Bon alors NON, il faut le dire clairement: Pas de rootkit dans les DRM d'Ubisoft. C'est tout simplement faux. Il faut lire la disclosure: http://seclists.org/fulldisclosure/2012/Jul/375
Le gars PENSE AVOIR TROUVÉ un moyen de faire planter le navigateur en utilisant le plugin navigateur installé par l'éditeur du jeu, mais il n'a MÊME PAS TESTÉ si ça marchait vraiment.
Donc arrêtons de monter ça en chantilly.

Trop de mots de passe partout sur les sites ?

Ce développeur propose une solution radicale: Plus de mots de passe DU TOUT. Quand vous voulez vous connecter sur un site, vous donnez votre email et recevez l'URL pour vous connecter par email. Bien sûr le lien ne serait valable qu'une fois, et pour une courte période.

Ça paraît choquant, mais ça se tient: Ou a souvent l'email ouvert (par exemple le webmail ou un smartphone), et seul celui qui possède l'accès à l'adresse email peut les lire. Plus qu'un seul mot de passe à retenir: Celui de votre boîte email.

Coté utilisateur: Plus de mot de passe à retenir pour le site. Plus de risque de se le faire voler par un keylogger. Et vous pouvez savoir si quelqu'un d'autre essaie de se connecter sur votre compte quasiment en temps réel. (on pourrait aussi imaginer que le mail contient l'adresse IP qui a effectuée la demande)
Côté serveur: Plus de mots de passe à gérer, plus de risque de vol des mots de passe ou de leur hash.

Distribuer les logiciels hping ou scapy est un délit en France ? WTF ??? o_o
Dommage aussi que ce rapport se concentre sur la protection de l'état et des entreprises, pas des citoyens. C'est caractéristique de l'optique qu'a l'état sur internet.

Donc maintenant même les scanners d'iris ne peuvent plus être considérés comme sûrs. Je présume qu'ils trouveront également des hacks pour les scanners rétiniens. Entre ça et les empreintes digitales reproduites avec des nounours en gelée, la biométrie devient une farce.

Un rapport de plus... mais ces problèmes sont loin d'être nouveaux. J'en parlais déjà il y a 6 ans: http://sebsauvage.net/rhaa/index.php?2006/09/15/00/00/05-die-for-it
mais les premiers problèmes avaient été signalés avant ça.

Il semblerait que les BMW sans clé soient faciles à démarrer avec un petit hack...  c'est dans ces moments là que je n'aime *pas* le progrès.

Mais MERDE, quand est-ce que les gens vont comprendre que ce sont des EXPLOSIFS, et que c'est donc extrêmement dangereux ?
(J'ai manipulé des explosifs militaires.)
Vraiment des nazes. Rien dans le ciboulot.

Nous y voilà: Maintenant que les smartphones pullulent, ils deviennent une cible de choix pour les spammeurs: Il semblerait que de nombreux téléphones Android soient à la source de spam. L'infection vient probablement d'applications piratés, infectées et installées hors de Google Play (ce que tendrait à prouver l'origine des spams: principalement des pays en voie de développement).

mmm... pourquoi pas, mais j'ai de gros doute sur l'efficacité de ce genre de logiciel.
http://www.crystalaep.com/

AH. Alors après les compteurs-cafteur d'EDF (http://sebsauvage.net/links/?akxSSA), voici les compteurs-mouchard de Gaz-de-France ? Purée. Et sécurisés avec les pieds, comme d'habitude, je présume ?  :-(

où on reparle de tuto4pc/PCtuto/eoRezo... je vous laisse lire.

Bon... même les tokens hardware ne sont plus sûrs, maintenant. La cause ? La plupart des fabricants ne respectent pas les consignes crypto. Typiquement, la norme PKCS#11 peut être utilisé pour (dé)chiffrer des données ou protéger des clés, mais PAS les deux à la fois.  Le chiffrement des clés sert à les exporter du token (pour les centraliser, par exemple). Donc vous demandez au token d'exporter une clé (ce qu'il fait, sous forme chiffrée), puis vous lui demandez de déchiffrer les données... ce qu'il fait, vous donnant ainsi la clé en clair. Doh. C'est incroyablement bête, comme erreur. Devil is in the details. En crypto, on ne s'improvise pas spécialiste. Même RSA s'est fait avoir par cette erreur (et pourtant, ce ne sont pas des débutants.)

Explication détaillée: http://blog.cryptographyengineering.com/2012/06/bad-couple-of-years-for-cryptographic.html

Donc: Si votre société a des hardware tokens basés sur PKCS#11, il y a de fortes chances pour qu'ils soient vulnérables (et que donc un hacker ait un accès direct à votre VPN malgré le token). Chérie, ça va couper.

Trop fort: Les labs d'AVG sont en train d'étudier et décortiquer un cheval de troie... lorsque soudain le hacker qui a écrit le virus active le chat intégré et commence à discuter avec eux.  oO
(via BoingBoing)

Rappelons-le: Ce genre de faille EXISTE. Contrairement à ce que j'ai déjà pu entrendre, ce n'est *PAS* une légende. Je veux dire: Être infecté simplement en affichant une page web. Démonstration avec cette faille d'Internet Explorer (pas encore corrigée par Microsoft).

Putain de putain de putain... voilà que 01Net sort sa merde de "01net PC Optimizer" (optimiseurs bidons). Merde. Ce site est de plus en plus pourri.
Je suppose que c'est une merde du genre ça: http://sebsauvage.net/rhaa/index.php?2011/09/26/20/01/29-le-teton-du-flamby

Malekal, fais gaffe ! Il y a une faille dans VMWare qui permet aux logiciels de s'échapper des VM.   :-o
(PS: Ce n'est pas la première fois qu'une faille de ce genre est découverte chez VMWare)

EDIT: My bad. Ce n'est pas VMWare, mais d'autres vendeurs qui sont concernés: Xen, Microsoft, FreeBSD, RedHat...
VMWare dit que, justement, ses produits ne sont pas affectés par cette faille. (Merci à Christophe F. d'avoir pointé l'erreur)

Une des nouvelles fonctionnalité du prochain Firefox ? L'activation des plugins seulement à la demande, en cliquant dessus... comme ce que propose Opera. Encore.

« New rule: every website must disclose their password storage format on the signup page. Scared to disclose ? It's too weak. »
Yes ! ça serait une excellente idée (Coucou Diigo, avec vos mots de passe envoyés en clair dans les emails)

Le point sur le piratage du blog de Zythom.

Ah ouais quand même, SCADA est une formidable concentration de mauvaises pratiques de sécurité. Et ils veulent faire piloter tout le réseau électrique/eau avec ça ?

Bon gros FAIL de la sécurité allemande: Le papa qui installe un cheval de Troie sur l'ordinateur de sa fille pour la surveiller. Le copain de la fille qui le repère, l'élimine et remonte jusqu'à l'ordinateur personnel de papa... qui contient des informations confidentielles sur le système de surveillance GPS du gouvernement allemand... qui se trouve à son tour piraté, avec toutes les données dans la nature:  identifiants, mots de passe, numéros de téléphone ou de plaques d'immatriculation, coordonnées GPS... ainsi que la documentation du système de surveillance lui-même.

Et après, on me demande pourquoi je ne veux pas être fiché (si je n'ai rien à me reprocher, hein ? Doh).

Oh merde, Zythom s'est fait pirater !:

« Piratage de Zythom (Olivier Nxxxxxx, 88.176.xxx.xxx)


Zythom,

Votre pseudonymat volant en éclat, allez-vous donc enfin faire profil-bas sur notre métier ? Allez-vous donc enfin cesser de détailler méthodes et anecdotes, à ceux que l'on cherche à faire arrêter (criminels, pédopornographes, pédophiles, etc...), ou préférez-vous les aider ? De quel côté êtes-vous, très cher confrère ?!? Vous défouler mentalement, voir susciter l'intérêt du métier suffit bien assez, même dissimulé derrière un postiche ridicule...

NB : en tant que procureur, ou membre de la cour d'appel, que feriez-vous si un expert inforensique était inapte à protéger ses comptes en ligne, ses machines, et donc ses dossiers d'expertises ? Conférerait-il une qualification suffisante ?

Bonne conférence, je vous regarderai.»

(merci à Arno pour le lien)

EDIT: Et zut, je n'avais même pas mis en place d'autoblog de son site.

Et on recommence !...
EDIT: Pour tester si votre mot de passe a fuit: http://leakedin.org/
(cf. http://shiflett.org/blog/2012/jun/leakedin)

Bon, il semblerait que le troyen Stuxnet soit carrément une création de la NSA (USA), bidouillé ensuite sans leur consentement par les Israéliens.