Le gouvernement allemand veut une backdoor dans tout équipement relié à internet.
WHAT COULD POSSIBLY GO WRONG ???
C'est pas comme si la NSA s'était elle-même fait pirater ses outils.

Un site pour analyser les applications Android afin de savoir si elles contiennent un tracker.

Bon alors voilà, une bonne grosse faille sur WPA2, le standard qui sert à protéger/chiffrer le WiFi.
Et visiblement, tout le monde est concerné: « The weaknesses are in the Wi-Fi standard itself, and not in individual products or implementations. Therefore, any correct implementation of WPA2 is likely affected. »
Pas rassurant.

Résumé de la faille: (https://mastodon.social/@krypteia/98838905274377087)
« * 4-way handshake nonce reuse attack
* does NOT allow recovery of WIFI password or 4-way handshake negotiated encryption key (except for linux/android which can be tricked into using all-zero encryption key--lolz)
* does allow the attacker to preform a full MITM attack on a Wi-Fi connected client
* no access point patch can fix this, EVERY client device that connects to WiFi needs to be patched »

:-(

EDIT: Explication (et vulgarisation) de la faille en français: http://beta.hackndo.com/krack/

Yahoo continue à s'enfoncer. En fait, en 2013, c'est pas des millions d'email Yahoo qui ont été piratés. C'est TOUS. La totalité.

Adepte des motifs de déverrouillage  ? (comme moi 😖)
Et bien elles sont beaucoup plus facile à casser que les codes PIN.
En regardant une vidéo de quelqu'un qui tape son PIN à 6 chiffres, seul 10% des personnes arrivent à deviner le code.
Cela monte à 64% avec un motif de déverrouillage à 6 points.
(et même 80% la personne peut voir la vidéo plusieurs fois)

Aux Etats-Unis, les bases de données de machines à voter ont été piratées. Se sont retrouvés dans la nature 1,8 millions d'identités, avec noms, prénoms, adresses, date de naissance, numéro de sécurité sociale, et affiliations aux partis politiques.
Une raison de plus d'éviter ces saloperies de machines à voter.

Et hop... un outils pour faire de l'escalation de privilège qui connaît 41 méthodes différentes.

«  données très sensibles : en sus des permis de conduire, on trouve en effet la base du programme de protection de témoins, des détails personnels (noms, photos, domiciles) sur les unités d’élite de l’armée suédoise, sur les pilotes de combat, des informations sur tout Suédois figurant dans un fichier de police ou encore sur les véhicules employés par le gouvernement et l’armée.  »

Mais pourquoi refuser de se faire ficher si on a rien à se reprocher, hein ?

><

Nouveau piratage en masse et demande de rançon.
Utilisant la MÊME failles de sécurité de WannaCry.
*facepalm*

Certains services Microsoft (Hotmail, Live, Onedrive, Outlook, Skype) ont été innaccessibles à cause d'un certificat non renouvellé (par Microsoft).
Comme Firefox vérifie la révocation des certificats (par mesure de sécurité), il a bloqué l'accès.
Internet Explorer/Edge et Chrome n'ont pas bloqué.

Malgré le fait que Firefox ait fait la "bonne chose" (comparativement à IE/Chrome), la conclusion des internautes va sûrement encore être: « Tu vois c'est nul Firefox ça marche pas, alors que IE/Chrome ça marche bien. »
Je facepalm d'avance.

Sur le principe, oui c'est bien.
Mais rien qu'avoir le mot "Google" dans le système d'authentification de mon serveur ssh, ça me refroidit. Complètement.
En prime, c'est juste du TOTP/HTOP, un standard, alors pourquoi avoir recours à du Google ?
On peut faire du TOTP sans le moindre code Google (exemple pour les applis Web): http://sebsauvage.net/wiki/doku.php?id=totp (No Google inside)

Microsoft a déjà patché les failles utilisées par la NSA ?
Je ne vois pas pourquoi on devrait applaudir: Rappelons-nous que Microsoft s'est engagé à fournir au gouvernement américain, sous le secret, les failles découvertes dans ses produits et d'attendre jusqu'à un mois avant de les rendre public.
Alors pardon, mais je ne vais pas féliciter Microsoft sur ce coup là.

Les précédents téléphone Samsung qui proposaient la reconnaissance faciale pouvaient être déverouillés simplement avec une photo du propriétaire présentée devant l'objectif... ou parfois par une personne qui lui ressemble (!).
Etant donné qu'on peut prendre une photo de vous à distance, cela équivaut à pouvoir vous piquer votre mot de passe à distance à n'importe quel moment.

Le nouveau Samsung S8 scanne votre iris.
Super.
Et alors ?
Un bon appareil photo peut photographier à distance votre iris également, tout comme cela a été fait pour les empreintes digitales:
http://sebsauvage.net/links/?TqsGzA
http://sebsauvage.net/links/?j6CFUg

On est au même point: On peut capturer à distance votre authentification.

Donc non non et non: La biométrie ne doit en aucun cas être utilisée pour l'authentification (mot de passe), mais pour l'identification (login).

EDIT: Tiens: http://www.ubergizmo.com/2017/03/galaxy-s8-facial-unlock-photograph/

« Des pirates affirment avoir pris le contrôle de millions de comptes iCloud. Ils menacent de réinitialiser 200 millions d’iPhone si Apple ne paye pas une rançon. »
Oups.

"Seulement" 32 millions de comptes piratés.
Et comment ?
« Les hackers ont utilisé, selon Yahoo, des cookies créés de toutes pièces permettant l'accès aux comptes sans avoir besoin de mot de passe. »
PARDON ???
Parce qu'il est possible, en lisant simplement le code source de Yahoo, de générer un cookie qui permet d'accéder totalement à un compte ?
Un cookie, c'est pas censé être généré de manière aléatoire côté serveur ??? Avec un *bon* aléa, en prime ?   Rhâââ....  >:-(

Des jouets connectés pour les enfants, WHAT COULD POSSIBLY GO WRONG ?
Je vous présente la peluche CloudPet, un charmant jouet vendu à plus de 800 000 exemplaires qui permet d'échanger des messages vocaux entre enfants et parents. Messages vocaux en total accès libre sur internet, sans authentification. Et dont la base de données a déjà été prise plusieurs fois en otage par des pirates.
Ah... le fabricant avait été prévenu à maintes reprises, et il n'avait rien fait.
Mais c'est pas grave, hein, puisqu'on si on a rien à se reprocher on a rien à cacher ?    ><

EDIT: Dans le même genre, en Allemagne: http://www.lemonde.fr/pixels/article/2017/02/20/en-allemagne-une-poupee-connectee-qualifiee-de-dispositif-d-espionnage-dissimule_5082452_4408996.html

Woa purée question sécurité, ce ne sont pas des amateurs chez Google. Ils vont jusqu'à concevoir eux-même des puces qui contrôlent le BIOS, le bootloader, le noyau et l'image de l'OS qu'il font tourner.
Et ils ont plein d'autres mesures de sécurité.

Comment les navigateurs stockent les mots de passe.
(via http://links.kevinvuilleumier.net/?b0XqBQ)

« La Maison Blanche suspecte fortement la Russie, et Vladimir Poutine en personne, d’avoir influencé les élections américaines. Barack Obama va annoncer des cyber-représailles »
Hein quoi ?
Ne me dite pas que ces saloperies de machines à voter vont être à l'origine de la troisième guerre mondiale ???

BlackBerry ? Le même BlackBerry qui a menti sur la sécurité de ses terminaux en utilisant une clé de chiffrement unique pour tout le monde ? (http://sebsauvage.net/links/?uvZrfw). Le BlackBerry qui a secrètement collaboré pendant des années avec les forces de l'ordre en déchiffrant les messages qu'il disait indéchiffrables ? (http://sebsauvage.net/links/?NoCktw)
Alors merci, mais non merci.
Certes ils essaient de faire mieux, mais en ce qui me concerne il va falloir faire bien plus que ça pour regagner ma confiance.

Bouah... la bonne grosse faille de sécurité. C'est pas beau.
Bon en même temps, il faut déjà avoir un accès physique à la machine, et dans ce cas là, vous êtes déjà mal.
(via fo0)
EDIT: https://utux.fr/index.php?article88/non-on-ne-pirate-pas-linux-en-appuyant-sur-la-touche-entree

J'ai vu ce reportage hier. Même s'il y a des simplifications (normal pour un reportage destiné au grand public), c'est bien. Cela met en lumière l'acoquinage de Microsoft avec les Etats-Unis. Dommage qu'ils n'aient pas mentionné l'épisode Tunisie, ou le fait que Microsoft ait livré une version spéciale de Windows à la dictature chinoise.  TL;DR: Microsoft collabore aussi avec les dictatures. Aucune mention dans le reportage, dommage !  Ou encore le fait que Microsoft avait légèrement oublié de mentionné qu'il récupère toutes les clés de chiffrement BitLocker (chiffrement de disque).

Dommage aussi que la Gendarmerie n'ai pas voulu témoigner de son passage à Linux et au logiciel libre (aussi bien les côtés positifs que négatifs. On entend jamais parler des côtés négatifs de cette migration, j'aimerais les entendre). Par contre, la note interne de la gendarmerie sur les risques de pressions de Microsoft à leur encontre est inquiétante.
Bref... c'est toujours bon de voir un média démocratiser ces problèmes (dont la plupart des gens n'ont absolument pas conscience).

L'interview de Microsoft est un formidable exemple de langue de bois.
La partie la plus #LOL, c'est quand Microsoft parle des développeurs du libre « On ne sait pas qui ils sont ! »... mouarf, c'est sûr que les dépôts Git, c'est totalement anonyme, on ne sait pas qui commit et il n'y a aucune validation :-D

Concernant les failles de sécurité, les journalistes ont un peu oublié de dire que le monde du Libre en a aussi. Mais tout ce qui fait la différence, c'est la manière dont c'est traité:
- À de très rares exceptions près, dans le monde du Logiciel Libre les failles ne sont pas gardées secrètes (contrairement à Microsoft).
- Les failles ne sont pas gardées secrètes EXPRÈS pour pouvoir les communiquer à certains gouvernements, et les rendre publiques seulement un mois après (ce qui laisse le temps aux agences de renseignement de les exploiter pour leur compte).
- Les correctifs peuvent être passés en revue (contrairement aux correctifs Microsoft qui ne livrent que des binaires: on ne connaît pas la nature exacte de leurs corrections).

Encore une fois, et même si ça partait d'une bonne intention, le législateur a foiré sur la remontée de failles de sécurité. Ceux qui remontent les failles ne seront donc... pas en sécurité.

Les caméras-sur-IP sont notoirement pas/mal protégées... et elles sont désormais utilisées pour effectuer des attaques DDOS.
Soyez certains que l'augmentation des objets connectés va également augmenter la puissance des attaques, d'autant que ces objets sont très mal sécurisés.

Accessoirement, pour les applications en lesquelles vous avez une confiance moyenne, vous pouvez aussi utiliser Firejail qui propose différentes isolations (disque, réseau...) et - il me semble - désormais aussi une isolation X.
https://firejail.wordpress.com/
C'est assez léger et ça tourne en espace utilisateur.
Par exemple je m'en sers quand je suis obligé de lancer Skype, sans que ce dernier puisse aller farfouiller mes marques-pages Firefox.
(Quoi vous l'ignoriez ? https://philpep.org/blog/Skype-%3A-un-logiciel-qui-vous-veut-du-bien
ou encore : https://web.archive.org/web/20101207052536/http://forum.skype.com/index.php?showtopic=95261 )