Quand l'armée américaine fait un appel d'offre pour espionner les européens (via http://cryptome.org/)

mmm... ok bon les enfants cliquent et infectent les machines... mais pourquoi elles ne demandent pas de mot de passe pour installer des trucs, leurs machines ?
(oui je sais, je radote: http://sebsauvage.net/rhaa/index.php?2012/01/18/15/21/45-cliquez-pour-vous-faire-infecter)

EDIT: Article sur mon blog: http://sebsauvage.net/rhaa/index.php?2012/01/30/14/43/22-une-nouvelle-astuces-des-logiciels-malveillants-pour-eviter-la-detection

Pour continuer dans la lignée de ça: http://sebsauvage.net/links/?q7keaA
Voici F-Secure qui analyse un malware Android.
En principe, quand vous avez une application Android, vous pouvez examiner la totalité du code machine Dalvik pour y rechercher des appels (par exemple) à l'envoi de SMS, ce qui marque une application malveillante.

Mais là l'auteur a planqué des données dans l'entête du fichier PNG utilisé comme icône de l'application. Ces données sont combinées (par XOR) à des chaînes de caractères dans le code pour donner un code capable d'envoyer des SMS.

C'est fûté: Même si le programme est scanné à l'installation par des antivirus, ils ne verront pas le code machine qui envoie les SMS.

Si vous avez pcAnywhere installé... coupez-le tout de suite. Danger.

L'auteur d'un botnet travaille pour un éditeur d'antivirus/firewall. Des noms ! Des noms !
EDIT: C'est la société Agnitum, l'éditeur de "Outpost Firewall" (cf. http://nakedsecurity.sophos.com/2012/01/24/microsoft-kelihos-botnet-suspect/)

LOL

Je partage tout à fait ses inquiétudes concernant CloudFlare.
Voir aussi: http://sebsauvage.net/links/?qfjHUA

Arg  X-.  
La faille qui fait mal.
(merci à Nono @ m0le'o'blog pour le lien)
EDIT: Le fix: http://korben.info/bypass-gnome-screensaver-lock-xorg.html

EDIT: Article sur mon blog: http://sebsauvage.net/rhaa/index.php?2012/01/18/15/21/45-cliquez-pour-vous-faire-infecter
Hum ?
Lâchez un enfant sur un ordinateur:
Windows: Voulez-vous installer un malware ?  Clic sur oui ----> clic sur OK dans l'UAC---> malware installé.
Linux: Voulez-vous installer un malware ? Clic sur oui ----> Entrez le mot de passe root...   X  malware bloqué.

Mais ça ne nous empêchera pas d'entendre encore que c'est nul d'avoir à entrer son mot de passe sous nunux pour faire des modifs système...  mais ouais, c'est sûr, c'est trop chiant.

ça c'est pas mal du tout pour éviter de se faire piquer son mot de passe par un keylogger à la con.
EDIT: L'utilisation de QRCode pour la sécurité n'est pas nouvelle: voir ceci : http://sebsauvage.net/links/?litCoA

Il ne serait pas difficile d'imaginer un couple lib php+appli Android pour faire la même chose (ah si j'avais assez de temps): La lib php affiche un challenge sous forme d'un QRCode (daté pour empêcher le rejeu). L'appli Android lit le QRCode et génère la réponse (un HMac du challenge), qu'on peut envoyer par une requête HTTP ou sous forme d'un code à retaper (si le téléphone n'a pas de connexion 3G/GPRS/WiFi à portée).
Cela permettrait d'ajouter cette authentification facilement à vos appli.
La lib php et le téléphone auraient juste à partager un secret (par exemple un très long mot de passe pour signer par HMAC).

Cette authent pourrait s'ajouter au mot de passe (authent double facteur), ou alors remplacer (uniquement authent: "ce que je possède", ce qui peut être un choix risqué).

Vous connaissez les 3 facteurs d'authentification ?
- ce que je sais (mot de passe...)
- ce que je possède (token RSA, badge à puce...)
- ce que je suis (biométrie)

oh... Après SELinux (Linux sécurisé), voici SEAndroid. Cool. SELinux (venant aussi de la NSA) a déjà été largement passé en revue, et c'est du logiciel clair et fiable.
Je pense que SEAndroid sera bon également (ce ne sont pas des débutants) et sans backdoor (à vérifier bien sûr, mais là, curieusement, je ne ressens pas le besoin du chapeau en papier d'alu. Ça devrait être net comme SELinux.)
(via Le Hollandais Volant)

Pouah... exemple de malvertising (Site sans malware, mais affichant des publicités qu'il ne contrôle pas et qui contiennent un exploit permettant l'infection de l'ordinateur).
Là on voit très clairement le risque quand on inclue dans ses pages un contenu qu'on ne contrôle pas.

Purée des fois chez cryptome ils me font peur.
«I personally believe that the FBI, or at least certain officials within the administration at that time, willingly advocated the relaxation of encryption export regulations only due to their discovery of critical vulnerabilities and weaknesses in the RSA encryption algorithm [...] Most of these standards are now literally set in stone insofar as embedded systems are concerned, and the vast majority of OpenBSD / OCF installations are embedded-based without an upgrade path [...] Literally millions (and potentially hundreds of millions) of OpenBSD installations are out there in the embedded space such as routers, firewalls, VPN devices etc,»

Je résume en français: Le FBI connaît des vulnérabilités d'OpenBSD et de RSA (aujourd'hui comblées), mais a laissé des tas d'entreprises utiliser ces implémentations à la sécurité affaiblie, qu'on retrouve maintenant partout (OS, routeurs, VPN, RFID..), avec peu de chances de mise à jour (puisque embarqué). Le FBI (et d'autres agences) auraient donc la connaissance suffisante pour pénétrer ou bypasser un tas de système utilisant ces anciennes implémentations (qui sont encore très répandues).

Bon je vais mettre mon chapeau en papier d'alu, hein.

(Pour ceux qui ne connaissent pas cryptome, c'est une organisation dans le genre de wikileaks, mais qui est beaucoup plus discrète.)

Ben il ne fait pas bon plaisanter, chez les compagnies aériennes. Et si on joue à BomberMan pendant le vol, on se fait arrêter aussi ?

Ah ben tiens, l'article que Korben avait écrit pour "Enter at your own risks" (http://sebsauvage.net/links/?WYgTqQ). Intéressante, cette liste.

Ouch... outils de brute force sur ftp, ssh, mysql, vnc, dns, zip, pop, http, ldap, smb...  
http://www.darknet.org.uk/2011/12/patator-multi-purpose-brute-forcing-tool/

Tiens.... pastebin.com a été attaqué.

Haha... suite à ça: http://sebsauvage.net/rhaa/index.php?2011/05/23/14/18/35-le-livre-a-23-millions-de-dollars
Françoise me signale qu'il y a encore de chouettes promos sur Amazon, comme ce livre à 891 MILLIONS DE DOLLARS.

TOUT - VA - BIEN.

Dormez tranquille, des logiciels vont prochainement s'assurer de la sécurité d'internet, automatiquement: http://sebsauvage.net/rhaa/index.php?2012/01/02/16/09/28-un-malware-defensif

(Le "logiciel interne", c'était des dossiers partagés Outlook où étaient présents des fichiers qui n'auraient pas dû y être. Mais chut, je n'ai rien dit.)

Jean-Bernard m'informe que les anciennes URL de téléchargement direct de Flash ne sont plus valides (cf. ceci: http://sebsauvage.net/rhaa/index.php?2011/06/07/11/14/29-mettez-flash-a-jour).
En attendant, voici le lien direct pour télécharger l'excellent installeur Ninite qui s'occupera de vous mettre Flash à jour sans passer par les téléchargeurs pourris d'Adobe. (Téléchargez le fichier "Ninite Flash Flash IE Installer.exe" fourni et installez-le en admin.)
Notez qu'il faut une connexion internet pour que Ninite fonctionne.

Ah ben bravo...  :-/
EDIT: là aussi http://www.e-alsace.net/index.php/smallnews/detail?newsId=9543

Encore une faille GSM... il est vraiment temps que le consortium se sorte les doigts du cul et arrête de mettre la tête dans le sable comme les groupements de carte bancaire chaque fois qu'on signale un problème de sécurité majeur.

Ah bon ? Ils doivent avoir une version méchamment modifiée, alors.

mmmm... PARDON ? Il y a une grosse backdoor permettant de prendre à distance le contrôle des téléphones Android depuis le début, et Google n'a rien fait ?

La biométrie améliore la sécurité, vraiment ? Alors lisez la mésaventure de cet internaute qui a fait faire son passeport. Édifiant.
La suite là: http://www.matthieuamiguet.ch/blog/passeport-biometrique-suite-du-feuilleton
sans oublier.... ça: http://www.leparisien.fr/faits-divers/plus-de-10-des-passeports-biometriques-seraient-des-faux-19-12-2011-1775325.php

EDIT: Article sur mon blog: http://sebsauvage.net/rhaa/index.php?2011/12/22/08/13/58-l-effrayante-histoire-de-matthieu-amiguet