Le danger des mises à jour non-signées cryptographiquement: Les imprimantes HP d'avant 2009 acceptent n'importe quelle mise à jour, ce qui permet de faire faire n'importe quoi à l'imprimante. Dans la démo du hacker, l'imprimante a scanné le réseau local à la recherche de PC vulnérables, les a infectés et les a utilisé comme proxy pour accéder à internet.

Le logiciel de p2p opensource Shareaza a eu le même problème: Le domaine shareaza.com (NE PAS VISITER !) avait été récupéré par des avocats à la solde des industriels de la culture, et ils avaient installé une mise à jour envoyant une version salement bidouillée. Mais comme Shareaza ne vérifie pas la signature des mises à jour, tous les utilisateurs s'étaient retrouvés avec cette version vérolée.

C'est d'ailleurs pour cela que les antivirus vérifient la signature crypto des signatures avant de les installer.

oui c'est ce que j'avais lu ailleurs: Une énorme quantité de Chinois surfent encore avec IE6. Et 25% des internautes chinois, ça représente une *putain* de quantité d'internautes. Doh.

boua pfou.... ça pue ce genre de négligence.

(référence à ça: http://sebsauvage.net/links/?-A9eag)
Tiens en passant, ça serait bien que Free se bouge de cul et passe de php 5.1 RC (PUTAIN, UNE RELEASE CANDIDATE !) à la 5.4 (qui corrige cette faille), elle qui se plaint déjà que ses serveurs pages perso sont surchargés. Voyons: D'après leur présentation, une requête HTTP POST de 500 ko sur une page php peut écrouler le serveur pendant 1 minute. Autrement dit, on peut écrouler un serveur web 24h/24 avec seulement 1440 requêtes HTTP par jour. Même ma connexion ADSL avec son flux montant merdique de 90 ko/sec. peut assurer ça sans problème (il faut seulement 6 secondes pour envoyer 500 ko.)

Allo, Free ? Vous pourriez mettre à jour php sur vos serveurs ?

EDIT: billet sur mon blog: http://sebsauvage.net/rhaa/index.php?2012/01/02/16/09/28-un-malware-defensif-

Malware "DÉFENSIF" ? Donc malware tout court. Quand tout le monde sera assez con pour installer ça partout, le jour où le bug d'un programme enverra des paquets par erreur à une adresse IP, ça sera l'holocauste numérique immédiat. C'est complètement débile. Sur un réseau local isolé, je veux bien que les admins fassent ce qu'ils veulent (IDS couplé à différents logiciels), mais sur internet il ne faut pas déconner.
Les cracks boursiers et les livres à 23 millions de dollars sur Amazon ne leur ont rien appris ?
http://sebsauvage.net/rhaa/index.php?2011/05/23/14/18/35-le-livre-a-23-millions-de-dollars
http://sebsauvage.net/rhaa/index.php?2011/07/18/14/59/41-les-dangers-des-systemes-automatises-de-traitement-de-l-information

EDIT: Ce genre de malware peut aussi être utilisé comme une arme pour attaquer un autre serveur. Exemple: L'entreprise A veut attaquer l'entreprise C. Elle sait que B a un malware défensif: Elle balance des paquets forgés dont l'adresse source est celle de C: En retour, le malware défensif de B attaque C. Gagné. Doh.

Xsser, un outils pour rechercher des failles XSS sur votre site. Intéressant.
http://xsser.sourceforge.net/

ouhh... c'est pas con, comme attaque. La plupart des framework web recensent les champs des formulaires retournés au serveur dans des tableaux associatifs (hashtables). En cas de collision (hash identiques), il procède alors à une comparaison complète de la chaîne pour voir si c'est vraiment la même.
En inondant le framework côté serveur de champs de formulaire ayant tous le même hash, on lui fait consommer du CPU. BEAUCOUP de CPU. Je suis même assez surpris.
Poster 2 Mo de formulaire peut forcer le serveur à effectuer 40 milliards de comparaisons de chaînes. Oh merde  oO

Faites gaffe.

Le conseil de Mykko Hypponen : Si vous n'avez pas *absolument* besoin de java dans votre navigateur, virez-le !
Le fait est qu'il est assez peu utile, sauf par exemple pour les sites d'émulation ou quelques outils spécifiques.
Pour désactiver Java dans Firefox, allez dans le menu Outils > Modules complémentaires > Plugins > et sur "Module d'applet Java" cliquez sur le bouton "Désactiver". C'est tout !

Crasher Windows 7 64 bits sous forme d'écran bleu simplement avec une balise HTML ? Doh.

Pleins d'outils de sécurité, principalement pour récupérer votre mot de passe chiffré stocké dans divers logiciels (via idleman.fr).

EDIT: article sur mon blog: http://sebsauvage.net/rhaa/index.php?2011/12/19/11/57/18-tor-est-casse-vraiment

ça sent un peu le pâté, le prétendu "hack" de TOR par Eric Filiol. Je ne dis pas qu'il a n'a pas trouvé de faiblesses dans TOR, mais de là à dire qu'il est cassé, je doute fortement.

Il suppose que AES est toléré car les gouvernement savent le casser (Je cite: «Peut-on imaginer un seul instant que les États autoriseraient des technologies pareilles s’ils ne les contrôlaient pas d’une manière ou d’une autre ? ») Je dis: Bullshit. Les gouvernement ne contrôlent pas OpenPGP, gnupg ou TrueCrypt et n'ont aucun moyen de les casser facilement. Mais ils ne sont pas interdit.

« un système de chiffrement comme l’AES serait une violation directe des lois concernant le contrôle de l’export et de l’arrangement Wassenaar s’il n’existait pas un moyen de le contrôler. Cela les gens ne le savent pas.»  Il a trop regardé "Complots" et "Die hard 4".
En plus, il n'a rien compris à l'arrangement de Wassenaar: Cet arrrangement interdit l'exportation des techniques de crypto fortes vers les états "ennemis". En aucun cas il n'interdit l'utilisation de crypto forte dans les pays ayant signé cet arrangement.
Et les gens LE SAVENT. Il n'y a pas d'arrangement secret, de complot interdisant ces technos. C'est de la mise en scène.

«Seule la stéganographie est vraiment incontrôlable»  
Ah bon ? Il peut m'expliquer comment le gouvernement contrôle la version de TrueCrypt et GnuPG que j'utilise ? Bullshit.

«Pour ma part, je conseillerais plutôt de protéger des messages avec des technologies comme Perseus »
Comme par hasard, la techno qu'il conseille est celle développée dans son école supérieure. Quel hasard.

« Je préconiserais également de communiquer en 3G, ce que font certaines personnes en ce moment en Syrie.»
C'est sûr, la 3G c'est plus sûr. Il n'y a presque pas de contrôle sur la 3G. Juste des opérateurs GSM qui font du DPI à mort et du trafic-shaping. Et puis c'est pas comme si les GSM n'étaient pas de petits cafteurs et donnaient à tout moment leur numéro d'identification unique IMEI à toutes les bornes GSM aux alentours. C'est bien mieux pour l'anonymat. Les barons de la drogue qui se sont faits arrêter grâce au signal de leur GSM peuvent en témoigner.

«Mais la principale faiblesse [de TOR] est conceptuelle : utiliser de la cryptographie.»
Hein ?

«Quand vous chiffrez, vous envoyez du bruit. Cela se repère facilement. TOR est en quelque sorte un pot de miel de tous ceux qui ont quelque chose à cacher, à tort ou à raison.»
Vieux arguments. Au contraire, il FAUT tout chiffrer, justement pour noyer le poisson. Moins vous utilisez de crypto, plus elle est évidente quand elle est utilisée. De plus, utiliser de la crypto ne signifie par qu'il y a crime.

«Et de ce point de vue, seule la stéganographie (en partie Perseus aussi) est capable de le faire.»
Est-ce qu'il a seulement conscience que la bande passante permise par la stégano ne permet pas de surfer correctement ?
Est-ce qu'il a conscience que la stégano sans la crypto, ça ne vaut absolument rien ? Même si vous mélangez votre message dans des communications plus larges, si votre message est en clair, vous êtes foutu.

«À ce jour, « aucun universitaire pointu » n’est capable de prouver la sécurité de RSA ou de l’AES»
Oups... oulà. Non non non. Le domaine de la crypto ne marche pas comme ça. Personne n'a à prouver que ces algos sont "forts". Au contraire, tant que personne n'a prouvé qu'ils sont faibles, ils sont parfaitement viables. A moins qu'il pense prouver qu'il peut résoudre un problème mathématique majeur (factorisation de grands nombres).

«RSA ou de l’AES,deux « productions « typiquement universitaires,»
Pardon ? L'algo RSA est à la base d'une grosse entreprise qui fait un fric monstre avec. Quant à AES, ça a été validé par des corps de standardisation industriels et gouvernementaux. Typiquement universitaire ? Il a une seule idée du nombre d'applications commerciales, techniques et industrielles sur la planète qui utilisent RSA et AES ? Ce ne sont pas juste des joujoux d'universitaires.

«Une belle vision de bisounours concernant un domaine dans lequel on sait que les choses pertinentes et efficaces sont très rarement publiées, intérêt stratégique oblige.»
...ou commenter pisser à la raie de tous les spécialistes en crypto du monde. Message: Votre travail, vos publications, c'est de la merde.

«Maintenant, pour un autre darknet, ...  »
Tiens je croyais que tu venais de dire que les "darknet", c'était nul ?

«...je pense que notre projet à base de stéganographie, avec l’université de Cambridge devrait être aussi une solution intéressante»
ça y est, t'as fini de faire la promo de ton projet ?


C'est assez incroyable d'entendre quelqu'un censé avoir de grandes connaissances en crypto sortir des trucs pareils.

Mon avis ? Son attaque contre TOR est sans doute réelle, mais à mon avis loin d'avoir les impacts qu'il annonce. Le gars est surtout là pour faire du buzz sur lui et son projet en attaquant TOR.

Haha ! Trop cool, Facebook: Critiquez la sécurité de Facebook et vous pouvez vous retrouver banni.

Youpi ! Microsoft va forcer le passage d'IE 6/7 vers 8/9. Entièrement de manière automatique via WindowsUpdate. Y'en a qui vont râler, mais au moins on va se débarasser de ces bouses. (Et encore, si vous saviez combien je peste contre le support lamentable des sélecteurs CSS dans IE9).
Il paraît que les chinois naviguent en majorité avec IE6. Et une "majorité de chinois", c'est absolument énorme. Espérons que dans le même temps ça éliminer une partie des failles de sécurité.
(via share.aldarone.fr)

David me signale un rapport d'eSet (éditeur d'antivirus) qui constate une importante augmentation des malwares destinés spécifiquement à MacOSX en 2011. Apple démocratise ses produits et devient donc une cible de choix.

eeetttttt merde, encore une autorité de certification piratée.

«...pourrait faciliter le travail des enquêteurs lorsqu'ils cherchent à croiser les hashs des mots de passe sur différents services en ligne»
??? MAIS ENFIN ! N'importe quel développeur sérieux ajoute un salt, ce qui rend les hash non-portables, justement.
Ou alors la sécurité passe par dessus la tête de la plupart des développeurs ? Je vote pour la seconde options.

Meh... encore une faille Facebook.  Allez, tous à poil sur Facebook !

Tiens c'est vrai ça: on fait du HTTP chiffré, du SMTP/POP3 chiffré, du chat chiffré... mais nos requêtes DNS restent en clair. OpenDNS a mis au point son propre protocole DNSCrypt, qui permet de chiffrer vos requêtes DNS entre vous et OpenDNS. C'est un problème auquel DNSSEC ne s'intéresse pas.

Ha làlà... une faille XSS sur le tout nouveau portail du gouvernement :-/

L'idée de Google pour fiabiliser un peu les certificats n'est pas bête. En gros, chaque CA a un log public des certificats émis. Tout le monde peut le consulter. Si un certificat frauduleux est émis et n'apparaît pas dans ce log, les navigateurs le rejetteront. Mais si le certificat frauduleux apparaît dans ce log public, le propriétaire du domaine pourra le voir.
Disons que au mieux ça rejette immédiatement le certificat frauduleux, au pire ça lève très rapidement une alerte au niveau du propriétaire du domaine (ce qui est toujours mieux que de découvrir des certificats frauduleux des mois après), mais cela obligerait les CA à beaucoup de transparence, ce qu'ils ne vont (à mon avis) pas apprécier du tout. Et leurs clients non plus: Imaginez Google ou Apple préparant un grand projet secret: S'il font signer un certificat pour leur nouveau domaine, ça sera immédiatement public, révélant ainsi leurs projets. Donc l'idée est bonne, mais il y a peu de chances que les CA l'adoptent.

Et leur sysrtème ne marcherait que si TOUS les CA acceptent le système, sinon les CA n'adhérant pas à ce système pourraient continuer à émettre des certificats frauduleux: Le propriétaire du domaine n'ayant pas accès au log de cette CA ne pourrait donc pas voir ce certificat frauduleux émis sur son domaine.

Bref... ce système serait un mieux, mais pas la panacée.

Mais à part, dit Google, il n'y a pas de problème de malware sous Android.

On ne le dira jamais assez: Évitez les logiciels piratés et les cracks (Utilisez des logiciels libres !)

Un petit sniffeur HTTP pour Windows. Toujours de bons petits freewares, chez Nirsoft.

Je trouve le titre très parlant. Et quand on voit les statistiques de crime qui baissent, on peut se demander à quoi aspirent nos politiques.