Il faudra que je mette le nez là dedans pour voir si des fournisseurs de VPN ou des fournisseurs d'accès altèrent les flux de données (injection de javascript, etc.)
Dommage qu'il ne semble rien y avoir pour Android.

Bon, un bug énorme dans le logiciel de centralisation des mots de passe LastPass a été corrigé. Il permettait de piquer tous les mots de passe. Oui, c'est affreux.
Le bug a donc été découvert (et corrigé) ce mois ci. Nous sommes en 2016. LastPass existe depuis 2010. Donc ce bug existait potentiellement depuis 6 ans.
Qu'est-ce qui vous dit que personne d'autre que ce blogueur n'avait découvert ce bug depuis 6 ans ?  Et qu'il n'était pas exploité ?
Voilà pourquoi je déteste l'idée d'un logiciel qui centralise tous mes mots de passe. (et non, je ne réutilise pas mes mots de passe d'un site à l'autre, et je ne les note pas non plus sur un bout de papier.)

Imbécile. Surtout que les Israéliens sont d'excellents hackers et informaticiens.

Ah oui, quant à Matignon qui répond « un allié n’espionne jamais ses amis », c'est d'une hypocririse totale puisqu'ils savent pertinement que c'est faux, la preuve: http://mobile.lemonde.fr/pixels/article/2016/09/03/les-etats-unis-ont-bien-pirate-l-elysee-en-2012_4991960_4408996.html

What the fucking fuck ?  
Il semblerait que les chipsets Intel récents embarquent un processeur 32 bits qui tourne à côté de votre processeur principal x86 et qui peut EN PRENDRE LE CONTROLE TOTAL.
Le but d'Intel est de fournir des plateformes de gestion matérielle.
Ce processeur peut accéder à l'intégralité de la mémoire gérée par le x86. Et il n' a pas l'air trop documenté.
Certes ce processeur est protégé par une clé RSA 2048 bits, mais que se passera-t-il le jour où elle fuite ?
Imaginez un rootkit là dedans, totalement indétectable, et totalement hors de portée de tous les antivirus qui pourraient tourner dans le processeur principal x86.
Cela rappelle les logiciels de bande de base des smartphones, inaccessibles de l'OS lui-même (Android) et dont les plus récents sont capables de se mettre à jour automatiquement par internet.
Stallman avait raison: Il devient de plus en plus difficile de faire confiance à son propre matériel.

Avec ses machines sous Windows, Asus livre un programme de mise à jour de ses utilitaires et du BIOS/UEFI.  Seul soucis: c'est téléchargé par HTTP (donc sans chiffrement) et exécuté en admin sans vérification.
Donc en détournant le trafic, on peut installer un rootkit au coeur du système très facilement. Autrement dit: on peut P0WNER à mort tous les portables Asus sous Windows.
Et Asus ne veut rien entendre.
(via Sam&Max)

Je suis totalement d'accord. Tous ces projets de "Tor-box" sont fondamentalement dans l'erreur. Tor *DOIT* tourner directement sur le poste final, surtout pas sur un boîtier intermédiaire.

Ah oui justement à propos de la (non) sécurité d'X11, rares sont les OS qui isolent correctement la couche graphique (typiquement, les applications peuvent intercepter facilement les événements souris/clavier destinés à d'autres applications). Cela touche tous les OS. D'après quelques articles que j'avais pu lire, l'OS le plus avancé sur la protection des GUI est... Windows.
Ceci dit, j'ai noté que la dernière version de Firejail (encore en RC) implémente un mécanisme d'isolation X11 pour chaque appli. à explorer... (voir https://l3net.wordpress.com/2016/04/03/firejail-0-9-40-rc1-release-announcement/)

Liste de serveurs VNC ouverts à internet sans la moindre sécurité.
*facepalm*

Ah oui, ils pensent décidément à tout dans Python :-)     Le slogan de Python, c'est « Batteries are included ».
Typiquement: je m'étais fait chier à implémenter une fonction de conversion des couleurs RGB<-->HSL... pour m'apercevoir que Python l'incluait déjà aussi  ^ ^

Une fonction de comparaison de chaînes à temps constant, ça peut paraître con, mais c'est à cause de ce manque qu'un spécialiste en sécurité avait réussi à trouver une attaque sur ZeroBin permettant de supprimer des pastes. J'ai trouvé ça magnifique. (Voir la section « 2.7 HMAC Not Compared in Constant Time » dans https://defuse.ca/audits/zerobin.htm )

Euh... What ?
D'abord:
1) Un logiciel aura un accès bas niveau au processeur ???  Et si des logiciels malveillants avaient aussi cet accès ?  Est-ce que globalement ça va améliorer la sécurité ?  J'ai des doutes.
2) Entre Avast (le logiciel) et le processeur, il y a Android (Google). Est-ce que Google est content qu'un éditeur de logiciel et un fabricant de processeur court-circuitent complètement le modèle de sécurité d'Android ?

Je ne suis pas certain que ce concept soit vraiment une bonne idée.

Non mais sérieusement ? L'éditeur d'antivirus Comodo inclu un serveur VNC pas/peu protégé dans ses produits, ce qui permet de prendre le contrôle à distance de l'ordinateur... facilitant ainsi son piratage.  Un serveur VNC avec les droits ADMIN.     *facepalm*
Comment, en 2016, on peut être éditeur de logiciel de sécurité et continuer à penser qu'ouvrir un serveur VNC à internet est encore une bonne idée ??? SÉRIEUSEMENT ???
(source: https://code.google.com/p/google-security-research/issues/detail?id=703)

Comment bien stocker un mot de passe en 2016 (pour php, java, C#, Python, Ruby, etc.)

Moralité: se méfier du marketing.

C'est beau, c'est bien. Et le mieux, c'est que la contribution que ce gouvernement a choisi d'apporter va bénéficier à *tout* le monde, pas qu'au pays lui-même.

Quelques conseils pour construire des règles CSP de base pour votre site (Content-Security-Policy).
Un site pour les vérifier: https://securityheaders.io/

Il suffit de retirer « de bout en bout ». Blackberry s'oppose au chiffrement tout court.
Si c'est censé être chiffré entre Alice et Bob, et que quelqu'un au milieu peu déchiffrer, alors la sécurité ne vaut *rien*.
Au moins je sais que je n'achèterai jamais de produits Blackberry.

Oh misère....  :-(
Je rappelle les URL de téléchargement direct pour Windows: http://sebsauvage.net/links/?rqfDCw

Un bon article qui défend le chiffrement face aux multiples attaques dont il fait l'objet par les démagos de tous bords.
Reduire ou limiter la cryptographie, c'est réduire notre sécurité.

PUTAIN MAIS DELL, QU'EST-CE QUI TE PERMET DE METTRE CE GENRE DE CERTIFICAT RACINE A LA CON ???
Non mais quel trahison de la confiance des utilisateurs ! C'est infecte.
Rhâââ.
Quand est-ce que les fabricants vont respecter leurs clients ???  (entre ça et Lenovo et ses spywares inclus dans le BIOS qui ré-injectent leur process dans Windows même quand vous ré-installez  >:-(((

Aux Etats-Unis, les policiers sont de plus en plus équipés de caméras à l'épaule. Petit problème: il semblerait qu'un bon paquet de ces caméras aient été infectées par un malware connu, Conficker (cf. http://sebsauvage.net/rhaa/?2009/04/09/23/35/41)
Le fournisseur n'a pas encore répondu de ce problème.
Vous comprenez mieux le danger des technologies de surveillance ? Une fois qu'elle sont en place, viendra un jour où elles seront piratées et se retourneront *contre* vous.
Alors nous promettre plus de sécurité en échange de plus de surveillance, bonne blague.

Oui, tout à fait !
La monoculture technologique est nuisible à la sécurité.
On peut faire un parallèle avec la biologie: Le manque de variété génétique d'une population est préjudiciable à sa survie: Si un virus assez ciblé arrive, il peut décimer la population.
Une plus grande variété génétique dans la population assure de meilleures chances de survie (parce qu'une partie de la population aura une résistance naturelle au virus).
Diversifions !  :-)

Une application pour savoir à quelles failles courantes votre Android est sensible.  :-@
https://play.google.com/store/apps/details?id=com.nowsecure.android.vts

A noter que ce n'est un problème QUE SOUS WINDOWS (Avec Linux, les dépôts vous fournissent les mises à jour).

Pour que vos proches sous Windows mettent à jour VLC sans manipulations compliquées: https://ninite.com/vlc/ninite.exe
Télécharger, lancer, VLC sera mis à jour automatiquement.

Pour détourner le fonctionnement normal d'un ordinateur, il y a des tonnes de façon de faire: modification des exécutables (méthode la plus commune), modification des scripts de démarrage, modification des secteurs de démarrage... mais de toutes, je suis tombé sur un assez subtile, une à laquelle on ne pense pas forcément.

Je suis arrivé un jour sur un ordinateur qui n'affichait pas correctement certains sites web. Certains marchaient bien, d'autres pas du tout, d'autres s'affichaient de façon étrange. Après avoir lancé MalwareByte pour un scan complet: Rien. Quelques autres antivirus: Toujours rien de détecté.  Pas de logiciel remplacé. Le navigateur est récent et à jour. Pas de plugins/extensions bizarres dans le navigateur. Pas de service ou application étrange lancée au démarrage de l'ordinateur. Pas de fichiers hosts modifié. Aucun proxy configuré dans le navigateur.
Je me suis gratté la tête un moment... et puis l'illumination: Je suis allé voir dans la config IPv4 du système:  Les serveurs DNS avaient été détourné et configurés pour pointer vers des adresses bizarres.
Il n'y avait pas le moindre malware présent sur l'ordinateur, pas le *moindre* fichier infecté, aucun fichier de démarrage modifié. Mais par cette seule modification de la config DNS, le pirate pouvait faire afficher n'importe quoi à la place d'un site officiel.

Même sans rien installer (rootkits, chevaux de troie, virus, logiciels espions), il est possible de détourner le comportement d'un ordinateur en altérant très légèrement sa configuration. Pensez-y le jour où vous déverminez une Fenêtre™.