ok... donc les voitures Tesla Model S ont un port Ethernet planqué, avec derrière un Linux avec plein de ports ouverts (http,telnet,ssh...). J'imagine que tout cela est encore magnifiquement sécurisé (*SARCASM WARNING*). Je pense que question sécurité, c'est bien pire que le problème des ports ODB.
J'imagine que ces bagnoles feront un jour du WiFi et du Blutooth. Je vous laisse imaginer les possibilités de piratage...
C'est bien beau de bourrer les bagnoles de technologie, mais un jour il va quand même sérieusement falloir penser à la sécurisation.

J'aimerais bien comprendre ce BORDEL. Vous avez vu toutes les tentatives de connexion à la page d'admin de mon wiki ? C'est *continuel* et ça fait des *mois* que ça dure.
(Et encore, là vous ne voyez pas les bots qui se sont fait jeter en amont par ProjectHoneyPot).
C'est du délire. Et je ne comprend pas les tentatives avec des logins comme "www.recherche.aol.fr_aol...". WTF?

Un petit outils qu'il faudra que j'examine: C'est une sorte de netmon qui montre les domaines que contactent les exécutables en mémoire, mais il va également rechercher la sha256 de chaque exécutable sur Virustotal pour en récupérer la réputation. Il examine les domaines contactés par les exécutables et les compare à WOT.
Il y a également quelques autres outils intégré.
ça peut se révéler intéressant pour déterminer la dangerosité des exécutables présents en mémoire.
http://www.crowdstrike.com/crowdinspect/

Haha... de mieux en mieux. Deux applications sur Google Play (qui ont été téléchargées des millions de fois) utilisent le CPU des smartphone pour miner des BitCoins à l'insu des utilisateurs.
Super pour la batterie...  :-/

HAhaha !  Énorme. Je n'en reviens pas.
Les firewalls applicatifs (situés entre le net et les serveurs web) sont configurés pour filtrer HTTP, sauf quand la requête provient d'un réseau "de confiance" (127.0.0.1, LAN, etc.).
Ils sont tellement cons qu'il suffit de prétendre faire partie des murs (avec un header du genre: X-forwarded-for, X-remote-IP, X-originating-IP...) pour que ces firewalls applicatifs vous laissent passer !

Hein ? QUOI ?  Ils sont assez CONS pour avoir codé en dur la clé de chiffrement des messages, et la MÊME pour TOUT LE MONDE ?  Doh ><
(via http://lehollandaisvolant.net/?mode=links&id=20140318143209)

Malheureusement FirefoxOS ne te sauvera pas. Cette faille est due au "baseband software", le logiciel embarqué de la puce qui gère tout le gsm/blutooth et autres. C'est indépendant de l'OS (iOS, Android ou autre). Voir: http://sebsauvage.net/links/?XYvpaw
Les "baseband software" sont à ma connaissance tous à sources fermés. C'est d'ailleurs pour cela que Stallman refuse d'avoir un smartphone (mais a accepté l'un des seuls PC dont le BIOS est opensource).

EDIT: http://root.suumitsu.eu/links/?21uCCw  J'en ai peur, oui. Ce sont les fabricants de puces comme Broadcom ou Qualcom qui concoivent circuits imprimés et les logiciels qui les pilotent. Je n'ai encore jamais eu vend d'un fabricant de puce libérant son code.

Sous nunux, il est possible de voir tous les processus en cours, y compris ceux des autres utilisateurs, avec la ligne de commande associée. Ce n'est pas terrible, surtout avec certains logiciels qui passent les mots de passe en ligne de commande.
Depuis le noyau 3.2, il y a une option pour désactiver cela.
(via http://shaarli.youm.org/?Xl1v-w)

Ça pourrait presque être bien oui. Mais en l'état actuel de l'implémentation de SSL/TLS dans les navigateurs, c'est *un peu* de la poudre aux yeux.
Si quelqu'un fait une attaque man-in-the-middle sur vos recherches Google, votre navigateur ne bronchera pas tant que le certificat qu'il reçoit est signé par une autorité.
Et par défaut, votre navigateur fait confiance à près d'une centaine d'autorités (des banques, des opérateurs télécom, diverses entreprises, des organismes d'état, etc.)

Pour le dire autrement: Si du jour au lendemain le certificat présenté par les serveurs Google ou le serveur de votre banque est signé par la dictature chinoise au lieu de GeoTrust, votre navigateur ne vous dira rien.

Et des certificats douteux, on en a vu de beaux:
- certificat de l'ex-dictature Tunisienne installée par défaut dans Windows en échange d'accord commerciaux. (http://www.sebsauvage.net/rhaa/index.php?2011/03/18/16/00/02 et http://sebsauvage.net/rhaa/index.php?2011/09/05/09/28/51)
- certificats du département de la défense américain inclus dans tous les appareils Apple (iPhone, MacBook, etc.) (http://sebsauvage.net/links/?miNiXQ)
- autorités de certifications abusées ou piratées (http://sebsauvage.net/links/?gscf5g, http://sebsauvage.net/links/?o7Nlkg, http://sebsauvage.net/links/?ekgWSA, http://sebsauvage.net/links/?eTwGVw ...)

HTTPS est chiffré, c'est bien, mais le mécanisme de vérification de l'identité des serveurs avec lesquels vous communiquez est complètement foireux.  Avec la puissance de la NSA, on peut facilement imaginer qu'ils ont pu forcer l'une de nombreuses autorités à générer - à leur insu ou non - des certificats Google signés (et que donc votre navigateur considèrera comme authentiques). C'est déjà arrivé (par forcément à l'initiative de la NSA): http://sebsauvage.net/links/?_P48YQ, http://sebsauvage.net/links/?gscf5g.

Pour parer à ça, on peut utiliser des extensions pour navigateur qui contrôlent les changements de certificats (http://sebsauvage.net/rhaa/index.php?2010/08/18/11/16/54) mais comme les gros du web ne sont pas foutus d'avoir leur certificats répliqués correctement sur leur CDN, c'est inutilisable (alertes constantes). J'ai d'ailleurs jeté l'éponge sur l'utilisation de ces extensions: http://sebsauvage.net/links/?j01u3w

Bref, avoir un fourgon blindé pour transporter vos données sur internet c'est bien, mais comme vous n'avez aucune idée de qui a vraiment la clé, la sécurité devient tout à coup très relative.

Je le répète: Sur un WiFi public, utilisez un tunnel ssh (si vous avez un serveur ssh) ou un VPN. Et je rappelle qu'il existe des VPN bons marchés.
(Allez encore un coup de pub pour CCrypto VPN: ça ne coûte pas grand chose (2€/mois), ça marche bien et c'est compatible avec tout (Windows,Mac,Linux,BSD,Android,iOS). Je viens d'ailleurs de renouveler pour 6 mois, parce que je suis très content du service: https://vpn.ccrypto.org/ )
Ça vous évitera de vous faire pirater sur les points d'accès public, hôtels, MacDo et autres.

Je viens de tomber sur cette bouse infâme: une appli pour MSN/Outlook/Hotmail avec l'icône de ThunderBird qui prétend être l'appli officielle.
C'est très probablement une merde pour vous piquer vos mots de passe.
Google, tu plaisantes là ? Comment tu peux laisser passer ça ?

Cette vidéo devrait vous convaincre que l'électronique des voitures n'est pas infaillible.  Aujourd'hui, la direction assistée. Imaginez ça à 110 km/h sur l'autoroute.
Constructeurs, par pitié: Arrêtez de bourrer les voiture d'électronique.

Je me garde ça sous le coude: un exemple de rootkit Linux qui tourne dans l'espace utilisateur. (Devrait-on dire "userkit" ?)
Sources: https://github.com/chokepoint/azazel

Quelques idées pour sécuriser vos communications sur smartphone. (Pas d'anonymisation, mais juste une protection des communications).
EDIT: Soyez prudent avec Telegram: http://unhandledexpression.com/2013/12/17/telegram-stand-back-we-know-maths/ (merci à uBaze pour le lien)
EDIT: J'ai jeté un coup d'oeil sur TextSecure: http://sebsauvage.net/links/?wSID6Q

A très chouette.
CompuTrace est un système inclus dans les BIOS de beaucoup d'ordinateurs portables et qui va annoncer à des serveurs l'adresse IP de l'ordinateur. C'est utile en cas de vol, et quasi-impossible à désactiver (c'est indépendant de l'OS). Il est même possible de bloquer ou effacer l'ordinateur à distance.
Sauf que visiblement le protocole n'est pas sécurisé, et que cela permet, par MITM, d'installer à distance des chevaux de Troie.
Encore une fois, un dispositif mis en place *pour* la sécurité qui ne fait que la réduire.

Si vous utilisez encore Flash, mettez à jour !  (y compris dans votre famille).
Cette faille est critique et permet l'exécution de code arbitraire. Traduit autrement: la possibilité d'infecter immédiatement une machine simplement en affichant une page web.
Tous les systèmes sont touchés (Windows, MacOSX et Linux).
(Oui je sais, sous nunux il ne peut pas toucher au système, ce qui n'empêche pas d'avoir un cheval de Troie tournant dans l'espace utilisateur.)

Haha... comment p0wner une machine par son port FireWire, Thunderbolt, ExpressCard, PCCard ou tout autre type de port exploitant le DMA. Et quel que soit le système d'exploitation.
Pourquoi ces ports ont de bien meilleures performances que l'USB ? Justement parce ce qu'ils font du DMA: Direct Memory Access.
Tout périphérique branché sur un de ces ports a un accès directe à toute la mémoire de l'ordinateur, en court-circuitant la protection des zones mémoire que pourrait imposer le CPU, ce qui permet d'aller allègrement lire les clés BitLocker, TrueCrypt et autres qui seraient présentes en mémoire.  Game over.

Énorme partie de rigolade.  :-)

Un site pour tester la sécurité de votre client SSL. (via http://gbovyn.be/shaarli/?d3iDdA)

EDIT: pour améliorer la sécurité de Firefox, dans about:config
- security.tls.version.max = 3  (pour permettre à Firefox de commencer à essayer de communiquer en TLS v1.2 au lieu de demander du v1.0)
- security.ssl3.rsa_fips_des_ede2_sha = false
- security.ssl3.rsa_fips_des_ede3_sha = false (et tout autre combinaison annoncée comme non sûre par le site)
(source: http://www.mypersonnaldata.eu/shaarli/?IIHccA)

Vous n'avez pas besoin de redémarrer Firefox pour que ces réglages soient pris en compte.

EDIT: Vous pouvez aussi ajouter security.tls.version.min= 1 pour que Firefox ne fasse plus de SSL v3 mais requiert TLS 1.0 minimum.
Et ces réglages nécessitent au minimum Firefox 24.

La faille de sécurité qui pue dans Android: N'importe quelle application peut récupérer en clair le flux de données passant dans le client VPN Android, même sans avoir les droits root.
EDIT: Article chez Kaspersky: http://threatpost.com/android-vulnerability-enables-vpn-bypass/103719

Haha... trop bien les mises à jour automatiques des extensions de navigateurs: L'auteur de l'extension "Ajouter à Feedly" pour Chrome a vendu son logiciel à des auteurs d'adware/malwares.  Du jour au lendemain, les utilisateurs de cette extension se sont retrouvés gavés de publicités intrusives.
Et ce n'est pas la première fois que ça arrive.
Moralité:
- utilisez le moins d'extensions possibles.
- choisissez judicieusement.
- désactivez les mises à jour automatiques (comme cela vous saurez quand vous avez mis à jour et pourrez faire le parallèle avec l'apparition de publicités)

EDIT: Voici l'auteur d'une extension (qui a 700 000 utilisateurs) a été contacté par des auteurs de malwares. http://www.reddit.com/r/IAmA/comments/1vjj51/i_am_one_of_the_developers_of_a_popular_chrome/

Tommy réagit à un article qui critique MyCryptoChat.

Oh la vache !  Avec seulement 1 ml d'eau dans 100 ml d'huile.

Un bug d'escalation de privilèges vieux de 22 ans a été découvert dans X Windows. (Cela permet d'avoir les droits root quand vous êtes simple utilisateur.)
C'est bien pour cela qu'il n'est pas recommandé de faire tourner X sur les serveurs ouverts à internet.

Je vous avais déjà fait un article expliquant comment utiliser fail2ban pour empêcher les attaques brute-force sur vos applications web en écrivant votre propre filtre (http://www.commentcamarche.net/faq/18225).
Voici un autre exemple avec OpenVPN.
Comme vous pouvez le voir, écrire un filtre et un jail fail2ban n'est pas très compliqué, et une fois le filtre écrit, fail2ban s'occupe de tout (surveillance des logs, bannissement/débannissement...)