Ha làlà... une faille XSS sur le tout nouveau portail du gouvernement :-/

L'idée de Google pour fiabiliser un peu les certificats n'est pas bête. En gros, chaque CA a un log public des certificats émis. Tout le monde peut le consulter. Si un certificat frauduleux est émis et n'apparaît pas dans ce log, les navigateurs le rejetteront. Mais si le certificat frauduleux apparaît dans ce log public, le propriétaire du domaine pourra le voir.
Disons que au mieux ça rejette immédiatement le certificat frauduleux, au pire ça lève très rapidement une alerte au niveau du propriétaire du domaine (ce qui est toujours mieux que de découvrir des certificats frauduleux des mois après), mais cela obligerait les CA à beaucoup de transparence, ce qu'ils ne vont (à mon avis) pas apprécier du tout. Et leurs clients non plus: Imaginez Google ou Apple préparant un grand projet secret: S'il font signer un certificat pour leur nouveau domaine, ça sera immédiatement public, révélant ainsi leurs projets. Donc l'idée est bonne, mais il y a peu de chances que les CA l'adoptent.

Et leur sysrtème ne marcherait que si TOUS les CA acceptent le système, sinon les CA n'adhérant pas à ce système pourraient continuer à émettre des certificats frauduleux: Le propriétaire du domaine n'ayant pas accès au log de cette CA ne pourrait donc pas voir ce certificat frauduleux émis sur son domaine.

Bref... ce système serait un mieux, mais pas la panacée.

Mais à part, dit Google, il n'y a pas de problème de malware sous Android.

On ne le dira jamais assez: Évitez les logiciels piratés et les cracks (Utilisez des logiciels libres !)

Un petit sniffeur HTTP pour Windows. Toujours de bons petits freewares, chez Nirsoft.

Je trouve le titre très parlant. Et quand on voit les statistiques de crime qui baissent, on peut se demander à quoi aspirent nos politiques.

Si vous ne connaissez pas encore ce site, mettez-le dans vos bookmarks. En particulier ses "Brèves", une véritable mine d'or d'outils, de liens, de news et d'informations sur la sécurité informatique et autres.

Le "Secure boot" de Windows 8 déjà contourné.

Oh ça pue: Une faille inconnue semble permettre de planter les serveurs DNS sous Bind9 (l'un des softs de DNS les plus courants). Ça pourrait très joliment perturber internet.  :-(

Oups... la gaffe. On ne le dira jamais assez: FAITES DES BACKUPS.

Youhou ! Un malware signé avec le certificat d'un *gouvernement* !

Attention si vous avez un compte Steam: Il  est possible que vos numéros de cartes de crédit soient dans la nature, ainsi que vos mots de passe. Pour les mots de passe, allez les changer. Pour la carte de crédit, il vous suffit de surveiller vos relevés de compte: Si une opération anormale est réalisée, il suffit de la contester auprès de votre banque qui vous re-créditera (oui c'est aussi simple que cela).

"Mais j'ai pas besoin d'antivirus, je ne télécharge rien." Mais bien sûr. Affichez une page web avec Flash, vous êtes immédiatement infecté.
Pour mettre à jour facilement Flash et Shockwave: http://ninite.com/flash-flashie-shockwave/

Orange, toujours à la pointe de la sécurité.
(Marrant, je fais un article avec une pomme pourrie, Reflets fait un article avec une orange pourrie.)

La recherche Google qui fait peur.

Grosse faille de sécurité dans les iPhones: on peut bypasser totalement la signature de code d'Apple et faire exécuter n'importe quoi à iOs.
Mais pire: Apple lui retire son status de développeur: http://gizmodo.com/5857289/apple-kicks-developer-that-found-security-flaw-out-of-ios-dev-program
Je le disais, connards Apple.
Qu'envoie Apple comme message avec cette action ? C'est simple: Ne signalez pas vos failles à Apple, mais publiez-les anonymement pour ne pas avoir d'ennuis. Ou alors vendez-les au marché noir, ce qui peut rapporter gros.

Encore une dangereuse arme de terroriste: La boule à neige.

Comment UNE SEULE LIGNE dans 70 Mo de code source peut mettre à zéro la sécurité d'un système entier: Le code d'openssh d'Erlang utilisait un "mauvais" générateurs de nombres pseudo-aléatoires, permettant de deviner les séquences... et donc de se connecter à distance sur le serveur.
(voir aussi : http://sebsauvage.net/rhaa/index.php?2011/08/25/07/32/33-le-hasard-est-une-chose-difficile-pour-un-ordinateur )

Il a l'air cool, ce scanner de site web (pour trouver des choses inhabituelles, des vulnérabilités, la liste des softs/serveurs/frameworks/librairies installées, etc.)

C'est clair que laisser un forum non-modéré, c'est pas possible. Sur CCM on a vu passer tellement de choses en 10 ans...  hallucinant.

Et hop... une autre autorité de certification éjectée de d'IE, Chrome et Firefox.

Meh ? Hein ? Quoi ? On peut sniffer les frappes clavier des autres utilisateurs grâce au serveur X, même sans être root ? Purée, X est vraiment une passoire.

C'est vraiment super la sécurité chez Facebook.

Encore un rapport qui montre que les radars de feux augmentent les accidents :-/

Bravo EDF.