Des logiciels malveillants dans les dépôts AUR de la distribution Arch. C'est moche. A noter que ce pourrait arriver de manière tout à fait similaire dans les dépôts utilisateurs comme ppa (Ubuntu).

LOL du jour: La caméra de sécurité à la maison qui envoie le flux vidéo... au mauvais client !  ><
https://www.bbc.co.uk/news/av/technology-44628401/swann-s-kitchen-security-camera-sends-video-to-wrong-app

Ceci est l'un des plus fantastiques fiasco concernant les serrures électroniques. ÉPIQUE.
Ce cadenas se déverrouille en Bluetooth ou par empreinte digitale. Sauf qu'un simple tournevis permet de le démonter. Attendez c'est pas fini.
Le code de déverrouillage électronique est calculé à partir de l'adresse MAC Bluetooth du cadenas (qui est publique). Ils ont créé une application qui permet d'ouvrir TOUS les cadenas de ce modèle en 2 seconde.
C'est pas fini !
Un autre hacker a remarqué qu'il suffit de changer son ID sur le site web pour ouvrir comme il le souhaite à distance n'importe quel cadenas de la marque. Et connaître sa géolocalisation. (Tous les ID client sont simplement incrémentaux, et le serveur ne vérifie pas si vous le changez.)

Facepalm total.

J'ai le droit de dire "pouark" ?
Un bug très commun à la plupart des librairies de compression permettrait d'écraser des fichiers n'importe où sur le disque quand vous décompressez un zip (et donc pas seulement dans le répertoire dans lequel vous dézippez le fichier).

Oups tiens des mots de passe codés en durs dans les équipements réseau Cisco qui permettent de prendre le contrôle total des appareils.  :-(((
EDIT: Et dans la foulée, on apprend que des hackers russes ont piraté des routeurs Cisco utilisé dans le système électrique américain : https://www.darkreading.com/endpoint/privacy/russian-apt-compromised-cisco-router-in-energy-sector-attacks/d/d-id/1331306

:-(((

Une alternative à fail2ban pour surveiller les logs de votre système et agir en conséquence (par exemple pour bannir une adresse IP qui essaient tous les mots de passe sur votre serveur).

EDIT: Voir aussi : https://framagit.org/ppom/reaction

Allez hop, faille de sécurité dans toutes les applications développées en Electron. :-(((   (remote code execution vulnerability !)
PS: ça n'affecte que les applications Electron sous Windows.

Un script pour vérifier si votre système Linux est vulnérable aux failles Spectre et Meltdown.
À exécuter en tant que root: https://raw.githubusercontent.com/speed47/spectre-meltdown-checker/master/spectre-meltdown-checker.sh
Résultat clair et lisible, mais comme indiqué, ce n'est pas du 100%.

Ce site recense tous les outils pour permettre de vous libérer des ransomwares.

Le gouvernement allemand veut une backdoor dans tout équipement relié à internet.
WHAT COULD POSSIBLY GO WRONG ???
C'est pas comme si la NSA s'était elle-même fait pirater ses outils.

Un site pour analyser les applications Android afin de savoir si elles contiennent un tracker.

Bon alors voilà, une bonne grosse faille sur WPA2, le standard qui sert à protéger/chiffrer le WiFi.
Et visiblement, tout le monde est concerné: « The weaknesses are in the Wi-Fi standard itself, and not in individual products or implementations. Therefore, any correct implementation of WPA2 is likely affected. »
Pas rassurant.

Résumé de la faille: (https://mastodon.social/@krypteia/98838905274377087)
« * 4-way handshake nonce reuse attack
* does NOT allow recovery of WIFI password or 4-way handshake negotiated encryption key (except for linux/android which can be tricked into using all-zero encryption key--lolz)
* does allow the attacker to preform a full MITM attack on a Wi-Fi connected client
* no access point patch can fix this, EVERY client device that connects to WiFi needs to be patched »

:-(

EDIT: Explication (et vulgarisation) de la faille en français: http://beta.hackndo.com/krack/

Yahoo continue à s'enfoncer. En fait, en 2013, c'est pas des millions d'email Yahoo qui ont été piratés. C'est TOUS. La totalité.

Adepte des motifs de déverrouillage  ? (comme moi 😖)
Et bien elles sont beaucoup plus facile à casser que les codes PIN.
En regardant une vidéo de quelqu'un qui tape son PIN à 6 chiffres, seul 10% des personnes arrivent à deviner le code.
Cela monte à 64% avec un motif de déverrouillage à 6 points.
(et même 80% la personne peut voir la vidéo plusieurs fois)

Aux Etats-Unis, les bases de données de machines à voter ont été piratées. Se sont retrouvés dans la nature 1,8 millions d'identités, avec noms, prénoms, adresses, date de naissance, numéro de sécurité sociale, et affiliations aux partis politiques.
Une raison de plus d'éviter ces saloperies de machines à voter.

Et hop... un outils pour faire de l'escalation de privilège qui connaît 41 méthodes différentes.

«  données très sensibles : en sus des permis de conduire, on trouve en effet la base du programme de protection de témoins, des détails personnels (noms, photos, domiciles) sur les unités d’élite de l’armée suédoise, sur les pilotes de combat, des informations sur tout Suédois figurant dans un fichier de police ou encore sur les véhicules employés par le gouvernement et l’armée.  »

Mais pourquoi refuser de se faire ficher si on a rien à se reprocher, hein ?

><

Nouveau piratage en masse et demande de rançon.
Utilisant la MÊME failles de sécurité de WannaCry.
*facepalm*

Certains services Microsoft (Hotmail, Live, Onedrive, Outlook, Skype) ont été innaccessibles à cause d'un certificat non renouvellé (par Microsoft).
Comme Firefox vérifie la révocation des certificats (par mesure de sécurité), il a bloqué l'accès.
Internet Explorer/Edge et Chrome n'ont pas bloqué.

Malgré le fait que Firefox ait fait la "bonne chose" (comparativement à IE/Chrome), la conclusion des internautes va sûrement encore être: « Tu vois c'est nul Firefox ça marche pas, alors que IE/Chrome ça marche bien. »
Je facepalm d'avance.

Sur le principe, oui c'est bien.
Mais rien qu'avoir le mot "Google" dans le système d'authentification de mon serveur ssh, ça me refroidit. Complètement.
En prime, c'est juste du TOTP/HTOP, un standard, alors pourquoi avoir recours à du Google ?
On peut faire du TOTP sans le moindre code Google (exemple pour les applis Web): http://sebsauvage.net/wiki/doku.php?id=totp (No Google inside)

Microsoft a déjà patché les failles utilisées par la NSA ?
Je ne vois pas pourquoi on devrait applaudir: Rappelons-nous que Microsoft s'est engagé à fournir au gouvernement américain, sous le secret, les failles découvertes dans ses produits et d'attendre jusqu'à un mois avant de les rendre public.
Alors pardon, mais je ne vais pas féliciter Microsoft sur ce coup là.

Les précédents téléphone Samsung qui proposaient la reconnaissance faciale pouvaient être déverouillés simplement avec une photo du propriétaire présentée devant l'objectif... ou parfois par une personne qui lui ressemble (!).
Etant donné qu'on peut prendre une photo de vous à distance, cela équivaut à pouvoir vous piquer votre mot de passe à distance à n'importe quel moment.

Le nouveau Samsung S8 scanne votre iris.
Super.
Et alors ?
Un bon appareil photo peut photographier à distance votre iris également, tout comme cela a été fait pour les empreintes digitales:
http://sebsauvage.net/links/?TqsGzA
http://sebsauvage.net/links/?j6CFUg

On est au même point: On peut capturer à distance votre authentification.

Donc non non et non: La biométrie ne doit en aucun cas être utilisée pour l'authentification (mot de passe), mais pour l'identification (login).

EDIT: Tiens: http://www.ubergizmo.com/2017/03/galaxy-s8-facial-unlock-photograph/

« Des pirates affirment avoir pris le contrôle de millions de comptes iCloud. Ils menacent de réinitialiser 200 millions d’iPhone si Apple ne paye pas une rançon. »
Oups.

"Seulement" 32 millions de comptes piratés.
Et comment ?
« Les hackers ont utilisé, selon Yahoo, des cookies créés de toutes pièces permettant l'accès aux comptes sans avoir besoin de mot de passe. »
PARDON ???
Parce qu'il est possible, en lisant simplement le code source de Yahoo, de générer un cookie qui permet d'accéder totalement à un compte ?
Un cookie, c'est pas censé être généré de manière aléatoire côté serveur ??? Avec un *bon* aléa, en prime ?   Rhâââ....  >:-(