Je me met ça de côté pour lecture ultérieure: Quelques entêtes HTTP à ajouter à vos pages pour améliorer la sécurité pour vos visiteurs (contre XSRF, XSS, inclusion dans des frames/iframes, etc.)

Pouah... visiblement certains nœuds de sortie TOR font des attaques MITM. C'est à dire, en gros, qu'ils vous piquent vos mots de passe ou espionnent votre trafic HTTPS. :-(
Donc même dans TOR, faites attention à ce que vous faites.

Vous utilisez des phrases au lieu de simples mots de passe ?  Vous pensez être à l'abri ? C'est raté. Ce n'est pas plus efficace qu'un simple mot de passe.
Les crackers de mots de passe utilisent habituellement des dictionnaires. Cela permet de casser un sacré paquet de mots de passe hashés. Mais récemment, quelques chercheurs se sont amusés à alimenter également leur logiciel avec la bible, Wikipedia, Facebook, les commentaires YouTube, les logs IRC, pastebin, les ebooks, les scripts de films, les paroles de chanson et quelques milliers de documents du projet Gutemberg. Et là, ils ont eu beaucoup plus de succès, jusqu'à casser des phrases de 55 caractères.
(merci à Flavien pour le lien)

Framablog a été piraté :-/

Haha... c'est trop fun.  95% ???

Microsoft donne un petit sursis aux utilisateurs de Windows XP: Ce 8 avril 2014 devait marquer la fin des mises à jour de sécurité pour Windows XP, mais Microsoft a décidé de repousser cette date au 14 juillet 2015. Cela inclue l'antivirus gratuit de Microsoft, Microsoft Security Essentials.

mimikatz, le logiciel qui récupère les mots de passe Windows (à exécuter en admin). (via https://tiger-222.fr/shaarli/?90iqZw)

Juste une note: C'est la fin de Windows XP cette année en avril. Il n'y aura plus de mises à jour de sécurité.
Et dans le même temps, Microsoft tuera également son antivirus Microsoft Security Essentials.
Pensez à migrer.

« J'ai pas besoin d'antivirus, je ne visite que des sites de confiance et je ne télécharge pas. » Bla bla bla.

EDIT: https://twitter.com/nozdus/status/420196590154809346  « @sebsauvage je n'ai pas besoin d'antivirus car mon navigateur n'a aucun plugin activé et encore moins ce plugin java tout obsolète »
Certes cela réduit les risques... mais ne les élimine pas !  :-)   Chaque navigateur a eu son lot de failles critiques (que ce soit à base d'iframe, URL, javascript ou autres), permettant l'exécution de code arbitraire.

Recherchez le mot «arbitrary» parmis ces vulnérabilités:
Firefox: http://www.cvedetails.com/vulnerability-list/vendor_id-452/product_id-3264/Mozilla-Firefox.html
Chrome: http://www.cvedetails.com/vulnerability-list/vendor_id-1224/product_id-15031/Google-Chrome.html
IE: http://www.cvedetails.com/vulnerability-list/vendor_id-26/product_id-124/Microsoft-IE.html

Bref, même sans plugin (et même sans Javascript), personne n'est vraiment à l'abri. Pourquoi ? Parce qu'un logiciel parfait, sans bug, ça n'existe pas.

Merci Linksys, merci Netgear. On ne peut vraiment faire confiance à personne, et encore moins aux logiciels/matériels à sources fermés.
Stallman a raison.
EDIT: Le code: https://github.com/elvanderb/TCP-32764

Très bon. Je n'avais pas vu ce site: Ce sont les vidéos des conférences organisées par le CCC, le Chaos Computer Club, l'un des plus anciens groupes de hackers. (via https://links.sirc.at/?MQSfUw)

Ouf !

Ah... en plus Zythom qui commence par une citation de Frank Herbert. Magnifique :-)
(On le sens tendu, mais je le serais à sa place.)

QUOI ?    PARDON ????
L'ANSSI (Agence nationale de la sécurité des systèmes d’information), vous savez cette GRANDE autorité nationale française qui est censée nous PROTÉGER a visiblement créé et diffusé des certificats d'autorité intermédiaires, permettant à d'autres de créer des certificats frauduleux pour plusieurs domaines appartenant à Google. Et des certificats frauduleux ont effectivement été observés par Google (dans un équipement commercial non nommé, et utilisé dans une entreprise non nommée.)

La réponse de l'ANSSI ? "oups c'était juste une erreur": http://www.ssi.gouv.fr/en/the-anssi/events/revocation-of-an-igc-a-branch-808.html

Alors ça peut:
 a) soit effectivement être une erreur.
 b) soit ne pas en être une, et cela n'est que la pointe de l'iceberg qui permet à différents "copains" du gouvernement français d'espionner SSL ou faire du MITM tranquillement (que ce soient des agences de renseignement ou des entreprises privées).

Que ce soit l'un ou l'autre, cela montre à quel point le modèle des autorités de certifications ne vaut absolument plus rien. Mozilla ferait aussi bien de supprimer les alertes quand Firefox reçoit un certificat non signé par une autorité.

EDIT: Le certificat racine de l'ANSSI n'est pas inclus dans Firefox. L'agence nationale a demandé son inclusion en mai 2012, mais ne l'a pas encore obtenue: http://www.mozilla.org/projects/security/certs/pending/#ANSSI%20%28Government%20of%20France%29

Ceci dit, vous avez quand même dans Firefox un certificat racine du gouvernement français:
   E = igca@sgdn.pm.gouv.fr
   CN = IGC/A
   OU = DCSSI
   O = PM/SGDN
   L = Paris
   ST = France
   C = FR

DCSSI n'est rien d'autre que l'ancien nom de l'ANSSI.
Vous le trouverez dans la liste des certificats d'autorité sous le petit nom de PM/SGDN > IGC/A.

SGDN = Secrétariat général de la défense nationale

EDIT: chez Reflets: http://reflets.info/mitm-de-google-par-l-anssi-la-theorie-du-doigt-qui-pointait-la-lune/
Reflets suggère que ces certificats auraient été utilisés en interne pour contrôler les flux de données et éviter des fuites, et que les utilisateurs auraient été prévenus. Je demande quand même à voir la tronche de leur charte informatique, car j'ai de gros doutes. Même en dehors de cela, je trouve la pratique limite.
Question intéressante levée par Reflets: Comment Google a-t-il vu ces certificats, vu qu'ils n'étaient déployés qu'en interne ?  Une fuite d'un employé, ou autre ?  On aura pas la réponse...

Tiens, F-Secure distribue une appli gratuite pour gérer ses mots de passe (pour Windows, MacOSX, iOS et Android).  Je n'aime pas confier mes mots de passe à une appli, mais j'ai une bonne opinion en F-Secure.
(via http://deleurme.net/liens/index.php5?DCNI0w)

+1
Le chiffrement côté serveur n'assure aucune confidentialité puisque par principe ILS ONT LES CLÉS pour chiffrer/déchiffrer.
C'est comme si un fabricant vous installait une super porte antivol que VOUS SEUL pouvez ouvrir... et qu'ils gardent une copie des clés, leur permettant de rentrer chez vous quand ils veulent (eux ou les forces de l'ordre, puisqu'ils coopèrent).

Et oui !... ils n'ont toujours pas corrigé depuis le mois de Janvier: http://sebsauvage.net/links/?afB1AA
(Comment voulez-vous passer pour des "pros" après des gaffes comme ça ?)

Tiens curieux, sur mon compte GitHub aussi il y a eu plusieurs tentatives de connexion il y a deux jours.  Je pense que GitHub a subit des tentatives de piratage de comptes.
EDIT: Ah oui: https://github.com/blog/1698-weak-passwords-brute-forced

Voilà qui est intéressant: Le firmware de la puce qui gère USB/GSM/3G/WiFi/Blutooth/DSP (et autres) est bien séparé de l'OS (Android, iOS)... et il est assez complexe pour être considéré comme un système d'exploitation à part entière. Ce firmware est appelé "baseband software".
Un système d'exploitation totalement propriétaire et fermé, non documenté et visiblement conçu dans l'esprit des années 90, c'est à dire sans sécurisation.  Les failles doivent être très nombreuses.
Donc on peut se pignoler des heures sur la sécurité respective d'iOS ou Android: Au final, tous les smartphones peuvent être p0wnés jusqu'au trognon à cause de ces firmwares.  Et installer une ROM opensource genre Cyanogen ne vous protègera pas.
EDIT: La présentation en vidéo: http://www.youtube.com/watch?v=fQqv0v14KKY

Un outils en ligne pour analyser les exécutables Windows ou Android (.apk): Uploadez votre fichier et il vous fait une analyse.
Voir aussi : http://sanddroid.xjtu.edu.cn/
Note: Ces deux services sont très lents, soyez patient.

Faille OpenSSH, pensez à patcher.

Je l'avais évoqué en 2010 (http://sebsauvage.net/rhaa/?2010/02/24/11/21/13-les-bugs-informatiques-peuvent-tuer), et là nous avons le premier cas jugé: Toyota a été jugé responsable de la mort d'une conductrice à cause de bugs dans le code de son modèle Camry.
N'oublions pas qu'une Toyota Prius, c'est 100 millions de lignes de code...  Peut-on raisonnablement penser qu'il n'y a pas de bugs dans une telle quantité de code ?

Bwwwaaa... j'avais fait la connerie de me désabonner du flux RSS de Gof, parce que j'étais noyé dans les news, mais il y a trop de choses intéressantes à voir dans ses brèves.  Je remet le flux.

EDIT: https://twitter.com/_Gof_/status/395121941637382144   Oui je lis tout ce qui mentionne @sebsauvage ou #sebsauvage  :-)

Rappel: Les principales sources d'infection lors de la consultation de pages web sont les plugins Flash et Java.

Voici comment configurer Firefox pour qu'il n'active ces plugins que sur demande explicite de votre part:
 - dans la barre d'adresse, tapez about:config
 - dans la configuration, passez le paramètre "plugins.click_to_play" à "true".

Ainsi, quand vous arriverez sur une page contenant un plugin (Flash par exemple), il faudra cliquer sur la zone pour charger le contenu du plugin (par exemple la vidéo Flash).

Avantages:
 - par défaut les pubs Flash et contenus malveillants ne s'activeront pas.
 - les plugins n'étant pas activés, les pages se chargeront plus vite (surtout quand il y a plusieurs Flash dans la page, ou que vous chargez plusieurs onglets d'un coup)
 - cela évite d'en prendre plein les oreilles quand des sites font de l'autoplay.
 - vous aurez quand même la possibilité de demander à Firefox de démarrer automatiquement Flash sur certains sites.

Quand vous cliquerez sur un de ces plugins, Firefox vous proposera d'activer les plugin juste pour cette fois ("Activer maintenant") ou toujours sur ce site ("Toujours activer", par exemple pour YouTube).
Vous pouvez changer ce réglage site par site en faisant clic-droit sur le fond de page > Informations sur la page > Permissions.

En évitant d'activer pour rien les plugins, on réduit grandement les risques d'infection.

EDIT: Zut. Depuis Firefox 24, l'option plugins.click_to_play ne sert plus à rien. Il faut aller dans le menu Outils > Modules complémentaires > Plugins > et choisir "Demander pour activer" pour chaque plugin.

Quelques lectures "sécurité web" que je me met sous le coude pour les lire plus tard.