Un site d'échange/vente de skins pour le jeu CS:GO piraté : 20 000 skins volées pour une valeur de 6 millions de dollars.
6 millions ça vous semble beaucoup ? C'est rien du tout par rapport aux sommes que brassent ces sites. (voir https://sebsauvage.net/links/?LLcdGw)

Vous voulez bosser chez GitLab ?
Les ordinateurs portables sous Windows sont INTERDITS 😄

Depuis début 2002, le nombre de malware ciblant les systèmes Linux explose (même s'il reste bien en dessous du nombre de malwares ciblant Windows). On peut facilement s'attendre à une augmentation.

Des mots de passe codés en dur. En 2022. Bravo, vraiment.

Oh la vache... réussir à ex-filtrer des données en "écoutant" les émissions radio d'un câble SATA (câble qui relie l'ordinateur à un support de stockage). 😮

hahah c'est trop drôle: Pendant des anneés, le FBI a monté une entreprise bidon qui vend des téléphones sécurisés "Anom". Que les criminels de 300 organisations se sont empressés d'acheter. Et le FBI pouvait en fait lire tous les échanges.
Le site Motherboard a réussi à se procurer le code source. C'était basé sur XMPP, et tous les messages étaient envoyés en copie à un compte caché. Et sans grande surprise une grande portion de code provient de code piqué à des Logiciels Libres. Motherboard pense également qu'un certain nombre de développeurs ont travaillé sans le savoir sur cette application.

Corollaire: Si une société vous vend un truc "hyper sécurisé" mais sans vous montrer les sources, elle peut très bien vous mentir. En matière de sécurité, on peut *peut pas* faire confiance à des logiciels à sources fermés.

Typosquatting des noms de packages npm : Une faute de frappe dans vos dépendances, et votre système est entièrement piratés sans que vous vous en rendiez compte.

Je me demandais aussi quand ils commenceraient à attaquer les IDE, vu que ces environnements passent leur temps à télécharger, compiler et exécuter du code. Bah voilà...
Le tout branché sur des GitHub ou des dépôts npm vérolés, ça va être rigolo.
Pourquoi se cantonner à attaquer les déploiements quand on peut s'attaquer directement au développement ?

Ça ne me surprend pas.
Vous voulez de la sécurité pour vos données sur les supports de stockage ? Utilisez VeraCrypt : https://veracrypt.fr/

Ah tiens, les logins et mots de passe d'un millions d'utilisateurs de l'assurance maladie française (ameli.fr).
PS: Contrairement à ce que laisserait penser le titre de l'article, ces comptes seraient plutôt issus d'une campagne de phishing que d'un piratage du service Ameli.

Forçage électronique des coffres-forts Sentry Safe et Master Lock en quelques secondes.

Quand un fichier arrive sur un système, l'antivirus intercepte le fichier et le vérifie juste après qu'il ait été écrit sur disque. Et si le fichier est "infecté", l'antivirus l'efface ou le déplace. Mais il y a moyen, en exploitant les "directory junctions" (similaire aux liens symboliques sous Linux), d'intervenir juste entre le moment où l'antivirus a scanné le fichier et le moment où il le déplace.
Et comme l'antivirus tourne avec les droits maximum du système d'exploitation, on peut lui faire effacer des fichiers critiques... y compris des exécutables de l'antivirus lui-même.
Et cela semble marcher avec pratiquement tous les antivirus.
Et pas que sous Windows.

Microsoft a trouvé deux failles d'escalation de privilèges dans Linux : CVE-2022-29799 et CVE-2022-29800. Les failles sont en principe déjà patchées. Mettez à jour.

État de la sécurité des fournisseurs de VPN: C'est la catastrophe.
Et pire que tout: Certains installent silencieusement une autorité de certification (CA) dans l'appareil (ordinateur ou téléphone), ce qui *augmente* les risques d'interception et déchiffrement du trafic.

Oh tiens, une faille d'exécution à distance simplement en envoyant un fichier audio (au format ALAC) aux smartphones équipés de puces Qualcomm ou MediaTek (c'est à dire la quasi-totalité des smartphones Android).

Des scellés à l'heure du numérique: La sécurité logicielle et réseau c'est très bien, mais comment être sûr que personne n'a ouvert votre serveur, ou que personne n'a altéré un équipement électronique pendant le transport ?

Cet article examine différentes solutions de scellés, pour s'assurer qu'un équipement ou objet n'a pas été altéré. Par exemple avec du vernis contenant des paillettes sur la visserie d'un serveur pour s'assurer que personne ne l'a ouvert.

Autre exemple: Pour envoyer un téléphone ou un ordinateur en étant certain qu'il n'est pas altéré par un adversaire pendant le transport, ils proposent la solution suivante:
1) Mettre l'appareil dans un sac étanche.
2) Mettre ce sac dans un autre sac que vous aurez remplis, par exemple, de lentilles de différentes couleurs (oui, le légume). Faites le vide de ce sachet avec un aspirateur afin de figer les lentilles.
3) Prendre une photo du sachet que vous envoyez au destinataire par un canal sûr.
4) À l'arrivée, le destinataire compare le motif des lentilles avec la photo qu'il a reçue.

Il est pratiquement impossible d'ouvrir le sachet pour altérer l'appareil et le refermer sans que les lentilles aient bougé. Et il serait extrêmement difficile de refaire le vide en remettant exactement les lentilles en place pour reproduire le même motif.

Apple et Facebook ont donné à des pirates des données personnelles de leurs utilisateurs en croyant que c'était des gens des forces de l'ordre. Oups.
Quand on dit que tout outils qui permet aux "gentils" d'obtenir des données privées est forcément mauvais car sera forcément détourné par les "méchants", on en a encore ici la preuve.

(Copie de l'article car Bloomberg ne laisse pas Archive.org archiver ses articles: http://web.archive.org/web/20220401060752/https://sebsauvage.net/files/articles/Apple,%20Meta%20Gave%20User%20Data%20to%20Hackers%20With%20Forged%20Legal%20Requests%20%28AAPL,%20FB%29%20-%20Bloomberg%20%2801_04_2022%2008_02_24%29.html)

218 packages malveillants dans npm... voilà.

"La plus grave" je ne sais pas: Ce n'est pas la première faille de "privilege escalation" qui a été corrigée. Mais c'est sérieux, c'est vrai !

NVidia s'est récemment fait pirater. Parmis les données piratées se trouvait la clé de signature des pilotes. Des malwares commencent à circuler, signés par NVidia. Certes ce sont des clés expirées, mais Windows continue à les accepter.

Un article long et argumenté sur les problèmes de sécurité de Linux. (via http://links.kevinvuilleumier.net/?TjPVYQ)

Hop... vol pour 1,7 millions de dollars de NFT sur la plateforme OpenSea (via phishing).
Ce qui est rigolo avec les NFT, c'est que les vols sur le net (qui existent déjà) vont prendre une ampleur assez phénoménale.
Les internautes n'arrivent déjà pas à mémoriser et protéger leurs mots de passe, ils ne savent déjà pas faire une sauvegarde de leur ordinateur, alors gérer et protéger leur clé privée de blockchain, ça va juste être magnifique.
Non le web3/nft/blockchain ne va pas magiquement protéger les avoirs des internautes sur internet.
N'importe qui qui a assez de bouteille avec PGP sait très bien que pour la majorité des gens, ça ne marchera pas. (Heck... j'ai même abandonné moi-même l'usage de PGP alors que je sais comment ça fonctionne.). Quant à toutes les startup qui prétendent rendre la crypto "simple", la solution proposée est systématiquement une centralisation... chez elles. Plouf plouf, c'est plus décentralisé.

EDIT: Article en liaison, intéressant : https://shkspr.mobi/blog/2022/02/people-dont-want-to-run-their-own-bank/

Ewww... je n'avais pas tilté que le support de php 7.x s'arrêtait vers la fin de l'année.

BitLocker est le système de chiffrement de disque de Windows.
En soit c'était déjà une énorme bouffonnerie puisque dès que vous l'activez, BitLocker envoie (sans vous prévenir) une copie de vos clés de chiffrement à Microsoft. (Si Microsoft garde une copie de vos clés, c'est pour votre bien, il paraît.)
Mais dans cet article on apprend que si vous utilisez juste un compte local à la machine, BitLocker écrit les clés de chiffrement EN CLAIR SUR DISQUE.
Ce qui équivaut à poser une porte blindée dernier cri et scotcher la clé sur la porte à la vue de tous.

On peut arrêter de dire que Microsoft c'est "professionnel" ?