Un programme pour vérifier les versions de vos logiciels installés et installer les mises à jour.

Oh ben tiens, une application Android qui pirates les cartes de paiement NFC...

Je ne fais jamais confiance aux logiciels qui mémorisent les mots de passe. Ce sont des bases de données locales, donc piratables. Et si elles sont piratées, ce sont TOUS vos mots de passe qui se retrouvent dans la nature. Non merci.

NOM DE ZEUS. Qu'est-ce que c'est que cette horreur ?  Darkhotel semble être un réseau d'attaquants particulièrement organisés et efficaces. Ils utilisent de nombreuses failles 0-Day et on pu passer les défenses de Microsoft et Adobe. Leurs cibles ? Des gens haut-placés (PDG, directeurs marketing, R&D, vice-présidents...) de grosses sociétés sélectionnées: industries électroniques, pharmaceutiques, investissements, industries de la défense, transports... Rien ne semble fait au hasard. Ils polluent les réseaux P2P et WiFi d'hôtels pour obtenir plus de machines infectées. Ils semble avoir abusé une *DIZAINE* de CA pour créer des certificats valides et des exécutables (backdoors et autres) avec des signatures valides.
Leur infrastructure grossit et se réduit dynamiquement, et il est difficile de prévoir son évolution.
Les infections semblent suivre les dirigeants de ces sociétés et le déploiements géographique de leurs entreprises. Et cela semble avoir débuté en 2007.
Le groupe semble très organisé. C'est effrayant.

Aha. Je me demandais quand l'affaire de ce certificat du CNNIC allait ressortir.
Les navigateurs embarquent tous un paquet de certificats (cf. http://sebsauvage.net/rhaa/index.php?2010/03/26/12/03/17), et la plupart incorporent également un certificat de l'autorité Chinoise des communications (CNNIC).
Ce qui veut dire que cette autorité peut, si elle le veut, générer des certificats bidons pour Google et autres qui seront parfaitement acceptés par votre navigateur. Donc faire des attaques MITM pour déchiffrer tout votre trafic sans lever d'alerte.

Trop marrant : un site qui recense les caméras sur IP dont l'accès n'est pas sécurisé (via http://www.zataz.com/un-site-propose-de-regarder-plus-de-70-000-cameras-de-video-surveillance/).

*soupir*

Idée amusante et pas bête: utiliser les caractères emoji/unicode pour afficher des hash (au lieu de l'héxadécimal).
C'est une sorte de hash visuel mais en utilisant uniquement des caractères unicode. Bonne idée.

Notez que vous avez la même chose dans DokuWiki: Par défaut, n'importe qui peut se créer un compte. Pensez à le désactiver.

PUTAIN ON LEUR AVAIT DIT QUE C’ÉTAIT UNE MAUVAISE IDÉE. (http://sebsauvage.net/links/?LUCQFA)
Il y a quelques temps, Yahoo a décrété qu'ils allaient supprimer des comptes inutilisés. Les pseudos (et donc emails) seraient donc à nouveau enregistrables.
Ce qui devait arriver arriva: Les adresses email enregistrées pour de nouvelles personnes ont été utilisées pour réinitialiser le mot de passe d'autres sites, ce qui a permis des tas de piratages de compte Facebook... et autres.
Facebook et Yahoo se sont donc concertés pour mettre en place RRVS (Require-Recipient-Valid-Since) afin de ne pas délivrer les emails de réinitialisation de mots de passe si le compte est trop ancien.
Solution merdique à un problème qu'ils ont eux-même provoqué.

Ne l'oubliez jamais: Sur internet, votre adresse email est votre dernier recours pour valider la propriété d'un compte sur un autre site. Si vous perdez votre adresse email, vous perdez le moyen de prouver que vous êtes le propriétaire du compte. En achetant votre propre nom de domaine, vous réduisez le risque.

Ce n'est pas la première fois que je vois des articles indiquant de se méfier du RAID5.

Je ne sais pas pourquoi tout le monde fait un foin sur la clé USB d'authentification de Google. Ça existe depuis des années, et c'est même assez facile à intégrer à votre propre site web. (Je connais quelqu'un qui l'a fait.) A l'unité ça coûte quelques dollars, mais les prix baissent vite en nombre.
https://www.yubico.com/products/yubikey-hardware/
Tenez, un article de 2009: http://www.pcmag.com/article2/0,2817,2345571,00.asp

Ça existait déjà, et ça marche bien, mais comme d'hab on en fait tout un foin dès que c'est Google ou Apple qui s'y mettent (genre le NFC quand Apple l'intègrent enfin dans ses téléphones).  Pfff..

Alors non seulement ces nouveaux compteurs électriques iront cafter à propos de notre vie privée auprès d'EDF et leur permettra de nous couper directement le courant (ou réduire la puissance aux "mauvais payeurs"), mais en prime ils sont reliés par CPL et GPRS et seront pilotés via une interface web ?
C'est un véritable appel au piratage, ça, non ?
Imaginez une faille de sécurité, et un pirate qui pourrait s'amuser à couper le courant à une maison ou un quartier entier ?  Mais non bien sûr, c'est impossible, les interfaces ça ne se fait jamais pirater. ಠ_ಠ
J'ai beau retourner ça dans tous les sens, c'est un désastre aussi bien du point de vue vie privée que sécurité.
Et le gouvernement est pressé de nous les fourguer. Super.

BOUH QUE C'EST LAID. On connaît déjà les fournisseurs d'accès qui priorisent certains flux réseau. Voici un FAI américain qui interfère dans la négociation SSL de SMTP (envoie de mail) entre un client et un serveur pour *DESACTIVER* le chiffrement.
Oui vous avez bien lu: Le FAI modifie les échanges entre client et serveur SMTP pour les empêcher de communiquer de manière chiffrée.
Les FAI vont-ils commencer à vous empêcher de chiffrer pour mieux faire du DPI et du trafic-shaping ? Avec des FAI aussi pourris, les fournisseurs de services VPN ont un bel avenir devant eux.

Trop marrant: L'ANSSI (vous savez cette agence gouvernementale qui est censée œuvrer pour notre sécurité informatique) fournit un manuel aux entreprises pour leur expliquer comment casser le chiffrement HTTPS de leur salariés et les espionner.

Petit rappel: L'ANSSI est également une autorité de certification. Ils peuvent également générer des certificats qui seront acceptés par votre navigateur sans broncher. Ils ont même déjà gaffé en générant des certificats frauduleux *valides* pour Google qu'on a retrouvé... dans le proxy d'une entreprise. Oh tiens quel hasard.  http://sebsauvage.net/links/?_P48YQ

Alors oui on devrait leur faire confiance, mais ces deux informations croisées ne me rassurent pas du tout.

EDIT: Un de mes anciens employeurs avait fait ça: http://sebsauvage.net/rhaa/index.php?2010/11/08/19/54/41-je-suis-content-d-utiliser-certpatrol
Comme ils n'avaient pas de copains au gouvernement ni chez les CA Root, les admins avaient installé leur propre certificat racine dans tous les navigateurs des ordinateurs de la boîte pour ne pas lever d'alerte. Super élégant. ಠ_ಠ
Ce qui est cool, c'est que si vous bossez chez certaines grosses boîtes (certains FAI, banques, etc.), elles sont elles-même CA et peuvent donc faire du MITM SSL sans avoir à demander à qui que ce soit.

EDIT: Haha oui trop marrant. Le rapport de l'ANSSI préconise exactement ce que mon ancien employeur avait fait: Installer sur chaque ordinateur un certificat racine généré par l'entreprise elle-même.

Mouarf.  Parce qu'il faut qu'on y croit, maintenant ?

mmm... oui, c'est un des petits plus d'ownCloud (malgré les reproches que j'ai à lui faire): Il possède un chiffrement intégré (désactivé par défaut).
Donc même si vous merdez temporairement vos .htaccess ou que quelqu'un parvient à récupérer tous vos fichiers (par ftp ou ssh), ils ne pourront pas les lire.
Non seulement les fichiers sont chez vous, mais même si votre hébergeur se fait pirater et que le pirate récupère vos fichiers, il ne pourra pas les déchiffrer.   C'est autre chose que les iCloud à deux balles avec leur pseudo-chiffrement.
(Bien sûr la sécurité d'ownCloud dépend aussi de votre mot de passe, du chiffrement des communications (HTTPS) et de la sécurité générale du logiciel.)

OH LA VACHE.  Ces scientifiques sont parvenus à extraire des clés RSA de 4096 bits simplement en mesurant pendant quelques secondes les perturbations de la masse d'un ordinateur portable. Et cela peut se faire simplement en *TOUCHANT* avec sa main la partie métallique du châssis.
Moralité: Ne laissez personne toucher à votre ordinateur portable.

ppffffff... c'est une *blague*, non ?
ça lit la piste magnétique ??? Et en prime, ça l'envoie dans le téléphone en *audio* ?
Donc si un logiciel malveillant récupère l'audio en même temps, il peut dupliquer la carte ?
Ça me semble une putain de mauvaise idée question sécurité.
(Et je ne suis pas certain que Visa/MasterCard/GIE apprécie qu'on marche sur leurs plate-bandes.)

Tiens c'est marrant moi j'ai des tentatives de connexion continuelles sur mon DokuWiki avec des pseudos: krystalbollinge, gitawaiteyzrfw, jerome93ebmerej, cherimckenney, hazelmckenney, sonfanninomd, mollymaples, gudrunhelton, krystalstopford, jacquesbaxley...  étrange, non ?  Peut-être des bases de données de mots de passe piratées qu'ils utilisent avec l'espoir qu'un mot de passe ait été réutilisé ailleurs.

On ne peut pas dire que leur attaque risque de réussir. (Bon en prime je pouffe puisque j'ai ajouté l'OTP au formulaire de login. Ils se feront jeter même s'ils trouvent le bon mot de passe. J'aime la technologie quand elle nous sert.)

Quelques pistes à suivre pour détecter une éventuelle compromission de votre site php.

Ouaips... j'aimerais pas être développeur TOR. La pression doit être énorme. :-/