Une options d'Android, si elle est activée, laisse fuiter votre adresse IP réelle si vous êtes en VPN.

C'est rigolo : Le gouvernement US est bourré de produits Microsoft à tous les étages, et les institutions commencent à se rendre compte que non seulement ils sont très dépendants de Microsoft, mais que Microsoft ne se bouge pas trop le cul pour résoudre les problèmes de sécurité.
À tel point que certains officiels qualifient Microsoft de "problème de sécurité national".

Utilisation de la base de registre Windows pour attaquer Windows. Franc succès. (Privilege escalation, etc.)
(Seconde partie : https://googleprojectzero.blogspot.com/2024/04/the-windows-registry-adventure-2.html)

Ambiance.

Ben finalement les attaques contre les systèmes informatiques de l'éducation nationale française, c'était pas les Russes, c'était un ado de 17 ans.

Un faille qui permet de crasher un serveur HTTP/2 avec une simple requête HTTP.

Fuite de données chez le plus gros fournisseur d'accès américain : 73 millions de personnes dont les données partent dans la nature : Nom, prénom, adresse, numéro de téléphone, date de naissance et numéro de sécurité sociale.
Oui 73 millions c'est à peu près la population française en entier.

Les "Passkeys" (WebAuthN de son petit nom technique) sont une n-ième tentative pour se débarrasser des mots de passe. Je ne retiens pas mon souffle, car tant d'autres tentatives ont échoué avant cela.
Ceci étant dit, il est amusant de constater que les Passkeys reviennent au bon vieux concept de PGP: Une clé publique et une clé privée.  Le tout avec une API Javascript spécifique dans les navigateurs (Firefox la supporte déjà).

Pourquoi ça pourrait marcher ?
- Déjà parce que les GAFAM - pour une fois - sont tous ensemble pour travailler sur le sujet.
- Ensuite parce que fondamentalement les systèmes à clé publique/clé privée ont fait leurs preuves en matière de sécurité.
- Et enfin parce qu'ils ont inventé un système qui a priori simplifie la gestion de ces clés (complexité de gestion qui a été à la base de l'échec de PGP).

Pourtant, il y a quand même le souci de savoir comment sont stockées et gérées ces clés privées (dans le système d'exploitation lui-même, a priori), et surtout comment les sauvegarder. Là c'est encore assez bancal.
(Par exemple sous Android, la clé privée peut être stockée sur le smartphone, et déblocable avec la lecture d'empreinte.)

Pour expliquer de manière simplifiée le processus d'authentification :
- Lorsque vous arrivez la première fois sur le site et que vous demandez à vous créer un compte, votre navigateur créé une paire de clés privées et publiques et un identifiant de clé, et envoie clé publique et identifiant au site.
- Vous arrivez les fois suivantes sur le site pour vous authentifier. Alors :
- Le site récupère l'identifiant de votre clé via l'API Javascript WebAuthN.
- Le site vous envoie un challenge (données aléatoires et quelques informations).
- Le navigateur active Passkey qui vous demande de vous authentifier (sur le périphérique: par exemple empreinte digitale sur smartphone).
- Passkey signe le challenge avec votre clé privée et la renvoie au site.
- Le site vérifie la signature du challenge avec votre clé publique.

Pourquoi c'est intéressant ?
1) Sécurité : Parce que même en cas de piratage complet du site web, le pirate n'aura que les clés publiques dont il ne pourra rien faire. Il n'a aucun mot de passe, et ne peut pas calculer la clé privée. Côté client, la clé privée est censée être bien protégée par le système d'exploitation (la plupart des OS ont un système de stockage sécurisé bien isolé, chiffré et stocké dans votre profile utilisateur. Il est déjà utilisé pour stocker vos mots de passe. Par exemple sous Linux le logiciel seahorse permet de voir votre trousseau de clés.)
2) Simplicité : Pas de gestion complexe des clés. C'est le système d'exploitation qui s'en occupe à la demande du navigateur. Cela laisse aussi la liberté au système d'exploitation de choisir la manière de les stocker de manière sécurisée, et aussi le choix de la manière de vous authentifier (empreinte digitale, mot de passe...). Sachant que vous êtes déjà authentifié·e pour pouvoir utiliser votre système d'exploitation, le nécessaire est déjà en place.

Ce que j'en pense ?
Cette fois ça pourrait marcher, mais ma crainte est que les clés privées restent prisonnières des systèmes d'exploitation avec aucun moyen de les sauvegarder autrement que dans le cloud des GAFAM.
C'est déjà le cas de Google qui est très pressé de sauvegarder tous vos mots de passe dans son cloud, mais qui - à ma connaissance - n'offre pas d'option pour tout exporter. Ce qui rendrait votre identité en ligne *encore* prisonnière d'un GAFAM. C'est le risque principal actuellement à mon sens.
Les gestionnaires de mot de passe - tel Keepass ou BitWarden - gèrent déjà les Passkeys, ce qui permettra au moins d'avoir un stockage non dépendant d'un GAFAM. Mais la plupart des gens ne les utiliseront pas et prendront la solution par défaut, et se retrouveront pieds et poings liés aux GAFAM... une fois de plus.

EDIT: Un autre avis sur le sujet : https://mart-e.be/2023/05/les-passkeys-une-bonne-idee-trop-centralisee

Une liste pour sécuriser Linux à tous les niveaux (noyau, bluetooth, réseau, protection des logins contre le brute-force, etc.)

Microsoft a patché en Février une faille critique, 6 mois après avoir été informé que la faille était exploitée.
SIX. MOIS.
Pour une faille critique.

Bon ben LDLC vient de se faire leaker une base de 1,5 million de clients avec nom, prénom, email, téléphone, adresse...

Failles de sécurité dans les pilotes NVidia pour Linux.

Rappel aux développeurs : On ne doit plus utiliser les "questions de sécurité". C'est une *mauvaise* pratique.

Cette enchaînement d'exploitation de failles de l'iPhone est très impressionnante.

Trois fucking millions de brosses à dent connectées piratées ont été utilisées pour attaquer une banque, écroulant leur système informatique et leurs faisant perdre des millions d'euros.

EDIT: cette histoire est probablement un fake: https://cyberplace.social/@GossiTheDog/111886558855943676
https://www.bleepingcomputer.com/news/security/no-3-million-electric-toothbrushes-were-not-used-in-a-ddos-attack/

« L’entreprise Viamedis, qui s’occupe du tiers payant pour 20 millions d’assurés en France, vient d’être piratée. »
« En tout, c’est plus de 20 millions de numéros de sécurité sociale qui pourraient être concernés. L’état civil, le nom de l’assureur santé ainsi que les garanties ouvertes au tiers payant de très nombreux Français et Françaises sont peut-être également dans la nature.  »

EDIT: Finalement c'est pas 20 millions, mais 33 millions : https://www.lemonde.fr/pixels/article/2024/02/07/piratage-de-viamedis-et-almerys-les-donnees-de-plus-de-33-millions-de-personnes-concernees-selon-la-cnil_6215292_4408996.html

Si *vraiment* vous avez besoin d'un anti-malware pour Android parce que vous téléchargez des apk de sources un peu douteuses (vous prenez des risques !), l'un des moins pires que j'ai trouvé est LookOut Mobile.
L'appli gratuite n'est pas pénible (elle ne passe pas son temps à vous proposer la version payante), elle détecte en temps réel, et elle voit des malwares spécifiques à Android que d'autres n'ont même pas vus.

(PS: Test empirique de ma part: Je me suis "amusé" à récupérer divers malwares Android d'une base en ligne et les balancer à différents antimalwares Android. Ça a été effrayant: Certains antimalwares (pourtant réputés sur PC) n'ont carrément rien vu. Lookout me les a tous repérés.)
PS: Non je ne touche rien de LookOut Mobile.

PS: Je parle ici de la partie "antimalware" de Lookout Mobile, qui surveille gratuitement les fichiers et applications installées. Je n'ai absolument pas activé ni testé les options payantes (protection contre les sites malveillants, VPN, etc.)

OH MON DIEU QUELLE HORREUR.
Un SVG peut contenir du javascript.
Et votre navigateur exécutera gentiment le javascript quand il ouvrira le SVG.
C'est sale.

Cela montre les limites des QR code côté sécurité.

D'après le marketting de Tesla, la conduite autonome et toutes les merveilles technologiques présentes dans les Tesla réduisent les risques d'accident.
Dans les faits, les conducteurs de Tesla sont proportionnellement impliqués dans bien plus d'accidents que toutes les autres marques.

Note: Comme le fait remarquer Sammy (https://sammyfisherjr.net/Shaarli/?DEjLZA) c'est probablement en grande partie parce que les technologies incluses dans les Tesla donnent au conducteur trop de confiance.

Les logiciels ont des bugs. Mais le BIOS ou EFI de votre ordinateur est aussi un logiciel. Et on y a découvert des bugs. En particulier un bug dans la partie qui sert à afficher un joli logo au démarrage de l'ordinateur.
La conséquence ? Cela permet de contourner SecureBoot, et donc d'infecter ou modifier un système d'exploitation qui serait signé et protégé par SecureBoot (dont c'est en principe le rôle : N'autoriser le démarrage de la machine que sur un système d'exploitation non altéré).
En plaçant une "image malveillante" sur la partition ESP, cela permet au malware d'accéder jusqu'au noyau du système d'exploitation hôte, sans avoir à modifier de fichier de ce système d'exploitation, et donc sans lever d'alerte.

Le 14 octobre 2025, Microsoft cessera de publier les mises à jour de sécurité pour Windows 10. Sauf si vous payez.

Entre 2011 et 2015, un certain nombre de portfeuillle BitCoin créés dans cette période ont utilisé un générateur de nombres aléatoires trop faible. Cela pourrait permettre le vol de ces BitCoins.