Rappel : Un jeu contenant un anti-cheat, c'est très concrètement un spyware qui en prime introduit des failles de sécurité dans votre système.
Notez également que les contrats d'utilisation de certains anti-cheats disent qu'ils peuvent se permettre de prendre des captures d'écran de votre ordinateur et les publier sur le net ainsi que récupérer n'importe quel fichier sur votre disque.
(Tout ça pour avoir le *droit* de jouer à un jeu ? NON MERCI. Je boycotte les jeux contenant des anticheats.)

Nos objets sont bourrés de puces électroniques contenant du microcode. Autrement dit un programme "interne" à chaque puce. Et ces codes sont de plus en plus complexes, et ils ont aussi leurs lots de failles de sécurité.
On a là l'exemple de failles du microcode... d'une puce dédiée justement à la sécurité. Les conséquences sont désastreuses.

Et c'est d'autant plus problématique que :
- il y a de plus en plus de puces spécialisées dans tous nos appareils, même dans les objets de la vie courante.
- ces microcode sont de véritables boîtes noires. On a pas les sources, ce n'est pas publiquement audité, et c'est jalousement gardé par chaque constructeur de puces.

Bref, ça nous met tous en danger.

Une façon de voir les passkeys : Ce sont des mots de passe forts générés aléatoirement et stockés dans un gestionnaire de mots de passe dont vous ne pouvez pas changer, prisionnier d'un GAFAM, et que vous ne pouvez pas exporter.

PS: Oui je sais que des outils comme BitWarden peuvent les gérer. Mais vous faites partie de 1%. Pour les 99%, ça sera stocké par un GAFAM.

Je redis ce que je pense : L'IA n'est pas fiable et tout système introduisant de l'IA introduit des failles de sécurité potentielles énormes et impossibles à quantifier et qualifier.

Un article assez complet sur l'élevation de privilèges sous Linux.
(via http://links.kevinvuilleumier.net/shaare/UEIAmA)

Sous le coude pour lecture ultérieure : Même le TOTP a des faiblesses (par exemple un MITM), mais il existe des alternatives (Notez que c'est un article sponsorisé, quand même).

PARDON THE FUCKING FUCK ???

Plus d'infos :
https://www.bleepingcomputer.com/news/security/no-the-16-billion-credentials-leak-is-not-a-new-data-breach/

Tiens, deux failles de sécurité assez graves (privilege escalation dans PAM et udisks) sous Linux. Patchez promptement. (ah oui, et une faille X11 corrigée hier, aussi).

Microsoft a décidément une énorme envie d'aller fourrer sa grosse IA CoPilot partout, même là où on en veut pas. Donc il l'a mise dans SharePoint, son système de gestion documentaire (qu'on appelle dans le métier "trou noir" parce qu'on ne retrouve jamais les documents qu'on met dedans).
Là où c'est très drôle : CoPilot vous permet de rechercher dans SharePoint... et vous donne accès à des documents auxquels vous ne devriez pas avoir accès, en outrepassant tous les contrôles d'accès.

Cerise sur le gâteau : ça ne laisse aucune trace d'accès dans les logs ! 😂

EDIT: Après SharePoint, c'est Office365 : https://sebsauvage.net/links/?_fGHTQ

😂

Intéressant.

Et voilà la base de données de vulnérabilités européenne est ouverte et en rodage : https://euvd.enisa.europa.eu/
Au moins une chose pour laquelle on ne va pas déprendre des USA. Encore faut-il qu'elle soit maintenant alimentée.

Hahaha les cons hahaha

Je ne m'attendais pas à autre chose.
Et encore : l'article parle surtout de la gestion des secrets (clés d'API par exemple), mais ce n'est pas le seul problème, loin de là. Il n'y a pas un mot sur les autres mauvaises pratiques de développement très problématiques concernant la sécurité : mauvais échappement ou absence d'échappement, réutilisation/dépassements de buffers, non-contrôle des valeurs/nulls, mauvaise gestion des exceptions, fuite de données sensibles dans les logs...  tout un tas de bonnes pratiques à connaître pour la sécurité pour lesquelles on a aucune garantie que les IA respectent.

Google copie Apple, et c'est une excellente idée : Tout téléphone sera automatiquement rebooté après 72 heures d'inactivité. C'est pour rendre l'extraction des données plus difficiles.
En effet Android possède plusieurs couches de chiffrement, et quand le téléphone est démarré (et que vous avez tapé votre code), une partie de ces couches est déjà levée, ce qui facilite l'extraction des données. (Donc si vous pensez que votre téléphone va être saisi : éteignez-le.)
Cette mise à jour va être déployée progressivement via les services GooglePlay.

Edit : article en français : https://next.ink/brief_article/les-smartphones-android-aussi-redemarrent-automatiquement-apres-trois-jours/

1) Les développeurs utilisent des IA pour générer du code.
2) Les IA, dans leur code, inventent des imports de packages qui n'existent pas.
3) Les malveillants comprennent que les IA hallucinent des packages qui n'existent pas et les créent pour de vrai, avec du code malveillant dedans (GitHub, nmp, PyPi...)
4) Les développeurs importent donc ces packages malveillants sans le savoir.

Ne faite pas comme ces développeurs.

EDIT: Article en Français : https://next.ink/180687/des-malwares-squattent-les-noms-de-paquets-hallucines-par-les-modeles-de-langage/

Deux vols de cryptomonnaies (24 millions de dollars et une suivante de 150 millions) seraient liés au piratage de LastPass en septembre 2023 (le gestionnaire de mots de passe en ligne).

Tiens, l'indisponibilité de Twitter hier, c'était dû à une cyberattaque massive.

Édit : complément : https://next.ink/174624/une-porte-derobee-dans-une-puce-bluetooth-tres-populaire-pas-si-vite/

De nouvelles failles découvertes dans X.Org.

Sous le coude : Un honeypot (voir https://trapster.cloud/fr/)

Article du spécialiste sécurité Bruce Schneier sur les sbires d'Elon en train de prendre le contrôle de tous les systèmes informatiques des USA.
(Article complet là : https://archive.ph/lSHkJ ou là : https://app.wallabag.it/share/67adc9487c29b1.85671818)
On peut s'attendre, dans les mois ou les années à venir, à des failles de sécurité absolument énorme dans l'informatique des USA (trésor, administration, santé, forces de l'ordre...).

2,8 millions 😮 d'adresse IP qui bruteforcent les VPN.
D'habitude quand il y a des attaque brute-force avec des IP différentes, on a doit à quelques centaines d'IP. Là c'est vraiment massif.

J'ai toujours trouvé que c'était une idée à la con de la part de toutes les applis d'aller faire des "preview" des liens, aka lancer des requêtes http sans que l'utilisateur l'ai explicitement demandé.
Maintenant ce sont des risques de sécurité.

Note: 🗨️ Dans Signal, allez dans les paramètres > Conversations > et décochez "Générer des aperçus de liens".

Quelqu'un a réussi à contourner le chiffrement BitLocker en exploitant PXE.
PXE est - de manière générale - un risque de sécurité. À moins d'en avoir besoin, pensez à le désactiver dans votre BIOS/EFI.
(PXE permet à un ordinateur de booter directement sur le réseau, le système d'exploitation étant fourni par un serveur. Cela permet de démarrer des ordinateurs ne possédant même pas de disque dur/SSD).

😱

Edit : article en français : https://next.ink/brief_article/sur-linux-rsync-3-4-corrige-plusieurs-failles-importantes-dont-une-critique/

Est-ce que c'est une bonnée idée de stocker vos codes TOTP dans votre gestionnaire de mots de passe ? J'aurais tendance à dire que c'est une *SUPER* mauvaise idée, mais certains spécialistes en sécurité semblent penser le contraire. Je garde leurs arguments sous le coude.

Utiliser l'IA pour la sécurité des codes sources ?
BEN NON EN FAIT, c'est une super mauvaise idée. Les développeurs de Logiciels Libre sont noyés de rapports de bugs sécurité bidon, et ça prend un temps fou à vérifier. L'auteur de curl en a déjà témoigné.
On avait vraiment pas besoin de ça.

Rappel : Une LLM ne "comprend" rien à ce qu'on lui donne à manger, et ne comprend pas même les mots qu'elle utilise. Alors lui faire analyser la sécurité d'un code, c'est non.

Tiens elle est bien cette timeline des fuites de données des entreprises françaises.

Un petit rappel que les diodes qui s'allument quand la webcam fonctionne, ce n'est pas du 100%.
Là un hacker montre comment désactiver la diode de la webcam d'un ordinateur portable Thinkpad sans avoir accès au matériel (donc de manière juste logicielle), en exploitant des bugs du firmware.
Donc oui vous avez raison de couvrir votre webcam avec un post-it.
Il est tout à fait envisageable que les firmwares d'autres objectifs (webcam USB, smartphone...) aient aussi des failles de sécurité.
Reste le micro pour lequel coller un post-it ne sert pas à grand chose...

Ce n'est pas la première faille de X qui sort. Il y en a eu beaucoup trop. (D'où l'intérêt de Wayland qui repart de zéro. Mais la transition n'est pas simple.)

Pourquoi redémarrer son téléphone régulièrement ?
Parce qu'il y a toute une classe d'attaque où le logiciel malveillant survit en mémoire seulement (et pas sur "disque"/sd). Rebooter le "tue" donc.
(Les malwares qui subistent uniquement en mémoire passent souvent sous le radar des antivirus puisque aucun fichier n'est modifié sur disque. Et les antivirus se concentrent souvent sur les fichiers.)
Et il se trouve qu'un paquet de failles de sécurité font que certains téléphones exécutent du code malveillant sans la moindre intervention de votre part (Pegasus, etc.)

La sécurité des objets connectés ça a l'air de bien se passer 😂😂😂

On le répète encore et encore, mais on ne nous écoute pas : Arrêtez de mettre en place des systèmes de surveillance pour notre "sécurité", car forcément un jour ou l'autre des personnes mal intentionnées y accèderont.

Eh bien on y est : Des hackers chinois ont attaqué plusieurs fournisseurs d'accès américains visiblement dans le but d'accéder au système de surveillance et d'écoute des communications mis en place par le gouvernement américain.
Dites-vous bien qu'en France le gouvernement français est allé installer ses boites noires dans les datacenters de tous les fournisseurs d'accès français aussi. Cela pourrait donc très bien nous arriver également.

Ça a l'air sympa la sécurité de ces foutues voitures connectées.

Encrore une fuite de données...

Cette histoire est un peu dingue : Le Hezbollah utilise des appareils de radiomessagerie comme nous avions dans l'avènement des téléphones portables : https://fr.wikipedia.org/wiki/Radiomessagerie. Un petit appareil capable de recevoir des messages.
Mardi, 2000 de ces appareils - utilisés principalement par le Hezbollah - ont simultanément explosé, causant 11 morts et encore plus de blessés.
D'après les spécialistes, il est peu probable que ce soient les batteries qui aient explosé: Les appareils ont probablement été modifiés pour y inclure de l'explosif, soit pendant le transport, soit lors de la fabrication (supply chain attack).
Aux commandes de cette attaque ? Probablement l'Israël.

Édit : et maintenant des talkie-walkie explosent aussi : https://www.reuters.com/world/middle-east/israel-planted-explosives-hezbollahs-taiwan-made-pagers-say-sources-2024-09-18/
Édit : https://www.theregister.com/2024/09/18/lebanon_walkie_talkie_explosion_isreal_war/

Edit : il semblerait que les batteries de ces pagers perdant en fiabilité et n'étant plus fabriquées, le Hezbollah s'est tourné vers un autre fournisseurs... qui était en réalité une société-écran des services secrets Israéliens. Les appareils avec des batteries piégées ont commencé à être livrées en 2022 : https://www.nytimes.com/2024/09/18/world/middleeast/israel-exploding-pagers-hezbollah.html?unlocked_article_code=1.L04.UXAm.r1DNLQJWALoP&ngrp=mnp&cbgrp=p

Édit : le gouvernement israélien admet que c'était leur initiative : https://www.huffingtonpost.fr/international/article/benjamin-netanyahu-reconnait-avoir-donne-son-feu-vert-a-l-attaque-des-bipeurs-contre-le-hezbollah_242061.html

Et ENCORE des fuites de données.
C'est sans fin.

Et encore une nouvelle attaque pour exfilter des données d'un odinateur non connecté, cette fois en mesurant le son émis par les écrans LCD (bruit des bobines et condensateurs, entre autres).

Quand on veut "voler" les données d'un ordinateur, il faut les sortir : on les envoie donc par le réseau, bluetooth ou autre. Les ordinateurs critiques sont donc déconnectés : pas de réseau, pas de wifi, pas de bluetooth, rien, afin qu'il ne soit pas possible de transmettre les données.
Mais il existe toujours des méthodes.
Ici les chercheurs, après avoir implanté un logiciel malveillant sur l'ordinateur à pirater, on réussi à transmettre des données en provoquant des perturbations électromagnétiques en écrivant dans la RAM.
Alors certes c'est lent (128 octets par seconde) et la portée est faible (environ 3 mètres), mais ça marche ! Ils ont réussi à faire transmettre des données depuis cet ordinateur pourtant totalement déconnecté de tout réseau.

EDIT: Complément : https://next.ink/149651/peripheriques-reduisons-la-vitesse-dexfiltration-des-donnees/

L'infrastructure de CoPilot (l'"IA" de Microsoft) est partagée entre clients.
Visiblement on peut inciter CoPilot à lancer des requêtes HTTP côté serveur, permettant potentiellement l'accès à des données d'autres entreprises.