Petite explication et tuto de mise en place de DDos Deflate sous Debian, pour lutter contre... les DDos (of course). (via http://blog.m0le.net/)

Pour continuer sur la lancée de http://sebsauvage.net/links/?RItSYg, voici un article qui détaille, en pratique, les conséquences du cassage de PPTP/MS-CHAPv2.
Et, pour poursuivre la réflexion, Zythom se pose la question: Et maintenant, quel fournisseur de VPN n'utilisant pas PPTP choisir ? http://zythom.blogspot.fr/2012/08/fournisseur-de-vpn.html

Bon en même temps, il ne faut jamais laisser le mode débug activé sur son téléphone.

mmm... chouette: Un cheval de Troie installé d'origine dans le firmware des Samsung Galaxy S2. Il est présent dans toutes les ROMs officielles d'ICS (Android 4.0.x).
ZTE, Samsung... Il y en a encore beaucoup, comme ça, qui installent de grosses backdoors dans leurs téléphones ?
Ou bien Samsung est victime, dans cette histoire ?

Et là - j'allais dire: une fois de plus - on comprend mieux l'intérêt de l'opensource. Et des roms alternatives.

Lien: http://blog.flo354.com/articles/2/%5BAndroid%5D-Malware-Samsung-Galaxy-S2-ICS

Un détecteurs de shell sur votre site.
https://github.com/emposha/PHP-Shell-Detector
ça peut servir.

McAfee se lance dans le marché d'interdiction du clic-droit sur les images dans les réseaux sociaux ? MOUAHAHAHAHA !
Bien sûr, il faut un plugin spécial pour votre navigateur, comme à la grande époque d'ArcheMedia... dont la protection se contourne simplement en installant leur plugin dans une VM.

On parie que ça se contourne simplement avec une VM ?

I ♥ fail2ban
fail2ban examine les logs de sécurité de votre serveur (tentatives de connexion sur le serveur ssh, ftp, logs d'applications...) et reconfigure le firewall pour bloquer l'adresse IP fautive. Résultat: Deux ou trois tentatives de connexion avec le mauvais mot de passe, et aux yeux du hacker votre serveur disparaît littéralement du réseau (elle ne lui répond plus, même pas aux ping). C'est très efficace pour bloquer les attaques de type brute force sur les mots de passe.

cf. http://www.commentcamarche.net/faq/18225-utiliser-fail2ban-pour-proteger-votre-application-web

EDIT: Comme me le fait remarquer Vincent B., il y a tout de même deux bémols à fail2ban:
1) Il ne lit pas immédiatement les logs. Il reste donc la possibilité de tester plusieurs milliers de mots de passe dans une très courte période (après laquelle fail2ban vous bannira).
2) Beaucoup d'attaques = des tables iptables/netfilter qui grossissent, et donc potentiellement un ralentissement du système (mitigé en diminuant la durée du ban).

X-Ray, l'application qui vous dit si votre système Android possède des failles de sécurité: http://www.xray.io/

Et hop... un petit outils pour automatiser la recherche de failles XSS. Merci Korben.
http://sourceforge.net/projects/xeleniumsecurit/files/latest/download

L'inconvénient d'avoir tout dans le Cloud ? Le jour où vous vous faites pirater, c'est la mort: Ce gars avait tout dans iCloud (le cloud d'Apple). Le pirate a réussit à accéder à son compte et il a, à distance, EFFACÉ TOUT LE CONTENU de son téléphone (iPhone), iPad et son ordinateur portable (MacBook). Téléphone inutilisable, même pour passer un coup de fil. Quant à Apple, en voulant aider le gars à restaurer l'accès à son compte, ils se sont trompés sur le nom de famille et étaient en train de bidouiller en fait le compte d'un *autre* utilisateur (qui a dû être vachement content aussi).

Bref, la merde totale.

EDIT: Magnifique: Comment le hacker a eu accès à son compte ? Simplement en téléphonant à Apple. Doh.
https://twitter.com/mat/status/231958263149764609

Hydra, le logiciel de cassage de mots de passe réseau: HTTP, FTP, CVS, ICQ, IRC, IMAP, LDAP, MS SQL, mySQL, Oracle, NNTP, POP3, RDP, SIP, ssh, vnc...
http://freeworld.thc.org/thc-hydra/network_password_cracker_comparison.html

Bon point: ça permettra d'avoir une base légale solide pour attaquer les guignols comme Amesys, Qosmos et autres.
Mauvais point: Cela risque de criminaliser les outils réseau et de sécurité, car un "simple" outils comme Wireshark entre tout à fait dans la définition de ce décret.

Je ne sais pas si cette loi est un bien ou pas.

Bon alors NON, il faut le dire clairement: Pas de rootkit dans les DRM d'Ubisoft. C'est tout simplement faux. Il faut lire la disclosure: http://seclists.org/fulldisclosure/2012/Jul/375
Le gars PENSE AVOIR TROUVÉ un moyen de faire planter le navigateur en utilisant le plugin navigateur installé par l'éditeur du jeu, mais il n'a MÊME PAS TESTÉ si ça marchait vraiment.
Donc arrêtons de monter ça en chantilly.

Trop de mots de passe partout sur les sites ?

Ce développeur propose une solution radicale: Plus de mots de passe DU TOUT. Quand vous voulez vous connecter sur un site, vous donnez votre email et recevez l'URL pour vous connecter par email. Bien sûr le lien ne serait valable qu'une fois, et pour une courte période.

Ça paraît choquant, mais ça se tient: Ou a souvent l'email ouvert (par exemple le webmail ou un smartphone), et seul celui qui possède l'accès à l'adresse email peut les lire. Plus qu'un seul mot de passe à retenir: Celui de votre boîte email.

Coté utilisateur: Plus de mot de passe à retenir pour le site. Plus de risque de se le faire voler par un keylogger. Et vous pouvez savoir si quelqu'un d'autre essaie de se connecter sur votre compte quasiment en temps réel. (on pourrait aussi imaginer que le mail contient l'adresse IP qui a effectuée la demande)
Côté serveur: Plus de mots de passe à gérer, plus de risque de vol des mots de passe ou de leur hash.

Distribuer les logiciels hping ou scapy est un délit en France ? WTF ??? o_o
Dommage aussi que ce rapport se concentre sur la protection de l'état et des entreprises, pas des citoyens. C'est caractéristique de l'optique qu'a l'état sur internet.

Donc maintenant même les scanners d'iris ne peuvent plus être considérés comme sûrs. Je présume qu'ils trouveront également des hacks pour les scanners rétiniens. Entre ça et les empreintes digitales reproduites avec des nounours en gelée, la biométrie devient une farce.

Un rapport de plus... mais ces problèmes sont loin d'être nouveaux. J'en parlais déjà il y a 6 ans: http://sebsauvage.net/rhaa/index.php?2006/09/15/00/00/05-die-for-it
mais les premiers problèmes avaient été signalés avant ça.

Il semblerait que les BMW sans clé soient faciles à démarrer avec un petit hack...  c'est dans ces moments là que je n'aime *pas* le progrès.

Mais MERDE, quand est-ce que les gens vont comprendre que ce sont des EXPLOSIFS, et que c'est donc extrêmement dangereux ?
(J'ai manipulé des explosifs militaires.)
Vraiment des nazes. Rien dans le ciboulot.

Nous y voilà: Maintenant que les smartphones pullulent, ils deviennent une cible de choix pour les spammeurs: Il semblerait que de nombreux téléphones Android soient à la source de spam. L'infection vient probablement d'applications piratés, infectées et installées hors de Google Play (ce que tendrait à prouver l'origine des spams: principalement des pays en voie de développement).

mmm... pourquoi pas, mais j'ai de gros doute sur l'efficacité de ce genre de logiciel.
http://www.crystalaep.com/

AH. Alors après les compteurs-cafteur d'EDF (http://sebsauvage.net/links/?akxSSA), voici les compteurs-mouchard de Gaz-de-France ? Purée. Et sécurisés avec les pieds, comme d'habitude, je présume ?  :-(

où on reparle de tuto4pc/PCtuto/eoRezo... je vous laisse lire.