Être sur un site servant à tester la sécurité des navigateurs (http://browserspy.dk/) affichant une publicité servie par Google (googleadservices.com) renvoyant vers fastbrowserapp.com, un pseudo-navigateur contenant un spyware: https://www.virustotal.com/fr/file/66ad40cea580bced6214b849e199d72ecc9282642633bb69aa159b4537717b59/analysis/1372243051/
Bravo, vraiment.
Bravo au site browserspy de laisser passer ces publicités sans les contrôler. Bravo à Google de toucher du pognon de la part d'un éditeur de spyware tout en prétendant défendre la sécurité des internautes.

Un petit coup de promo pour l'excellent Malekal, qui fait un boulot de dingue pour améliorer la sécurité de tous (sans compter ses très nombreux articles qui décortiquent divers malwares).
La page que vous voyez là est un rapport automatisé de son Zoo à malwares: Des machines virtuelles qui se font infecter et que Malekal surveille.
Malekal envoie bien entendu tous les malwares détectés aux éditeurs d'antivirus.

On y trouve des malwares qui ne sont parfois détectés que par un ou deux antivirus du marché sur 45 (!).  En cliquant sur le pourcentage (dans la colonne "Info"), vous pouvez voir le rapport VirusTotal.com.
ATTENTION: La tête de mort à gauche vous permet de télécharger le malware (zip protégé par le mot de passe "infected"). FAITES BIEN ATTENTION A CE QUE VOUS FAITES AVEC ÇA.

Malekal présente le fonctionnement de son zoo à malwares là: http://www.malekal.com/2011/07/08/mon-honeypot-mon-zoo-trojan-rat-stealers-et-abuse-orange/

Encore un fois, chapeau bas pour ce travail qui contribue à améliorer la sécurité de tout le monde.

"Perfect Foward Secrecy", la petite option de HTTPS que presque personne n'utilise, et qui empêche le déchiffrement futur des données échangées par HTTPS et capturées. Plus de sites devraient l'utiliser.
Remarquez, cela ne lève en rien le problème de confiance implicite abusive dans les autorités de certifications (à l'image du certificat du D.O.D. inclu dans les produits Apple).

C'est quand même dingue... et leur boite mail c'est chez GMail ?  ><

Voilà voilà: Le 15 juillet, si vous ne vous êtes pas connecté à votre mail Yahoo depuis un an, Yahoo détruira votre compte.
Je comprend pourquoi ils le font, mais - comme Wired - je pense que c'est une TRÈS mauvaise idée, car cela pourra être utilisé pour pirater des comptes sur d'autres sites en utilisant le mécanisme de récupération de mot de passe par email.

On voit ici qu'il est important d'être maître de son identité sur internet. Et l'identité, pour la totalité des sites où vous vous êtes inscrit(e), c'est votre adresse email. Une adresse en @hotmail.com ou @gmail.com NE VOUS APPARTIENT PAS et vous pouvez la perdre à tout moment.
(C'est là où le projet Persona de Mozilla peut devenir intéressant. Mais j'ai peu d'espoir: OpenID a été un échec.)

C'est une des raisons qui font que j'ai acheté un nom de domaine: Pour avoir une adresse email A MOI. L'avantage supplémentaire est que je peux changer de service de mail sans changer d'adresse email (je suis passé de GMail à OperaMail, mais cela est transparent pour vous: Vous m'écrivez toujours à @sebsauvage.net)

EDIT: ET BEN VOILA. Plein de comptes ont été piratés à cause de ça: http://sebsauvage.net/links/?zNF5Zw

HAHAHA ! C'est trop LOL: Google avait décidé d'inclure sa propre librairie Flash dans Chrome, soit-disant pour des raisons de sécurité.
C'est gagné, ducon: Il y a une faille Flash qui permet d'espionner à l'aide de la webcam de l'internaute, et cette faille ne marche... *que* dans Chrome !
Il faut que les éditeurs ARRÊTENT d'inclure leur propre copie des libs.
cf. http://sebsauvage.net/rhaa/index.php?2008/12/19/08/37/19-securite-les-librairies-posent-aussi-probleme

Je vous en avais déjà parlé en 2005: http://sebsauvage.net/rhaa/?2005/03/11/00/00/00-faites-nous-confiance, mais on remet le couvert en 2013: Quand Microsoft découvre ou est informé d'une faille de sécurité, il en informe d'abord le gouvernement américain. Le reste du monde devra attendre plus tard pour en être informé et pour avoir les correctifs.
En principe, c'est pour que le gouvernement puisse "bien" se protéger avant que la faille soit exposée, mais dans la pratique cela permet potentiellement aux agences de renseignement de pirater tranquillement, puisque personne n'est informé de la faille de sécurité ni ne possède de correctif.
Et après on me demande pourquoi je préfère le logiciel libre ?

EDIT: En français chez Numérama: http://www.numerama.com/magazine/26262-la-nsa-profiterait-des-failles-de-securite-avant-leur-divulgation-aux-clients.html

HAHAHA ! Microsoft continue à me faire bien rire. Après avoir épuisé tous les arguments pour promouvoir IE, Microsoft nous sort l'argument tarte-à-la-crème: IE est plus écologique ! Étude à l’appuie, Microsoft prétend que IE consomme moins de CPU, donc moins de courant, donc est plus écologique.

Moi je pense qu'ils devraient prendre en compte toutes le CPU dépensé lors des désinfections à cause des failles de sécurité béantes que Microsoft laisse ouvertes dans IE pendant des mois alors qu'ils en sont informés: http://www.webdevout.net/images/security-record.png?highadvisories (Source: http://www.webdevout.net/browser-security)

Attention la propriété de du domaine debian-multimedia.org a été transféré à quelqu'un d'autre. Ne plus faire confiance à ce domaine.

Kaspersky vient de mettre à nu un réseau d'espionnage informatique, visant précisément 350 personnes dans 40 pays, dans des secteurs bien spécifiques: compagnies pétrolières, centres de recherche, universités, agences gouvernementales, activistes, ambassades et sous-traitants de l'armée.
Le lien vers le PDF complet est en fin d'article.

Multiples vulnérabilité des clients X.org. Ça ne sent pas bon du tout.

Je me demandais aussi quand les hackers et spécialistes en sécurité s'intéresseraient un peu plus aux serveurs de jeux, encore largement sous-piratés/exploités, alors que massivement présents en ligne. Je sens qu'on va rigoler.
Leur présentation en PDF: http://revuln.com/files/ReVuln_Game_Engines_0days_tale.pdf

Ouch. Privilege-escalation.

+1 !

Hou que c'est laid: La NSA a forcé un fournisseur de solutions crypto à inclure une clé de déchiffrement dans les messages.
(via http://links.kevinvuilleumier.net/?OJ9gNg)
(Voir aussi: http://links.kevinvuilleumier.net/?Rq8kBw)

Oups.
En tous cas, l'employé en question est vraiment un crétin pour s'imaginer que ça passerait inaperçu.

Ah super... de faux sites SourceForge qui distribuent des malwares :-(

Quel espèce d'imbécile a attaqué un projet aussi utile que VLC ?

WHAT ??? Peut-on m'expliquer pourquoi Apple a inclu le Département de la Défense américain comme autorité de certification dans MacOSX et iOS ?
Chapopapiédalu ? Non parce que là, techniquement, ils pourraient faire des attaque MITM sans problème sur la totalité des utilisateurs de produits Apple sans lever la moindre alerte.
J'ai l'esprit mal placé ?
Merci Apple, trop gentils. Il y a d'autres vendeurs qui font ce genre de merde, en dehors d'Apple et Microsoft ? Je pense qu'on va avoir d'autres surprises.

Ah ouais quand même, 42 pour Java.
Pour mettre à jour Java sous Windows sans se prendre la tête, téléchargez ce petit programme et lancez-le: http://ninite.com/java/ninite.exe
Il s'occupera d'aller télécharger la mise à jour et l'installera directement.

Dans un an exactement, Microsoft cessera de publier des correctifs pour Windows XP. Ce qui veut dire que si une faille de sécurité est découverte, Microsoft ne corrigera plus.

Rappel: Ne copiez-collez jamais du texte d'une page web dans un terminal. Belle démonstration.

Détails de la faille ssh chez NetBSD: C'était juste une parenthèse mal placée (!).  Arg.

Oh mince, une faille dans bind, le serveur DNS le plus utilisé au monde :-/