McAfee se lance dans le marché d'interdiction du clic-droit sur les images dans les réseaux sociaux ? MOUAHAHAHAHA !
Bien sûr, il faut un plugin spécial pour votre navigateur, comme à la grande époque d'ArcheMedia... dont la protection se contourne simplement en installant leur plugin dans une VM.

On parie que ça se contourne simplement avec une VM ?

I ♥ fail2ban
fail2ban examine les logs de sécurité de votre serveur (tentatives de connexion sur le serveur ssh, ftp, logs d'applications...) et reconfigure le firewall pour bloquer l'adresse IP fautive. Résultat: Deux ou trois tentatives de connexion avec le mauvais mot de passe, et aux yeux du hacker votre serveur disparaît littéralement du réseau (elle ne lui répond plus, même pas aux ping). C'est très efficace pour bloquer les attaques de type brute force sur les mots de passe.

cf. http://www.commentcamarche.net/faq/18225-utiliser-fail2ban-pour-proteger-votre-application-web

EDIT: Comme me le fait remarquer Vincent B., il y a tout de même deux bémols à fail2ban:
1) Il ne lit pas immédiatement les logs. Il reste donc la possibilité de tester plusieurs milliers de mots de passe dans une très courte période (après laquelle fail2ban vous bannira).
2) Beaucoup d'attaques = des tables iptables/netfilter qui grossissent, et donc potentiellement un ralentissement du système (mitigé en diminuant la durée du ban).

X-Ray, l'application qui vous dit si votre système Android possède des failles de sécurité: http://www.xray.io/

Et hop... un petit outils pour automatiser la recherche de failles XSS. Merci Korben.
http://sourceforge.net/projects/xeleniumsecurit/files/latest/download

L'inconvénient d'avoir tout dans le Cloud ? Le jour où vous vous faites pirater, c'est la mort: Ce gars avait tout dans iCloud (le cloud d'Apple). Le pirate a réussit à accéder à son compte et il a, à distance, EFFACÉ TOUT LE CONTENU de son téléphone (iPhone), iPad et son ordinateur portable (MacBook). Téléphone inutilisable, même pour passer un coup de fil. Quant à Apple, en voulant aider le gars à restaurer l'accès à son compte, ils se sont trompés sur le nom de famille et étaient en train de bidouiller en fait le compte d'un *autre* utilisateur (qui a dû être vachement content aussi).

Bref, la merde totale.

EDIT: Magnifique: Comment le hacker a eu accès à son compte ? Simplement en téléphonant à Apple. Doh.
https://twitter.com/mat/status/231958263149764609

Hydra, le logiciel de cassage de mots de passe réseau: HTTP, FTP, CVS, ICQ, IRC, IMAP, LDAP, MS SQL, mySQL, Oracle, NNTP, POP3, RDP, SIP, ssh, vnc...
http://freeworld.thc.org/thc-hydra/network_password_cracker_comparison.html

Bon point: ça permettra d'avoir une base légale solide pour attaquer les guignols comme Amesys, Qosmos et autres.
Mauvais point: Cela risque de criminaliser les outils réseau et de sécurité, car un "simple" outils comme Wireshark entre tout à fait dans la définition de ce décret.

Je ne sais pas si cette loi est un bien ou pas.

Bon alors NON, il faut le dire clairement: Pas de rootkit dans les DRM d'Ubisoft. C'est tout simplement faux. Il faut lire la disclosure: http://seclists.org/fulldisclosure/2012/Jul/375
Le gars PENSE AVOIR TROUVÉ un moyen de faire planter le navigateur en utilisant le plugin navigateur installé par l'éditeur du jeu, mais il n'a MÊME PAS TESTÉ si ça marchait vraiment.
Donc arrêtons de monter ça en chantilly.

Trop de mots de passe partout sur les sites ?

Ce développeur propose une solution radicale: Plus de mots de passe DU TOUT. Quand vous voulez vous connecter sur un site, vous donnez votre email et recevez l'URL pour vous connecter par email. Bien sûr le lien ne serait valable qu'une fois, et pour une courte période.

Ça paraît choquant, mais ça se tient: Ou a souvent l'email ouvert (par exemple le webmail ou un smartphone), et seul celui qui possède l'accès à l'adresse email peut les lire. Plus qu'un seul mot de passe à retenir: Celui de votre boîte email.

Coté utilisateur: Plus de mot de passe à retenir pour le site. Plus de risque de se le faire voler par un keylogger. Et vous pouvez savoir si quelqu'un d'autre essaie de se connecter sur votre compte quasiment en temps réel. (on pourrait aussi imaginer que le mail contient l'adresse IP qui a effectuée la demande)
Côté serveur: Plus de mots de passe à gérer, plus de risque de vol des mots de passe ou de leur hash.

Distribuer les logiciels hping ou scapy est un délit en France ? WTF ??? o_o
Dommage aussi que ce rapport se concentre sur la protection de l'état et des entreprises, pas des citoyens. C'est caractéristique de l'optique qu'a l'état sur internet.

Donc maintenant même les scanners d'iris ne peuvent plus être considérés comme sûrs. Je présume qu'ils trouveront également des hacks pour les scanners rétiniens. Entre ça et les empreintes digitales reproduites avec des nounours en gelée, la biométrie devient une farce.

Un rapport de plus... mais ces problèmes sont loin d'être nouveaux. J'en parlais déjà il y a 6 ans: http://sebsauvage.net/rhaa/index.php?2006/09/15/00/00/05-die-for-it
mais les premiers problèmes avaient été signalés avant ça.

Il semblerait que les BMW sans clé soient faciles à démarrer avec un petit hack...  c'est dans ces moments là que je n'aime *pas* le progrès.

Mais MERDE, quand est-ce que les gens vont comprendre que ce sont des EXPLOSIFS, et que c'est donc extrêmement dangereux ?
(J'ai manipulé des explosifs militaires.)
Vraiment des nazes. Rien dans le ciboulot.

Nous y voilà: Maintenant que les smartphones pullulent, ils deviennent une cible de choix pour les spammeurs: Il semblerait que de nombreux téléphones Android soient à la source de spam. L'infection vient probablement d'applications piratés, infectées et installées hors de Google Play (ce que tendrait à prouver l'origine des spams: principalement des pays en voie de développement).

mmm... pourquoi pas, mais j'ai de gros doute sur l'efficacité de ce genre de logiciel.
http://www.crystalaep.com/

AH. Alors après les compteurs-cafteur d'EDF (http://sebsauvage.net/links/?akxSSA), voici les compteurs-mouchard de Gaz-de-France ? Purée. Et sécurisés avec les pieds, comme d'habitude, je présume ?  :-(

où on reparle de tuto4pc/PCtuto/eoRezo... je vous laisse lire.

Bon... même les tokens hardware ne sont plus sûrs, maintenant. La cause ? La plupart des fabricants ne respectent pas les consignes crypto. Typiquement, la norme PKCS#11 peut être utilisé pour (dé)chiffrer des données ou protéger des clés, mais PAS les deux à la fois.  Le chiffrement des clés sert à les exporter du token (pour les centraliser, par exemple). Donc vous demandez au token d'exporter une clé (ce qu'il fait, sous forme chiffrée), puis vous lui demandez de déchiffrer les données... ce qu'il fait, vous donnant ainsi la clé en clair. Doh. C'est incroyablement bête, comme erreur. Devil is in the details. En crypto, on ne s'improvise pas spécialiste. Même RSA s'est fait avoir par cette erreur (et pourtant, ce ne sont pas des débutants.)

Explication détaillée: http://blog.cryptographyengineering.com/2012/06/bad-couple-of-years-for-cryptographic.html

Donc: Si votre société a des hardware tokens basés sur PKCS#11, il y a de fortes chances pour qu'ils soient vulnérables (et que donc un hacker ait un accès direct à votre VPN malgré le token). Chérie, ça va couper.

Trop fort: Les labs d'AVG sont en train d'étudier et décortiquer un cheval de troie... lorsque soudain le hacker qui a écrit le virus active le chat intégré et commence à discuter avec eux.  oO
(via BoingBoing)

Rappelons-le: Ce genre de faille EXISTE. Contrairement à ce que j'ai déjà pu entrendre, ce n'est *PAS* une légende. Je veux dire: Être infecté simplement en affichant une page web. Démonstration avec cette faille d'Internet Explorer (pas encore corrigée par Microsoft).

Putain de putain de putain... voilà que 01Net sort sa merde de "01net PC Optimizer" (optimiseurs bidons). Merde. Ce site est de plus en plus pourri.
Je suppose que c'est une merde du genre ça: http://sebsauvage.net/rhaa/index.php?2011/09/26/20/01/29-le-teton-du-flamby

Malekal, fais gaffe ! Il y a une faille dans VMWare qui permet aux logiciels de s'échapper des VM.   :-o
(PS: Ce n'est pas la première fois qu'une faille de ce genre est découverte chez VMWare)

EDIT: My bad. Ce n'est pas VMWare, mais d'autres vendeurs qui sont concernés: Xen, Microsoft, FreeBSD, RedHat...
VMWare dit que, justement, ses produits ne sont pas affectés par cette faille. (Merci à Christophe F. d'avoir pointé l'erreur)

Une des nouvelles fonctionnalité du prochain Firefox ? L'activation des plugins seulement à la demande, en cliquant dessus... comme ce que propose Opera. Encore.