CloudFlare a protégé les serveurs de LulzSec. Et - à leur corps défendant - n'ont livré aucune information aux autorités. Raison: Pas d'injonction en bonne et due forme. Ce qui veut dire qu'ils le *feront* tout de même si la juste les y oblige. Je note également cette phrase: «...and once forgot to use multiple proxies to hide the IP address before logging in, he said.»: Ce qui veut dire que 1) Ils sont attentifs sur qui accède aux pages d'admin des différents serveurs. Et ils ont les adresses IP des administrateurs de ces sites.  2) Ils ont techniquement accès aux mots de passe des serveurs (puisque l'admin a utilisé le formulaire de login et est donc passé par les serveurs cloudflare).

Le jour où CloudFlare recevra une injonction en bonne est due forme, donneront-ils les adresses IP des administrateurs de ces sites ? Et iront-ils jusqu'à donner les mots de passe des serveurs, puisqu'ils en ont la possibilité technique ?

OH MERDE. L'hébergeur de machines virtuelles Linode (très populaire) a été piraté, et les compte BitCoin de 8 utilisateur de Linode vidés. L'un de ces utilisateurs rapport pour 14000 dollars de BitCoin volés. Les pirates seraient partis avec un total de 70 000 dollars (http://www.theregister.co.uk/2012/03/02/linode_bitcoin_heist/).
Ceci dit, laisser ses clés BitCoin sur un serveur accessible publiquement, c'est un peu con.
C'est moche pour Linode qui est quand même un bon hébergeur.

Bon c'est super-#old, mais cette recherche google me fait toujours pisser de rire. (Message subliminal aux "Je n'ai pas besoin d'antivirus/antimalware" ;). Soyez sages, hein.

Visiblement la brèche de sécurité de Nortel (http://sebsauvage.net/links/?UpoNnA) qui a duré des années a été volontairement ignorée par le management de l'entreprise. Pire que ça: Il semblerait qu'aucune investigation spéciale n'ait été lancée sur la sécurité des produits vendus par Nortel. C'est irresponsable.

Oh ben c'est bien, ça. Merci Trend Micro. (via http://blog.m0le.net/)

Je me doutais un peu que c'était possible, c'est maintenant une réalité: Comme a l'époque du télégraphe (morse) où les opérateurs étaient capables de se reconnaitre rien qu'à la manière de taper le code, on peut identifier les auteurs à leur manière d'écrire (fréquence de certains mots, vocabulaire utilisé...).
Donc si vous publiez anonymement, pensez à changer votre style d'écriture: changez le rythme et découpage de vos phrases, utilisez des synonymes (http://www.synonymo.fr/), reformulez.

Je n'arrive pas à croire que HowToGeek propose encore des astuces aussi minables pour cacher un dossier. C'est pas comme si on avait pas d'outils fiables, sûrs et gratuits (TrueCrypt et autres).

Je suis de l'avis de Timo: Non seulement il est hors de question de confier tous mes mots de passe à un prestataire (ou un logiciel), mais cela va faire des utilisateurs encore plus cons.

OH MERDE. Le site cryptome a été piraté. (c'est un site similaire à Wikileaks, mais moins médiatique).

Quelques liens sur ce qu'a fait Microsoft en Tunisie. Ce qui est particulièrement intéressant, c'est le paragraphe 1.2 (page 3) du contrat entre Microsoft et le gouvernement Tunisien où on lit en toutes lettre l'installation du certificat du gouvernement dans Windows et IE.
http://www.fhimt.com/leaks/contrat-entre-microsoft-et-le-gouvernement-tunisien/

Copie d'écran de la page en question: http://sebsauvage.net/files/20120210_contrat_microsoft_tunisie.png

(cf. http://sebsauvage.net/rhaa/index.php?2011/09/05/09/28/51-anti-microsoftisme-du-jour-et-autres-joyeusetes
et http://www.sebsauvage.net/rhaa/index.php?2011/03/18/16/00/02-tiens-regardez-qui-s-est-invite )

L'épilogue de l'histoire de Mathieu Amiguet (cf.http://sebsauvage.net/rhaa/index.php?2011/12/22/08/13/58-l-effrayante-histoire-de-matthieu-amiguet)

NON MAIS JE RÊVE. A quoi paie-t-on les Certificate Authorities, si ce n'est pour s'assurer de l'authenticité des certificats ? Pas pour ce genre de merde, en tous cas: Une CA (Trustwave) admet a avoir généré un certificat permettant à une autre société de créer des certificats valides pour GMail, Hotmail et Skype afin de permettre l'interception des communications en interne dans une entreprise.
Vous avez bien lu: Une CA a vendu à une entreprise un certificat permettant l'interception de n'importe quelle communication SSL sans lever d'alerte.

Le monde des CA est corrompu et le principe même de CA nul et non avenu.  >:-(

VOILA pourquoi l'idée de Google de ne plus vérifier la révocation des certificats (http://sebsauvage.net/links/?ARbt4w) est vraiment une idée à la con: Cette CA a émis un certificat qui permet à une autre entreprise de créer des certificats valides pour n'importe quel site web. Ce certificat a depuis été révoqué.
Sans la vérif de révocation, Chrome continuerai à accepter tous les certificat frauduleux générés (même pour des sites comme google.com ou votre banque) sans lever d'alerte SSL.

C'est pas nouveau: J'ai vu ça il y a quelques années quand je bossais dans une banque. Un cheval de Troie connaissait les pages de login de 200 banques différentes. Même avec un token RSA (affichant un code valable une minute) ils pouvaient pirater votre compte: Le cheval de Troie envoyait en temps réel le code RSA à des serveurs en Russie qui pouvaient alors se loguer sur votre compte dans la même minutes pour effectuer des opérations. Adieu la sécurité de l'authentification double-facteur.
En prime, la saloperie modifiait à la volée les pages web des banques pour masquer les opérations illicites dans l'affichage des revelés de comptes.

Le CMS Joomla est une usine à failles de sécurité. Je le déconseille fortement. Et ça, c'est sans compter les plugins qui sont une source encore plus grande de problèmes.

ouille... mauvais enchaînement de versions.

Ahhh... pas con, le dropper de virus: Au lieu de demander à l'utilisateur l'autorisation de tourner en mode admin (ce qui semblerai louche), il lance l'installeur officiel de Flash (qui se présente comme une mise à jour Flash) et se place sous forme de DLL dans le même répertoire que l'installeur. Dès que l'utilisateur clic "Ok" dans l'UAC, l'installeur de Flash est alors exécuté avec les droits admin... et charge la DLL vérolée.

Exploits en masse de blogs WordPress. C'est con, mais c'est aussi l'intérêt d'utiliser un soft minoritaire comme BlogoText: On est hors de l'écosystème qui se fait infecter, et on est aussi une cible moins intéressante (il est moins intéressant de pirater BlogoText que de pirater WordPress).

Haha ! Excellent gag des machines à voter: Ce type a réussi à installer PacMan sur une machine à voter sans briser les sceaux qui garantissent que la machine n'a pas été bidouillée. A mort le vote électronique !

mmm... pourquoi pas. Une sorte de stratégie du "pot de miel" démultiplié.

Pouf pouf... on détecte des problèmes CloudFlare par-ci par-là:

http://twitter.com/#!/Mogmi95/status/162532561422254080
@Mogmi95: « http://dl.dropbox.com/u/552986/screenshots/cyanogenmod-cloudfare.png EPITA qui est détecté comme nocive par CloudFlare sur le site de #Cyanogen. SU-PER.»

http://twitter.com/#!/Fastolph/status/162484908839796737
@Fastolph: «Mais lol, @sebsauvage publie un article sur CloudFlare, et deux jours plus tard je me retrouve bloqué de tous les sites qui l'utilisent...»

Bon en soit c'est pas *grave* vu qu'on peut entrer une captcha pour continuer, mais bon... ça donne une idée des faux positifs.

DARPA (armée américaine) veut créer un système d'authentification ultra-sécurisé à la Big Brother qui va bien plus loin que la biométrie. Il rechercherait les schémas qui vous sont spécifiques dans votre façon de taper au clavier, vos mouvements d'yeux, votre utilisation de l'ordinateur, la sémantique et la structure de vos phrases tapées au clavier, votre manière de rechercher l'information, l'intonation de votre voix, votre rythme de parole, les mots utilisés... Une sorte d'analyseur comportemental. De la pure SF, sauf que ce n'est pas de la SF.

J'imagine que je jour où vous avez la tête dans cul, ça ne doit pas trop bien marcher. «Ah patron je peux pas bosser, l'ordinateur me refuse l'accès» :-D

Après les FAIL de Microsoft LiveID et le fail relatif d'OpenID, la fondation Mozilla se fend de son projet. Je ne suis pas optimiste.

Énorme. Ils sont énormes, chez TF1.

En même temps, faut être vraiment con pour démarrer un serveur ssh en laissant le mot de passe par défaut.