⚠️⚠️⚠️ Quand je vous disais de ne pas soumettre n'importe quel fichier à VirusTotal.

VirusTotal est un service gratuit de Google qui permet d'analyser un fichier avec tous les antivirus du marché. C'est extrêmement pratique. Mais cela veut aussi dire que vous envoyez votre fichier à Google. Et il est clairement indiqué dans les conditions d'utilisation de VirusTotal qu'ils se réservent le droit de conserver les fichiers.

Et il se trouve qu'en payant une licence VirusTotal (600€), on peut accéder aux fichiers qui ont été envoyés (c'est utile pour les développeurs qui veulent créer et améliorer des logiciels anti-malwares).
Ils ont retrouvé dans les fichiers de VirusTotal beaucoup de logins et mots de passe.

Exemple de RaspberryPi planqué dans une armoire réseau qui permettait un accès illégal au réseau interne.

Et hop... comment fuiter par erreur sa clé privée d'un portfeuille BitCoin. Ouch. ><

Certains routeurs (ici: des TP-Link) ont un réseau Wifi caché actif en permanence. Une très mauvaise idée du point de vue sécurité.

Si en tant qu'informaticien vous vivez sous un cailloux, vous n'étiez peut-être pas au courant d'une faille de sécurité dans log4j récemment signalée. Une faille dramatique.
Comme beaucoup de composants libres, log4j est massivement utilisée par tout le monde, de Microsoft à Spotify en passant par Tesla et Minecraft.
Encore une fois, je ne peux que refaire le même constat que j'avais fait il y a 11 ans: https://sebsauvage.net/rhaa/index.php?2010/03/03/12/17/13-un-manque-de-reconnaissance-certain
(et qui va dans le même sens que le dessin d'xkcd, toujours aussi juste).
Ça n'a pas beaucoup changé. Un peu quand même. De gros projets comme le logiciel libre Blender ont désormais de gros soutiens (NVidia, Apple, Facebook, Amazon, Intel...), mais pour des projets moins connus (souvent des librairies), c'est le vide sidéral (curl, tz-data, gzip, sqlite, OpenSSL... et des centaines d'autres briques **essentielles** à toute notre infrastructure informatique actuelle): ce sont souvent des projets tenus à bout de bras par 3 gars dans un coin.
Et pourtant ces projets sont utilisés par toutes les plus grosses multinationales qui soutiennent rarement ces projets. Pour ces boites qui brassent des milliards, un don de 500€ par mois serait vraiment sans conséquence, et ça aiderai pourtant tellement.

EDIT: Article : https://www.nextinpact.com/article/49180/log4shell-derriere-importante-faille-eternelle-question-soutien-au-logiciel-libre
https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-022/

Oh la boulette ><

Si par hasard vous avez encore une Debian qui a encore le vieux certificat Let's Encrypt expiré, voici comment le mettre à jour:
https://raw.githubusercontent.com/xenetis/letsencrypt-expiration/main/letsencrypt-expiration.sh :

#!/bin/bash
if [[ $(lsb_release -sc) = "jessie" || $(lsb_release -sc) = "stretch" ]]; then
 apt-get install ca-certificates -y
 sed -i -e 's|mozilla/DST_Root_CA_X3.crt|#mozilla/DST_Root_CA_X3.crt|g' /etc/ca-certificates.conf
 sed -i -e 's|mozilla/ISRG_Root_X1.crt|#mozilla/ISRG_Root_X1.crt|g' /etc/ca-certificates.conf
 wget https://raw.githubusercontent.com/xenetis/letsencrypt-expiration/main/certificates/isrgrootx1.crt -P /usr/local/share/ca-certificates/
 wget https://raw.githubusercontent.com/xenetis/letsencrypt-expiration/main/certificates/lets-encrypt-r3.crt -P /usr/local/share/ca-certificates/
 update-ca-certificates -f
fi
if [[ $(lsb_release -sc) = "buster" ]]; then
 apt-get install ca-certificates -y
fi

Oh purée... c'est assez effrayant.
Pour introduire volontairement des failles de sécurité, il suffit parfois de modifications mineures. Par exemple remplacer "==" (signe de comparaison) par "=" (assignation). Ces "attaques" sont visible pour un oeil averti.

Mais qu'est-ce qui se passe si l'oeil ne voit plus ?  Avec Unicode, il est possible d'utiliser des caractères qui ressemblent à notre alphabet latin, mais qui n'en sont pas, ou pire changer l'ordre d'écriture (gauche-droite) afin que le texte s'affiche d'une manière dans l'éditeur de texte, alors que le compilateur l'interprétera autrement. Cela ouvre la possibilité d'insérer des failles de sécurité pratiquement impossibles à voir, même si vous avez le code source sous les yeux dans votre éditeur de texte.
(Pour un exemple d'inversion gauche-droite, allez sur cette page: https://sebsauvage.net/wiki/ et recherchez mon adresse email dans la page: Elle s'affiche normalement, mais si vous regardez le source html, c'est un autre texte qui s'affiche).

Je pense qu'il serait intéressant que les éditeurs de texte aient une option pour afficher dans une couleur particulière tout ce qui n'est pas purement "texte latin" (0000-024F), ainsi que les caractères Unicode qui provoquent des modifications (retour arrière, changement de direction).

Des proof-of-concept de cette attaque dans différents langages sont visible là : https://github.com/nickboucher/trojan-source

hahaha donc la clé de signature italienne des passes sanitaires européen a fuité. Des gens se sont même amusés à créer de passes sanitaires pour Adolf Hitler et Mickey Mouse.
La clé a probablement déjà été révoquée, mais les applications de contrôle Android et iOS semblent encore considérer ces certificats bidons comme valides.

Étudiants, ne vous amusez pas à pirater un système "pour le fun".

Un bootkit, c'est à dire un rootkit qui se charge via UEFI avant le système d'exploitation. L'OS et les antivirus ne voient pas le rootkit.

Pouah il était temps que je mette à jour quelques entêtes sécurité de mon site. Bon je n'irai pas jusqu'à CSP, parce que mon site vieux (il a 22 ans !) a malheureusement encore du javascript inline que je n'ai pas le courage de nettoyer, mais pour le reste il devrait maintenant être à peu près à jour concernant les entêtes sécurité comprises par les navigateurs modernes.
Voir aussi : https://securityheaders.com/

« Une base de données de plusieurs gigaoctets a été découverte sur le Web, exposant des millions d'informations personnelles en provenance de d'objets connectés et appareils médicaux. »
Les objets connectés (et les systèmes qui sont derrière) sont sécurisés avec les pieds. Évitez les objets connectés.

1) Prendre le fichier EICAR
2) Le mettre sous forme de QR-Code
3) Le faire scanner un peu partout (supermarchés, bornes...)
4) Lancer son rire de maître du monde machiavélique 😈
(et comme ils disent dans l'article, « Sachez toutefois qu’il est possible d’acheter de t-shirts avec un code QR EICAR imprimé dessus. Après tout, s’il y a des caméras de surveillance qui scannent des codes QR, ce n’est pas votre problème… »)

On est bien d'accord que là, le bordel mis par cette faille, c'est 100% la faute des antivirus et de Windows ?

(Contexte: Le fichier EICAR est un petit fichier que tous les éditeurs d'antivirus se sont accordés pour détecter. Cela permet de vérifier le bon fonctionnement des antivirus. Le fichier EICAR lui-même est un petit programme totalement sans danger. Le fait de mettre ce fichier sous forme de QR-Code le fait entrer dans des systèmes informatiques quand vous le scannez, ce qui bloque certains système dont l'antivirus détecte le code.)

Lien de la vidéo: https://www.youtube.com/watch?v=cIcbAMO6sxo

Faille de sécurité dans des millions de routeurs. Et cela concerne aussi certaines Livebox (Orange).
(via https://twitter.com/bearstech/status/1424718965000048641)

Article où on apprend que:
- la police de Chicago a placé des micros dans l'espace public.
- que ces micros sont tous reliés à une I.A. chargée de détecter les bruits de tir.
- qu'en prime les policiers ont demandé à la société qui gère ça (ShotSpotter) de FABRIQUER DES PREUVES.
Le facepalm est total. Elle est belle la "sécurité".

Et exactement le même genre de faille d'escalation de privilèges sous Linux : https://www.bleepingcomputer.com/news/security/new-linux-kernel-bug-lets-you-get-root-on-most-modern-distros/
En même temps ^^
(Contexte: Ces failles de sécurité "Escalation privilege" permettent, quand vous avez déjà accès à la machine en tant que simple utilisateur, d'obtenir les droits administrateur. C'est potentiellement le moyen pour un programme malveillant d'infecter une machine quand un simple utilisateur lance un programme.)

Les attaques informatiques ont des conséquences bien réelles.
Comme on a la sale manie de tout informatiser à outrance, on peut s'attendre à la multiplication des problèmes de ce genre (et je ne vous raconte pas quand toute votre maison sera sous le contrôle d'un ordinateur. Ou plutôt d'une myriade de petits ordinateurs, tous mal sécurisés).

Le réseau professionnel LinkedIn s'est fait pirater. Les données de 700 millions d'utilisateurs sont à vendre: adresse email, nom complet, genre, numéros de téléphone, adresse postale, géolocalisation, expérience professionnelle, liste des comptes sur les autres réseaux sociaux et salaire actuel estimé par LinkedIn. Cela concerne donc 92% des utilisateurs de LinkedIn.

(Contexte: LinkedIn est un réseau social spécialisé dans la mise en relation des chercheurs d'emploi et des entreprises. C'est de loin de plus populaire. Il a été racheté par Microsoft en 2016.)

Vous avez un NAS et un matin ✨POUF✨ y'a plus rien dessus. Il a reçu une commande de remise en état d'usine. 😱
Rappelons: Un NAS n'est pas vraiment un backup. Il est utile d'avoir des backups DÉCONNECTÉS: https://sebsauvage.net/wiki/doku.php?id=backups

EDIT: Des infos sur la faille : https://arstechnica.com/gadgets/2021/06/hackers-exploited-0-day-not-2018-bug-to-mass-wipe-my-book-live-devices/

(Contexte: Un NAS (Network Attached Storage) est un mini-serveur qui contient un ou plusieurs disques durs. Ils servent à stocker vos fichiers chez vous, au lieu d'aller les stocker sur l'ordinateur de quelqu'un d'autre (aka "Le cloud"). C'est en quelque sorte votre cloud à vous.).

Quand tu te dis "Tiens et si j'essayais cette lib ?"
Les warnings de la lib: « This is highly experimental and controls the ACPI / WMI responsible for dangerous low-level hardware features (for instance thermal management). So the possibility exists that you could erase data, lock up the system, disable thermal management and set your laptop on fire or worse. So use at your own risk if you know what you are doing. »
Ah bah non finalement je vais pas y toucher.
https://sebsauvage.net/galerie/photos/faces/surprised-reaction-guy.jpg

OH BEN TIENS une fuite massive d'un fichier national des citoyens (nom, prénom, n° de carte d'identité, n° de téléphone, n° fiscal, salaire, photo d'identité...). Concernant 279 millions de personnes.
Et pendant ce temps là en France on accumule de plus en plus de fichiers sur les citoyens, on les croise, et on donne même des copies à des boîtes privées.
J'attends le moment où on aura ce genre de fuite en France.

Énorme cette affaire ! Incroyable affaire d'espionnage.

Les bonnes pratique de l'ANSSI pour sécuriser ("hardening") son système Linux.
La suite là : https://www.it-connect.fr/details-durcissement-sysctl-reseau-linux/