hahah c'est trop drôle: Pendant des anneés, le FBI a monté une entreprise bidon qui vend des téléphones sécurisés "Anom". Que les criminels de 300 organisations se sont empressés d'acheter. Et le FBI pouvait en fait lire tous les échanges.
Le site Motherboard a réussi à se procurer le code source. C'était basé sur XMPP, et tous les messages étaient envoyés en copie à un compte caché. Et sans grande surprise une grande portion de code provient de code piqué à des Logiciels Libres. Motherboard pense également qu'un certain nombre de développeurs ont travaillé sans le savoir sur cette application.

Corollaire: Si une société vous vend un truc "hyper sécurisé" mais sans vous montrer les sources, elle peut très bien vous mentir. En matière de sécurité, on peut *peut pas* faire confiance à des logiciels à sources fermés.

Typosquatting des noms de packages npm : Une faute de frappe dans vos dépendances, et votre système est entièrement piratés sans que vous vous en rendiez compte.

Je me demandais aussi quand ils commenceraient à attaquer les IDE, vu que ces environnements passent leur temps à télécharger, compiler et exécuter du code. Bah voilà...
Le tout branché sur des GitHub ou des dépôts npm vérolés, ça va être rigolo.
Pourquoi se cantonner à attaquer les déploiements quand on peut s'attaquer directement au développement ?

Ça ne me surprend pas.
Vous voulez de la sécurité pour vos données sur les supports de stockage ? Utilisez VeraCrypt : https://veracrypt.fr/

Ah tiens, les logins et mots de passe d'un millions d'utilisateurs de l'assurance maladie française (ameli.fr).
PS: Contrairement à ce que laisserait penser le titre de l'article, ces comptes seraient plutôt issus d'une campagne de phishing que d'un piratage du service Ameli.

Forçage électronique des coffres-forts Sentry Safe et Master Lock en quelques secondes.

Quand un fichier arrive sur un système, l'antivirus intercepte le fichier et le vérifie juste après qu'il ait été écrit sur disque. Et si le fichier est "infecté", l'antivirus l'efface ou le déplace. Mais il y a moyen, en exploitant les "directory junctions" (similaire aux liens symboliques sous Linux), d'intervenir juste entre le moment où l'antivirus a scanné le fichier et le moment où il le déplace.
Et comme l'antivirus tourne avec les droits maximum du système d'exploitation, on peut lui faire effacer des fichiers critiques... y compris des exécutables de l'antivirus lui-même.
Et cela semble marcher avec pratiquement tous les antivirus.
Et pas que sous Windows.

Microsoft a trouvé deux failles d'escalation de privilèges dans Linux : CVE-2022-29799 et CVE-2022-29800. Les failles sont en principe déjà patchées. Mettez à jour.

État de la sécurité des fournisseurs de VPN: C'est la catastrophe.
Et pire que tout: Certains installent silencieusement une autorité de certification (CA) dans l'appareil (ordinateur ou téléphone), ce qui *augmente* les risques d'interception et déchiffrement du trafic.

Oh tiens, une faille d'exécution à distance simplement en envoyant un fichier audio (au format ALAC) aux smartphones équipés de puces Qualcomm ou MediaTek (c'est à dire la quasi-totalité des smartphones Android).

Des scellés à l'heure du numérique: La sécurité logicielle et réseau c'est très bien, mais comment être sûr que personne n'a ouvert votre serveur, ou que personne n'a altéré un équipement électronique pendant le transport ?

Cet article examine différentes solutions de scellés, pour s'assurer qu'un équipement ou objet n'a pas été altéré. Par exemple avec du vernis contenant des paillettes sur la visserie d'un serveur pour s'assurer que personne ne l'a ouvert.

Autre exemple: Pour envoyer un téléphone ou un ordinateur en étant certain qu'il n'est pas altéré par un adversaire pendant le transport, ils proposent la solution suivante:
1) Mettre l'appareil dans un sac étanche.
2) Mettre ce sac dans un autre sac que vous aurez remplis, par exemple, de lentilles de différentes couleurs (oui, le légume). Faites le vide de ce sachet avec un aspirateur afin de figer les lentilles.
3) Prendre une photo du sachet que vous envoyez au destinataire par un canal sûr.
4) À l'arrivée, le destinataire compare le motif des lentilles avec la photo qu'il a reçue.

Il est pratiquement impossible d'ouvrir le sachet pour altérer l'appareil et le refermer sans que les lentilles aient bougé. Et il serait extrêmement difficile de refaire le vide en remettant exactement les lentilles en place pour reproduire le même motif.

Apple et Facebook ont donné à des pirates des données personnelles de leurs utilisateurs en croyant que c'était des gens des forces de l'ordre. Oups.
Quand on dit que tout outils qui permet aux "gentils" d'obtenir des données privées est forcément mauvais car sera forcément détourné par les "méchants", on en a encore ici la preuve.

(Copie de l'article car Bloomberg ne laisse pas Archive.org archiver ses articles: http://web.archive.org/web/20220401060752/https://sebsauvage.net/files/articles/Apple,%20Meta%20Gave%20User%20Data%20to%20Hackers%20With%20Forged%20Legal%20Requests%20%28AAPL,%20FB%29%20-%20Bloomberg%20%2801_04_2022%2008_02_24%29.html)

218 packages malveillants dans npm... voilà.

"La plus grave" je ne sais pas: Ce n'est pas la première faille de "privilege escalation" qui a été corrigée. Mais c'est sérieux, c'est vrai !

NVidia s'est récemment fait pirater. Parmis les données piratées se trouvait la clé de signature des pilotes. Des malwares commencent à circuler, signés par NVidia. Certes ce sont des clés expirées, mais Windows continue à les accepter.

Un article long et argumenté sur les problèmes de sécurité de Linux. (via http://links.kevinvuilleumier.net/?TjPVYQ)

Hop... vol pour 1,7 millions de dollars de NFT sur la plateforme OpenSea (via phishing).
Ce qui est rigolo avec les NFT, c'est que les vols sur le net (qui existent déjà) vont prendre une ampleur assez phénoménale.
Les internautes n'arrivent déjà pas à mémoriser et protéger leurs mots de passe, ils ne savent déjà pas faire une sauvegarde de leur ordinateur, alors gérer et protéger leur clé privée de blockchain, ça va juste être magnifique.
Non le web3/nft/blockchain ne va pas magiquement protéger les avoirs des internautes sur internet.
N'importe qui qui a assez de bouteille avec PGP sait très bien que pour la majorité des gens, ça ne marchera pas. (Heck... j'ai même abandonné moi-même l'usage de PGP alors que je sais comment ça fonctionne.). Quant à toutes les startup qui prétendent rendre la crypto "simple", la solution proposée est systématiquement une centralisation... chez elles. Plouf plouf, c'est plus décentralisé.

EDIT: Article en liaison, intéressant : https://shkspr.mobi/blog/2022/02/people-dont-want-to-run-their-own-bank/

Ewww... je n'avais pas tilté que le support de php 7.x s'arrêtait vers la fin de l'année.

BitLocker est le système de chiffrement de disque de Windows.
En soit c'était déjà une énorme bouffonnerie puisque dès que vous l'activez, BitLocker envoie (sans vous prévenir) une copie de vos clés de chiffrement à Microsoft. (Si Microsoft garde une copie de vos clés, c'est pour votre bien, il paraît.)
Mais dans cet article on apprend que si vous utilisez juste un compte local à la machine, BitLocker écrit les clés de chiffrement EN CLAIR SUR DISQUE.
Ce qui équivaut à poser une porte blindée dernier cri et scotcher la clé sur la porte à la vue de tous.

On peut arrêter de dire que Microsoft c'est "professionnel" ?

Ewww... faille de sécurité découverte dans pkexec, un outils de gestion de la sécurité installé par défaut dans la majorité des distributions Linux. Cette faille permet d'obtenir les privilèges root à partir de n'importe quel utilisateur. Vos distributions doivent déjà avoir une mise à jour du paquet Polkit disponible: installez-la rapidement !
EDIT: autres informations là : https://www.bleepingcomputer.com/news/security/linux-system-service-bug-gives-root-on-all-major-distros-exploit-released/

Héhé j'aime bien l'idée: Un faux serveur ssh qui sort une bannière sans jamais proposer le prompt, faisant attendre indéfiniment les clients ssh.

Rappel: Copier-coller des commandes shell depuis une page web vers un terminal peut être risqué.

Suite à l'évocation du problème par @lanodan@queer.hacktivis.me, je me suis rendu compte que je n'avais jamais couché par écrit cette anecdote sur une faille de sécurité de ZeroBin.
Cela me semble suffisamment édifiant pour servir de leçon, et cela ma rendu terriblement humble sur la sécurité. Autant en faire profiter tout le monde.

Comme accès de secours à sa machine perso, Zythom a mis en place une solution ingénieuse: Un service ssh sur TOR, ce qui lui permet d'y accéder sans ouvrir de port dans son firewall, et surtout sans que le service soit "découvrable" (on ne peut pas "énumérer" les adresses en .onion de TOR comme on pourrait faire un scan d'une plage d'IP).

Le guide de l'ANSSI pour la sécurisation d'OpenSSH.