Des jouets connectés pour les enfants, WHAT COULD POSSIBLY GO WRONG ?
Je vous présente la peluche CloudPet, un charmant jouet vendu à plus de 800 000 exemplaires qui permet d'échanger des messages vocaux entre enfants et parents. Messages vocaux en total accès libre sur internet, sans authentification. Et dont la base de données a déjà été prise plusieurs fois en otage par des pirates.
Ah... le fabricant avait été prévenu à maintes reprises, et il n'avait rien fait.
Mais c'est pas grave, hein, puisqu'on si on a rien à se reprocher on a rien à cacher ?    ><

EDIT: Dans le même genre, en Allemagne: http://www.lemonde.fr/pixels/article/2017/02/20/en-allemagne-une-poupee-connectee-qualifiee-de-dispositif-d-espionnage-dissimule_5082452_4408996.html

Woa purée question sécurité, ce ne sont pas des amateurs chez Google. Ils vont jusqu'à concevoir eux-même des puces qui contrôlent le BIOS, le bootloader, le noyau et l'image de l'OS qu'il font tourner.
Et ils ont plein d'autres mesures de sécurité.

Comment les navigateurs stockent les mots de passe.
(via http://links.kevinvuilleumier.net/?b0XqBQ)

« La Maison Blanche suspecte fortement la Russie, et Vladimir Poutine en personne, d’avoir influencé les élections américaines. Barack Obama va annoncer des cyber-représailles »
Hein quoi ?
Ne me dite pas que ces saloperies de machines à voter vont être à l'origine de la troisième guerre mondiale ???

BlackBerry ? Le même BlackBerry qui a menti sur la sécurité de ses terminaux en utilisant une clé de chiffrement unique pour tout le monde ? (http://sebsauvage.net/links/?uvZrfw). Le BlackBerry qui a secrètement collaboré pendant des années avec les forces de l'ordre en déchiffrant les messages qu'il disait indéchiffrables ? (http://sebsauvage.net/links/?NoCktw)
Alors merci, mais non merci.
Certes ils essaient de faire mieux, mais en ce qui me concerne il va falloir faire bien plus que ça pour regagner ma confiance.

Bouah... la bonne grosse faille de sécurité. C'est pas beau.
Bon en même temps, il faut déjà avoir un accès physique à la machine, et dans ce cas là, vous êtes déjà mal.
(via fo0)
EDIT: https://utux.fr/index.php?article88/non-on-ne-pirate-pas-linux-en-appuyant-sur-la-touche-entree

J'ai vu ce reportage hier. Même s'il y a des simplifications (normal pour un reportage destiné au grand public), c'est bien. Cela met en lumière l'acoquinage de Microsoft avec les Etats-Unis. Dommage qu'ils n'aient pas mentionné l'épisode Tunisie, ou le fait que Microsoft ait livré une version spéciale de Windows à la dictature chinoise.  TL;DR: Microsoft collabore aussi avec les dictatures. Aucune mention dans le reportage, dommage !  Ou encore le fait que Microsoft avait légèrement oublié de mentionné qu'il récupère toutes les clés de chiffrement BitLocker (chiffrement de disque).

Dommage aussi que la Gendarmerie n'ai pas voulu témoigner de son passage à Linux et au logiciel libre (aussi bien les côtés positifs que négatifs. On entend jamais parler des côtés négatifs de cette migration, j'aimerais les entendre). Par contre, la note interne de la gendarmerie sur les risques de pressions de Microsoft à leur encontre est inquiétante.
Bref... c'est toujours bon de voir un média démocratiser ces problèmes (dont la plupart des gens n'ont absolument pas conscience).

L'interview de Microsoft est un formidable exemple de langue de bois.
La partie la plus #LOL, c'est quand Microsoft parle des développeurs du libre « On ne sait pas qui ils sont ! »... mouarf, c'est sûr que les dépôts Git, c'est totalement anonyme, on ne sait pas qui commit et il n'y a aucune validation :-D

Concernant les failles de sécurité, les journalistes ont un peu oublié de dire que le monde du Libre en a aussi. Mais tout ce qui fait la différence, c'est la manière dont c'est traité:
- À de très rares exceptions près, dans le monde du Logiciel Libre les failles ne sont pas gardées secrètes (contrairement à Microsoft).
- Les failles ne sont pas gardées secrètes EXPRÈS pour pouvoir les communiquer à certains gouvernements, et les rendre publiques seulement un mois après (ce qui laisse le temps aux agences de renseignement de les exploiter pour leur compte).
- Les correctifs peuvent être passés en revue (contrairement aux correctifs Microsoft qui ne livrent que des binaires: on ne connaît pas la nature exacte de leurs corrections).

Encore une fois, et même si ça partait d'une bonne intention, le législateur a foiré sur la remontée de failles de sécurité. Ceux qui remontent les failles ne seront donc... pas en sécurité.

Les caméras-sur-IP sont notoirement pas/mal protégées... et elles sont désormais utilisées pour effectuer des attaques DDOS.
Soyez certains que l'augmentation des objets connectés va également augmenter la puissance des attaques, d'autant que ces objets sont très mal sécurisés.

Accessoirement, pour les applications en lesquelles vous avez une confiance moyenne, vous pouvez aussi utiliser Firejail qui propose différentes isolations (disque, réseau...) et - il me semble - désormais aussi une isolation X.
https://firejail.wordpress.com/
C'est assez léger et ça tourne en espace utilisateur.
Par exemple je m'en sers quand je suis obligé de lancer Skype, sans que ce dernier puisse aller farfouiller mes marques-pages Firefox.
(Quoi vous l'ignoriez ? https://philpep.org/blog/Skype-%3A-un-logiciel-qui-vous-veut-du-bien
ou encore : https://web.archive.org/web/20101207052536/http://forum.skype.com/index.php?showtopic=95261 )

Les clés électroniques des voitures: L'illusion de la sécurité.

Pas terrible, la sécurité :-(

C'est plutôt vague comme description, mais ça sembler relativement important, comme faille. Quelles versions de Windows Microsoft décidera de ne pas patcher ?

« le simple fait de vérifier l’existence d’une faille constitue un accès non autorisé, donc une infraction »
Ah ok. Donc signaler qu'il y a une grosse faille de sécurité qui met tous les utilisateurs d'un site en danger vous vaudra de la prison ou des amendes. Bravo.
Par cette décision, députés ignares, vous venez de RÉDUIRE la sécurité informatique de tout le monde.
Enfin bon, ce n'est qu'un projet de loi, mais je leur fait confiance pour tout merder.

BlueCoat - le fabricant de solutions de surveillance vendues à l'Iran et au Soudan - est désormais une CA (autorité de certification). Les équipements BlueCoat pourront donc intercepter le traffic SSL/HTTPS sans lever d'alertes. Merci Symantec. >:-(
EDIT: Ah ben voilà, Symantec a racheté BlueCoat. http://www.pcworld.com/article/3082771/symantec-to-acquire-blue-coat-for-465-billion.html

...ce qui en revient à ce que je disais: Pour être en sécurité, il ne faut pas mémoriser des mots de passe, mais un ALGORITHME.
Cet algorithme sera unique, rien qu'à vous, et vous devez être capable de le dérouler dans votre tête.
La BASE peut être (comme dans cet article) des mots écrits sur un bout de papier, ou encore d'autres éléments (comme le nom de domaine du site web).

Base + algorithme vous donnera alors votre mot de passe.
Cela vous permettra d'avoir un mot de passe unique pour chaque site web.

Cela ne règle bien entendu pas le problème des keyloggers, où un autre système sera nécessaire (Mots de passe à usage unique, YubiKey, TOTP/HTOP...)

*GIANT FACEPALM*
En tant que développeur, cette affaire est juste lamentable. Oui c'est super le packaging et le déploiement automatique des dépendances, mais en DEV, BORDEL, EN DEV.
En prod, vous devriez héberger et déployer vous-même vos dépendances. Sinon ce n'est pas seulement la porte ouverte à des blocages de déploiement en cas de problème, mais aussi de très sérieuses failles de sécurité.
Et si un exploit js avait été injecté dans cette fameuse lib ? Vous imaginez le nombre de sites compromis ?

Combien votre projet a-t-il de dépendance installées automatiquement ?
Savez-vous si le développeur de chaque module protège bien ses mots de passe et ses clés Git ?

(Si vous n'êtes pas au courant de cette histoire, les explications chez Korben: http://korben.info/11-lignes-de-codes-disparaissent-centaines-de-projets-open-source-mis-a-mal.html
Et pour info, le site left-pad.io est juste un site humouristique, une blag de développeur)
(via Sam&Max)

La super fausse bonne idée que tous les politiques techniquement incultes ont: Mettre des backdoors dans les produits.
C'est ce qu'a fait la NSA avec les firewalls Juniper.
Le résultats ? Piratage par la Russie et la Chine d'entreprise américaines, vol d'informations personnelles de 5,6 millions de personnes, piratage du département du Trésor, etc.

Les politiques français n'ont vraiment VRAIMENT pas conscience du danger des backdoors et des possibilités de déchiffrement.

(via http://lehollandaisvolant.net/?id=20160307161237)

Les commandes dangereuses en Python.  (via Sam&Max)

Attention, il y a une ISO vérolée de Linux Mint qui circule.
(Si vous avez téléchargé une ISO dans la journée du 20 février 2016)
EDIT: Retour de l'équipe de Mint sur cette attaque: http://blog.linuxmint.com/?p=3007
Informations complémentaires: https://linuxfr.org/news/linux-mint-a-ete-compromise

Oui bon, on remplace un "ce que je sais" (le mot de passe) par "ce que je possède" (un téléphone).
Mais un téléphone, ça se fait voler. Beaucoup, d'ailleurs.
Est-ce que ça se fait moins voler qu'un mot de passe ?  Je suis dubitatif.
Avec ce système, Google réduit la sécurité au nom de la simplicité.
A la limite, pourquoi pas: On pourrait ainsi adapter la sécurité de la phase de connexion en fonction de l'environnement (peu risque: un simple code à deux chiffres. Plus risqué: un mot de passe. Très risqué: à deux facteurs.)

Voilà pourquoi les bloqueurs de publicité sont utiles au delà de la publicité: ils assurent une meilleure sécurité (les listes de blocage de uBlock-Origin proposent d'ailleurs en option de bloquer des domaines malveillants).
Là on a l'exemple parfait: Forbes (pensez: «L'Expansion» version américaine), l'un des plus gros magazines économiques (sinon le plus gros), qui demande à ses lecteurs de couper les bloqueurs de publicité... et leur sert des malwares dans les pubs.  Doh. ><

Alors ça, ça sent le bon gros produit marketing. Bien lourd.
Faut voir à l'usage si c'est au niveau de ses prétentions.
CloudFlare avait de grosses prétentions, mais ils les ont tenues.

Tiens, la méthode du « cold boot » appliquée aux smartphones. Pas mal.