Et ben ils n'ont pas attendu pour exploiter la faille.

« ... Qui le recommande comme étant le navigateur le plus sécurisé »

Nouvelle fonctionnalité de Windows: "Tamper Protection"
Parce que sinon les programmes peuvent couper la sécurité de Windows par une simple bidouille (shell, stratégies de groupe, base de registre).
NAN MAIS VOUS ÊTES SÉRIEUX, LÀ ? 🤨
Moi mes enfants, sous Nunux, QUOI QU'ILS FASSENT, ils ne peuvent toucher ni aux services ni au moindre fichier de config système.
Mais enfin, cet OS vraiment, c'est pas sérieux (ou alors j'ai mal compris l'article?)

Tiens, c'est assez peu courant pour être mentionné: Pour une fois, ce ne sont pas des documents Word (.doc) qui infectent mais des documents LibreOffice/OpenOffice (.odt).

Et devinez ce qui déclenche l'infection ? C'est quand Microsoft Word ouvre un ODT sous Windows. Parce que Word continue à traiter les objets OLE comme des objets de confiance.
OLE, le truc que Microsoft a sorti en 1990 et qui a été à la source d'une incommensurable quantité d'infections.

Note: Il existe actuellement une faille dans IE qui permet de prendre un contrôle totale de la machine à distance si l'utilisateur est admin. Cette faille est actuellement exploitée.
Vous pouvez mettre un coup de pelle à ceux qui l'utiliseraient encore.

« 500 serveurs médicaux, connectés sur Internet sans aucune protection. Ces systèmes donnaient accès à plus de 399 millions d'images médicales. »
Non mais il paraît que la sécurité informatique ça coûte trop cher et c'est pas "rentable".

Bon ben voilà... c'est assez clair ? L'antivirus fourni avec Windows (Windows Defender) est bon.
Contrairement au passé, je vous déconseille FORTEMENT d'installer un autre antivirus (Avast, AVG ou autre).
Celui de Microsoft fait du bon boulot.

Je pose ça là.
La biométrie pose beaucoup, beaucoup de problèmes.

D'abord, si un serveur se fait pirater vos données biométriques, vous ne pourrez pas changer de visage ou d'empreintes digitales.
Mais en fait, c'est bien pire que ça: Ces données volées pourraient être réutilisée pour se faire passer pour vous sur d'autres services qui utilisent aussi la biométrie. Ensuite en cas de litige, amusez-vous bien à prouver que ce n'était pas vous !  La biométrie vous met juridiquement en danger.

Et même si ces serveurs ne se font pas pirater, voler vos données biométrique est facile.
Vos empreintes digitale ? Oh pas besoin de les collecter sur un verre que vous auriez tenu en main: Il suffit d'une photo. Un hacker Allemand du célèbre CCC a réussi à reproduire l'empreinte digitale de la ministre de la défense allemande à partir de simples photos de presse.
ET CE HACK DATE DE 2014.
https://www.theguardian.com/technology/2014/dec/30/hacker-fakes-german-ministers-fingerprints-using-photos-of-her-hands

Votre visage ? Quelle blague. Même les enfants savent pirater les systèmes biométrique basés sur le visage: Cet homme politique américain se demandait pourquoi la batterie de son ordinateur se déchargeait aussi vite. Il a compris: Ses enfants utilisaient ses affiches de campagne pour déverrouiller l'ordinateur : https://twitter.com/mattcarthy/status/1120641557886058496

Vous voudriez bien arrêter de faire de la merde avec la biométrie et arrêter de présenter ça comme une solution miracle ? Ça n'est une solution miracle que dans les films.
Je vais le répéter: La biométrie ne doit **PAS** être utilisée pour l'authentification (aka "mot de passe"). Elle est seulement acceptable pour l'identification (aka "login").

Et bien entendu, je n'ai pas abordé le risque du fichage en masse et du détournement de ces fichiers à des fins politiques/idéologiques.

Comme dans les films: Une IA utilisée pour simuler la voix d'un supérieur pour du social engineering. Brillant.
(source: https://www.wsj.com/articles/fraudsters-use-ai-to-mimic-ceos-voice-in-unusual-cybercrime-case-11567157402)

Oh c'est cool.  Une lib de TOTP en 30 lignes de Python.
(J'avais écrit un petit texte explicatif et un exemple de formulaire de login en PHP qui utilise TOTP: https://sebsauvage.net/wiki/doku.php?id=totp)

Depuis 2011, Lenovo livre ses ordinateurs avec un crapware assez fantastique qui écrase les permissions de fichiers, ce qui permet à un utilisateur sans droits admins de rediriger un fichier système protégé vers ce qu'il veut. Faille de "privilege escalation", classique, mais dans ce cas due uniquement au crapware de Lenovo.
Raison de plus pour virer toutes les merdes pré-installées avec Windows par les fabricants d'ordinateurs.
Ou passer à Linux (oui je sais, je trolle).

Oh merde.
Webmin est une interface Web populaire pour administrer des serveurs.
Une backdoor a été trouvée. Elle est là depuis plus d'un an.
EDIT: Les détails: http://www.webmin.com/exploit.html

Ouch.
vous ne connaissez pas VxWorks, mais vous l'avez déjà utilisé: C'est un système d'exploitation commercial temps réel embarqué. On le retrouve partout: modems, routeurs, imprimantes réseau, systèmes de téléphonie, ascenseurs, scanners médicaux, véhicules, objets connectés...
Et bien il y a actuellement plusieurs failles de sécurité critiques découvertes.
Et patcher ces systèmes embarqué ne va pas être facile, car ils ne se mettent pas à jour comme votre système d'exploitation.

Je vois passer cet article (intéressant) qui expose un malware Linux orienté bureau.
La plupart des malwares Linux/Unix sont orienté serveur (tournant avec les droits root ou approchant). Assez peu de malware tournent dans l'espace utilisateur.
Mais contrairement à ce qu'on peut lire, ce n'est pas une nouveauté. Il y a déjà eu divers Proof-of-concept.
Exemples en 2014: https://sebsauvage.net/links/?KwXkmQ
Ou un exemple de keylogger X Windows en 2016 : https://sebsauvage.net/links/?psdopg

Voilà voilà.  ><
EDIT: Un peu plus d'infos sur les entreprises impactées: https://www.theregister.co.uk/2019/06/26/china_apt10_hpe_ibm_dxc_hacked/

Voilà donc la CIA a espionné des gens en utilisant leur smartTV, même quand la télé avait l'air éteinte.
Parce que votre smartTV n'est pas une TV, c'est ORDINATEUR et comme tous les ordinateurs il a des failles de sécurité.

L'intérêt d'un "AppStore" - tel que nous le présentent les GAFAM - c'est d'avoir un point centralisé et sécurisé pour télécharger ses applications.
Microsoft propose aussi aux développeurs d'afficher de la publicité dans leurs applications via un SDK spécifique.
Sauf que Microsoft a affiché des arnaques au support technique (une arnaque bien connue) dans les publicités des applications issues de son Windows Store. Les développeurs qui ont inclus ces publicités sont furieux.

Comme dit un des développeurs affectés: « Comment est-ce que vous pouvez vous attendre à ce que les utilisateurs fasse confiance à la moindre application du Microsoft Store quand leur navigateur leur affiche une popup avec une arnaque ? »

Rappel: Microsoft est là pour faire de l'argent. Microsoft n'a commencé à se bouger le cul sur la sécurité de Windows que quand ça a commencé à attaquer son image de marque et menacé ses parts de marché.
Le Microsoft Store n'est pas là pour votre sécurité: Il est là pour prendre le contrôle et monétiser la distribution des logiciels entre les développeurs et les utilisateurs, domaine qui a toujours échappé à Microsoft (via la pléthore de sites de téléchargement depuis les tout débuts de Windows).

Wwooaaaa alors là je félicite notre ANSSI nationale (Agence nationale de la sécurité des systèmes d'information). Ils ont là un beau projet qu'ils ont eux-même développé, et le tout est de conception ouverte.
Il s'agit d'un disque dur externe chiffré.
Les sources sont sur GitHub: https://github.com/wookey-project/

Pour lutter contre les cyberattaques, le gouvernement Israélien a tout simplement... bombardé l'immeuble qui contenait les hackers. °o°
(via Korben)

« Mé on force les gens à utiliser un AppStore c'est pour les protégeay »
Meh.

Purée, le capitalisme à gerber: Quand tu apprend qu'un signal d'alerte dans les Boeing 737 Max était une option payante.
Je cite l'article: « Les inspecteurs avaient découvert que Boeing avait choisi de rendre optionnel et payant le signal d’alerte lumineux, après que Southwest a demandé au constructeur de le réactiver à la suite de l’accident d’un 737 MAX 8 de Lion Air ayant entraîné la mort de 189 personnes le 29 octobre 2018 en Indonésie. »
Tout est bon pour gagner de l'argent, peu importe si ça va jusqu'à coûter des vies.

On va le répéter encore une fois: ARRÊTEZ D'UTILISER LA BIOMÉTRIE POUR L'AUTHENTIFICATION (aka "mot de passe").
La biométrie n'est acceptable que pour l'identification (aka "login").

EDIT: illustration: https://twitter.com/mattcarthy/status/1120641557886058496
Cet homme politique se demandait pourquoi la batterie de son ordinateur portable se déchargeait en son absence. Il a trouvé: Ses enfants ont utilisé ses affichettes de campagne pour déverrouiller l'ordinateur.

Analyse détaillée: https://securelist.com/game-of-threats/90116/

Pourquoi cette attaque a marché ?
- Parce que Windows masque les extensions de fichier mais se base quand même dessus pour déclencher une action.
- Que du coup, quand un utilisateur va double-cliquer sur un fichier, il ne saura pas quelle action le système va faire: OUVRIR le fichier de données ou EXÉCUTER le programme. Et il ne peut pas le voir à l'avance.

C'est idiot et dangereux.

À titre de comparaison sous Linux:
- L'explorateur ne se base pas sur l'extension du fichier mais détermine son type et choisit le programme approprié: Même si un fichier .jpg n'a pas l'extension .jpg il s'ouvrira correctement.
- Un fichier téléchargé ne peut pas être exécuté quand on double-clic dessus, sauf si l'utilisateur le marque explicitement comme exécutable.
(sauf les fichier .desktop, mais là encore il y a un mécanisme de confirmation.)

Ainsi si je télécharge un script shell (.sh) et que je double-clic dessus, il ne l’exécutera pas mais ouvrira l'éditeur de texte pour me l'afficher.

Je continue à dire que les choix technique de Microsoft sont vraiment merdique, et LÀ ENCORE, on a l'exemple qu'ils mènent à des infections. C'est le même refrain depuis des dizaines d'années.

Quand ces appareils commenceront à être piratés, ça va être assez "rigolo".
Houps le paquet a été livré à une autre adresse.
Houps il a provoqué un accident (qui sera le responsable ? Le proprétaire du drone, bien sûr !).
Et là pour investiguer sur le piratage, ça sera une autre paire de manches.

ASUS vient de faire une sacré merde.
Un de leurs serveurs s'est fait pirater. Et comme tous les fabricants bourrent leurs machines de plein de logiciels qui se mettent automatiquement à jour, le malware déposé sur le serveur Asus s'est répandu sur ces centaines de machines. Et ces exécutables étaient signés avec les certificats Asus.
Mais pas n'importe lesquelles, puisque ce malware visait certaines adresses MAC particulières.
C'est flippant.
Détails : https://securelist.com/operation-shadowhammer/89992/