Les chercheurs : "Tiens et si on pourissait le noyau Linux avec des failles de sécurité pour voir ce que ça fait ?"
À quel moment tu va cramer des abris-bus "pour voir ce que ça fait" ? À quel moment ça a merdé dans ton cerveau de chercheur ?

Ah oui tiens après Facebook, c'est LinkedIn (Microsoft) qui laisse fuiter des informations sur un demi-milliard d'utilisateurs: adresses email, numéros de téléphone, noms, liens vers les réseaux sociaux, etc.

L'internet des ransomwares connectés. Mais c'est tellement vrai, cette image. Je garde ça, parce que je sens qu'on va pouvoir la re-sortir avec le fameux "ON VOUS L'AVAIT DIT, HEIN ?" tellement énervant.

Application bancaire mobile: « Oh làlà non monsieur ! Vous ne pouvez plus accéder à vos compte en ligne: Il faut impérativement activer SécuriPass pour garantir la sécurité de votre compte sur mobile, donc autorisez-nous à accéder à votre téléphone, et on vous envoie 2 SMS et un email pour confirmer l'activation. Parce que la sécurité, c'est important. D'ailleurs on y peut rien, c'est la réglementation européenne. Et aussi on accède au GPS pour savoir où vous êtes. Voulez-vous aussi des cookies avec ça ? »

Site bancaire: « Entrez votre numéro de compte et le mot de passe à 6 chiffres. Non vous ne pouvez pas utiliser plus de 6 chiffres. Non pas de lettre et symboles non plus. Parce que c'est suffisant pour la sécurité. »

Donc merci Crédit Agricole, mais votre application mobile insupportable elle DÉGAGE de mon mobile.
Vous ne pouvez pas m'imposer un protocole SOIT-DISANT super-sécurisé, et dans le même temps m'interdire d'utiliser un mot de passe SOLIDE.

(Et je n'ai jamais reçu le foutu mail d'activation Sécuri-Pass, je me retrouve donc BLOQUÉ dans l'application Android (qui fonctionnait bien jusque là) et qui maintenant me jette comme un malpropre alors que mon mot de passe est correct. Super sympa. 😠)

EDIT: https://lehollandaisvolant.net/?id=20210301063758

Énorme boulette d'une banque: Hier les clients de LCL qui se connectaient sur leur application mobile voyaient le compte d'une autre personne. Complet avec les comptes, les soldes, les opérations.
https://bluetouff.com/2021/02/24/pourquoi-et-comment-les-clients-victimes-de-la-boulette-du-credit-lyonnais-pourraient-etre-poursuivis-par-leur-banque-et-condamnes/

Un outils pour Linux pour faire de l'escalation privilege en exploitant diverses failles.

Ah ! On entend reparler de cette incroyable histoire de piratage à grande échelle (cf. https://sebsauvage.net/links/?JhDBgQ)
Article source : https://www.bloomberg.com/features/2021-supermicro/

Tentative d'empoisonnement des citoyens d'une ville via le piratage d'ordinateurs dans la station de traitement de l'eau en augmentant les concentrations d'hydoxide de sodium utilisé dans le traitement de l'eau. Ils ont pu corriger les régagles avant que ça fasse des dégâts.

Donc la fondation Raspberry a ajouté VSCode à Raspbian (dérivé de Debian), en ajoutant les dépôts Microsoft. Sans prévenir les utilisateurs.
Donc à chaque fois que vous faites une mise à jour sur votre OS, ça ping les serveurs de Microsoft.
Donc en gros tous les Raspberry pinguent les serveurs de Microsoft à chaque mise à jour.

Encore plus rigolo: ça installe les certificats Microsoft de signature de paquets.
Et donc votre distribution installera sans broncher les dépendances que Microsoft jugera bon d'installer. Depuis les dépôts Microsoft.

Voilà pourquoi quand il s'agit de logiciels auxquel je n'accorde qu'une confiance limitée:
- je ne les installe pas en ajoutant dépôt+clé du dépôt, mais juste avec le .deb.
  - et après installation du .deb, je vérifie qu'il n'a pas ajouté une source apt et une clé.
- je fais tourner ces logiciels dans firejail pour qu'ils n'accèdent pas à mes fichiers personnels.

Faites attention aux dépôts que vous ajoutez à votre distribution: Le dépôt peut vous installer n'importe quoi à l'occasion d'une mise à jour.
Faites-vous confiance au dépôt que vous avez ajoutés ?

EDIT: Voici le commit à la source du problème: https://github.com/RPi-Distro/raspberrypi-sys-mods/commit/655cad5aee6457b94fc2336b1ff3c1104ccb4351

Mort de rire: Des enfants ont réussi à bypasser la protection de mot passe d'économiseurs d'écran Linux en provoquant un coredump en tapant comme des malades des touches au clavier.  Pouah !

Vous avez cliqué "Se connecter avec Google" sur une application ? Les développeurs ont la possibilité d'accéder à la totalité de votre compte Google en exploitant une faille pas trop complexe. Espérons que Google va rapidement combler cette faille.

Tiens je suis tombé sur ce petit scanner de vulnérabilités pour site web. Il est assez sympa.
Il faut également prendre les templates: https://github.com/projectdiscovery/nuclei-templates
ou mettre à jour les templates: ./nuclei --update-templates
puis lister les templates disponibles: ./nuclei -tl

Puis scanner un site en choisissant la template:
echo "http..." | nuclei -t files/
echo "http..." | nuclei -t cves/
etc.

Les différents types de SSD. Et comment effacer un SSD.

Donc un nouveau malware recherche des failles de sécurité dans certains UEFI pour les infecter.
Effet Kisscool n°1: La machine n'est pas désinfectable.
Effet Kisscool n°2: Le système d'exploitation ne voit même pas l'infection, puisque le rootkit est chargé un niveau au dessus.
Effet Kisscool n°3: SecureBoot lui-même ne sert absolument à rien car le rootkit se place avant SecureBoot. Donc oui l'OS est chargé sans modification, la signature crypto n'est pas altérée. Mais la machine est quand même infectée.

Ne laissez jamais un chargeur branché sans surveillance.

Sous le coude: Une alternative moderne à fail2ban.

En même temps, une plateforme qui a MENTI à ses utilisateurs depuis le début sur la sécurité (https://sebsauvage.net/links/?gGXjUA), je ne vais pas les pleurer.

Exemple de piratage d'un système et son investigation.

TL;DR: Faire une chose comme changer le port par défaut de son serveur ssh, ce n'est pas "Security by Obscurity", c'est augmenter les ressources nécessaires à l'attaquant pour s'en prendre à vous.
D'autres exemple sont donnés dans cet article.

WOAO.
Un malware utilise le résolveur DNS chiffré de Google (DNS-over-HTTPS) pour transférer une payload vers le client, maquillée en signature DKIM dans la réponse DNS.  
Pas con du tout: Aucun admin réseau ne va s'amuser à filtrer le domaine google.com.
Et le botnet peut ainsi transférer des données customisées en fonction de l'IP du client, le tout en passant par le domaine de Google.
En l'occurrence, la payload contient des adresses IP de serveurs de contrôle (ce qui permet à l'attaquant de changer dynamiquement ses serveurs de contrôles).

Rappel: En 2003, quelqu'un a essayé de mettre une backdoor dans Debian. Une backdoor qui aurait permis d'obtenir les droits administrateur sur une machine (aka "privilege escalation").
La backdoor, dans le code, consistait à mettre "=" à la place de "==".  Juste ça. Devil is in the details.

Fuite de données massive chez Intel. Le plus inquiétant, c'est la mention de "backdoors" dans les documents, ce qui laisse présager des failles de sécurité assez importantes.
On laisse les spécialistes étudier ça (20 Go de données, ça prend du temps à étudier), on verra ce qu'il en décante.

Quand ton site compromis est compromis  :-D
On notera quand même la stupidité des hackers qui ont a priori utilisé le même mot de passe partout ^^