Héhé... le patron de Mega offre 10 000 euros à qui arrivera à casser la sécurité de sa nouvelle plateforme.
Y'a pas à dire, il sait communiquer. C'est une bonne manière de contrer les très nombreuses critiques envers le nouveau Mega.

Sauf Flash ?   :-/
C'est quand même l'une des principales sources d'infection.

Énorme. Absolument énorme. Les mots de manquent. Ça c'est du business de pro. Leur offre "cloud" me semble d'autant plus tentante.
(merci à Jérôme R. pour la capture).
EDIT: Nous sommes en novembre 2013, SFR n'a pas changé: http://bluetouff.com/2013/11/20/le-message-hilarant-de-linterface-de-gestion-des-dns-chez-sfr-business-team/

Mega répond sur les nombreuses critiques concernant la faiblesse de leur crypto et leur sécurité.

moui, à voir: https://detectify.com

Woao... Google s'intéresse aux excellentes YubiKeys ? C'est bien. En prime, c'est assez facile à implémenter pour vos propres applications.

Et hop... encore un 0-day Java  :-/

Ding dong ! C'est l'heure de mettre - ENCORE - Flash et PDF Reader à jour: Il y a des failles de sécurité.
En principe Flash se mettra à jour automatiquement, mais si ce n'est pas le cas, faites-le vous-même: http://ninite.com/flash-flashie/

Hé ouais... les jetons dans les formulaires. C'est con hein, mais c'est indispensable pour se protéger des attaques de type CSRF (Cross site request forgery).

Et croyez-moi, pratiquement *AUCUN* site ne le fait (J'ai déjà piégé des modos de CCM avec ça. Assez poilant.)

Pourtant c'est assez facile de protéger ses applis. Si ça vous intéresse, jetez un coup d'œil aux sources de Shaarli: Il y a 2 petites fonctions php qui génèrent et contrôlent les tokens attachés à la session (getToken() et tokenOk()). C'est très simple. (C'est opensource: vous pouvez réutiliser ces fonctions.)

Le principe est d'inclure un token dans tout formulaire qui agit sur les données (getToken()), et lors du traitement de ces formulaires de s'assurer qu'ils contiennent un token valide (tokenOk()). Un attaquant ne pourra pas générer de token valide, et votre appli rejettera la requête (Dans Shaarli, je fais juste un die("Wrong token.");)

Failles chez Facebook qui permet d'enregistrer un utilisateur Facebook à son insu à travers sa webcam et le poster sur son mur... sans que l'utilisateur en ait conscience.
Facebook a juste mis 5 MOIS pour corriger la faille.

Un cache web réparti, en P2P, pour accélérer la consultation web ? Pourquoi pas.

EDIT: Comme me font remarquer Sam & Max:
Dans http://www.hola.org/legal/sla/ on peut lire: "The source code, design, and structure of the Software are trade secrets. You will not disassemble, decompile, or reverse engineer it, in whole or in part".
Donc: NON. Hors de question.

PS: Le titre est totalement faux. Ce logiciel d'Elcomsoft ne crack pas les partitions TrueCrypt: Il essaie de récupérer les clés de chiffrement en mémoire vive.

Bof... Franchement mettre sa machine en hibernation avec un conteneur TrueCrypt ouvert, faut être stupide (ou inexpérimenté).
Et puis ce n'est pas pour rien si TrueCrypt a des options de démontage automatique en cas de mise en veille, de déclenchement de l'économiseur d'écran ou d'inactivité sur le volume chiffré. Il faut peut-être penser à les activer.

Si vous avez une porte super-blindée mais que vous laissez vos clés sous la paillasson, il ne faut pas être surpris de se faire cambrioler. Le problème n'est pas la sécurité de la porte blindée, c'est votre comportement.

Oho... pas mal. Après l'attaque par HashDOS des framework web (cf. http://sebsauvage.net/links/?-A9eag), il semblerait que certains systèmes de fichiers soient également sensibles à cette attaque, comme btrfs.

Facebook = passoire.
Il est possible d'obtenir le numéro de téléphone ou l'adresse e-mail associée à un compte Facebook, même si l'utilisateur a mis ces informations en privé.

Rappel sur la (non) sécurité des puces NFC: Non seulement c'est mal sécurisé, mais en prime on peut intercepter les transmissions à 15 MÈTRES.
Et toutes les cartes bancaires en sont maintenant équipées. (Si vous avez ce logo: http://sebsauvage.net/files/20120921_logo_nfc.jpg alors votre carte bancaire est aussi NFC).

Tiens... Tuto4PC, trop détecté par les antivirus, a sorti un nouvel exécutable, servi sur de nouveaux domaines.
Merci à Malekal pour sa vigilance.

TL;DR La moralité de cette histoire ? Vos applications, aussi bien conçues soient-elles, peuvent crasher face à des bits modifiés au niveau matériel (dans les barettes de RAM ou lors de transferts réseau). Peu importe quel soin vous apporterez à la gestion d'erreur, vous *aurez* des erreurs que l'appli ne saura pas gérer.

Je pensais ce genre d'erreur assez peu courante, mais avoir avoir lu le bitsquatting (http://sebsauvage.net/links/?pTGGOw), cela semble arriver de manière assez régulière.

Bottom line: Vous n'arriverez pas à reproduire certain bugs signalés par les utilisateurs. Jamais. Il faudra alors se résoudre à fermer les tickets correspondants.
Et faites systématiquement des memtest86: Les barettes de RAM peuvent réserver des susprises. Mais notez bien que même avec un test memtest86 100% OK, des modifications de bits PEUVENT survenir de manière aléatoire: http://www.commentcamarche.net/faq/3868-mythes-les-rayons-cosmiques-provoquent-des-erreurs

EDIT: Kevin M. (par email, publié avec son accord) résume bien le problème:

« Sur les milliards d'ordinateurs actuellement en marche dans le monde, avec miniaturisation croissante des composants, l'absence de structure de contrôle à un niveau matériel assez bas (ce qui est d'ailleurs de l'ordre de l'impossible sauf à diviser la cadence utilisable des processeurs), je pense que c'est tout sauf "rare", même sans compter sur les rayonnements cosmiques.

Le nombre de devices électroniques par personne explose (beaucoup ont un PC, un smartphone et peut-être même une tablette, quand ce ne sont pas plusieurs appareils du genre dans mon cas), le net devient omniprésent et si le taux d'erreur reste marginal, l'augmentation du nombre d'appareils augmente mécaniquement le nombre (en valeur) d'erreurs. Si on y ajoute à ça des interférences multiples (de la collision de paquets au micro-ondes mal isolé) on arrive à un nombre qui commence à être intéressant à exploiter.

Le gens doivent comprendre que les appareils électroniques sont faillibles, même les mieux conçus. C'est à ça que sert la redondance (des données, des réseaux ou des machines) et qu'il est vital de pouvoir entièrement mécaniquement couper un système critique. Et ne serait-ce que pour cette unique raison, le vote électronique, par exemple, ne devrait jamais être autorisé. Mais apparemment, ce message ne passe pas. »

Bravo.

Oh mince... des serveurs de FreeBSD ont été hackés. Mais visiblement rien a été modifié. Visiblement.

Tous les problèmes de sécurité introduits par HTML5.    Rrhhâââ....

Avis de SB sur les autorités de certification SSL gratuites.  Voir aussi https://www.startssl.com/

7 mythes concernant HTTPS (merci à Alexis M. pour le lien)

Un logiciel gratuit pour vérifier si vos logiciels sont à jour (via http://www.ballajack.com/verifier-pc-a-jour)
Pour Windows uniquement.

Une faille de sécurité concernant Acrobat PDF Reader circule au marché noir, vendue 50000 dollars. Elle permet l'exécution de code en contournant la sandbox.
Comme quoi, les sandboxs ne sont pas des silver bullets (c'est bon, j'ai casé mes 2 expressions anglophones dans la même phrase).

Kaspersky recense les sources principales d'infection. En tête, bien sûr: Oracle (avec Java) et Adobe (avec Flash, Adobe PDF et Shockwave).
On y retrouve aussi Apple (QuickTime, même sous Windows), et plus surprenant: WinAMP. Il y a encore des gens qui utilisent WinAMP ?

Moralité: Vous gagnerez en sécurité en désactivant Java et en activant Flash que sur demande (FlashBock dans Firefox, dont l'équivalent est intégré par défaut dans Opera).
Evitez également d'installer des tonnes de codecs: Chacun apporte ses failles de sécurité. VLC vous permet de lire pratiquement n'importe quel format audio et vidéo sans installer de codecs.

Bottom line: "Je ne télécharge rien donc je n'ai pas besoin d'antivirus" = bullshit, puisque grâce à ces faille vous pouvez être infecté sans rien télécharger, juste en affichant une page web.