Le system PAM de Linux est en charge (entre autres) de l'authentification des utilisateurs.
PAM signifie "Pluggable Authentication Module", ce qui veut dire qu'on peut "brancher" différents modules d'authentification.
Le standard (login/mot de passe) va vérifier le mot de passe dans un fichier, mais on peut en mettre d'autres: clé SSH, empreinte digitale, OTP, serveur LDAP, clé USB...
Vous pouvez même développer vos propres modules pour utiliser de nouvelles forme d'authentification.

Vive la bidouillabilité de Linux. La souplesse de PAM permet de faire des choses amusantes: À une époque, j'avais configuré PAM pour que la webcam prenne une photo chaque fois que quelqu'un essaie un mot de passe sur l'ordinateur.

Nous sommes en 2020 et il y a toujours des gens qui installent des webcams sans le moindre mot de passe...

Corrolaire: Si vous allez juste acheter votre baguette de pain, vous êtes peut-être en live sur le web !  https://www.insecam.org/en/view/843084/
Vous faire couper les cheveux ? Observé !   https://www.insecam.org/en/view/839518/
Ou à la terrasse d'un restautant    https://www.insecam.org/en/view/803191/
Dans une pharmacie  : https://www.insecam.org/en/view/251485/

Quelques explications sur le modèle de sécurité d'Android.

Et hop... 845 Giga-octets de données appartenant à des centaines de milliers d'utilisateurs d'applications de rencontre dans la nature. Avec des photos.
WAIT... y'a vraiment une application de rencontre qui s'appelle "Herpes Dating" ???

Rappel : Flash, c'est mort.

Un peu violent mais sûrement efficace: Quand PortSentry détecte des connexions sur les services fictifs qu'il expose, il bloque l'IP source.

C'est quand même dingue la durée de vie d'un smartphone: 4 ans après sa sortie, Samsung annonce que le S7 ne recevra plus les mises à jours de sécurité ><
Et encore, 4 ans c'est pas le pire chez les fabricants de smartphones.

Pour vos tests, Windows 10 Pro et Enteprise disposent d'une sandbox jetable sous forme d'une VM.
Malekal explique comment l'activer et l'utiliser.
Voir aussi: https://www.malekal.com/sandboxie-securiser-pc-virus-bac-sable/

Bouh que c'est laid. Explications:

Microsoft possède des tonnes de sous-domaines. Par exemple mybrowser.microsoft.com ou identityhelp.microsoft.com.
Les enregistrements DNS de Microsoft pointent vers des instances Azure. Par exemple "mybrowser.microsoft.com" pointe vers le serveur "webserver9000.azurewebsites.net".

Sauf que Microsoft a viré ses instances Azure et a remis les noms de ces instances sur le marché.
Vous pouviez donc louer l'instance Azure "webserver9000" et toute personne qui tape "mybrowser.microsoft.com" arrive sur votre site.
De quoi faire de très belles campagnes de phishing et de distribution de malwares en apparaissant comme un sous-domaine officiel de Microsoft !

Il y avait ainsi environ 700 sous-domaines que Microsoft avait laissé traîner dans ses enregistrements DNS.

Pour une fois que c'est pas moi qui le dit: MASQUER LES EXTENSIONS DE FICHIERS SOUS WINDOWS EST UN RISQUE POUR LA SÉCURITÉ.
Ça fait des décennies que ça pose problème, mais Microsoft continue de les masquer par défaut. Et c'est une connerie.
(Et non: la signature des exécutables n'est pas une solution: le passé a déjà démontré que ça pouvait être abusé)

Refuser sélectivement certains algos de hashage et de signature non sûrs ?

Flemme ! Pas envie de se faire chier :
On dézingue juste tout ce qui a plus de 13 mois.

Think different la sécuritay.

Ouch... ça fait très très mal.

Je vous pose ça là, au cas ou un Apple Fanboy vous sortirait sa ritournelle "Les Macs est plus sécuriséééééé !"

Une petite sélection d'outils de sécurité système qui ont l'air très intéressants. Et ça va bien au delà de simples IDS.

Moi: grogne parce que PayPal limite le mot de passe à 20 caractères.
PayPal: « Vous n'aurez jamais à vous inquiéter, vous êtes sur un site très hautement sécurisé. »
#sécuritay

Google vient de corriger des failles de sécurité critiques dans Android 8.0, 8.1, 9 et 10.
Parmi ces failles, la possibilité de faire exécuter arbitrairement du code à votre téléphone par votre android par bluetooth (https://www.theregister.co.uk/2020/02/07/android_bluetooth_flaw/)
Vous pouvez être à peu près certains que le fabricant de votre téléphone ne fera pas l'effort de les intégrer et que vous ne verrez pas de mise à jour. Et je pense que ça sera le cas de 95% des téléphones Android. Au bas mot.

Pourquoi ? Parce que chaque fabricant ajoute sa surcouche à Android, et que c'est trop long et coûteux de la ré-adapter aux nouvelles versions d'Android qui sortent. (TouchWiz chez Samsung, MIUI chez Xiaomi, XperiaUI chez Sony, Emotion UI chez Huawei/Honor, etc.)

On voit où les fabricants de téléphone mettent la priorité: Concevoir et sortir en permanence de nouveaux modèles pour occuper le marché et vendre, vendre, vendre. Votre sécurité est tout à fait secondaire pour eux.

Nous utilisons tous au quotidien de véritables passoires du point de vue sécurité.
Et c'est aussi pour cela qu'il est aussi facile de pirater ou aspirer les données avec des machines comme celle de Cellebrite: https://sebsauvage.net/links/?Yul2Rw

(D'où l'intérêt des téléphones Android One avec leurs mises à jour mensuelles. Un Android à jour, ça semble bien compliquer les choses: https://sebsauvage.net/links/?GL6_Vw)
Avec un peu de chance, le fabricant de votre téléphone aura adhéré à Project Treble. Explications: https://www.frandroid.com/comment-faire/tutoriaux/trucs-et-astuces/474808_quest-ce-que-treble-et-comment-verifier-la-compatibilite-de-son-appareil-sous-oreo-tuto
(Et application pour vérifier: https://play.google.com/store/apps/details?id=com.kevintresuelo.treble)

Ce gars explique comment il a utilisé une faille de WhatsApp pour aller piquer un fichier dans le système de fichiers.
Et oui, c'est un peu de cette manière que Jeff Bezos (Amazon) s'est fait pirater via un simple message WhatsApp.

Il semblerait que les Android récents soient plus durs à cracker que les iPhones récents. On parle là de la fameuse "machine à cracker" Cellebrite (celle que la France va acheter en masse).
Ce qui est une surprise, car les iPhones ont notoirement toujours été plus difficiler à cracker que les Android.
D'où l'intérêt d'avoir un Android récent avec les patchs de sécurité. Tiens c'est marrant c'est un peu ce que je disais là:  https://sebsauvage.net/links/?nl0aSA

Plus le temps passe, plus je me dis que la condition pour que j'achète un téléphone est qu'ils fasse partie du programme Android One. Raz-le-bol des fabricants de téléphone qui ne répercutent pas les mises à jour de Google sur leurs téléphones.

À propos de cette histoire d'appareil de chez Cellebrite capable de pirater et aspirer toutes les données d'un téléphone (https://sebsauvage.net/links/?Yul2Rw) même verrouillé, vous savez ce que je pense ?  
Que ce genre de chose ne doit être possible qu'en exploitant des failles de sécurité.

Et pourquoi les smartphones sont bourrés de failles de sécurité ? Parce que les fabricants de téléphones ne répercutent pas sur leurs appareils les failles corrigées dans Android par Google.

De quand date la dernière mise à jour de sécurité d'Android que vous avez reçu sur votre téléphone ? Probablement de plus d'un an. En étant chanceux.
Voilà sans aucun doute la source du problème.

D'où mon intérêt grandissant pour Android One: En ayant des mises à jour tous les mois, j'ose espérer qu'un nombre respectable de failles de sécurité seront corrigées, rendant moins facile le piratage de ces téléphones.

EDIT: Ah ben tiens, justement: https://sebsauvage.net/links/?GL6_Vw

C'est carrément pas rassurant.
Note: Ne laissez jamais un chargeur branché sans surveillance. Vous partez ? Débranchez !

Coucou Windows 7  o/
On y est.
Faille critique dans IE. Ce qui inclue Windows 7. Qui ne recevra plus de mises à jour de sécurité. Et la faille est déjà exploitée.

meuneumeuneumeuneu
Mais combien de temps j'ai cherché comme un con comment voir tous les mots de passe stockées dans le trousseau de clés Gnome ? (mdp applications, sites web, Wifi, VPN, partages réseau...)
Alors que c'était si simple: sudo apt install seahorse
Mais pourquoi c'est pas installé par défaut ??? Agreû.
Du coup pouf: Ajouté à ma page d'astuces pour Linux : https://sebsauvage.net/wiki/doku.php?id=linux-vrac

Sous le coude: Une alternative à YubiKey.
Voir aussi: https://www.nitrokey.com/

Nice est l'une des villes les plus vidéo-surveillés de France.
L'impact sur la criminalité ?
« l’analyse des évolutions la seule ville de Nice sur une période relativement longue de sept ans, met en évidence que l’impact de la vidéosurveillance sur des crimes ou délits importants comme le sont les coups et blessures volontaires et les cambriolages est quasiment nul. »
Voilà donc ça sert à rien.
Les anglais ont une expression pour ça: Le «security theatre», c'est à dire le fait de gesticuler dans tous les sens et faire semblant de travailler dur pour la sécurité, mais en faisant du flanc, des trucs parfaitement inutile. Une manière de se dédouaner quand il y a de vrais problèmes de sécurité.
https://en.wikipedia.org/wiki/Security_theater

Voir aussi:
https://sebsauvage.net/links/?0SJkBg
https://sebsauvage.net/links/?bSr3sQ
https://sebsauvage.net/links/?DArabg

Cette faille de l'UI d'Android est assez effrayante: Vous pensez donner des autorisations à une appli, mais en fait vous êtes en train d'en donner à une autre.