Oh tiens, une faille dans le box Orange qui a permis de détourner les DNS de dizaines de milliers de clients Orange vers de proxy. Orange a corrigé.
(Ce que je disais en 2009 reste vrai: http://sebsauvage.net/rhaa/index.php?2009/03/24/09/26/02-nouvelle-vague-de-virus-planquez-vos-box)

Suite à mon petit guide (http://sebsauvage.net/links/?-EXrUg) voici en exemple comment sécuriser le formulaire de login de DokuWiki avec TOTP.
La bonne manière de faire aurait été de créer un plugin d'authentification spécifique, mais j'ai choisi de taper directement dans le code (ce qui obligera à refaire la manip à la prochaine mise à jour, mais c'est assez rapide à faire: 6 lignes à modifier).

EDIT: J'ai mis ça sur le wiki: http://sebsauvage.net/wiki/doku.php?id=totp#dokuwiki


Dans inc/html.php:
--------------------------------------------------------------------------------------------------------------------------------------------
--- html.php.original Mon Jul 14 13:49:34 2014
+++ html.php Mon Jul 14 19:51:35 2014
@@ -47,6 +47,7 @@
    $form->addHidden('do', 'login');
    $form->addElement(form_makeTextField('u', ((!$INPUT->bool('http_credentials')) ? $INPUT->str('u') : ''), $lang['user'], 'focus__this', 'block'));
    $form->addElement(form_makePasswordField('p', $lang['pass'], '', 'block'));
+    $form->addElement(form_makePasswordField('otp', 'OTP', '', 'block'));
    if($conf['rememberme']) {
        $form->addElement(form_makeCheckboxField('r', '1', $lang['remember'], 'remember__me', 'simple'));
    }
--------------------------------------------------------------------------------------------------------------------------------------------


Dans inc/auth.php
--------------------------------------------------------------------------------------------------------------------------------------------
--- auth.php.original Mon Jul 14 13:49:33 2014
+++ auth.php Mon Jul 14 20:14:55 2014
@@ -110,6 +110,7 @@
        $evdata = array(
            'user'     => $INPUT->str('u'),
            'password' => $INPUT->str('p'),
+            'otp' => $INPUT->str('otp'),
            'sticky'   => $INPUT->bool('r'),
            'silent'   => $INPUT->bool('http_credentials')
        );
@@ -179,6 +180,7 @@
    return auth_login(
        $evdata['user'],
        $evdata['password'],
+        $evdata['otp'],
        $evdata['sticky'],
        $evdata['silent']
    );
@@ -213,7 +215,7 @@
 * @param   bool    $silent  Don't show error on bad auth
 * @return  bool             true on successful auth
 */
-function auth_login($user, $pass, $sticky = false, $silent = false) {
+function auth_login($user, $pass, $otp, $sticky = false, $silent = false) {
    global $USERINFO;
    global $conf;
    global $lang;
@@ -228,7 +230,8 @@

    if(!empty($user)) {
        //usual login
-        if($auth->checkPass($user, $pass)) {
+        require_once realpath(dirname(__FILE__).'/../../myotp/myotp.php');  // Lien vers votre librairie OTP
+        if($auth->checkPass($user, $pass)  && checkOTP($otp))   {
            // make logininfo globally available
            $INPUT->server->set('REMOTE_USER', $user);
            $secret                 = auth_cookiesalt(!$sticky, true); //bind non-sticky to session
--------------------------------------------------------------------------------------------------------------------------------------------

Et voilà !

PS: Je me suis aussi fait Codiad, QuiXplorer et quelques autres.

Si vous êtes chez OVH, regardez si votre instance ne se serait pas faite pirater.

Mmmm... je ne veux pas dire, mais il y a certains éditeurs de logiciels (*cough* Microsoft *cough*) qui avaient déjà annoncé qu'ils divulgueraient les failles de sécurité à l'avance au gouvernement américain et qu'ils attendraient au moins un mois avant de publier les correctifs pour le reste du monde.

L'OTP peut être utile pour sécuriser les formulaires de connexion. Le principe est d'ajouter un champ "OTP" aux formulaires de login. Donc 3 champs: Login, mot de passe et OTP.
Cette valeur OTP est différente à chaque fois, et calculée par une application sur votre téléphone (FreeOTP).

C'est ce qu'on appelle une authentification à double facteur. Pour se connecter, il faut deux facteurs: Ce que je *sais* (mot de passe) et ce que je *possède* (générateur OTP, qui se trouve être votre téléphone).

Ainsi si quelqu'un veut se connecter sur votre compte, il faudra qu'il vous vole votre mot de passe *ET* votre téléphone.  Le vol de votre mot de passe peut passer inaperçu, mais il y a plus de chances que vous vous aperceviez du vol de votre téléphone  :-)
(La valeur OTP change tout le temps et n'est donc pas réutilisable. Ce n'est pas grave si vous vous la faite voler "sur le réseau". L'important est d'avoir de quoi en générer de nouvelles.)

Il existe deux type d'OTP:
 - TOTP : La valeur OTP est dépendante de la date et l'heure. La valeur change (par défaut) toutes les 30 secondes (mais c'est configurable).
 - HOTP : La valeur OTP change à chaque utilisation (c'est un compteur).

HOTP a l'inconvénient, si le compteur est désynchronisé entre le serveur et votre application OTP, de nécessiter une réinitialisation.
Pour TOTP, il suffit juste que votre serveur et votre générateur OTP (donc votre téléphone Android) soient à la même heure.

Il est assez facile d'intégrer ça à vos applications php avec cette lib: https://github.com/lelag/otphp
(Elle est simple à utiliser et pleinement compatible avec FreeOTP).

N'oubliez pas que votre "secret" (partagé entre le serveur et votre téléphone) doit être en base32 (c'est à dire A-Z 2-7).
Astuce: pour générer une valeur base32 valide, utilisez FreeOTP: Le bouton "Add" sera grisé tant que le secret n'est pas une valeur base32 valide.

Avec la lib otphp, si vous voulez changer le délai d'expiration du TOTP, il faut ajouter le paramètre "interval":
$totp = new \OTPHP\TOTP("MONSECRETAAAAAAA",array('interval'=>120));  // 120 secondes = 2 minutes

EDIT: Voir l'article sur mon wiki, avec des exemples: http://sebsauvage.net/wiki/doku.php?id=totp

Tiens, une interface web pour l'excellent fail2ban.  Ça tourne sous nodejs.

Ou là... je fais passer: Faille "directory traversal" à corriger dans MiniGal Nano: Mettez à jour !

EDIT: Pour corriger manuellement, c'est rapide: C'est vers la ligne 155 d'index.php:

//$thumbdir = str_replace('/..', '', $thumbdir); // Prevent directory traversal attacks.
if(strstr($thumbdir, '..') !== FALSE) {
   $requestedDir = '';
   $thumbdir = rtrim('photos/','/');
}

*facepalm*
Problème chaise-clavier.
Hé les ministère, combien il faudra de catastrophes dans ce genre, de failles, de données fuitées avant que vous vous décidiez à former correctement les gens à l'informatique ?

Donc Google a forké OpenSSL vers BoringSSL (Pourquoi ne pas participer à LibreSSL ? bref...).
Enfin "forker" n'est pas vraiment le mot, puisque qu'ils vont continuer à soumettre des patchs à OpenSSL et ré-intégrer dans BoringSSL les correctifs d'OpenSSL.

Et merde, le Wiko Cink Peax 2 également, même avec une application SMS tierce. C'est du bon gros WTF, ce truc.  Allô, Wiko ???
(Ou bien est-ce commun à tous les téléphones équipés de puces MediaTek ?)
EDIT: Mon père a un Cink Peax 2 aussi (même modèle, même version Android, même version du logiciel de bande de base... mais le SMS ne lui fait rien. Rien du tout !  ça ne serait pas dû à une application particulière ?)

TL;DR: les téléphones Wiko rebootent une partie de l'OS quand ils recoivent un SMS contenant seulement le signe égale (=).

EDIT: http://sebsauvage.net/links/?mXgHeA
EDIT: Wiko a corrigé le bug: http://sebsauvage.net/links/?L7gFXg

L'outils EMET de Windows permet (en principe) de réduire le risque d'exploitation des bugs de certaines application avec diverses méthodes.

⊙▂⊙

＞﹏＜

C'est juste pas croyable.

Oh ben tiens. Des failles sur les cartes bancaires à puce (EMV).  Voilà qui devrait rappeler des choses à Serge Humpich qui déjà en 1997 avait signalé des problèmes de sécurité (Le GIE Cartes bancaire l'avait attaqué en justice et lui en avait mis plein la tronche: https://fr.wikipedia.org/wiki/Serge_Humpich.)

Là, c'est tout aussi LOL: Les USA sont en train de déployer les cartes bancaires à puce (avec VISA qui fait le forcing avec une date limite d'implémentation, la responsabilité du non-paiement étant transférée après cette date si le paiement n'a pas été fait par puce).

Des chercheurs en sécurité ont constaté que le générateur de nombres aléatoires de certaines cartes EMV n'est pas assez bon (certaines allant même jusqu'à utiliser un simple compteur ???).
Du coup, après une seule lecture de la puce, il est possible de générer des séquences qui seront acceptées par les distributeurs de billets.
Imaginez: Vous payez votre restaurant avec votre carte, et vous constatez ensuite sur votre relevé que votre propre carte a débité des milliers d'euros plusieurs distributeurs de billets. Et là, la banque dira que c'est vous puisque en théorie votre carte est protégée par un code PIN.

Je vous le disais, les générateurs de nombres aléatoires, c'est important :-)  http://sebsauvage.net/rhaa/index.php?2011/08/25/07/32/33-le-hasard-est-une-chose-difficile-pour-un-ordinateur

C'est pas mignon ça ?  Merci Snowden.  Ce sont des photos de l'équipe TOA de la NSA en train d'implanter des backdoors dans des routeurs Cisco.
La procédure ?  Intercepter les colis lors de leur transport, les re-router dans des bâtiments de la NSA, ouvrir avec beaucoup de précautions les colis, implanter les backdoors, repackager le produit comme s'il n'avait jamais été ouvert, et le ré-injecter dans le transit de colis.
Comme le fait remarquer BoingBoing, c'est particulièrement ironique quand on sait que les USA accusaient très exactement les Chinois de faire la même chose avec leurs routeurs.

EDIT: Article en français: http://www.numerama.com/magazine/29385-nsa-le-detournement-des-livraisons-illustre-avec-cisco.html

ET ALLEZ !  On continue dans la série "Les agences de renseignement détruisent notre sécurité". Il semblerait que la NSA ai volontairement inséré des backdoors dans les routeurs exportés des USA.
EDIT: Un article en français sur le sujet: http://www.numerama.com/magazine/29353-la-nsa-accusee-d-avoir-piege-les-routeurs-americains.html

Merde... ça pue.  N'ayant pas l'article source, on ne sait pas trop quels algos sont potentiellement touchés (Diffie-Hellman ? ElGamal ? DSA ?). Déjà qu'on cherche à éviter RSA, alors si notre bon vieux Diffie-Hellman a aussi des trous dans la coque, c'est pas la joie.
(Source: http://www2.cnrs.fr/presse/communique/3543.htm)
TL;DR: Visiblement des chercheurs ont fait des percées dans la résolution des logarithmes discrets, ce qui pourrait mettre à mal certains algos utilisés en cryptographie.

EDIT: Merci Yome (http://links.yome.ch/?48uuGA), mais à la lecture du résumé je pense que je n'aurai pas le niveau en maths suffisant pour bien mesurer les impacts.

Un petit rappel sur le fonctionnement des droits des applications sous Android (via http://lehollandaisvolant.net/?id=20140504204837)

Voilà ! On y est: La bonne grosse faille critique dans XP qui ne sera pas corrigée.
Et c'est une faille de "remote code execution" dans le contrôle IE de Windows, autrement dit la possibilité d'infecter une machine directement en lui faisant afficher une page web.
https://technet.microsoft.com/en-US/library/security/2963983

Vive le logiciel libre: une libs ne donne pas satisfaction ?  On la fork, on améliore. Ce genre de chose serait impossible avec une lib propriétaire à sources fermés.

Bouah... une backdoor qui semble avoir été intentionnellement mise en place dans plein de routeur commerciaux (Cisco, Linksys, Netgear...).  Beurk beurk beurk.
Stallman a malheureusement raison.

Un outils pour auditer la sécurité de votre code php: http://sourceforge.net/projects/rips-scanner/

Les recommandations sécurité du CERT pour le développement d'applications Android.  Je me met ça de côté.

La faille OpenSSL expliquée très clairement par xkcd. C'est exactement ça !

Oh la vache... Assange a une opinion bien arrêtée sur Debian et tous les Linux: Ils sont complètement OWNED par la NSA qui a volontairement introduit des bugs partout.
Sauf qu'il sera bien difficile de prouver l'action de la NSA dans ces bugs, ni même s'ils sont intentionnels.
(via http://shaarli.cafai.fr/?y95kWg)

ok... donc les voitures Tesla Model S ont un port Ethernet planqué, avec derrière un Linux avec plein de ports ouverts (http,telnet,ssh...). J'imagine que tout cela est encore magnifiquement sécurisé (*SARCASM WARNING*). Je pense que question sécurité, c'est bien pire que le problème des ports ODB.
J'imagine que ces bagnoles feront un jour du WiFi et du Blutooth. Je vous laisse imaginer les possibilités de piratage...
C'est bien beau de bourrer les bagnoles de technologie, mais un jour il va quand même sérieusement falloir penser à la sécurisation.