J'apprend que les smartphones de la gendarmerie ne tournent pas sous Android standard, mais sous un OS dérivé d'Android : NEO.
Et bien sûr l'impossibilité d'installer des applications comme Twitter ou TikTok.

Ils aiment bien donner de petits noms à certaines faille de sécurité, hein.
Là c'est une faille rigolote des téléphone Google (Pixel) : Quand vous recadrez une capture d'écran (par exemple pour masquer des informations), le téléphone ne ré-écrit pas en entier le fichier PNG mais écrase le début du fichier.
Résultat ? On peut récupérer une partie de l'image non tronquée. Ce qui risque de révéler un paquet d'informations.
Et du coup il y a un site web pour récupérer ces images : https://acropalypse.app/

EDIT: L'outils de capture d'écran de Windows 11 a le même bug : (https://www.bleepingcomputer.com/news/microsoft/windows-11-snipping-tool-privacy-bug-exposes-cropped-image-content/

Je n'avais jamais vraiment testé le chiffrement de clés USB sous Linux avec LUKS, mais ça marche très bien et c'est vraiment très simple d'utilisation.

- Formattage de la clé : Il suffit de cocher la case "LUKS" et d'entrer un mot de passe.
- Utilisation: Vous branchez la clé, il vous demande automatiquement le mot de passe.

On ne peut pas faire plus simple.
Vous pouvez même optionnellement demander à Linux de mémoriser la clé. Ainsi lors des branchements suivants vous n'aurez même plus à entrer le mot de passe. Vous branchez juste la clé et l'utilisez, avec la tranquillité d'esprit de savoir que personne ne pourra vous piquer les données si la clé est volée.
L'avantage aussi est que le chiffrement est solide, et ne dépend pas d'une solution foireuse inventée par les fabricants de clés (qui se trouvent généralement être bourrées de failles de sécurité, ou nécessiter un logiciel à la con).
Là, vous pouvez chiffrer absolument n'importe quelle clé USB ou disque externe, même si le fabricant n'a rien prévu.

Mais bien entendu, cela ne fonctionne que sous Linux.
(Si vous voulez un chiffrement compatible Linux et Windows, prenez VeraCrypt (https://veracrypt.fr/).

Topo sur le bug OpenSSL de Debian en 2008 qui avait mené à seulement 32,767 clés ssh différentes.

Un outils en ligne plutôt pas mal pour voir quelles informations votre navigateur laisse fuiter (typiquement, certains navigateurs laissent fuiter votre adresse IP réelle via WebRTC même si vous êtes en VPN). Il y a aussi des outils de fingerprinting.

Stocker vos mots de passe dans le cloud - pardon - sur l'ordinateur de quelqu'un d'autre a toujours été une mauvaise idée.

Non mais sur le principe, stocker TOUS VOS MOTS DE PASSE sur l'ORDINATEUR DE QUELQU'UN D'AUTRE ça me semble dès le départ une super mauvaise idée.
(Et n'oubliez que par défaut Android est très insistant pour stocker vos mots de passe chez Google.)

(Comment je fais, personellement ? KeePassDX sur mon téléphone (stockage local chiffré) synchronisé sur mon PC perso uniquement quand mon téléphone détecte que je suis sur mon réseau local (j'utilise pour cela FolderSync). Pas de stockage sur un serveur qui ne m'appartient pas, et pas de transfer via internet.)

Et allez, des IBAN dans la nature...

Euh... oups ?
Alors certes ce sont les mots de passe *chiffrés* des utilisateurs qui sont dans la nature, mais c'est quand même extrêmement dangereux.
(Je n'ai jamais voulu utiliser de gestionnaires de mots de passe en ligne, je crois que j'avais raison.)

Les objets connectés ne sont pas juste des mouchards connectés, ce sont des failles de sécurité connectées. Une faille de sécurité sur un objet destiné à vous sécuriser réduit votre sécurité.

Les USA viennent de bannir la vente sur leur sol de tout matériel de communication et vidéosurveillance chinois (Huawei, Hikvision, ZTE, Dahua).
Donc on est bien d'accord qu'ils sont en train de dire que ces équippements permettent l'espionnage ?
Et donc en France comme on est blindés de matériel américain et chinois, ça se passe comment d'après vous ?
(Je rappelle que le backdooring de routeurs Cisco, c'est depuis longtemps une grande spécialité des USA : https://sebsauvage.net/links/?1vckQQ)

Sur certains processeur de la famille x86, il existe des instructions non documentées qui permettent de contourner totalement la protection des différents niveaux du sytème (rings). En gros, c'est une backdoor dans le processeur lui-même.
La démo au début de la présentation est effrayante.

Donc oui une faille de sécurité assez importante (ON VA TOUS MOURIR) a été découverte et patchée dans OpenSSL (grosso-modo la fondation de la sécurité actuelle sur internet), donc mettez à jour.
On n'a pas encore les détails technique de la faille, mais le fait qu'ils proposent le patch avant de révéler la faille en dit long sur la sévérité (c'est rare que ça se passe comme ça). Ceci dit, même si la sévérité est importante, il semble que la faille ne soit pas exploitable partout. Mettez quand même à jour.

« Microsoft said Windows automatically blocked dangerous drivers. It didn't. »

Le gouvernement français veut indemniser les entreprises victimes de ransomware. L'enfer est pavé de bonne intentions. Pourquoi l'enfer ? Parce que tous les spécialistes en sécurité s'accordent pour dire que la France va ainsi devenir une cible de choix pour les attaquants, ces derniers étant plus assurés de toucher l'argent puisque les entreprises recevront un versement de l'état.

Se faire pown c'est déjà pas génial, mais quand t'es une boîte spécialisée en sécurité, ça fait tâche.

Sous le coude pour lecture ultérieure.

- demander aux hôpitaux de faire 900 millions d'euros d'économie *tous les ans*
- constater la dégradation du service public.
- regarder les hôpitaux se faire pirater.
- lâcher une miette ponctuellement et dire "Regardez, on s'en soucie vraiment !"

La mise en place de ma liste de blocage DNS (https://sebsauvage.net/wiki/doku.php?id=dns-blocklist) est super simple sous Linux : 3 lignes à mettre dans un terminal et c'est fini.
Mais comme Windows est un immonde clickodrôme, j'ai dû écrire des instructions pas-à-pas avec des captures d'écran.
Mais vous avez désormais la possibilité d'avoir aussi une mise à jour automatique de la liste de blocage sous Windows, sans logiciel additionnel.
Ouf !

L'un des gros reproches qu'on peut faire à Signal, c'est d'exiger un numéro de téléphone pour s'enregistrer. Et justement, Signal vient de se faire mordre par ce choix : Ils utilisent les services de la société Twilio pour l'envoi de SMS. Or cette société s'est faite pirater : 1900 numéros de téléphone ont fuité. L'attaque était ciblée : l'attaquant recherchait 3 numéros, et l'un de ces numéros a été ré-enregistré sur un nouveau périphérique (heureusement, Signal ne redonne pas tout l'historique des conversations).
Plus d'informations : https://www.twilio.com/blog/august-2022-social-engineering-attack

Un site d'échange/vente de skins pour le jeu CS:GO piraté : 20 000 skins volées pour une valeur de 6 millions de dollars.
6 millions ça vous semble beaucoup ? C'est rien du tout par rapport aux sommes que brassent ces sites. (voir https://sebsauvage.net/links/?LLcdGw)

Vous voulez bosser chez GitLab ?
Les ordinateurs portables sous Windows sont INTERDITS 😄

Depuis début 2002, le nombre de malware ciblant les systèmes Linux explose (même s'il reste bien en dessous du nombre de malwares ciblant Windows). On peut facilement s'attendre à une augmentation.