avec des IP différentes, on a doit à quelques centaines d'IP. Là c'est vraiment massif.

J'ai toujours trouvé que c'était une idée à la con de la part de toutes les applis d'aller faire des "preview" des liens, aka lancer des requêtes http sans que l'utilisateur l'ai explicitement demandé.
Maintenant ce sont des risques de sécurité.

Note: 🗨️ Dans Signal, allez dans les paramètres > Conversations > et décochez "Générer des aperçus de liens".

Quelqu'un a réussi à contourner le chiffrement BitLocker en exploitant PXE.
PXE est - de manière générale - un risque de sécurité. À moins d'en avoir besoin, pensez à le désactiver dans votre BIOS/EFI.
(PXE permet à un ordinateur de booter directement sur le réseau, le système d'exploitation étant fourni par un serveur. Cela permet de démarrer des ordinateurs ne possédant même pas de disque dur/SSD).

😱

Edit : article en français : https://next.ink/brief_article/sur-linux-rsync-3-4-corrige-plusieurs-failles-importantes-dont-une-critique/

Est-ce que c'est une bonnée idée de stocker vos codes TOTP dans votre gestionnaire de mots de passe ? J'aurais tendance à dire que c'est une *SUPER* mauvaise idée, mais certains spécialistes en sécurité semblent penser le contraire. Je garde leurs arguments sous le coude.

Utiliser l'IA pour la sécurité des codes sources ?
BEN NON EN FAIT, c'est une super mauvaise idée. Les développeurs de Logiciels Libre sont noyés de rapports de bugs sécurité bidon, et ça prend un temps fou à vérifier. L'auteur de curl en a déjà témoigné.
On avait vraiment pas besoin de ça.

Rappel : Une LLM ne "comprend" rien à ce qu'on lui donne à manger, et ne comprend pas même les mots qu'elle utilise. Alors lui faire analyser la sécurité d'un code, c'est non.

Tiens elle est bien cette timeline des fuites de données des entreprises françaises.

Un petit rappel que les diodes qui s'allument quand la webcam fonctionne, ce n'est pas du 100%.
Là un hacker montre comment désactiver la diode de la webcam d'un ordinateur portable Thinkpad sans avoir accès au matériel (donc de manière juste logicielle), en exploitant des bugs du firmware.
Donc oui vous avez raison de couvrir votre webcam avec un post-it.
Il est tout à fait envisageable que les firmwares d'autres objectifs (webcam USB, smartphone...) aient aussi des failles de sécurité.
Reste le micro pour lequel coller un post-it ne sert pas à grand chose...

Ce n'est pas la première faille de X qui sort. Il y en a eu beaucoup trop. (D'où l'intérêt de Wayland qui repart de zéro. Mais la transition n'est pas simple.)

Pourquoi redémarrer son téléphone régulièrement ?
Parce qu'il y a toute une classe d'attaque où le logiciel malveillant survit en mémoire seulement (et pas sur "disque"/sd). Rebooter le "tue" donc.
(Les malwares qui subistent uniquement en mémoire passent souvent sous le radar des antivirus puisque aucun fichier n'est modifié sur disque. Et les antivirus se concentrent souvent sur les fichiers.)
Et il se trouve qu'un paquet de failles de sécurité font que certains téléphones exécutent du code malveillant sans la moindre intervention de votre part (Pegasus, etc.)

La sécurité des objets connectés ça a l'air de bien se passer 😂😂😂

On le répète encore et encore, mais on ne nous écoute pas : Arrêtez de mettre en place des systèmes de surveillance pour notre "sécurité", car forcément un jour ou l'autre des personnes mal intentionnées y accèderont.

Eh bien on y est : Des hackers chinois ont attaqué plusieurs fournisseurs d'accès américains visiblement dans le but d'accéder au système de surveillance et d'écoute des communications mis en place par le gouvernement américain.
Dites-vous bien qu'en France le gouvernement français est allé installer ses boites noires dans les datacenters de tous les fournisseurs d'accès français aussi. Cela pourrait donc très bien nous arriver également.

Ça a l'air sympa la sécurité de ces foutues voitures connectées.

Encrore une fuite de données...

Cette histoire est un peu dingue : Le Hezbollah utilise des appareils de radiomessagerie comme nous avions dans l'avènement des téléphones portables : https://fr.wikipedia.org/wiki/Radiomessagerie. Un petit appareil capable de recevoir des messages.
Mardi, 2000 de ces appareils - utilisés principalement par le Hezbollah - ont simultanément explosé, causant 11 morts et encore plus de blessés.
D'après les spécialistes, il est peu probable que ce soient les batteries qui aient explosé: Les appareils ont probablement été modifiés pour y inclure de l'explosif, soit pendant le transport, soit lors de la fabrication (supply chain attack).
Aux commandes de cette attaque ? Probablement l'Israël.

Édit : et maintenant des talkie-walkie explosent aussi : https://www.reuters.com/world/middle-east/israel-planted-explosives-hezbollahs-taiwan-made-pagers-say-sources-2024-09-18/
Édit : https://www.theregister.com/2024/09/18/lebanon_walkie_talkie_explosion_isreal_war/

Edit : il semblerait que les batteries de ces pagers perdant en fiabilité et n'étant plus fabriquées, le Hezbollah s'est tourné vers un autre fournisseurs... qui était en réalité une société-écran des services secrets Israéliens. Les appareils avec des batteries piégées ont commencé à être livrées en 2022 : https://www.nytimes.com/2024/09/18/world/middleeast/israel-exploding-pagers-hezbollah.html?unlocked_article_code=1.L04.UXAm.r1DNLQJWALoP&ngrp=mnp&cbgrp=p

Édit : le gouvernement israélien admet que c'était leur initiative : https://www.huffingtonpost.fr/international/article/benjamin-netanyahu-reconnait-avoir-donne-son-feu-vert-a-l-attaque-des-bipeurs-contre-le-hezbollah_242061.html

Et ENCORE des fuites de données.
C'est sans fin.

Et encore une nouvelle attaque pour exfilter des données d'un odinateur non connecté, cette fois en mesurant le son émis par les écrans LCD (bruit des bobines et condensateurs, entre autres).