Je vous encourage à lire et partager cet article, tellement c'est édifiant sur la catastrophe absolue qu'est la sécurité à l'heure actuelle sur internet. Et sur tous les rapaces qui se servent grassement sur la carcasse.
(Article de Reflets en accès libre.)

Une checklist pour améliorer votre sécurité informatique: mots de passe, email, messageries sécurisées, ordinateur... la liste est très détaillée, précise et pertinente... mais c'est tellement long ! 😱
(via http://nicolas-delsaux.hd.free.fr/Shaarli/?X-V58Q)

EDIT: La version courte : https://security-list.js.org/#/2_TLDR_Short_List

Il faudra que j'essaie ça à la place de firejail.
(Pratique pour isoler des applications du système et même de votre répertoire /home.)

C'est très très moche: Les noms, adresses, téléphone, email, N°sécurité sociale et une partie des informations médicales de 500 000 personnes est dans la nature.

Ok donc le système d'arrêt d'urgence de ces 6000 éoliennes en cas de vent trop fort cesse de fonctionner si elles perdent la connexion à internet. C'est moi ou bien c'est encore de la bonne grosse ingénierie de merde ???
Tant qu'on y est, pourquoi pas une voiture dont les freins cessent de fonctionner si elle perd la connexion à internet ???
On pourrait arrêter de faire des objets maladivement dépendants d'internet ?  Merci.

Lynis : Un outils qui permet de scanner un système Linux à la recherche de risques de sécurité (mauvaise configuration, paquets obsolètes, etc.) et donne des conseils de sécurisation.

Il semblerait que certaines Tesla freinent brusquement sans raison. Tesla a également rappelé 54000 véhicules qui grillaient des stops. Et autres joyeusetés.
Non décidément, la conduite "autonome" de Telsa n'est pas rassurante.

Je pose ça là (la prochaine fois que quelqu'un me dit "gneu gneu gneu Linusque c'est pas professionnel.")
Ceci dit, cet article ne parle pas du cas des Logiciels Libres (autres que Linux). Si certains corrigent vite (Apache), pour certains projets les bugs peuvent demeurer très longtemps.

Ah bah y'a pas que Linux qui y va de sa petite faille de privilege escalation !  ^^

⚠️⚠️⚠️ Quand je vous disais de ne pas soumettre n'importe quel fichier à VirusTotal.

VirusTotal est un service gratuit de Google qui permet d'analyser un fichier avec tous les antivirus du marché. C'est extrêmement pratique. Mais cela veut aussi dire que vous envoyez votre fichier à Google. Et il est clairement indiqué dans les conditions d'utilisation de VirusTotal qu'ils se réservent le droit de conserver les fichiers.

Et il se trouve qu'en payant une licence VirusTotal (600€), on peut accéder aux fichiers qui ont été envoyés (c'est utile pour les développeurs qui veulent créer et améliorer des logiciels anti-malwares).
Ils ont retrouvé dans les fichiers de VirusTotal beaucoup de logins et mots de passe.

Exemple de RaspberryPi planqué dans une armoire réseau qui permettait un accès illégal au réseau interne.

Et hop... comment fuiter par erreur sa clé privée d'un portfeuille BitCoin. Ouch. ><

Certains routeurs (ici: des TP-Link) ont un réseau Wifi caché actif en permanence. Une très mauvaise idée du point de vue sécurité.

Si en tant qu'informaticien vous vivez sous un cailloux, vous n'étiez peut-être pas au courant d'une faille de sécurité dans log4j récemment signalée. Une faille dramatique.
Comme beaucoup de composants libres, log4j est massivement utilisée par tout le monde, de Microsoft à Spotify en passant par Tesla et Minecraft.
Encore une fois, je ne peux que refaire le même constat que j'avais fait il y a 11 ans: https://sebsauvage.net/rhaa/index.php?2010/03/03/12/17/13-un-manque-de-reconnaissance-certain
(et qui va dans le même sens que le dessin d'xkcd, toujours aussi juste).
Ça n'a pas beaucoup changé. Un peu quand même. De gros projets comme le logiciel libre Blender ont désormais de gros soutiens (NVidia, Apple, Facebook, Amazon, Intel...), mais pour des projets moins connus (souvent des librairies), c'est le vide sidéral (curl, tz-data, gzip, sqlite, OpenSSL... et des centaines d'autres briques **essentielles** à toute notre infrastructure informatique actuelle): ce sont souvent des projets tenus à bout de bras par 3 gars dans un coin.
Et pourtant ces projets sont utilisés par toutes les plus grosses multinationales qui soutiennent rarement ces projets. Pour ces boites qui brassent des milliards, un don de 500€ par mois serait vraiment sans conséquence, et ça aiderai pourtant tellement.

EDIT: Article : https://www.nextinpact.com/article/49180/log4shell-derriere-importante-faille-eternelle-question-soutien-au-logiciel-libre
https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-022/

Oh la boulette ><

Si par hasard vous avez encore une Debian qui a encore le vieux certificat Let's Encrypt expiré, voici comment le mettre à jour:
https://raw.githubusercontent.com/xenetis/letsencrypt-expiration/main/letsencrypt-expiration.sh :

#!/bin/bash
if [[ $(lsb_release -sc) = "jessie" || $(lsb_release -sc) = "stretch" ]]; then
 apt-get install ca-certificates -y
 sed -i -e 's|mozilla/DST_Root_CA_X3.crt|#mozilla/DST_Root_CA_X3.crt|g' /etc/ca-certificates.conf
 sed -i -e 's|mozilla/ISRG_Root_X1.crt|#mozilla/ISRG_Root_X1.crt|g' /etc/ca-certificates.conf
 wget https://raw.githubusercontent.com/xenetis/letsencrypt-expiration/main/certificates/isrgrootx1.crt -P /usr/local/share/ca-certificates/
 wget https://raw.githubusercontent.com/xenetis/letsencrypt-expiration/main/certificates/lets-encrypt-r3.crt -P /usr/local/share/ca-certificates/
 update-ca-certificates -f
fi
if [[ $(lsb_release -sc) = "buster" ]]; then
 apt-get install ca-certificates -y
fi

Oh purée... c'est assez effrayant.
Pour introduire volontairement des failles de sécurité, il suffit parfois de modifications mineures. Par exemple remplacer "==" (signe de comparaison) par "=" (assignation). Ces "attaques" sont visible pour un oeil averti.

Mais qu'est-ce qui se passe si l'oeil ne voit plus ?  Avec Unicode, il est possible d'utiliser des caractères qui ressemblent à notre alphabet latin, mais qui n'en sont pas, ou pire changer l'ordre d'écriture (gauche-droite) afin que le texte s'affiche d'une manière dans l'éditeur de texte, alors que le compilateur l'interprétera autrement. Cela ouvre la possibilité d'insérer des failles de sécurité pratiquement impossibles à voir, même si vous avez le code source sous les yeux dans votre éditeur de texte.
(Pour un exemple d'inversion gauche-droite, allez sur cette page: https://sebsauvage.net/wiki/ et recherchez mon adresse email dans la page: Elle s'affiche normalement, mais si vous regardez le source html, c'est un autre texte qui s'affiche).

Je pense qu'il serait intéressant que les éditeurs de texte aient une option pour afficher dans une couleur particulière tout ce qui n'est pas purement "texte latin" (0000-024F), ainsi que les caractères Unicode qui provoquent des modifications (retour arrière, changement de direction).

Des proof-of-concept de cette attaque dans différents langages sont visible là : https://github.com/nickboucher/trojan-source

hahaha donc la clé de signature italienne des passes sanitaires européen a fuité. Des gens se sont même amusés à créer de passes sanitaires pour Adolf Hitler et Mickey Mouse.
La clé a probablement déjà été révoquée, mais les applications de contrôle Android et iOS semblent encore considérer ces certificats bidons comme valides.

Étudiants, ne vous amusez pas à pirater un système "pour le fun".

Un bootkit, c'est à dire un rootkit qui se charge via UEFI avant le système d'exploitation. L'OS et les antivirus ne voient pas le rootkit.

Pouah il était temps que je mette à jour quelques entêtes sécurité de mon site. Bon je n'irai pas jusqu'à CSP, parce que mon site vieux (il a 22 ans !) a malheureusement encore du javascript inline que je n'ai pas le courage de nettoyer, mais pour le reste il devrait maintenant être à peu près à jour concernant les entêtes sécurité comprises par les navigateurs modernes.
Voir aussi : https://securityheaders.com/

« Une base de données de plusieurs gigaoctets a été découverte sur le Web, exposant des millions d'informations personnelles en provenance de d'objets connectés et appareils médicaux. »
Les objets connectés (et les systèmes qui sont derrière) sont sécurisés avec les pieds. Évitez les objets connectés.

1) Prendre le fichier EICAR
2) Le mettre sous forme de QR-Code
3) Le faire scanner un peu partout (supermarchés, bornes...)
4) Lancer son rire de maître du monde machiavélique 😈
(et comme ils disent dans l'article, « Sachez toutefois qu’il est possible d’acheter de t-shirts avec un code QR EICAR imprimé dessus. Après tout, s’il y a des caméras de surveillance qui scannent des codes QR, ce n’est pas votre problème… »)

On est bien d'accord que là, le bordel mis par cette faille, c'est 100% la faute des antivirus et de Windows ?

(Contexte: Le fichier EICAR est un petit fichier que tous les éditeurs d'antivirus se sont accordés pour détecter. Cela permet de vérifier le bon fonctionnement des antivirus. Le fichier EICAR lui-même est un petit programme totalement sans danger. Le fait de mettre ce fichier sous forme de QR-Code le fait entrer dans des systèmes informatiques quand vous le scannez, ce qui bloque certains système dont l'antivirus détecte le code.)

Lien de la vidéo: https://www.youtube.com/watch?v=cIcbAMO6sxo

Faille de sécurité dans des millions de routeurs. Et cela concerne aussi certaines Livebox (Orange).
(via https://twitter.com/bearstech/status/1424718965000048641)