Les DNS de Google ont été l'objet d'un détournement (attaque du protocole BGP). Pendant 22 minutes, le trafic destiné aux DNS de Google est parti... dans le réseau d'une filiale de British Telecom au Vénézuela et au Brésil.
C'est assez grave, puisque le DNS pirate peut ainsi vous répondre n'importe quoi, y compris une adresse IP qui ne correspond pas du tout au domaine que vous avez entré.

Ou... ça faisait quelques temps qu'on avait pas eu une si belle faille: Remote code exécution avec un JPEG malformé.
Systèmes affectés: Windows XP/Server2003/Vista/Server2008/7/8/8.2/Server2012.

Donc, en gros, on peut infecter Windows simplement en lui faisant afficher une image dans une page web.

C'est chouette les protocoles d'auto-découverte/autoconfig des réseaux (UPnP, DLNA, SSDP, Avahi/ZeroConf...).  Ça permet d'interconnecter facilement tous les appareils de la maison entre eux. "Facilement", ça veut aussi dire "sans grande sécurité".

Ce site est une sorte de HackerNews dédié à la crypto, sécurité et vie privée.

Je vous avais déjà parlé des millions des lignes de code des Toyota, mais je n'avais pas eu des détails du procès. Très intéressant... mais effrayant. (via https://famille-michon.fr/links/?tFmGfw)

Sale bug dans GnuTLS qui shunte la vérifications des certificats  :-(

TL;DR des conseils pour hasher les mots de passe.

Oh ben tiens une VILAINE GROSSE FAILLE DE SÉCURITÉ dans le composant WebView de tous les Android < 4.2 qui permet à quelqu'un de mal intentionné d'obtenir un PUTAIN DE SHELL avec accès à la caméra et au système de fichiers simplement en vous balançant une page web dans WebView (autrement dit: la majorité des navigateurs Android).
Si vous êtes sous Android < 4.2, vous êtes vulnérable. Si votre application est compilée pour l'API < 17, elle est vulnérable.
Et Google ne corrigera pas. De toute manière, même si Google corrige, les fabricants ne mettront pas forcément à jour Android pour leur anciens modèles de smartphone. Et même s'ils le font, les opérateurs ne déploieront pas forcément ces mises à jour sur leur réseau et leur version modifiée d'Android. Donc cette faille va perdurer pendant très longtemps, et comme les internautes ne vont sûrement pas arrêter d'afficher des pages web sur leur smartphone... sproutch.
Détails: https://labs.mwrinfosecurity.com/advisories/2013/09/24/webview-addjavascriptinterface-remote-code-execution/

Le système antivol CompuTrace (inclu dans beaucoup de BIOS d'ordinateurs portables) analysé et expliqué par Karpersky.  On voit aussi que le protocole de CompuTrace permet au centre de contrôle de CompuTrace de lire et écrire n'importe où en mémoire.
Comprenez bien ce que cela veut dire: La société Absolute peut donc lire et écrire en temps réel et à distance dans la mémoire de tous les ordinateurs équipés de ce système, quel que soit votre système d'exploitation et même après reformattage du disque (puisque c'est situé dans le BIOS). Et bien sûr ils peuvent exécuter n'importe quel bout de code. Je vous laisse tirer vos conclusions...
(J'aime les éditeurs d'antivirus qui ont des blogs bien techniques, comme F-Secure: C'est toujours très intéressant).

On en avait déjà parlé: le port de diagnostic ODB (obligatoire) des voitures n'est pas sécurisé. Démonstration par ces hackers qui arrivent à faire faire n'importe quoi à votre véhicule avec ce petit équipement.
Notez que le port ODB permet d'influer sur les paramètres de la voiture: réglages moteur, freinage, etc. D'ailleurs certains s'en servent pour reprogrammer leur moteur et ainsi booster les performances (au détriment de sa durée de vie).
De quoi faire pas mal de dégâts.
EDIT: en français chez Korben: http://korben.info/20-pour-prendre-le-controle-distance-dune-voiture.html

Woao... ça c'est cool. Un spécialiste en sécurité a fait gratuitement un audit sécurité de ZeroBin. Voici le résultat. C'est de la qualité.
Il me signale par email que ce qu'il a découvert n'est pas exploitable directement.  Je ferai de mon mieux pour effectuer les améliorations.
(Je viens déjà de merger un pull request concernant un des points.)

Je me met ça de côté pour lecture ultérieure: Quelques entêtes HTTP à ajouter à vos pages pour améliorer la sécurité pour vos visiteurs (contre XSRF, XSS, inclusion dans des frames/iframes, etc.)

Pouah... visiblement certains nœuds de sortie TOR font des attaques MITM. C'est à dire, en gros, qu'ils vous piquent vos mots de passe ou espionnent votre trafic HTTPS. :-(
Donc même dans TOR, faites attention à ce que vous faites.

Vous utilisez des phrases au lieu de simples mots de passe ?  Vous pensez être à l'abri ? C'est raté. Ce n'est pas plus efficace qu'un simple mot de passe.
Les crackers de mots de passe utilisent habituellement des dictionnaires. Cela permet de casser un sacré paquet de mots de passe hashés. Mais récemment, quelques chercheurs se sont amusés à alimenter également leur logiciel avec la bible, Wikipedia, Facebook, les commentaires YouTube, les logs IRC, pastebin, les ebooks, les scripts de films, les paroles de chanson et quelques milliers de documents du projet Gutemberg. Et là, ils ont eu beaucoup plus de succès, jusqu'à casser des phrases de 55 caractères.
(merci à Flavien pour le lien)

Framablog a été piraté :-/

Haha... c'est trop fun.  95% ???

Microsoft donne un petit sursis aux utilisateurs de Windows XP: Ce 8 avril 2014 devait marquer la fin des mises à jour de sécurité pour Windows XP, mais Microsoft a décidé de repousser cette date au 14 juillet 2015. Cela inclue l'antivirus gratuit de Microsoft, Microsoft Security Essentials.

mimikatz, le logiciel qui récupère les mots de passe Windows (à exécuter en admin). (via https://tiger-222.fr/shaarli/?90iqZw)

Juste une note: C'est la fin de Windows XP cette année en avril. Il n'y aura plus de mises à jour de sécurité.
Et dans le même temps, Microsoft tuera également son antivirus Microsoft Security Essentials.
Pensez à migrer.

« J'ai pas besoin d'antivirus, je ne visite que des sites de confiance et je ne télécharge pas. » Bla bla bla.

EDIT: https://twitter.com/nozdus/status/420196590154809346  « @sebsauvage je n'ai pas besoin d'antivirus car mon navigateur n'a aucun plugin activé et encore moins ce plugin java tout obsolète »
Certes cela réduit les risques... mais ne les élimine pas !  :-)   Chaque navigateur a eu son lot de failles critiques (que ce soit à base d'iframe, URL, javascript ou autres), permettant l'exécution de code arbitraire.

Recherchez le mot «arbitrary» parmis ces vulnérabilités:
Firefox: http://www.cvedetails.com/vulnerability-list/vendor_id-452/product_id-3264/Mozilla-Firefox.html
Chrome: http://www.cvedetails.com/vulnerability-list/vendor_id-1224/product_id-15031/Google-Chrome.html
IE: http://www.cvedetails.com/vulnerability-list/vendor_id-26/product_id-124/Microsoft-IE.html

Bref, même sans plugin (et même sans Javascript), personne n'est vraiment à l'abri. Pourquoi ? Parce qu'un logiciel parfait, sans bug, ça n'existe pas.

Merci Linksys, merci Netgear. On ne peut vraiment faire confiance à personne, et encore moins aux logiciels/matériels à sources fermés.
Stallman a raison.
EDIT: Le code: https://github.com/elvanderb/TCP-32764

Très bon. Je n'avais pas vu ce site: Ce sont les vidéos des conférences organisées par le CCC, le Chaos Computer Club, l'un des plus anciens groupes de hackers. (via https://links.sirc.at/?MQSfUw)

Ouf !

Ah... en plus Zythom qui commence par une citation de Frank Herbert. Magnifique :-)
(On le sens tendu, mais je le serais à sa place.)

QUOI ?    PARDON ????
L'ANSSI (Agence nationale de la sécurité des systèmes d’information), vous savez cette GRANDE autorité nationale française qui est censée nous PROTÉGER a visiblement créé et diffusé des certificats d'autorité intermédiaires, permettant à d'autres de créer des certificats frauduleux pour plusieurs domaines appartenant à Google. Et des certificats frauduleux ont effectivement été observés par Google (dans un équipement commercial non nommé, et utilisé dans une entreprise non nommée.)

La réponse de l'ANSSI ? "oups c'était juste une erreur": http://www.ssi.gouv.fr/en/the-anssi/events/revocation-of-an-igc-a-branch-808.html

Alors ça peut:
 a) soit effectivement être une erreur.
 b) soit ne pas en être une, et cela n'est que la pointe de l'iceberg qui permet à différents "copains" du gouvernement français d'espionner SSL ou faire du MITM tranquillement (que ce soient des agences de renseignement ou des entreprises privées).

Que ce soit l'un ou l'autre, cela montre à quel point le modèle des autorités de certifications ne vaut absolument plus rien. Mozilla ferait aussi bien de supprimer les alertes quand Firefox reçoit un certificat non signé par une autorité.

EDIT: Le certificat racine de l'ANSSI n'est pas inclus dans Firefox. L'agence nationale a demandé son inclusion en mai 2012, mais ne l'a pas encore obtenue: http://www.mozilla.org/projects/security/certs/pending/#ANSSI%20%28Government%20of%20France%29

Ceci dit, vous avez quand même dans Firefox un certificat racine du gouvernement français:
   E = igca@sgdn.pm.gouv.fr
   CN = IGC/A
   OU = DCSSI
   O = PM/SGDN
   L = Paris
   ST = France
   C = FR

DCSSI n'est rien d'autre que l'ancien nom de l'ANSSI.
Vous le trouverez dans la liste des certificats d'autorité sous le petit nom de PM/SGDN > IGC/A.

SGDN = Secrétariat général de la défense nationale

EDIT: chez Reflets: http://reflets.info/mitm-de-google-par-l-anssi-la-theorie-du-doigt-qui-pointait-la-lune/
Reflets suggère que ces certificats auraient été utilisés en interne pour contrôler les flux de données et éviter des fuites, et que les utilisateurs auraient été prévenus. Je demande quand même à voir la tronche de leur charte informatique, car j'ai de gros doutes. Même en dehors de cela, je trouve la pratique limite.
Question intéressante levée par Reflets: Comment Google a-t-il vu ces certificats, vu qu'ils n'étaient déployés qu'en interne ?  Une fuite d'un employé, ou autre ?  On aura pas la réponse...