Le cheval de Troie Flame fait la une des sites de sécurité informatique... pourtant il semble que ses caractéristiques ne soient pas exceptionnelles. Un coup de buzz pour faire mousser certains éditeurs d'antivirus ?
Voir aussi: http://owni.fr/2012/06/04/le-marketing-declare-sa-flame/

Et hop... encore un vrai malware signé par Microsoft (à son insu).  :-(

Arg. Un hacker a réussit à bypasser la protection à 2 facteurs de Google pour accéder au compte mail d'un admin de CloudFlare et, de là, changer le mot de passe d'un compte CloudFlare afin de changer les DNS d'un client particulier.
Visiblement la protection à deux facteurs de Google a des failles.

Chroniques de la cyber-guerre: ALORS VOILA, ON Y EST. On a enfin la confirmation que le cheval de Troie Stuxnet a été créé par un gouvernement (Israël, avec l'aide des USA) pour en attaquer un autre (Iran).
Je vous recommande cette présentation: http://www.ted.com/talks/lang/fr/ralph_langner_cracking_stuxnet_a_21st_century_cyberweapon.html
qui montre comment le cheval de Troie a été très spécifiquement conçu pour attaquer les centrifugeuses iraniennes.

Chez NakedSecurity: http://nakedsecurity.sophos.com/2012/06/01/stuxnet-usa-israel-iran-virus/

Oh cool, une application Messenger pour Android envoie en clair votre login et mot de passe.  (via Le Hollandais Volant).

Le vote électronique français est encore pire que je pensais  X-|

Vous aussi vous pouvez prévenir les visiteurs de votre site d'une possible infection.

Pour voter par internet, le ministère de l'intérieur français préconise d'utiliser une ancienne version de Java et de désactiver éventuellement l'antivirus.   £$*@§&%!  WHAT - THE - FUCK ?  On est bien en 2012, là ?
Le vote électronique est déjà une connerie, mais là le ministère ajoute une connerie à une connerie (en plus d'utiliser les services d'une entreprise privée espagnole pour gérer un vote démocratique français.)

Ils ne recommandent pas IE 6, aussi ?

Google remet ça. C'est une bonne chose: Ils préviennent les internautes dont l'adresse IP semble infectée par le malware DNSChanger.
(Ils l'avaient déjà fait: http://googleblog.blogspot.fr/2011/07/using-data-to-protect-people-from.html
et je le fais sur mon site avec Project Honeypot: http://sebsauvage.net/rhaa/index.php?2011/08/01/07/13/04-retour-sur-project-honeypot )

Il faudrait que je vois s'il y a des API autres que Project Honeypot (comme ipvoid.com) pour prévenir l'internaute qu'il est probablement infecté.

Voilà ce qu'il faudrait que je fasse: Une lib js/php qui peut prévenir les internautes qu'ils sont probablement infectés en interrogeant divers sites de réputation d'IP (Project Honeypot, WOT, hpHosts, MalwareDomains, etc.) par affichage d'une popup par dessus la page (qu'on peut fermer).
Genre: "Your IP address seems to perform suspicious activities. You computer may be infected. Click here to learn more."
et ça enverrait sur une page qui explique, avec en prime les liens vers chaque page de réputation (PH, WOT, etc.)

Pour protéger une page, un simple include suffirait. ça ne devrait jamais ralentir la page (genre: déclencher le js 2 ou 3 secondes après la fin de chargement de la page, et aller questionner des API en ajax.)

Un peu comme: http://sebsauvage.net/wiki/doku.php?id=project_honeypot
mais sans le blocage.

EDIT: Je me liste deux ou trois bricoles ici pour mémoire:

• chez hpHosts: API simple (requête HTTP, réponse texte brut) sans clé d'API : http://hosts-file.net/?s=Help#developers
Exemple: http://verify.hosts-file.net/?v=monapplication&s=89.187.53.245 (renvoie "Listed" ou "Not Listed")

• chez WOT: http://www.mywot.com/wiki/API
API public (HTTP, réponse XML ou json) sans clé d'API.
Exemple: http://api.mywot.com/0.4/public_query2?target=109.230.245.232
ou http://api.mywot.com/0.4/public_link_json?hosts=109.230.245.232/ en json

• chez ProjectHoneypot: réutiliser ma lib: http://sebsauvage.net/wiki/doku.php?id=project_honeypot
(requête DNS, nécessite une clé d'API (gratuite))

• chez Clean-mx.de: API publique (requête HTTP, réponse XML). Sans clé d'API.
Exemple:
(web) : http://support.clean-mx.de/clean-mx/viruses.php?ip=109.163.231.194
(xml) : http://support.clean-mx.de/clean-mx/xmlviruses.php?ip=109.163.231.194

Pas de panique, ils sont quand même efficaces (voir mon commentaire, que je recopie ici):

« Si vous suivez un peu le site de Malekal, vous verrez que c'est même pire que ça: Il arrive à trouver des malwares totalement inconnus de VirusTotal, ou alors avec un score de 1 ou 2 seulement.

Aucun antivirus n'est efficace à 100%, on le sait, mais ils conservent tout de même une excellente efficacité (supérieure à 90%). Au risque de prendre encore une comparaison automobilistique: La ceinture de sécurité ne vous garantie pas que vous n'aurez jamais d'accident et que vous ne mourrez jamais au volant, mais elle sauve malgré tout un nombre incroyable de vies.

Il en est de même pour l'antivirus. Il serait idiot de s'en passer.

Concernant ce cas précis où le malware n’a pas été vu par certains ténors du marché (Avast, Kaspersky, NOD32…), c’est bien pour cela que je recommande un scan à la demande, de temps en temps, avec un autre antivirus que votre antivirus habituel.
Cela permet d'attraper les rares malwares qui seraient passés au travers du filet.
http://sebsauvage.net/safehex#r048

Typiquement, si vous avez Avast, passez une fois par semaine un autre antivirus gratuit (scan à la demande): Malwarebytes, DrWeb, TrendMicro, F-Secure…

PS: Malwarebytes est considéré par Malekal comme l’un des meilleurs antimalwares/antivirus existants. Je lui fais confiance.»

Ah génial... des malware sur DeviantArt maintenant. Tout est bon pour exploiter la crédulité des internautes.

Ce que j'ai remarqué aussi, ce sont des innombrables vidéos YouTube qui proposent des cheats, des mods ou carrément des versions pirates pour divers jeux (FPS, Minecraft...). Systématiquement, les fichiers téléchargés sont infectés. En fait, dès que vous voyez un fichier proposé en téléchargement dans le descriptif d'une vidéo YouTube, passez votre chemin.

Exemple:
Un soit-disant cheat pour COD4 : http://www.youtube.com/watch?v=G1Lq98Sjba8
Le fichier proposé en téléchargement donne ceci dans VirusTotal: https://www.virustotal.com/file/43fec747df7c49cf0c285bccf2e036a3514110e18134c81ef165605963b10d5d/analysis/1337597790/

Un outils pour bruteforcer les conteneurs TrueCrypt. A noter que 30 secondes pour tester 10000 mots de passe, ça fait environ 333 mots de passe testés par seconde. C'est extrêmement long (Les crackeurs comme John The Ripper, pour les hash Windows, en testent plusieurs MILLIONS par seconde). Cela me conforte dans l'idée que les concepteurs de TrueCrypt ont vraiment bien pensé leur système.
http://code.google.com/p/truecrack/

Notez que l'année dernière, le FBI a passé un an sur un conteneur TrueCrypt et s'y est cassé les dents.

C'est clair, non ? Même les éditeurs d'antivirus ne parviennent pas à sécuriser correctement leur site web. Comment le "délit de négligence caractérisée" peut-il exister ? C'est absurde.

Piqure de rappel: Les internautes étaient infectés simplement en visitant une page web. Ils n'avaient rien téléchargé.

Voilà un mythe qui tombe: Les antiques fichiers RTF *peuvent* contenir du code malveillant.

Tiens, intéressant cette centralisation... et inquiétant.

Je suis de l'avis de Korben: ça va faciliter le typo-squatting et le phishing.

Oh oh... les websockets (inclus dans Firefox) peuvent mettre en péril votre anonymat si vous utilisez TOR. En effet, la résolution DNS se fait par TOR, *sauf* dans le cas de websockets. Cela pourrait permettre aux sites web de déterminer votre adresse IP réelle.
Vous pouvez désactiver les websockets dans la config de Firefox (voir l'article lié).

oh bon sang...

HAHAHA ! Mais oui, bien sûr, je vais aller stocker mes mots de passe dans le cloud.

*GIANT FACEPALM*

ppffff...

Héhé... excellent. Comme ce que fait l'extension FlashBlock.  Les responsables de régies de pub doivent hurler.

Non c'est une *blague*, hein ? La CNIL ne laisse pas traîner ce genre de chose sur ses serveurs ???

Les numéros de carte bleue restent sur les disques durs des X-Box d'occasion ? Doh !

Oups... quand une grosse boite de sécurité oublie de renouveler son nom de domaine... :-D