Woao... il ne se passe pratiquement pas une semaine sans qu'on découvre un package npm malveillant. Et vues les dépendances monstrueuses de n'importe quel projet, ça me donne envie de rester loin de cet écosystème. (Je rappelle que dans le monde npm les gens utilisent UN PACKAGE pour savoir si un nombre est pair (https://www.npmjs.com/package/is-even) au lieu de faire un simple modulo.)
Et quand on sait que npm est lancé aussi sur des machines de prod pour les installations, je vous laisse imaginer les risques.

Non mais on rigole sur le package "is-even", mais vous voulez voir les sources de ce package ?
https://github.com/i-voted-for-trump/is-even/blob/master/index.js
OUI, IL DÉPEND DU PACKAGE IS-ODD.
*facepalm*
(et bien sûr, les sources du package is-odd: https://github.com/i-voted-for-trump/is-odd/blob/master/index.js)

Je cite : « Pleins d’objets « connectés » sont en panne partout dans le monde puisque le service de cloud AWS est en panne dans un ensemble de datacenter "us-east-1", qui est proposée par défaut il me semble lors de la création d'un projet AWS aux États-Unis.  »
On parle de plein d'objets: Des aspirateurs. Des sonnettes de porte d'entrée.
Répétez après moi: « Objets "INTELLIGENTS" »
Parce que bien sûr piétiner notre vie privée c'était pas suffisant.

PS: Si vous vous dites que vous vous en foutez que Trump connaisse le plan de votre appartement à cause de votre aspirateur connecté, dites-vous que votre aspirateur accède à votre WiFi et qu'il a un ordinateur intégré. Il a donc moyen d'aller "parler" aux autres machines chez vous. Ou sniffer le réseau. Ou par exemple faire une réponse DNS à la place du vrai DNS.

EDIT: Ah ben tiens, on me signale que Roomba (le fabricants d'aspirateurs connectés) envisage de revendre les données qu'il a sur vous (plan de votre appartement, etc.)
https://www.zdnet.fr/actualites/roomba-l-adorable-aspirateur-espion-de-votre-interieur-douillet-39855400.htm

L'armée française utilise GMail, un service de mail dont on *sait* que les responsables collaborent avec les services secrets d'une nation étrangère depuis 2009 pour l'accès aux données.
Le facepalm.
(article source: https://www.nextinpact.com/lebrief/44599/pourquoi-etat-major-armees-est-autorise-a-utiliser-gmail)

USBGuard, un outils pour limiter l'utilisation des périphériques USB (pour la sécurité).

Mais il était censé nous protéger !

Sous le coude.

Rappel: Les noeuds de sortie TOR (ceux qui sortent du réseau TOR pour aller sur l'internet "traditionnel") *peuvent* être malveillants.
Quelqu'un a dépensé beaucoup d'argent pour prendre le contrôle de 23% des noeuds de sortie TOR (c'est ÉNORME) afin de voler des bitcoins.

Malaise: Une faille de sécurité a été découverte dans le processeur qui équipe 40% des téléphones mobiles de cette planète. Exploitée, elle permettrait de prendre le contrôle totale de l'appareil.
La réaction de Qualcomm est aussi désastreuse que la faille elle-même: "On a pas de preuve que cette faille est exploitée. Mais évitez de télécharger des applications en dehors de GooglePlay"
Ok boomer.
Et la correction ?

Oui les mises à jour de sécurité récents de grub2 on posé pas mal de soucis aux utilisateurs Linux.

Le system PAM de Linux est en charge (entre autres) de l'authentification des utilisateurs.
PAM signifie "Pluggable Authentication Module", ce qui veut dire qu'on peut "brancher" différents modules d'authentification.
Le standard (login/mot de passe) va vérifier le mot de passe dans un fichier, mais on peut en mettre d'autres: clé SSH, empreinte digitale, OTP, serveur LDAP, clé USB...
Vous pouvez même développer vos propres modules pour utiliser de nouvelles forme d'authentification.

Vive la bidouillabilité de Linux. La souplesse de PAM permet de faire des choses amusantes: À une époque, j'avais configuré PAM pour que la webcam prenne une photo chaque fois que quelqu'un essaie un mot de passe sur l'ordinateur.

Nous sommes en 2020 et il y a toujours des gens qui installent des webcams sans le moindre mot de passe...

Corrolaire: Si vous allez juste acheter votre baguette de pain, vous êtes peut-être en live sur le web !  https://www.insecam.org/en/view/843084/
Vous faire couper les cheveux ? Observé !   https://www.insecam.org/en/view/839518/
Ou à la terrasse d'un restautant    https://www.insecam.org/en/view/803191/
Dans une pharmacie  : https://www.insecam.org/en/view/251485/

Quelques explications sur le modèle de sécurité d'Android.

Et hop... 845 Giga-octets de données appartenant à des centaines de milliers d'utilisateurs d'applications de rencontre dans la nature. Avec des photos.
WAIT... y'a vraiment une application de rencontre qui s'appelle "Herpes Dating" ???

Rappel : Flash, c'est mort.

Un peu violent mais sûrement efficace: Quand PortSentry détecte des connexions sur les services fictifs qu'il expose, il bloque l'IP source.

C'est quand même dingue la durée de vie d'un smartphone: 4 ans après sa sortie, Samsung annonce que le S7 ne recevra plus les mises à jours de sécurité ><
Et encore, 4 ans c'est pas le pire chez les fabricants de smartphones.

Pour vos tests, Windows 10 Pro et Enteprise disposent d'une sandbox jetable sous forme d'une VM.
Malekal explique comment l'activer et l'utiliser.
Voir aussi: https://www.malekal.com/sandboxie-securiser-pc-virus-bac-sable/

Bouh que c'est laid. Explications:

Microsoft possède des tonnes de sous-domaines. Par exemple mybrowser.microsoft.com ou identityhelp.microsoft.com.
Les enregistrements DNS de Microsoft pointent vers des instances Azure. Par exemple "mybrowser.microsoft.com" pointe vers le serveur "webserver9000.azurewebsites.net".

Sauf que Microsoft a viré ses instances Azure et a remis les noms de ces instances sur le marché.
Vous pouviez donc louer l'instance Azure "webserver9000" et toute personne qui tape "mybrowser.microsoft.com" arrive sur votre site.
De quoi faire de très belles campagnes de phishing et de distribution de malwares en apparaissant comme un sous-domaine officiel de Microsoft !

Il y avait ainsi environ 700 sous-domaines que Microsoft avait laissé traîner dans ses enregistrements DNS.

Pour une fois que c'est pas moi qui le dit: MASQUER LES EXTENSIONS DE FICHIERS SOUS WINDOWS EST UN RISQUE POUR LA SÉCURITÉ.
Ça fait des décennies que ça pose problème, mais Microsoft continue de les masquer par défaut. Et c'est une connerie.
(Et non: la signature des exécutables n'est pas une solution: le passé a déjà démontré que ça pouvait être abusé)

Refuser sélectivement certains algos de hashage et de signature non sûrs ?

Flemme ! Pas envie de se faire chier :
On dézingue juste tout ce qui a plus de 13 mois.

Think different la sécuritay.

Ouch... ça fait très très mal.

Je vous pose ça là, au cas ou un Apple Fanboy vous sortirait sa ritournelle "Les Macs est plus sécuriséééééé !"

Une petite sélection d'outils de sécurité système qui ont l'air très intéressants. Et ça va bien au delà de simples IDS.

Moi: grogne parce que PayPal limite le mot de passe à 20 caractères.
PayPal: « Vous n'aurez jamais à vous inquiéter, vous êtes sur un site très hautement sécurisé. »
#sécuritay

Google vient de corriger des failles de sécurité critiques dans Android 8.0, 8.1, 9 et 10.
Parmi ces failles, la possibilité de faire exécuter arbitrairement du code à votre téléphone par votre android par bluetooth (https://www.theregister.co.uk/2020/02/07/android_bluetooth_flaw/)
Vous pouvez être à peu près certains que le fabricant de votre téléphone ne fera pas l'effort de les intégrer et que vous ne verrez pas de mise à jour. Et je pense que ça sera le cas de 95% des téléphones Android. Au bas mot.

Pourquoi ? Parce que chaque fabricant ajoute sa surcouche à Android, et que c'est trop long et coûteux de la ré-adapter aux nouvelles versions d'Android qui sortent. (TouchWiz chez Samsung, MIUI chez Xiaomi, XperiaUI chez Sony, Emotion UI chez Huawei/Honor, etc.)

On voit où les fabricants de téléphone mettent la priorité: Concevoir et sortir en permanence de nouveaux modèles pour occuper le marché et vendre, vendre, vendre. Votre sécurité est tout à fait secondaire pour eux.

Nous utilisons tous au quotidien de véritables passoires du point de vue sécurité.
Et c'est aussi pour cela qu'il est aussi facile de pirater ou aspirer les données avec des machines comme celle de Cellebrite: https://sebsauvage.net/links/?Yul2Rw

(D'où l'intérêt des téléphones Android One avec leurs mises à jour mensuelles. Un Android à jour, ça semble bien compliquer les choses: https://sebsauvage.net/links/?GL6_Vw)
Avec un peu de chance, le fabricant de votre téléphone aura adhéré à Project Treble. Explications: https://www.frandroid.com/comment-faire/tutoriaux/trucs-et-astuces/474808_quest-ce-que-treble-et-comment-verifier-la-compatibilite-de-son-appareil-sous-oreo-tuto
(Et application pour vérifier: https://play.google.com/store/apps/details?id=com.kevintresuelo.treble)