Ce gars explique comment il a utilisé une faille de WhatsApp pour aller piquer un fichier dans le système de fichiers.
Et oui, c'est un peu de cette manière que Jeff Bezos (Amazon) s'est fait pirater via un simple message WhatsApp.

Il semblerait que les Android récents soient plus durs à cracker que les iPhones récents. On parle là de la fameuse "machine à cracker" Cellebrite (celle que la France va acheter en masse).
Ce qui est une surprise, car les iPhones ont notoirement toujours été plus difficiler à cracker que les Android.
D'où l'intérêt d'avoir un Android récent avec les patchs de sécurité. Tiens c'est marrant c'est un peu ce que je disais là:  https://sebsauvage.net/links/?nl0aSA

Plus le temps passe, plus je me dis que la condition pour que j'achète un téléphone est qu'ils fasse partie du programme Android One. Raz-le-bol des fabricants de téléphone qui ne répercutent pas les mises à jour de Google sur leurs téléphones.

À propos de cette histoire d'appareil de chez Cellebrite capable de pirater et aspirer toutes les données d'un téléphone (https://sebsauvage.net/links/?Yul2Rw) même verrouillé, vous savez ce que je pense ?  
Que ce genre de chose ne doit être possible qu'en exploitant des failles de sécurité.

Et pourquoi les smartphones sont bourrés de failles de sécurité ? Parce que les fabricants de téléphones ne répercutent pas sur leurs appareils les failles corrigées dans Android par Google.

De quand date la dernière mise à jour de sécurité d'Android que vous avez reçu sur votre téléphone ? Probablement de plus d'un an. En étant chanceux.
Voilà sans aucun doute la source du problème.

D'où mon intérêt grandissant pour Android One: En ayant des mises à jour tous les mois, j'ose espérer qu'un nombre respectable de failles de sécurité seront corrigées, rendant moins facile le piratage de ces téléphones.

EDIT: Ah ben tiens, justement: https://sebsauvage.net/links/?GL6_Vw

C'est carrément pas rassurant.
Note: Ne laissez jamais un chargeur branché sans surveillance. Vous partez ? Débranchez !

Coucou Windows 7  o/
On y est.
Faille critique dans IE. Ce qui inclue Windows 7. Qui ne recevra plus de mises à jour de sécurité. Et la faille est déjà exploitée.

meuneumeuneumeuneu
Mais combien de temps j'ai cherché comme un con comment voir tous les mots de passe stockées dans le trousseau de clés Gnome ? (mdp applications, sites web, Wifi, VPN, partages réseau...)
Alors que c'était si simple: sudo apt install seahorse
Mais pourquoi c'est pas installé par défaut ??? Agreû.
Du coup pouf: Ajouté à ma page d'astuces pour Linux : https://sebsauvage.net/wiki/doku.php?id=linux-vrac

Sous le coude: Une alternative à YubiKey.
Voir aussi: https://www.nitrokey.com/

Nice est l'une des villes les plus vidéo-surveillés de France.
L'impact sur la criminalité ?
« l’analyse des évolutions la seule ville de Nice sur une période relativement longue de sept ans, met en évidence que l’impact de la vidéosurveillance sur des crimes ou délits importants comme le sont les coups et blessures volontaires et les cambriolages est quasiment nul. »
Voilà donc ça sert à rien.
Les anglais ont une expression pour ça: Le «security theatre», c'est à dire le fait de gesticuler dans tous les sens et faire semblant de travailler dur pour la sécurité, mais en faisant du flanc, des trucs parfaitement inutile. Une manière de se dédouaner quand il y a de vrais problèmes de sécurité.
https://en.wikipedia.org/wiki/Security_theater

Voir aussi:
https://sebsauvage.net/links/?0SJkBg
https://sebsauvage.net/links/?bSr3sQ
https://sebsauvage.net/links/?DArabg

Cette faille de l'UI d'Android est assez effrayante: Vous pensez donner des autorisations à une appli, mais en fait vous êtes en train d'en donner à une autre.

Et ben ils n'ont pas attendu pour exploiter la faille.

« ... Qui le recommande comme étant le navigateur le plus sécurisé »

Nouvelle fonctionnalité de Windows: "Tamper Protection"
Parce que sinon les programmes peuvent couper la sécurité de Windows par une simple bidouille (shell, stratégies de groupe, base de registre).
NAN MAIS VOUS ÊTES SÉRIEUX, LÀ ? 🤨
Moi mes enfants, sous Nunux, QUOI QU'ILS FASSENT, ils ne peuvent toucher ni aux services ni au moindre fichier de config système.
Mais enfin, cet OS vraiment, c'est pas sérieux (ou alors j'ai mal compris l'article?)

Tiens, c'est assez peu courant pour être mentionné: Pour une fois, ce ne sont pas des documents Word (.doc) qui infectent mais des documents LibreOffice/OpenOffice (.odt).

Et devinez ce qui déclenche l'infection ? C'est quand Microsoft Word ouvre un ODT sous Windows. Parce que Word continue à traiter les objets OLE comme des objets de confiance.
OLE, le truc que Microsoft a sorti en 1990 et qui a été à la source d'une incommensurable quantité d'infections.

Note: Il existe actuellement une faille dans IE qui permet de prendre un contrôle totale de la machine à distance si l'utilisateur est admin. Cette faille est actuellement exploitée.
Vous pouvez mettre un coup de pelle à ceux qui l'utiliseraient encore.

« 500 serveurs médicaux, connectés sur Internet sans aucune protection. Ces systèmes donnaient accès à plus de 399 millions d'images médicales. »
Non mais il paraît que la sécurité informatique ça coûte trop cher et c'est pas "rentable".

Bon ben voilà... c'est assez clair ? L'antivirus fourni avec Windows (Windows Defender) est bon.
Contrairement au passé, je vous déconseille FORTEMENT d'installer un autre antivirus (Avast, AVG ou autre).
Celui de Microsoft fait du bon boulot.

Je pose ça là.
La biométrie pose beaucoup, beaucoup de problèmes.

D'abord, si un serveur se fait pirater vos données biométriques, vous ne pourrez pas changer de visage ou d'empreintes digitales.
Mais en fait, c'est bien pire que ça: Ces données volées pourraient être réutilisée pour se faire passer pour vous sur d'autres services qui utilisent aussi la biométrie. Ensuite en cas de litige, amusez-vous bien à prouver que ce n'était pas vous !  La biométrie vous met juridiquement en danger.

Et même si ces serveurs ne se font pas pirater, voler vos données biométrique est facile.
Vos empreintes digitale ? Oh pas besoin de les collecter sur un verre que vous auriez tenu en main: Il suffit d'une photo. Un hacker Allemand du célèbre CCC a réussi à reproduire l'empreinte digitale de la ministre de la défense allemande à partir de simples photos de presse.
ET CE HACK DATE DE 2014.
https://www.theguardian.com/technology/2014/dec/30/hacker-fakes-german-ministers-fingerprints-using-photos-of-her-hands

Votre visage ? Quelle blague. Même les enfants savent pirater les systèmes biométrique basés sur le visage: Cet homme politique américain se demandait pourquoi la batterie de son ordinateur se déchargeait aussi vite. Il a compris: Ses enfants utilisaient ses affiches de campagne pour déverrouiller l'ordinateur : https://twitter.com/mattcarthy/status/1120641557886058496

Vous voudriez bien arrêter de faire de la merde avec la biométrie et arrêter de présenter ça comme une solution miracle ? Ça n'est une solution miracle que dans les films.
Je vais le répéter: La biométrie ne doit **PAS** être utilisée pour l'authentification (aka "mot de passe"). Elle est seulement acceptable pour l'identification (aka "login").

Et bien entendu, je n'ai pas abordé le risque du fichage en masse et du détournement de ces fichiers à des fins politiques/idéologiques.

Comme dans les films: Une IA utilisée pour simuler la voix d'un supérieur pour du social engineering. Brillant.
(source: https://www.wsj.com/articles/fraudsters-use-ai-to-mimic-ceos-voice-in-unusual-cybercrime-case-11567157402)

Oh c'est cool.  Une lib de TOTP en 30 lignes de Python.
(J'avais écrit un petit texte explicatif et un exemple de formulaire de login en PHP qui utilise TOTP: https://sebsauvage.net/wiki/doku.php?id=totp)

Depuis 2011, Lenovo livre ses ordinateurs avec un crapware assez fantastique qui écrase les permissions de fichiers, ce qui permet à un utilisateur sans droits admins de rediriger un fichier système protégé vers ce qu'il veut. Faille de "privilege escalation", classique, mais dans ce cas due uniquement au crapware de Lenovo.
Raison de plus pour virer toutes les merdes pré-installées avec Windows par les fabricants d'ordinateurs.
Ou passer à Linux (oui je sais, je trolle).

Oh merde.
Webmin est une interface Web populaire pour administrer des serveurs.
Une backdoor a été trouvée. Elle est là depuis plus d'un an.
EDIT: Les détails: http://www.webmin.com/exploit.html

Ouch.
vous ne connaissez pas VxWorks, mais vous l'avez déjà utilisé: C'est un système d'exploitation commercial temps réel embarqué. On le retrouve partout: modems, routeurs, imprimantes réseau, systèmes de téléphonie, ascenseurs, scanners médicaux, véhicules, objets connectés...
Et bien il y a actuellement plusieurs failles de sécurité critiques découvertes.
Et patcher ces systèmes embarqué ne va pas être facile, car ils ne se mettent pas à jour comme votre système d'exploitation.

Je vois passer cet article (intéressant) qui expose un malware Linux orienté bureau.
La plupart des malwares Linux/Unix sont orienté serveur (tournant avec les droits root ou approchant). Assez peu de malware tournent dans l'espace utilisateur.
Mais contrairement à ce qu'on peut lire, ce n'est pas une nouveauté. Il y a déjà eu divers Proof-of-concept.
Exemples en 2014: https://sebsauvage.net/links/?KwXkmQ
Ou un exemple de keylogger X Windows en 2016 : https://sebsauvage.net/links/?psdopg

Voilà voilà.  ><
EDIT: Un peu plus d'infos sur les entreprises impactées: https://www.theregister.co.uk/2019/06/26/china_apt10_hpe_ibm_dxc_hacked/

Voilà donc la CIA a espionné des gens en utilisant leur smartTV, même quand la télé avait l'air éteinte.
Parce que votre smartTV n'est pas une TV, c'est ORDINATEUR et comme tous les ordinateurs il a des failles de sécurité.