Chroniques de la cyber-guerre: ALORS VOILA, ON Y EST. On a enfin la confirmation que le cheval de Troie Stuxnet a été créé par un gouvernement (Israël, avec l'aide des USA) pour en attaquer un autre (Iran).
Je vous recommande cette présentation: http://www.ted.com/talks/lang/fr/ralph_langner_cracking_stuxnet_a_21st_century_cyberweapon.html
qui montre comment le cheval de Troie a été très spécifiquement conçu pour attaquer les centrifugeuses iraniennes.

Chez NakedSecurity: http://nakedsecurity.sophos.com/2012/06/01/stuxnet-usa-israel-iran-virus/

Oh cool, une application Messenger pour Android envoie en clair votre login et mot de passe.  (via Le Hollandais Volant).

Le vote électronique français est encore pire que je pensais  X-|

Vous aussi vous pouvez prévenir les visiteurs de votre site d'une possible infection.

Pour voter par internet, le ministère de l'intérieur français préconise d'utiliser une ancienne version de Java et de désactiver éventuellement l'antivirus.   £$*@§&%!  WHAT - THE - FUCK ?  On est bien en 2012, là ?
Le vote électronique est déjà une connerie, mais là le ministère ajoute une connerie à une connerie (en plus d'utiliser les services d'une entreprise privée espagnole pour gérer un vote démocratique français.)

Ils ne recommandent pas IE 6, aussi ?

Google remet ça. C'est une bonne chose: Ils préviennent les internautes dont l'adresse IP semble infectée par le malware DNSChanger.
(Ils l'avaient déjà fait: http://googleblog.blogspot.fr/2011/07/using-data-to-protect-people-from.html
et je le fais sur mon site avec Project Honeypot: http://sebsauvage.net/rhaa/index.php?2011/08/01/07/13/04-retour-sur-project-honeypot )

Il faudrait que je vois s'il y a des API autres que Project Honeypot (comme ipvoid.com) pour prévenir l'internaute qu'il est probablement infecté.

Voilà ce qu'il faudrait que je fasse: Une lib js/php qui peut prévenir les internautes qu'ils sont probablement infectés en interrogeant divers sites de réputation d'IP (Project Honeypot, WOT, hpHosts, MalwareDomains, etc.) par affichage d'une popup par dessus la page (qu'on peut fermer).
Genre: "Your IP address seems to perform suspicious activities. You computer may be infected. Click here to learn more."
et ça enverrait sur une page qui explique, avec en prime les liens vers chaque page de réputation (PH, WOT, etc.)

Pour protéger une page, un simple include suffirait. ça ne devrait jamais ralentir la page (genre: déclencher le js 2 ou 3 secondes après la fin de chargement de la page, et aller questionner des API en ajax.)

Un peu comme: http://sebsauvage.net/wiki/doku.php?id=project_honeypot
mais sans le blocage.

EDIT: Je me liste deux ou trois bricoles ici pour mémoire:

• chez hpHosts: API simple (requête HTTP, réponse texte brut) sans clé d'API : http://hosts-file.net/?s=Help#developers
Exemple: http://verify.hosts-file.net/?v=monapplication&s=89.187.53.245 (renvoie "Listed" ou "Not Listed")

• chez WOT: http://www.mywot.com/wiki/API
API public (HTTP, réponse XML ou json) sans clé d'API.
Exemple: http://api.mywot.com/0.4/public_query2?target=109.230.245.232
ou http://api.mywot.com/0.4/public_link_json?hosts=109.230.245.232/ en json

• chez ProjectHoneypot: réutiliser ma lib: http://sebsauvage.net/wiki/doku.php?id=project_honeypot
(requête DNS, nécessite une clé d'API (gratuite))

• chez Clean-mx.de: API publique (requête HTTP, réponse XML). Sans clé d'API.
Exemple:
(web) : http://support.clean-mx.de/clean-mx/viruses.php?ip=109.163.231.194
(xml) : http://support.clean-mx.de/clean-mx/xmlviruses.php?ip=109.163.231.194

Pas de panique, ils sont quand même efficaces (voir mon commentaire, que je recopie ici):

« Si vous suivez un peu le site de Malekal, vous verrez que c'est même pire que ça: Il arrive à trouver des malwares totalement inconnus de VirusTotal, ou alors avec un score de 1 ou 2 seulement.

Aucun antivirus n'est efficace à 100%, on le sait, mais ils conservent tout de même une excellente efficacité (supérieure à 90%). Au risque de prendre encore une comparaison automobilistique: La ceinture de sécurité ne vous garantie pas que vous n'aurez jamais d'accident et que vous ne mourrez jamais au volant, mais elle sauve malgré tout un nombre incroyable de vies.

Il en est de même pour l'antivirus. Il serait idiot de s'en passer.

Concernant ce cas précis où le malware n’a pas été vu par certains ténors du marché (Avast, Kaspersky, NOD32…), c’est bien pour cela que je recommande un scan à la demande, de temps en temps, avec un autre antivirus que votre antivirus habituel.
Cela permet d'attraper les rares malwares qui seraient passés au travers du filet.
http://sebsauvage.net/safehex#r048

Typiquement, si vous avez Avast, passez une fois par semaine un autre antivirus gratuit (scan à la demande): Malwarebytes, DrWeb, TrendMicro, F-Secure…

PS: Malwarebytes est considéré par Malekal comme l’un des meilleurs antimalwares/antivirus existants. Je lui fais confiance.»

Ah génial... des malware sur DeviantArt maintenant. Tout est bon pour exploiter la crédulité des internautes.

Ce que j'ai remarqué aussi, ce sont des innombrables vidéos YouTube qui proposent des cheats, des mods ou carrément des versions pirates pour divers jeux (FPS, Minecraft...). Systématiquement, les fichiers téléchargés sont infectés. En fait, dès que vous voyez un fichier proposé en téléchargement dans le descriptif d'une vidéo YouTube, passez votre chemin.

Exemple:
Un soit-disant cheat pour COD4 : http://www.youtube.com/watch?v=G1Lq98Sjba8
Le fichier proposé en téléchargement donne ceci dans VirusTotal: https://www.virustotal.com/file/43fec747df7c49cf0c285bccf2e036a3514110e18134c81ef165605963b10d5d/analysis/1337597790/

Un outils pour bruteforcer les conteneurs TrueCrypt. A noter que 30 secondes pour tester 10000 mots de passe, ça fait environ 333 mots de passe testés par seconde. C'est extrêmement long (Les crackeurs comme John The Ripper, pour les hash Windows, en testent plusieurs MILLIONS par seconde). Cela me conforte dans l'idée que les concepteurs de TrueCrypt ont vraiment bien pensé leur système.
http://code.google.com/p/truecrack/

Notez que l'année dernière, le FBI a passé un an sur un conteneur TrueCrypt et s'y est cassé les dents.

C'est clair, non ? Même les éditeurs d'antivirus ne parviennent pas à sécuriser correctement leur site web. Comment le "délit de négligence caractérisée" peut-il exister ? C'est absurde.

Piqure de rappel: Les internautes étaient infectés simplement en visitant une page web. Ils n'avaient rien téléchargé.

Voilà un mythe qui tombe: Les antiques fichiers RTF *peuvent* contenir du code malveillant.

Tiens, intéressant cette centralisation... et inquiétant.

Je suis de l'avis de Korben: ça va faciliter le typo-squatting et le phishing.

Oh oh... les websockets (inclus dans Firefox) peuvent mettre en péril votre anonymat si vous utilisez TOR. En effet, la résolution DNS se fait par TOR, *sauf* dans le cas de websockets. Cela pourrait permettre aux sites web de déterminer votre adresse IP réelle.
Vous pouvez désactiver les websockets dans la config de Firefox (voir l'article lié).

oh bon sang...

HAHAHA ! Mais oui, bien sûr, je vais aller stocker mes mots de passe dans le cloud.

*GIANT FACEPALM*

ppffff...

Héhé... excellent. Comme ce que fait l'extension FlashBlock.  Les responsables de régies de pub doivent hurler.

Non c'est une *blague*, hein ? La CNIL ne laisse pas traîner ce genre de chose sur ses serveurs ???

Les numéros de carte bleue restent sur les disques durs des X-Box d'occasion ? Doh !

Oups... quand une grosse boite de sécurité oublie de renouveler son nom de domaine... :-D

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Voici donc (enfin diront certains) ma nouvelle clé OpenPGP.
ID: 6C73DA99
Empreinte: C1A4 881B C122 1124 9B6F  6E14 B630 24F9 6C73 DA99
Expiration: 2022-03-27
Type: RSA-4096 bits

Vous pouvez l'utiliser pour vérifier l'authenticité d'un message que j'envoie,
pour m'envoyer un message chiffré ou pour vérifier la signature de fichiers
que j'aurai signés.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.17
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=CDku
-----END PGP SIGNATURE-----

EDIT: J'ai également soumis la clé à divers serveurs OpenPGP dans le monde, dont le serveur historique (pgp.mit.edu). Vous ne devriez pas avoir de difficulté à la trouver.

Marrant, c'est exactement ce qui m'est arrivé dans ma (future-ex) boîte (plus que quelques semaines !): http://sebsauvage.net/rhaa/index.php?2010/11/08/19/54/41-je-suis-content-d-utiliser-certpatrol

La nouvelle astuce des pédophile pour faire des sites sans que les autorités puissent constater d'infraction ? Servir des images différentes en fonction du HTTP_REFERER. Les images illégale ne sont visible que si vous venez d'un site particulier.