mmm... pourquoi pas, mais j'ai de gros doute sur l'efficacité de ce genre de logiciel.
http://www.crystalaep.com/

AH. Alors après les compteurs-cafteur d'EDF (http://sebsauvage.net/links/?akxSSA), voici les compteurs-mouchard de Gaz-de-France ? Purée. Et sécurisés avec les pieds, comme d'habitude, je présume ?  :-(

où on reparle de tuto4pc/PCtuto/eoRezo... je vous laisse lire.

Bon... même les tokens hardware ne sont plus sûrs, maintenant. La cause ? La plupart des fabricants ne respectent pas les consignes crypto. Typiquement, la norme PKCS#11 peut être utilisé pour (dé)chiffrer des données ou protéger des clés, mais PAS les deux à la fois.  Le chiffrement des clés sert à les exporter du token (pour les centraliser, par exemple). Donc vous demandez au token d'exporter une clé (ce qu'il fait, sous forme chiffrée), puis vous lui demandez de déchiffrer les données... ce qu'il fait, vous donnant ainsi la clé en clair. Doh. C'est incroyablement bête, comme erreur. Devil is in the details. En crypto, on ne s'improvise pas spécialiste. Même RSA s'est fait avoir par cette erreur (et pourtant, ce ne sont pas des débutants.)

Explication détaillée: http://blog.cryptographyengineering.com/2012/06/bad-couple-of-years-for-cryptographic.html

Donc: Si votre société a des hardware tokens basés sur PKCS#11, il y a de fortes chances pour qu'ils soient vulnérables (et que donc un hacker ait un accès direct à votre VPN malgré le token). Chérie, ça va couper.

Trop fort: Les labs d'AVG sont en train d'étudier et décortiquer un cheval de troie... lorsque soudain le hacker qui a écrit le virus active le chat intégré et commence à discuter avec eux.  oO
(via BoingBoing)

Rappelons-le: Ce genre de faille EXISTE. Contrairement à ce que j'ai déjà pu entrendre, ce n'est *PAS* une légende. Je veux dire: Être infecté simplement en affichant une page web. Démonstration avec cette faille d'Internet Explorer (pas encore corrigée par Microsoft).

Putain de putain de putain... voilà que 01Net sort sa merde de "01net PC Optimizer" (optimiseurs bidons). Merde. Ce site est de plus en plus pourri.
Je suppose que c'est une merde du genre ça: http://sebsauvage.net/rhaa/index.php?2011/09/26/20/01/29-le-teton-du-flamby

Malekal, fais gaffe ! Il y a une faille dans VMWare qui permet aux logiciels de s'échapper des VM.   :-o
(PS: Ce n'est pas la première fois qu'une faille de ce genre est découverte chez VMWare)

EDIT: My bad. Ce n'est pas VMWare, mais d'autres vendeurs qui sont concernés: Xen, Microsoft, FreeBSD, RedHat...
VMWare dit que, justement, ses produits ne sont pas affectés par cette faille. (Merci à Christophe F. d'avoir pointé l'erreur)

Une des nouvelles fonctionnalité du prochain Firefox ? L'activation des plugins seulement à la demande, en cliquant dessus... comme ce que propose Opera. Encore.

« New rule: every website must disclose their password storage format on the signup page. Scared to disclose ? It's too weak. »
Yes ! ça serait une excellente idée (Coucou Diigo, avec vos mots de passe envoyés en clair dans les emails)

Le point sur le piratage du blog de Zythom.

Ah ouais quand même, SCADA est une formidable concentration de mauvaises pratiques de sécurité. Et ils veulent faire piloter tout le réseau électrique/eau avec ça ?

Bon gros FAIL de la sécurité allemande: Le papa qui installe un cheval de Troie sur l'ordinateur de sa fille pour la surveiller. Le copain de la fille qui le repère, l'élimine et remonte jusqu'à l'ordinateur personnel de papa... qui contient des informations confidentielles sur le système de surveillance GPS du gouvernement allemand... qui se trouve à son tour piraté, avec toutes les données dans la nature:  identifiants, mots de passe, numéros de téléphone ou de plaques d'immatriculation, coordonnées GPS... ainsi que la documentation du système de surveillance lui-même.

Et après, on me demande pourquoi je ne veux pas être fiché (si je n'ai rien à me reprocher, hein ? Doh).

Oh merde, Zythom s'est fait pirater !:

« Piratage de Zythom (Olivier Nxxxxxx, 88.176.xxx.xxx)


Zythom,

Votre pseudonymat volant en éclat, allez-vous donc enfin faire profil-bas sur notre métier ? Allez-vous donc enfin cesser de détailler méthodes et anecdotes, à ceux que l'on cherche à faire arrêter (criminels, pédopornographes, pédophiles, etc...), ou préférez-vous les aider ? De quel côté êtes-vous, très cher confrère ?!? Vous défouler mentalement, voir susciter l'intérêt du métier suffit bien assez, même dissimulé derrière un postiche ridicule...

NB : en tant que procureur, ou membre de la cour d'appel, que feriez-vous si un expert inforensique était inapte à protéger ses comptes en ligne, ses machines, et donc ses dossiers d'expertises ? Conférerait-il une qualification suffisante ?

Bonne conférence, je vous regarderai.»

(merci à Arno pour le lien)

EDIT: Et zut, je n'avais même pas mis en place d'autoblog de son site.

Et on recommence !...
EDIT: Pour tester si votre mot de passe a fuit: http://leakedin.org/
(cf. http://shiflett.org/blog/2012/jun/leakedin)

Bon, il semblerait que le troyen Stuxnet soit carrément une création de la NSA (USA), bidouillé ensuite sans leur consentement par les Israéliens.

Voilà une invention pas con du tout, même hors de tout brouillard: Un laser marquant la distance de sécurité. Voilà qui serait très, très éducatif et utile pour réduire les accidents. Bien plus que les radars.

Visiblement le cheval de troie "Flame" est - tout comme Stuxnet - l'oeuvre d'un état à des fins d'espionnage. Super, il ne manquait plus que les états pour venir pourrir internet avec des virus. Et ça vient nous faire la morale sur le téléchargement de quelques musiques pendant qu'ils piratent des ordinateurs à l'échelle mondiale.

Attention: Des failles ont été trouvées dans SQLite.

Le déni de notre gouvernement concernant le vote électronique est atterrant.

Il y a une chose bien avec OpenDNS, c'est qu'ils travaillent avec Kasperky pour bloquer les domaines utilisés par les chevaux de Troie pour commander les PC zombie. Même si votre PC est infecté, il ne pourra pas être contrôlé à distance par certains troyens. Good.

haha ! Imbéciles de spammeurs.

mmmm... intéressant ! Un de ces arnaqueurs qui appellent au téléphone en se faisant passer pour un éditeur d'antivirus et qui prennent le contrôle de votre machine pour y installer des malwares.

Et bien cet arnaqueur est tombé... sur un employé d'une entreprise éditrice d'antivirus. Pas con, l'employé a laissé l'arnaqueur accéder à une machine virtuelle, et il a filmé le tout. C'est cette vidéo.

Ah enfin ! Après des centaines de mort aux USA et au Canada et le déni des institutions, l'association américaine pour le cœur reconnaît publiquement que les Tasers peuvent tuer. On avance.

Bon j'ai pas l'esprit assez frais pour assimiler ce qu'ils proposent, mais ces chercheurs ont eu l'idée d'une extension à TLS (SSL) qui permet d'éviter le problème de confiance dans les autorités racine. à voir...