Je rappelle aussi:
- Que Deutsch-Telecom (qui est aussi une autorité de certification) avait admis avoir écouté illégalement des journalistes.
- Que vous avez aussi dans votre système les certificats de plusieurs dictatures (Chine, etc. https://sebsauvage.net/links/?h3sW-A) et entreprises privées (Amazon, Microsoft, Google, Symantec, Verizon...)
- Que certaines dictatures ne se privent pas, ainsi, de générer de faux certificats qui ne lèveront donc aucune alerte dans le navigateur (https://sebsauvage.net/links/?zCXcTQ)
- Que certains éditeurs insèrent des certificats de dictatures ou autre organisations louches à travers le système de mises à jour (coucou Microsoft, coucou l'ex-dictature Tunisienne).
- Que certaines autorités de certification se sont déjà fait pirater par le passé (DigiNotar)
- Que certaines autorités de certification ont été pris la main dans le sac à générer des certificats bidons (https://sebsauvage.net/links/?uboY5Q)
- Que certains fournisseurs d'accès DE MERDE génèrent de faux certificats (https://sebsauvage.net/links/?RWF4Pg)
- Que certaines entreprises font ça aussi en interne (en installant des certificats maison) (https://sebsauvage.net/rhaa/index.php?2010/11/08/19/54/41)
- Que certains logiciels vont allègrement bidouiller vos listes d'autorités (https://sebsauvage.net/links/?YNBM6w)
- Que certains fabricants d'ordinateurs insèrent leurs propres certificats racine dans le système (https://sebsauvage.net/links/?RuCjog)
- Que certains logiciels interceptent à la volée les certificats pour les modifier (les "filtres web" des antivirus Windows)
- Que certaines autorités de certifications vendent aussi du matériel de surveillance (https://sebsauvage.net/links/?Y1tbmw)

Donc c'est un immense bordel.
Sur le principe, on ne devrait faire confiance aux autorités racine qu'au cas par cas, mais c'est trop demander à l'utilisateur de base.
Donc on est dans la merde, avec aucune solution de remplacement viable.

Introduction à SELinux (via http://shaarli.m0le.net/?Ejm-8Q)

Juste pour que vous sachiez que ça existe et que c'est POSSIBLE: Ce proxy fait du MITM pour intercepter votre trafic, et il est capable de patcher à la volée les exécutables téléchargés. Donc il est capable d'injecter du code ou un cheval de Troie à la volée dans ce que vous téléchargez.

Le danger de jeter vos objets connectés, comme les ampoules connectées ?
C'EST QUELLES CONTIENNENT ENCORE LE MOT DE PASSE DE VOTRE WIFI.
Bah oui.
(source: https://limitedresults.com/2019/01/pwn-the-lifx-mini-white/)

Chez vos amis, dans votre famille, par pitié, installez l'extension uBlock-origin pour Firefox et activez ces filtres.
Cela permettra d'éviter des milliers de sites malveillants, comme le site "keepass.fr" qui distribue une version vérolée du logiciel KeePass.
PS: uBlock-Origin est aussi disponible dans Chrome, donc ne faites pas dans le détail: Installez également dans Chrome s'ils l'utilisent.

Je cite: « Ils montraient que la pratique, très répandue en entreprise, de l'interception (en fait, le détournement) des sessions HTTPS des utilisateurs, outre son côté immoral, a de graves conséquences pour la sécurité. »

Mmmm... tiens je n'avais pas tilté: Le support de Windows 7 se termine le 1er janvier de l'année prochaine. Oui, déjà.
Après cette date, vous n'aurez plus les mises à jour de sécurité. Sauf si vous payez.

Des pirates ont publié les infos personnelles de journalistes et personnalités, incluant adresse du domicile, email, discussions privées et même des photos de leurs enfants.
Sauf ceux appartenant aux partis d'extrême-droite.

Moi je trouve ça très sain comme TOC. Moins de processus = moins de ressources consommées = machine plus rapide, plus stable et ça réduit la surface d'attaque.

Sous le coude: ESET a publié un article assez détaillé sur un ensemble de malwares ciblant Linux, et plus spécifiquement OpenSSH. Intéressant.
https://www.welivesecurity.com/wp-content/uploads/2018/12/ESET-The_Dark_Side_of_the_ForSSHe.pdf

Ce gars a trouvé un cheval de Troie spécifique au Raspberry. Pensez à changer le mots de passe par défaut de Raspbian !

Maintenant que je suis sur un nouveau serveur, j'ai un plein accès à mes logs Apache.
Purée, j'avais oublié à quel point ils peuvent être débiles, les script-kiddies 🤦‍♂️:
https://framapiaf.org/system/media_attachments/files/001/654/056/original/16e9880c477c1d08.png
https://framapiaf.org/system/media_attachments/files/001/654/057/original/13e38a33f08b54ba.png
https://framapiaf.org/system/media_attachments/files/001/654/059/original/65004362c8aede95.png
https://framapiaf.org/system/media_attachments/files/001/654/068/original/9ea65a6626857bdf.jpeg

Du coup j'ai décidé de les troller. Exemple: https://sebsauvage.net/admin.php

Rappel: Nos voitures sont bourrées de logiciels. Plusieurs MILLIONS de lignes de codes pour certaines.
Et un logiciel sans bug, ça n'existe pas.
Toyota va donc rappeler 2,4 millions de voiture hybrides, dont un bug coupe le moteur (la direction et les freins continuant à fonctionner).
Vous imaginez à 130 km/h sur l'autoroute, avoir tout à coup votre moteur qui se coupe ?  ><

Les développeurs du web 2.0 méritent des baffes. Du point de vue sécurité, c'est juste une horreur totale.

Mmmm... donc laissez-moi résumer: L'UEFI, le remplaçant du BIOS, qu'on nous a présenté comme une super avancée plus-mieux-pour-notre-sécurité-avec-des-bootloader-signés-niveau-militaire-ultra-sécurisés, a été détourné et permet à des rootkits de s'incruster dans la machine à un point où même ré-installer le système d'exploitation ne permet pas de se débarrasser de la saloperie.
J'ai bon ?

Des logiciels malveillants dans les dépôts AUR de la distribution Arch. C'est moche. A noter que ce pourrait arriver de manière tout à fait similaire dans les dépôts utilisateurs comme ppa (Ubuntu).

LOL du jour: La caméra de sécurité à la maison qui envoie le flux vidéo... au mauvais client !  ><
https://www.bbc.co.uk/news/av/technology-44628401/swann-s-kitchen-security-camera-sends-video-to-wrong-app

Ceci est l'un des plus fantastiques fiasco concernant les serrures électroniques. ÉPIQUE.
Ce cadenas se déverrouille en Bluetooth ou par empreinte digitale. Sauf qu'un simple tournevis permet de le démonter. Attendez c'est pas fini.
Le code de déverrouillage électronique est calculé à partir de l'adresse MAC Bluetooth du cadenas (qui est publique). Ils ont créé une application qui permet d'ouvrir TOUS les cadenas de ce modèle en 2 seconde.
C'est pas fini !
Un autre hacker a remarqué qu'il suffit de changer son ID sur le site web pour ouvrir comme il le souhaite à distance n'importe quel cadenas de la marque. Et connaître sa géolocalisation. (Tous les ID client sont simplement incrémentaux, et le serveur ne vérifie pas si vous le changez.)

Facepalm total.

J'ai le droit de dire "pouark" ?
Un bug très commun à la plupart des librairies de compression permettrait d'écraser des fichiers n'importe où sur le disque quand vous décompressez un zip (et donc pas seulement dans le répertoire dans lequel vous dézippez le fichier).

Oups tiens des mots de passe codés en durs dans les équipements réseau Cisco qui permettent de prendre le contrôle total des appareils.  :-(((
EDIT: Et dans la foulée, on apprend que des hackers russes ont piraté des routeurs Cisco utilisé dans le système électrique américain : https://www.darkreading.com/endpoint/privacy/russian-apt-compromised-cisco-router-in-energy-sector-attacks/d/d-id/1331306

:-(((

Une alternative à fail2ban pour surveiller les logs de votre système et agir en conséquence (par exemple pour bannir une adresse IP qui essaient tous les mots de passe sur votre serveur).

EDIT: Voir aussi : https://framagit.org/ppom/reaction

Allez hop, faille de sécurité dans toutes les applications développées en Electron. :-(((   (remote code execution vulnerability !)
PS: ça n'affecte que les applications Electron sous Windows.

Un script pour vérifier si votre système Linux est vulnérable aux failles Spectre et Meltdown.
À exécuter en tant que root: https://raw.githubusercontent.com/speed47/spectre-meltdown-checker/master/spectre-meltdown-checker.sh
Résultat clair et lisible, mais comme indiqué, ce n'est pas du 100%.

Ce site recense tous les outils pour permettre de vous libérer des ransomwares.