L'auteur du logiciel curl en a RAZ. LE. BOL.
Il se trouve qu'il y a des "bug bounty" sur curl. Autrement dit vous pouvez gagner de l'argent si vous trouvez une faille de sécurité.
Soucis : Des internautes utilisent des I.A. pour "trouver" ces failles. Mais ce sont juste des hallucinations. Ces failles n'existent pas, mais l'auteur de curl perd ainsi un temps considérable à les vérifier.
La sécurité et les I.A. de type LLM ne font pas bon ménage.

Failles de sécurité des iPhones permettant d'obtenir silencieusement leur position GPS.

Ne stockez pas vos mots de passe sur l'ordinateur de quelqu'un d'autre.
https://sebsauvage.net/galerie/photos/Bordel/there-is-no-cloud-fsfe.png

(Je trouve qu'Android est *très* agressif avec ses popups dès que vous tapez le moindre mot de passe pour vous inciter à l'enregistrer dans votre compte Google.  Du coup, se faire pirater son compte Google, c'est se faire voler la *totalité* de ses mots de passe. Illustration avec l'article en lien.)

Par défaut sous Linux les utilisateurs peuvent voir les processus des autres utilisateurs. Mais ça peut se bloquer.

😂

Copie ici:
« Downloaded a virus for Linux lately and unpacked it.
Tried to run it as root, didn't work.
Googled for 2 hours, found out that instead of /usr/local/bin the virus unpacked to /usr/bin for which the user malware doesn't have any write permissions, therefore the virus couldn't
create a process file.
Found patched . configure and .make files on some Chinese forum, recompiled Tem Cee
The virus said it needs the library
cmalw-lib-2.0. Turns out
cmalw-lib-2.0 is shipped with CentOS but not with Ubuntu. Googled for hours again and found an instruction to build
a .deb package from source.
The virus finally started, wrote some logs, made a core dump and crashed.
After 1 hour of going through the logs | discovered the virus assumed it was running on ext4 and called into its disk encryption API. Under btrfs this API is deprecated. The kernel noticed and made this partition read-only.
Opened the sources, grep'ed the Bitcoin wallet and sent $5 out of pity.
​
-- Roman Sharkov San »

On a ici l'exemple d'une faille dans un logiciel (WinRAR) qui a été activement utilisée par des gouvernements pour pirater des ordinateurs.
Utiliser de vieilles version de logiciels (archiveurs, lecteurs multimédia, suites bureautique...) est dangereux.

C'est aussi pour cela que l'écosystème Windows est aussi pourri de logiciels malveillants : Il n'y a pas vraiment de système de mise à jour des logiciels. Les développeurs ne font généralement pas de mise à jour automatique de leurs logiciels, ou alors en pourrissant le système avec un service supplémentaire (ce que fait Firefox, Chrome, Adobe PDF Reader, etc.), ce qui n'est pas non plus une bonne solution.
Tout cela n'améliore pas globalement la sécurité de Windows.

Côté Linux, le problème ne se pose pas: La mise à jour système s'occupe naturellement aussi de mettre à jour les logiciels (à condition que vous les ayez installés à partir des dépôts).

On m'a fourni un extrait de cet article :
« "The [Apple] company has developed a proprietary pad-like device that the store can place boxes of iPhones on top of. That system can then wirelessly turn on the #iPhone, update its software and then power it back down — all without the phone’s packaging ever being opened. The company aims to begin rolling this out to its stores before the end of the year." »

Je ne sais pas si vous réalisez bien : Ce dispositif permet aux revendeurs Apple de mettre à jour un iPhone neuf sans avoir à le sortir de son emballage :
- il allume l'appareil à distance, sans avoir besoin d'y toucher.
- il met à jour à l'appareil.
- et puis il l'éteind.

On peut donc en déduire qu'éteindre votre téléphone n'est même pas une protection valable contre l'installation forcée de logiciels.

Vol de données ADN.  
Surtout n'oubliez pas de changer votre ADN et de ne pas choisir un ADN trop commun.

EDIT: Compléments :
https://www.bleepingcomputer.com/news/security/hacker-leaks-millions-of-new-23andme-genetic-data-profiles/
https://www.nextinpact.com/lebrief/72722/le-ciel-sassombrit-pour-23andme-millions-tests-adn-publies-par-pirate

De manière similaire aux packages malveillants chez npm, il y a de plus en plus de package malveillants dans les dépôts Python.

Bon ben aujourd'hui sous ma distrib il y a une mise à jour de la libc. C'est bien il n'aura pas fallu attendre un éventuel "Patch tuesday" (voir carrément UN MOIS) pour avoir le correctif.

La fondation Signal commence à réfléchir aux algos pour continuer à protéger nos communications même dans le cas d'une percée dans les ordinateurs quantiques.
EDIT: Article en français : https://www.nextinpact.com/lebrief/72500/signal-annonce-premier-pas-son-protocole-dans-resistance-post-quantique

La fréquence d'apparition des malwares Linux commence doucement à augmenter. On est encore très très loin du monde Windows, mais le gain de popularité de Linux commence à attirer les pirates.

Il y a une faille majeure dans un petit bout de code en charge de lire les images au format WebP.
Si vous êtes sous Linux, vous avez sûrement déjà dû voir hier une mise à jour du paquet libwebp (et de quelques autres) pour corriger ce problème.
En gros, ce bug introduit une faille de sécurité dans tous les logiciels lisant des images WebP (système d'exploitation, navigateur, explorateurs de fichiers, logiciels de traitement d'image...) permettant de faire exécuter du code au logiciel simplement en lui envoyant un fichier WebP malformé. Le panel est très vaste, c'est pour cela qu'il est important de mettre à jour.

EDIT: nous sommes le 4 octobre. Microsoft vient de corriger "en urgence" cette faille dans Edge, Teams et Skype.
https://www.bleepingcomputer.com/news/microsoft/microsoft-edge-teams-get-fixes-for-zero-days-in-open-source-libraries/

Je vous le redis : Stocker vos mots de passe en ligne est dangereux.

La stéganographie, c'est le fait de cacher des données (par exemple un message) à l'intérieur d'autres données (par exemple une image). Le soucis est qu'actuellement, les méthodes de stéganographie sont pratiquement toutes détectables (vous ne pouvez pas lire le message, mais vous pouvez détecter qu'un message est présent dans une image).
Ces chercheurs prétendent avoir créé une méthode de stéganographie indétectable, basée sur une I.A. Elle est encore trop lente et couteuse en CPU pour le moment, mais ils affirment que leur méthode est mathématiquement prouvée comme indétectable.

Un logiciel clavier populaire de la société Tencent pour Android et iOS envoie toutes les frappes clavier sur le réseau. C'est déjà moche, mais il y a pire : C'est pas beaucoup chiffré. Assez faiblement chiffré pour que n'importe qui sur le réseau puisse voir en temps réel les frappes clavier. Et ce logiciel est utilisé par 455 millions d'utilisateurs (!).

Un système de chiffrement des communications radio utilisé par les services de police et urgence du monde entier a une faille de sécurité (en plus de la backdoor incluse par le fabricant).
Et devinez quoi ? C'est un système à sources fermés.
(En crypto, je ne JAMAIS faire confiance à un système à sources fermés. Le secret doit résider dans la clé, pas dans l'algo.)

Hein ?
Alors éteindre pour que ça tue des processus malveillants en mémoire (qui ne sont jamais écrits sur disque) je peux comprendre (certains malwares persistent uniquement en mémoire après infection afin de ne pas être détecté sur disque), autant... pourquoi 5 minutes ???

Guide de sécurisation d'un PC de bureau sous Linux.

L'article entier est un gigantesque facepalm.

Voilà on y est : Le fait d'utiliser des moyens techniques pour protéger votre vie privée (Signal, chiffrement de disque, etc.) est considéré à charge.
Parmis les éléments retenus à charge également : manuel d'installation de /e/OS, GrapheneOS, LineageOS, Jitsi, F-Droid...  de très dangereuses applications de terroriste, n'est-il pas ?

Et la pépite : « Au-delà du chiffrement des communications, ce sont aussi les connaissances en informatique qui sont incriminées dans cette affaire : elles sont systématiquement assimilées à un facteur de « dangerosité ».»
Hackers et geeks en tous genres, sachiez-le : Vous êtes DANGEREUX⋅SES.
Le juge a osé mentionné que l'un des accusé avait installé Linux avec chiffrement de disque LUKS.  Bouuu ça fait peur 👻 rendez-vous compte ! Installer Linux !

Attendez, ce n'est pas fini : « X ne se contentait pas d’utiliser ces applications [de protection de la vie privée], il apprenait à ses proches à le faire »  
EN PLUS IL ENSEIGNAIT AUX AUTRES À UTILISER DES APPLICATIONS QUI PROTÈGENT LA VIE PRIVÉE ! 😱

Honnêtement, j'ai pas réussi à terminer l'article tellement c'est à se taper la tête contre les murs.

Et donc en toute logique la DGSI considère que l'ANSSI est un repère de terroristes ?    https://www.ssi.gouv.fr/administration/bonnes-pratiques/

EDIT: Tribune : https://sebsauvage.net/links/?KxKiAw

Le titre est trompeur : Pas de backdoor. Mais un danger quand même.
Les cartes mères Gigabyte se mettent à jour automatiquement quand vous rebootez la machine, hors de tout contrôle du système d'exploitation. Elles vont télécharger un bout de code et l'exécutent. Sauf qu'elles ne sécurisent pas bien ce téléchargement et cette exécution, ce qui pourrait permettre d'installer à votre insu une backdoor sur votre ordinateur.
EDIT: Article en français : https://www.nextinpact.com/article/71810/gigabyte-corrige-en-urgence-faille-dans-uefi-ces-cartes-meres

Idée à la con : Un Windows tellement optimisé pour les jeux qu'il n'y a plus d'antivirus et plus aucune mitigation contre les failles CPU. Une formidable F.B.I. (Fausse Bonne Idée).

Oui oui c'est merveilleux, ça va remplacer les mots de passe, tout ça. Mais je vois quelques problèmes avec les passkeys:
- Ça se base sur la biométrie (empreinte digitale, visage...). Parce que c'est plus pratique, plus rapide et qu'on ne peut pas les "perdre". Mais je vais le répéter encore une fois: Ça se copie. Et une fois copié, vous ne pouvez pas changer de visage ou d'empreintes.
- Les passkeys sont liés à un périphérique (stockage sécurisé (TPM, Secure Enclave, etc.)). Il se passe quoi si la personne n'a qu'un seul périphérique (son téléphone) et qu'elle le perd ou se le fait voler ?
- La révocation se passe comment ? (Si vous *savez* qu'un périphérique contenant votre passkey a été volé.)
- Il faudra un mécanisme de récupération. On y échappera pas  (Email, code, autre ?). Cela restera donc le maillon faible.
- Les implémentations seront compatibles ? (Votre passkey Google sera utilisable sur des services Apple ? Sur des appareils, logiciels et services non-Google ?). C'est flou.
- C'est donc encore un truc très centralisé chez quelques gros acteurs du numérique ? ENCORE ?

Ce ne serait pas la première fois qu'on nous présente une nouvelle silver-bullet d'authentification.  J'ai appris à être méfiant (Vous vous souvenez d'OpenID ? Voilà. https://fr.wikipedia.org/wiki/OpenID)