Un whitehat a découvert une faille chez Numérama, qui a corrigé la faille et prévient ses utilisateurs.

Si quelqu'un peut bien m'expliquer comment reproduire le problème ? Je n'y suis pas parvenu. Il l'injecte où son code Javascript ?
Parce que moi en collant le code Javascript dans ZeroBin, il s'affiche de façon standard, sans l'exécuter: http://sebsauvage.net/paste/?7b4c3b9f453f3a00#15fI5/3YawCujWTeaa7lLJ9LdxOkVGiP65J7yw1ZhDo=

EDIT: Oh ça y est j'ai capté: C'est à cause du code javascript que j'ai dû faire spécifiquement pour IE parce que ce dernier est le seul crétin à ne pas supporter white-space:pre-wrap;   Donc ce problème de sécurité ne se produit QUE DANS IE<10.

EDIT: Voilà c'est corrigé.  JE HAIS CETTE BOUSE D'INTERNET EXPLORER. C'est toujours une source de problèmes.
Le commit qui corrige est là: https://github.com/sebsauvage/ZeroBin/commit/28813cd82ae47e556b610da3c7302a6709e27431
Et le zip: https://github.com/sebsauvage/ZeroBin/archive/master.zip
Si vous voulez corriger à la main, il y a juste zerobin.js à mettre à jour (et changer le numéro de version dans index.php).

Merci à Gilles qui m'a rapporté le lien via son Shaarli (http://gilles.wittezaele.fr/links/?EU-WPg)

(Note: Le titre est trompeur: Il n'y a aucun master key découverte.)
Oh tiens, une petite faille de sécurité dans les 900 millions de terminaux Android: On peut modifier un APK (une application) sans que cela invalide sa signature crypto, aussi bien vis-à-vis des appareils que de l'AppStore lui-même. Cela permet également à l'application d'accéder à *TOUT* dans le téléphone.
Google a été informé de la faille en Février 2013, mais étant donné que les fabricants de téléphones et les opérateurs mettent des plombes à déployer les correctifs, vous pouvez imaginer que la plupart des téléphones Android ont encore cette faille béante.

EDIT: les détails chez Naked Security: http://nakedsecurity.sophos.com/2013/07/10/anatomy-of-a-security-hole-googles-android-master-key-debacle-explained/

Effectivement oui. Il y a déjà - il me semble - des projets dans ce sens.
D'autres idées pour régler ce problème des CA Racines:
http://sebsauvage.net/links/?M93nVA
http://sebsauvage.net/links/?iv1m1w
http://sebsauvage.net/links/?jYVACg
http://sebsauvage.net/links/?D9jQFw

Et merde... Opera s'est fait pirater et voler un certificat qui sert à signer ses exécutables. On verra donc apparaître des malwares avec des signatures valides et acceptés par Windows. (Jusqu'à ce qu'Opera révoque son certificat, en espérant que tout le monde vérifiera cette révocation. Je doute que Windows vérifie systématiquement la révocation des certificats, d'ailleurs. Ça arrivera sans doute avec une mise à jour WindowsUpdate, c'est à dire bien trop tard.)

Voilà une SUPER MAUVAISE IDÉE !
Mettez dans le cloud des copies numériques de vos clés (modèles 3D). Regardez: Vous pouvez obtenir un double de vos clés à n'importe quelle borne. Cool hein ? ça sera sûrement aussi très cool quand leur base de données sera piratée.  ><
Encore une formidable FBI (Fausse Bonne Idée).
Mais bon, il paraît que le claoude c'est cool.

Être sur un site servant à tester la sécurité des navigateurs (http://browserspy.dk/) affichant une publicité servie par Google (googleadservices.com) renvoyant vers fastbrowserapp.com, un pseudo-navigateur contenant un spyware: https://www.virustotal.com/fr/file/66ad40cea580bced6214b849e199d72ecc9282642633bb69aa159b4537717b59/analysis/1372243051/
Bravo, vraiment.
Bravo au site browserspy de laisser passer ces publicités sans les contrôler. Bravo à Google de toucher du pognon de la part d'un éditeur de spyware tout en prétendant défendre la sécurité des internautes.

Un petit coup de promo pour l'excellent Malekal, qui fait un boulot de dingue pour améliorer la sécurité de tous (sans compter ses très nombreux articles qui décortiquent divers malwares).
La page que vous voyez là est un rapport automatisé de son Zoo à malwares: Des machines virtuelles qui se font infecter et que Malekal surveille.
Malekal envoie bien entendu tous les malwares détectés aux éditeurs d'antivirus.

On y trouve des malwares qui ne sont parfois détectés que par un ou deux antivirus du marché sur 45 (!).  En cliquant sur le pourcentage (dans la colonne "Info"), vous pouvez voir le rapport VirusTotal.com.
ATTENTION: La tête de mort à gauche vous permet de télécharger le malware (zip protégé par le mot de passe "infected"). FAITES BIEN ATTENTION A CE QUE VOUS FAITES AVEC ÇA.

Malekal présente le fonctionnement de son zoo à malwares là: http://www.malekal.com/2011/07/08/mon-honeypot-mon-zoo-trojan-rat-stealers-et-abuse-orange/

Encore un fois, chapeau bas pour ce travail qui contribue à améliorer la sécurité de tout le monde.

"Perfect Foward Secrecy", la petite option de HTTPS que presque personne n'utilise, et qui empêche le déchiffrement futur des données échangées par HTTPS et capturées. Plus de sites devraient l'utiliser.
Remarquez, cela ne lève en rien le problème de confiance implicite abusive dans les autorités de certifications (à l'image du certificat du D.O.D. inclu dans les produits Apple).

C'est quand même dingue... et leur boite mail c'est chez GMail ?  ><

Voilà voilà: Le 15 juillet, si vous ne vous êtes pas connecté à votre mail Yahoo depuis un an, Yahoo détruira votre compte.
Je comprend pourquoi ils le font, mais - comme Wired - je pense que c'est une TRÈS mauvaise idée, car cela pourra être utilisé pour pirater des comptes sur d'autres sites en utilisant le mécanisme de récupération de mot de passe par email.

On voit ici qu'il est important d'être maître de son identité sur internet. Et l'identité, pour la totalité des sites où vous vous êtes inscrit(e), c'est votre adresse email. Une adresse en @hotmail.com ou @gmail.com NE VOUS APPARTIENT PAS et vous pouvez la perdre à tout moment.
(C'est là où le projet Persona de Mozilla peut devenir intéressant. Mais j'ai peu d'espoir: OpenID a été un échec.)

C'est une des raisons qui font que j'ai acheté un nom de domaine: Pour avoir une adresse email A MOI. L'avantage supplémentaire est que je peux changer de service de mail sans changer d'adresse email (je suis passé de GMail à OperaMail, mais cela est transparent pour vous: Vous m'écrivez toujours à @sebsauvage.net)

EDIT: ET BEN VOILA. Plein de comptes ont été piratés à cause de ça: http://sebsauvage.net/links/?zNF5Zw

HAHAHA ! C'est trop LOL: Google avait décidé d'inclure sa propre librairie Flash dans Chrome, soit-disant pour des raisons de sécurité.
C'est gagné, ducon: Il y a une faille Flash qui permet d'espionner à l'aide de la webcam de l'internaute, et cette faille ne marche... *que* dans Chrome !
Il faut que les éditeurs ARRÊTENT d'inclure leur propre copie des libs.
cf. http://sebsauvage.net/rhaa/index.php?2008/12/19/08/37/19-securite-les-librairies-posent-aussi-probleme

Je vous en avais déjà parlé en 2005: http://sebsauvage.net/rhaa/?2005/03/11/00/00/00-faites-nous-confiance, mais on remet le couvert en 2013: Quand Microsoft découvre ou est informé d'une faille de sécurité, il en informe d'abord le gouvernement américain. Le reste du monde devra attendre plus tard pour en être informé et pour avoir les correctifs.
En principe, c'est pour que le gouvernement puisse "bien" se protéger avant que la faille soit exposée, mais dans la pratique cela permet potentiellement aux agences de renseignement de pirater tranquillement, puisque personne n'est informé de la faille de sécurité ni ne possède de correctif.
Et après on me demande pourquoi je préfère le logiciel libre ?

EDIT: En français chez Numérama: http://www.numerama.com/magazine/26262-la-nsa-profiterait-des-failles-de-securite-avant-leur-divulgation-aux-clients.html

HAHAHA ! Microsoft continue à me faire bien rire. Après avoir épuisé tous les arguments pour promouvoir IE, Microsoft nous sort l'argument tarte-à-la-crème: IE est plus écologique ! Étude à l’appuie, Microsoft prétend que IE consomme moins de CPU, donc moins de courant, donc est plus écologique.

Moi je pense qu'ils devraient prendre en compte toutes le CPU dépensé lors des désinfections à cause des failles de sécurité béantes que Microsoft laisse ouvertes dans IE pendant des mois alors qu'ils en sont informés: http://www.webdevout.net/images/security-record.png?highadvisories (Source: http://www.webdevout.net/browser-security)

Attention la propriété de du domaine debian-multimedia.org a été transféré à quelqu'un d'autre. Ne plus faire confiance à ce domaine.

Kaspersky vient de mettre à nu un réseau d'espionnage informatique, visant précisément 350 personnes dans 40 pays, dans des secteurs bien spécifiques: compagnies pétrolières, centres de recherche, universités, agences gouvernementales, activistes, ambassades et sous-traitants de l'armée.
Le lien vers le PDF complet est en fin d'article.

Multiples vulnérabilité des clients X.org. Ça ne sent pas bon du tout.

Je me demandais aussi quand les hackers et spécialistes en sécurité s'intéresseraient un peu plus aux serveurs de jeux, encore largement sous-piratés/exploités, alors que massivement présents en ligne. Je sens qu'on va rigoler.
Leur présentation en PDF: http://revuln.com/files/ReVuln_Game_Engines_0days_tale.pdf

Ouch. Privilege-escalation.

+1 !

Hou que c'est laid: La NSA a forcé un fournisseur de solutions crypto à inclure une clé de déchiffrement dans les messages.
(via http://links.kevinvuilleumier.net/?OJ9gNg)
(Voir aussi: http://links.kevinvuilleumier.net/?Rq8kBw)

Oups.
En tous cas, l'employé en question est vraiment un crétin pour s'imaginer que ça passerait inaperçu.

Ah super... de faux sites SourceForge qui distribuent des malwares :-(

Quel espèce d'imbécile a attaqué un projet aussi utile que VLC ?

WHAT ??? Peut-on m'expliquer pourquoi Apple a inclu le Département de la Défense américain comme autorité de certification dans MacOSX et iOS ?
Chapopapiédalu ? Non parce que là, techniquement, ils pourraient faire des attaque MITM sans problème sur la totalité des utilisateurs de produits Apple sans lever la moindre alerte.
J'ai l'esprit mal placé ?
Merci Apple, trop gentils. Il y a d'autres vendeurs qui font ce genre de merde, en dehors d'Apple et Microsoft ? Je pense qu'on va avoir d'autres surprises.