Comme vous le savez, il y a des fraudes au passe sanitaire.
Il faut savoir qu'il existe 2 applications TousAntiCovid:
- l'application personnelle qui sert à stocker et afficher votre passport sanitaire.
- l'application qui sert aux restaurateurs et autres accueils du public à *contrôller* l'attestation.
Ce sont deux applications différentes.

Alors petit truc "rigolo": Si vous scanner le code de quelqu'un avec la PREMIÈRE application (la "personnelle"), le QR-Code s'ajoute à votre téléphone.
En utilisant la première application, un commerçant pourrait donc stocker une copie des QR-Code de tout ses clients. Et éventuellement les revendre.

Décidément, la gestion de ce passe sanitaire par le gouvernement est une totale catastrophe.
(via https://mastodon.gougere.fr/@PierreCol/106621710751246523)

EDIT: Article: https://www.liberation.fr/checknews/passe-sanitaire-un-meme-qr-code-peut-il-etre-utilise-sur-plusieurs-smartphones-20210724_5SOUAZ3SPJHPLPWJFWVKQJMGDY/

Ok donc en fait il est facile, en utilisant de multiples sites web, de deviner des numéros de carte bancaire valides, et de deviner également les dates d'expiration et le CVV (cryptogramme visuel).
Visiblement, le système VISA est sensible à ce genre d'attaque, mais pas MasterCard.
Le principe consiste à entrer le numéro de carte sur de multiples sites web, et d'essayer de commander. Chaque site indiquera si la date et le CVV sont valides ou non.

Un article qui présente le modèle de sécurité Windows.

(Contexte: Chaque système d'exploitation (Windows, Linux...) a sa manière particulière de gérer les droits d'accès aux ressources (fichiers, périphériques, etc.) en fonction des utilisateurs, profils, etc. C'est généralement complexe, et très différent entre Windows et Linux. Le modèle de sécurité de Windows est particulièrement complexe et difficile à appréhender).

Je note ça si ma banque essaie encore de m'imposer leur appli d'authentification à la con sous prétexte de DSP2: « La réglementation n’impose pas aux établissements de proposer plusieurs dispositifs d’authentification forte. »

Tiens encore du vol de données. Ah oui il y en a eu une de Pôle Emploi, aussi (https://twitter.com/MaximeReynie/status/1403836647494594562).  *fatigue*.
À quand celle du "Health Data Hub" français ?

EDIT: Des nouvelles de la base piratée de Pôle Emploie: https://bluetouff.com/2021/06/17/fuite-de-donnees-chez-pole-emploi-la-base-de-donnees-naurait-finalement-pas-ete-vendue/

Elcomsoft est un spécialiste des solutions de déchiffrement. Leur constat ? VeraCrypt est *beaucoup* plus difficile à attaquer que BitLocker, LUKS ou FileVault2.
Le seul moyen d'attaquer VeraCrypt, c'est d'essayer de mettre la main sur les clés de chiffrement en mémoire pendant qu'une partition VeraCrypt est montée. Et même cette opération a été rendue plus compliquée par les développeurs de VeraCrypt avec un système de chiffrement de la RAM.

Encore la Chine.

Exemple d'attaque informatique qui a des conséquences très concrètes dans la vie quotidienne.

- Linux : est modulaire et libre.
- Google: Prend Linux pour en faire un gros monolithe sur lequel il a un contrôle total : Android.
- Les fabricants de téléphone: Prennent ce gros monolithe, et tentent tant bien que mal de l'adapter et le bidouiller à leur sauce pour sortir une version pour leur téléphone (en faisant généralement de la merde).
- Google: Corrige des failles de sécurité dans son monolithe.
- Les fabricants: Ne mettent pas à jour parce que c'est très lourd, compliqué et coûteux de refaire les adaptations.
- Les utilisateurs: Se retrouvent avec des téléphones Android contenant de grosses failles de sécurité jamais corrigées.

Bravo Google, tu as réussi à transformer un système d'exploitation à l'origine fiable, sûr, modulaire et facile à mettre à jour en un gros blob moche, truffé de problèmes de sécurité et impossible à mettre à jour. Je n'appelle pas ça une réussite. C'est probablement le pire OS qui existe. Au moins Microsoft arrive à distribuer les correctifs de sécurité sur tous les Windows, peu importe le fabricant de l'ordinateur.

Les chercheurs : "Tiens et si on pourissait le noyau Linux avec des failles de sécurité pour voir ce que ça fait ?"
À quel moment tu va cramer des abris-bus "pour voir ce que ça fait" ? À quel moment ça a merdé dans ton cerveau de chercheur ?

Ah oui tiens après Facebook, c'est LinkedIn (Microsoft) qui laisse fuiter des informations sur un demi-milliard d'utilisateurs: adresses email, numéros de téléphone, noms, liens vers les réseaux sociaux, etc.

L'internet des ransomwares connectés. Mais c'est tellement vrai, cette image. Je garde ça, parce que je sens qu'on va pouvoir la re-sortir avec le fameux "ON VOUS L'AVAIT DIT, HEIN ?" tellement énervant.

Application bancaire mobile: « Oh làlà non monsieur ! Vous ne pouvez plus accéder à vos compte en ligne: Il faut impérativement activer SécuriPass pour garantir la sécurité de votre compte sur mobile, donc autorisez-nous à accéder à votre téléphone, et on vous envoie 2 SMS et un email pour confirmer l'activation. Parce que la sécurité, c'est important. D'ailleurs on y peut rien, c'est la réglementation européenne. Et aussi on accède au GPS pour savoir où vous êtes. Voulez-vous aussi des cookies avec ça ? »

Site bancaire: « Entrez votre numéro de compte et le mot de passe à 6 chiffres. Non vous ne pouvez pas utiliser plus de 6 chiffres. Non pas de lettre et symboles non plus. Parce que c'est suffisant pour la sécurité. »

Donc merci Crédit Agricole, mais votre application mobile insupportable elle DÉGAGE de mon mobile.
Vous ne pouvez pas m'imposer un protocole SOIT-DISANT super-sécurisé, et dans le même temps m'interdire d'utiliser un mot de passe SOLIDE.

(Et je n'ai jamais reçu le foutu mail d'activation Sécuri-Pass, je me retrouve donc BLOQUÉ dans l'application Android (qui fonctionnait bien jusque là) et qui maintenant me jette comme un malpropre alors que mon mot de passe est correct. Super sympa. 😠)

EDIT: https://lehollandaisvolant.net/?id=20210301063758

Énorme boulette d'une banque: Hier les clients de LCL qui se connectaient sur leur application mobile voyaient le compte d'une autre personne. Complet avec les comptes, les soldes, les opérations.
https://bluetouff.com/2021/02/24/pourquoi-et-comment-les-clients-victimes-de-la-boulette-du-credit-lyonnais-pourraient-etre-poursuivis-par-leur-banque-et-condamnes/

Un outils pour Linux pour faire de l'escalation privilege en exploitant diverses failles.

Ah ! On entend reparler de cette incroyable histoire de piratage à grande échelle (cf. https://sebsauvage.net/links/?JhDBgQ)
Article source : https://www.bloomberg.com/features/2021-supermicro/

Tentative d'empoisonnement des citoyens d'une ville via le piratage d'ordinateurs dans la station de traitement de l'eau en augmentant les concentrations d'hydoxide de sodium utilisé dans le traitement de l'eau. Ils ont pu corriger les régagles avant que ça fasse des dégâts.

Donc la fondation Raspberry a ajouté VSCode à Raspbian (dérivé de Debian), en ajoutant les dépôts Microsoft. Sans prévenir les utilisateurs.
Donc à chaque fois que vous faites une mise à jour sur votre OS, ça ping les serveurs de Microsoft.
Donc en gros tous les Raspberry pinguent les serveurs de Microsoft à chaque mise à jour.

Encore plus rigolo: ça installe les certificats Microsoft de signature de paquets.
Et donc votre distribution installera sans broncher les dépendances que Microsoft jugera bon d'installer. Depuis les dépôts Microsoft.

Voilà pourquoi quand il s'agit de logiciels auxquel je n'accorde qu'une confiance limitée:
- je ne les installe pas en ajoutant dépôt+clé du dépôt, mais juste avec le .deb.
  - et après installation du .deb, je vérifie qu'il n'a pas ajouté une source apt et une clé.
- je fais tourner ces logiciels dans firejail pour qu'ils n'accèdent pas à mes fichiers personnels.

Faites attention aux dépôts que vous ajoutez à votre distribution: Le dépôt peut vous installer n'importe quoi à l'occasion d'une mise à jour.
Faites-vous confiance au dépôt que vous avez ajoutés ?

EDIT: Voici le commit à la source du problème: https://github.com/RPi-Distro/raspberrypi-sys-mods/commit/655cad5aee6457b94fc2336b1ff3c1104ccb4351

Mort de rire: Des enfants ont réussi à bypasser la protection de mot passe d'économiseurs d'écran Linux en provoquant un coredump en tapant comme des malades des touches au clavier.  Pouah !

Vous avez cliqué "Se connecter avec Google" sur une application ? Les développeurs ont la possibilité d'accéder à la totalité de votre compte Google en exploitant une faille pas trop complexe. Espérons que Google va rapidement combler cette faille.

Tiens je suis tombé sur ce petit scanner de vulnérabilités pour site web. Il est assez sympa.
Il faut également prendre les templates: https://github.com/projectdiscovery/nuclei-templates
ou mettre à jour les templates: ./nuclei --update-templates
puis lister les templates disponibles: ./nuclei -tl

Puis scanner un site en choisissant la template:
echo "http..." | nuclei -t files/
echo "http..." | nuclei -t cves/
etc.

Les différents types de SSD. Et comment effacer un SSD.

Donc un nouveau malware recherche des failles de sécurité dans certains UEFI pour les infecter.
Effet Kisscool n°1: La machine n'est pas désinfectable.
Effet Kisscool n°2: Le système d'exploitation ne voit même pas l'infection, puisque le rootkit est chargé un niveau au dessus.
Effet Kisscool n°3: SecureBoot lui-même ne sert absolument à rien car le rootkit se place avant SecureBoot. Donc oui l'OS est chargé sans modification, la signature crypto n'est pas altérée. Mais la machine est quand même infectée.