Une petite astuce avec Netfilter pour mitiger les attaques DoS.

Encore des failles dans Flash permettant l'exécution arbitraire de code (Traduisez: infection de l'ordinateur rien qu'en affichant une page web).
Mise à jour indispensable !
Mise à jour rapide et simple pour Windows: http://ninite.com/flash-flashie/

Oh merde... l'informatique de Nortel piratée depuis 10 ans, et personne ne s'en était rendu compte.

Voilà qui est intéressant: Il semblerait que des programmes non malveillants (mais ayant rapport avec les clés de license de logiciels) soient marqués "malveillants" par les antivirus commerciaux... alors même qu'ils ne font aucune écriture.
Marquer les keygen et logciciels de récupération de clés comme malveillants pour réduire le piratage ? Ce blogueur semble penser que oui.
(via http://thecriclinks.blogspot.com/)

Attention: Mises à jour de sécurité assez importantes pour Apache, php et MacOSX.

Non mais là ça devient dingue. Les sources du malware Zeus avaient fuit sur internet, ce qui a donné la naissance à un autre malware, Citadel. Mais encore plus fort: Les malfrats ont créé une communauté et la conduisent comme un projet opensource, où les intervenants suggèrent des améliorations ou contribuent au code source. oO

123456 ? Oh les cons !...

Ouille... ça va faire mal pour Symantec.

Dans leur course à la vitesse pour Chrome, Google prend la décision de ne plus vérifier si un certificat a été révoqué. C'est idiot: Si une autorité est piratée (ce qui semble assez courant ces derniers temps), le navigateur ne supprimera plus les certificats frauduleux. ça me semble une fausse bonne idée.
EDIT: En fait, Google pense surveiller et désactiver lui-même les certificats frauduleux, à travers le système de mise à jour automatisé de Chrome.

Moteur de recherche exposant les appareils mal protégés (via Korben). Voir aussi: http://console-cowboys.blogspot.com/2012/01/trendnet-cameras-i-always-feel-like.html

Haha... trop fort: Les Anonymous ont eu accès à une conférence entre le FBI des les forces de l'ordre de plusieurs pays concernant les Anonymous.
Pour une fois que ce n'est pas l'inverse.

Quand l'armée américaine fait un appel d'offre pour espionner les européens (via http://cryptome.org/)

mmm... ok bon les enfants cliquent et infectent les machines... mais pourquoi elles ne demandent pas de mot de passe pour installer des trucs, leurs machines ?
(oui je sais, je radote: http://sebsauvage.net/rhaa/index.php?2012/01/18/15/21/45-cliquez-pour-vous-faire-infecter)

EDIT: Article sur mon blog: http://sebsauvage.net/rhaa/index.php?2012/01/30/14/43/22-une-nouvelle-astuces-des-logiciels-malveillants-pour-eviter-la-detection

Pour continuer dans la lignée de ça: http://sebsauvage.net/links/?q7keaA
Voici F-Secure qui analyse un malware Android.
En principe, quand vous avez une application Android, vous pouvez examiner la totalité du code machine Dalvik pour y rechercher des appels (par exemple) à l'envoi de SMS, ce qui marque une application malveillante.

Mais là l'auteur a planqué des données dans l'entête du fichier PNG utilisé comme icône de l'application. Ces données sont combinées (par XOR) à des chaînes de caractères dans le code pour donner un code capable d'envoyer des SMS.

C'est fûté: Même si le programme est scanné à l'installation par des antivirus, ils ne verront pas le code machine qui envoie les SMS.

Si vous avez pcAnywhere installé... coupez-le tout de suite. Danger.

L'auteur d'un botnet travaille pour un éditeur d'antivirus/firewall. Des noms ! Des noms !
EDIT: C'est la société Agnitum, l'éditeur de "Outpost Firewall" (cf. http://nakedsecurity.sophos.com/2012/01/24/microsoft-kelihos-botnet-suspect/)

LOL

Je partage tout à fait ses inquiétudes concernant CloudFlare.
Voir aussi: http://sebsauvage.net/links/?qfjHUA

Arg  X-.  
La faille qui fait mal.
(merci à Nono @ m0le'o'blog pour le lien)
EDIT: Le fix: http://korben.info/bypass-gnome-screensaver-lock-xorg.html

EDIT: Article sur mon blog: http://sebsauvage.net/rhaa/index.php?2012/01/18/15/21/45-cliquez-pour-vous-faire-infecter
Hum ?
Lâchez un enfant sur un ordinateur:
Windows: Voulez-vous installer un malware ?  Clic sur oui ----> clic sur OK dans l'UAC---> malware installé.
Linux: Voulez-vous installer un malware ? Clic sur oui ----> Entrez le mot de passe root...   X  malware bloqué.

Mais ça ne nous empêchera pas d'entendre encore que c'est nul d'avoir à entrer son mot de passe sous nunux pour faire des modifs système...  mais ouais, c'est sûr, c'est trop chiant.

ça c'est pas mal du tout pour éviter de se faire piquer son mot de passe par un keylogger à la con.
EDIT: L'utilisation de QRCode pour la sécurité n'est pas nouvelle: voir ceci : http://sebsauvage.net/links/?litCoA

Il ne serait pas difficile d'imaginer un couple lib php+appli Android pour faire la même chose (ah si j'avais assez de temps): La lib php affiche un challenge sous forme d'un QRCode (daté pour empêcher le rejeu). L'appli Android lit le QRCode et génère la réponse (un HMac du challenge), qu'on peut envoyer par une requête HTTP ou sous forme d'un code à retaper (si le téléphone n'a pas de connexion 3G/GPRS/WiFi à portée).
Cela permettrait d'ajouter cette authentification facilement à vos appli.
La lib php et le téléphone auraient juste à partager un secret (par exemple un très long mot de passe pour signer par HMAC).

Cette authent pourrait s'ajouter au mot de passe (authent double facteur), ou alors remplacer (uniquement authent: "ce que je possède", ce qui peut être un choix risqué).

Vous connaissez les 3 facteurs d'authentification ?
- ce que je sais (mot de passe...)
- ce que je possède (token RSA, badge à puce...)
- ce que je suis (biométrie)

oh... Après SELinux (Linux sécurisé), voici SEAndroid. Cool. SELinux (venant aussi de la NSA) a déjà été largement passé en revue, et c'est du logiciel clair et fiable.
Je pense que SEAndroid sera bon également (ce ne sont pas des débutants) et sans backdoor (à vérifier bien sûr, mais là, curieusement, je ne ressens pas le besoin du chapeau en papier d'alu. Ça devrait être net comme SELinux.)
(via Le Hollandais Volant)

Pouah... exemple de malvertising (Site sans malware, mais affichant des publicités qu'il ne contrôle pas et qui contiennent un exploit permettant l'infection de l'ordinateur).
Là on voit très clairement le risque quand on inclue dans ses pages un contenu qu'on ne contrôle pas.

Purée des fois chez cryptome ils me font peur.
«I personally believe that the FBI, or at least certain officials within the administration at that time, willingly advocated the relaxation of encryption export regulations only due to their discovery of critical vulnerabilities and weaknesses in the RSA encryption algorithm [...] Most of these standards are now literally set in stone insofar as embedded systems are concerned, and the vast majority of OpenBSD / OCF installations are embedded-based without an upgrade path [...] Literally millions (and potentially hundreds of millions) of OpenBSD installations are out there in the embedded space such as routers, firewalls, VPN devices etc,»

Je résume en français: Le FBI connaît des vulnérabilités d'OpenBSD et de RSA (aujourd'hui comblées), mais a laissé des tas d'entreprises utiliser ces implémentations à la sécurité affaiblie, qu'on retrouve maintenant partout (OS, routeurs, VPN, RFID..), avec peu de chances de mise à jour (puisque embarqué). Le FBI (et d'autres agences) auraient donc la connaissance suffisante pour pénétrer ou bypasser un tas de système utilisant ces anciennes implémentations (qui sont encore très répandues).

Bon je vais mettre mon chapeau en papier d'alu, hein.

(Pour ceux qui ne connaissent pas cryptome, c'est une organisation dans le genre de wikileaks, mais qui est beaucoup plus discrète.)

Ben il ne fait pas bon plaisanter, chez les compagnies aériennes. Et si on joue à BomberMan pendant le vol, on se fait arrêter aussi ?