La méthode de Sam & Max pour se créer de bons mots de passe.

50 Go de données VISA/MasterCard dans la nature ? Et il paraît que des français sont concernés.
EDIT: Les données pourraient être anciennes: http://threatpost.com/en_us/blogs/old-information-center-recent-anon-styled-hack-061912

Un bon article sur les solutions clé-en-main qui prétendent protéger votre site web, que ce soit des frameworks, CloudFlare, mod_security...

Chapeau à CloudFlare pour la transparence avec laquelle ils ont communiqué sur leur piratage.

Oh non mais c'est pas vrai, HADOPI recommence ?  :-(

Attention !

Estimation du cout financier pour casser certains mots de passe (md5, bcrypt, scrypt, PBKDF2...). Intéressant.

Amusant. Mais il aurait pu se faire virer pour ça.
Nous on jouait bien aussi avec les stations X non sécurisées: mélanger les touches du clavier du voisin, mettre sa souris en accélération 99 (donc le curseur est soit à gauche, soit à droite de l'écran) et autre plaisanteries.

C'est moi ou bien c'est complètement stupide comme idée, l'authentification avec la voix ? La voix, vous en distribuez en permanence autour de vous, et c'est facile à enregistrer. Quand à épeler son mot de passe à voix haute pour se loguer, je n'ai pas besoin de vous dire à quel point c'est idiot.
Bref, encore une formidable F.B.I. (Fausse Bonne Idée).

Je trouve le principe pas bête: Cette extension Firefox (portée aussi sous Opera et Chrome) génère un mot de passe pour chaque site en hashant votre mot de passe personnel avec le nom de domaine du site. Ainsi vous tapez toujours le même mot de passe, mais sur chaque site vous avez un mot de passe unique pour chaque site, long et difficile à deviner.
Autre avantage: En cas de phishing, l'extension calculera un mot de passe totalement différent (puisque le domaine ne sera pas le même), empêchant ainsi les arnaqueurs de piquer votre mot de passe.
Dans le même genre: http://supergenpass.com/
(voir aussi: http://news.ycombinator.com/item?id=4077208 )

Je me garde cette page de HackNews pour les commentaires: Certains suggèrent des alternatives à PBKDF2/bcrypt pour dériver un mot de passe (comme scrypt qui a l'air intéressant... justement parce qu'il est couteux pas seulement en CPU mais aussi en mémoire et qu'il semble difficile à paralléliser... mais alors à coupler obligatoirement à du rate-limiting, sinon c'est la porte ouverte au DDOS)
http://www.tarsnap.com/scrypt.html

HAHAHA ! Trop bon: Visiblement les chevaux de troie gouvernentaux utilisent la librairie de compression LZO qui est GPL. Quelqu'un a donc exigé auprès du gouvernement US l'ouverture du code source de Stuxnet et Flame.   Excellent :-D
Voyons si le gouvernement va mettre autant d'énergie à défendre ce droit d'auteur qu'il l'a fait pour PIPA/SOPA/ACTA. Non je plaisante, bien sûr que non.

Bizarre: Google vous préviendra si un "état" essaie d'accéder frauduleusement à votre compte. En soit je trouve cette initiative très bien, mais ça reste très nébuleux: Google ne veut pas expliquer ses méthodes de détection.

Le cheval de Troie Flame fait la une des sites de sécurité informatique... pourtant il semble que ses caractéristiques ne soient pas exceptionnelles. Un coup de buzz pour faire mousser certains éditeurs d'antivirus ?
Voir aussi: http://owni.fr/2012/06/04/le-marketing-declare-sa-flame/

Et hop... encore un vrai malware signé par Microsoft (à son insu).  :-(

Arg. Un hacker a réussit à bypasser la protection à 2 facteurs de Google pour accéder au compte mail d'un admin de CloudFlare et, de là, changer le mot de passe d'un compte CloudFlare afin de changer les DNS d'un client particulier.
Visiblement la protection à deux facteurs de Google a des failles.

Chroniques de la cyber-guerre: ALORS VOILA, ON Y EST. On a enfin la confirmation que le cheval de Troie Stuxnet a été créé par un gouvernement (Israël, avec l'aide des USA) pour en attaquer un autre (Iran).
Je vous recommande cette présentation: http://www.ted.com/talks/lang/fr/ralph_langner_cracking_stuxnet_a_21st_century_cyberweapon.html
qui montre comment le cheval de Troie a été très spécifiquement conçu pour attaquer les centrifugeuses iraniennes.

Chez NakedSecurity: http://nakedsecurity.sophos.com/2012/06/01/stuxnet-usa-israel-iran-virus/

Oh cool, une application Messenger pour Android envoie en clair votre login et mot de passe.  (via Le Hollandais Volant).

Le vote électronique français est encore pire que je pensais  X-|

Vous aussi vous pouvez prévenir les visiteurs de votre site d'une possible infection.

Pour voter par internet, le ministère de l'intérieur français préconise d'utiliser une ancienne version de Java et de désactiver éventuellement l'antivirus.   £$*@§&%!  WHAT - THE - FUCK ?  On est bien en 2012, là ?
Le vote électronique est déjà une connerie, mais là le ministère ajoute une connerie à une connerie (en plus d'utiliser les services d'une entreprise privée espagnole pour gérer un vote démocratique français.)

Ils ne recommandent pas IE 6, aussi ?

Google remet ça. C'est une bonne chose: Ils préviennent les internautes dont l'adresse IP semble infectée par le malware DNSChanger.
(Ils l'avaient déjà fait: http://googleblog.blogspot.fr/2011/07/using-data-to-protect-people-from.html
et je le fais sur mon site avec Project Honeypot: http://sebsauvage.net/rhaa/index.php?2011/08/01/07/13/04-retour-sur-project-honeypot )

Il faudrait que je vois s'il y a des API autres que Project Honeypot (comme ipvoid.com) pour prévenir l'internaute qu'il est probablement infecté.

Voilà ce qu'il faudrait que je fasse: Une lib js/php qui peut prévenir les internautes qu'ils sont probablement infectés en interrogeant divers sites de réputation d'IP (Project Honeypot, WOT, hpHosts, MalwareDomains, etc.) par affichage d'une popup par dessus la page (qu'on peut fermer).
Genre: "Your IP address seems to perform suspicious activities. You computer may be infected. Click here to learn more."
et ça enverrait sur une page qui explique, avec en prime les liens vers chaque page de réputation (PH, WOT, etc.)

Pour protéger une page, un simple include suffirait. ça ne devrait jamais ralentir la page (genre: déclencher le js 2 ou 3 secondes après la fin de chargement de la page, et aller questionner des API en ajax.)

Un peu comme: http://sebsauvage.net/wiki/doku.php?id=project_honeypot
mais sans le blocage.

EDIT: Je me liste deux ou trois bricoles ici pour mémoire:

• chez hpHosts: API simple (requête HTTP, réponse texte brut) sans clé d'API : http://hosts-file.net/?s=Help#developers
Exemple: http://verify.hosts-file.net/?v=monapplication&s=89.187.53.245 (renvoie "Listed" ou "Not Listed")

• chez WOT: http://www.mywot.com/wiki/API
API public (HTTP, réponse XML ou json) sans clé d'API.
Exemple: http://api.mywot.com/0.4/public_query2?target=109.230.245.232
ou http://api.mywot.com/0.4/public_link_json?hosts=109.230.245.232/ en json

• chez ProjectHoneypot: réutiliser ma lib: http://sebsauvage.net/wiki/doku.php?id=project_honeypot
(requête DNS, nécessite une clé d'API (gratuite))

• chez Clean-mx.de: API publique (requête HTTP, réponse XML). Sans clé d'API.
Exemple:
(web) : http://support.clean-mx.de/clean-mx/viruses.php?ip=109.163.231.194
(xml) : http://support.clean-mx.de/clean-mx/xmlviruses.php?ip=109.163.231.194

Pas de panique, ils sont quand même efficaces (voir mon commentaire, que je recopie ici):

« Si vous suivez un peu le site de Malekal, vous verrez que c'est même pire que ça: Il arrive à trouver des malwares totalement inconnus de VirusTotal, ou alors avec un score de 1 ou 2 seulement.

Aucun antivirus n'est efficace à 100%, on le sait, mais ils conservent tout de même une excellente efficacité (supérieure à 90%). Au risque de prendre encore une comparaison automobilistique: La ceinture de sécurité ne vous garantie pas que vous n'aurez jamais d'accident et que vous ne mourrez jamais au volant, mais elle sauve malgré tout un nombre incroyable de vies.

Il en est de même pour l'antivirus. Il serait idiot de s'en passer.

Concernant ce cas précis où le malware n’a pas été vu par certains ténors du marché (Avast, Kaspersky, NOD32…), c’est bien pour cela que je recommande un scan à la demande, de temps en temps, avec un autre antivirus que votre antivirus habituel.
Cela permet d'attraper les rares malwares qui seraient passés au travers du filet.
http://sebsauvage.net/safehex#r048

Typiquement, si vous avez Avast, passez une fois par semaine un autre antivirus gratuit (scan à la demande): Malwarebytes, DrWeb, TrendMicro, F-Secure…

PS: Malwarebytes est considéré par Malekal comme l’un des meilleurs antimalwares/antivirus existants. Je lui fais confiance.»

Ah génial... des malware sur DeviantArt maintenant. Tout est bon pour exploiter la crédulité des internautes.

Ce que j'ai remarqué aussi, ce sont des innombrables vidéos YouTube qui proposent des cheats, des mods ou carrément des versions pirates pour divers jeux (FPS, Minecraft...). Systématiquement, les fichiers téléchargés sont infectés. En fait, dès que vous voyez un fichier proposé en téléchargement dans le descriptif d'une vidéo YouTube, passez votre chemin.

Exemple:
Un soit-disant cheat pour COD4 : http://www.youtube.com/watch?v=G1Lq98Sjba8
Le fichier proposé en téléchargement donne ceci dans VirusTotal: https://www.virustotal.com/file/43fec747df7c49cf0c285bccf2e036a3514110e18134c81ef165605963b10d5d/analysis/1337597790/

Un outils pour bruteforcer les conteneurs TrueCrypt. A noter que 30 secondes pour tester 10000 mots de passe, ça fait environ 333 mots de passe testés par seconde. C'est extrêmement long (Les crackeurs comme John The Ripper, pour les hash Windows, en testent plusieurs MILLIONS par seconde). Cela me conforte dans l'idée que les concepteurs de TrueCrypt ont vraiment bien pensé leur système.
http://code.google.com/p/truecrack/

Notez que l'année dernière, le FBI a passé un an sur un conteneur TrueCrypt et s'y est cassé les dents.