mardi 26 octobre 2021
« Comme le souligne l'article, The truth is that, with enough time, resources, and skill, everything can be hacked. L'article s'emploie ensuite à donner des conseils permettant de décourager la majorité des pirates.  »
mardi 26 octobre 2021
« Le gouverneur de l'état du Missouri a poursuivi un chercheur pour piratage parce que ce dernier avait indiqué que les numéros de sécurité sociale des enseignants étaient indûment disponibles en consultant le code html des pages Web...  »
jeudi 30 septembre 2021
« Un "speedrunner" a fait en 2013 un mouvement qu'aucun autre n'a réussi à reproduire... et a réussi à prouver 8 ans plus tard que c'était très probablement dû à un bit changé par une interaction avec un rayon cosmique. L'article conclut avec des cas potentiellement bien plus graves qu'un record de jeu vidéo.  »
mercredi 15 septembre 2021
« Une faille de sécurité exposait les données secrètes de projets passés à l'outil d'intégration continue Travis. La faille est maintenant résolue - même si la communauté d'utilisateurs n'a pas apprécié le manque de transparence de Travis; il est conseillé de changer les secrets de vos projets s'ils utilisent Travis.  »
jeudi 1 juillet 2021
« Une faille dans l'API LinkedIn aurait permis la fuite de plus de 700 millions de données utilisateurs, dont les mots de passe.  »
jeudi 1 juillet 2021
« With the announce of the latest stable Linux Kernel (5.13), it seems that support for Clang CFI is integrated (for arm64, I am not sure about x86_64). Anyway CFI is a nice security feature, and is integrated on Android Kernel since a while now. This article explains how it works.  »
jeudi 1 juillet 2021
« This short article explains how ransomware gangs are using this technique since 2020, and why security solutions needs to monitor unwanted virtual machine creation and deletion.  »
jeudi 24 juin 2021
« Un billet qui explique les différents types de clés SSH avec des recommendations d'utilisation.  »
jeudi 24 juin 2021
« Google va financer un projet de réécriture de certaines parties du Kernel Linux en Rust pour en améliorer la sécurité.  »
mercredi 16 juin 2021
« Bugfixes are out since the 3rd of June, once you have updated or ensured you are up to date, you could have look at this blog post explaining all of it, including how dbus and polkit work.  »
mercredi 2 juin 2021
« L'entreprise ManoMano a décrit la démarche suivie pour un exercice de sécurité très élaboré - où une de leurs équipes tentait d'infecter les ordinateurs de ses agents en exploitant une vulnérabilité de Zoom.  »
lundi 3 mai 2021
« Pour tous ceux qui utilisent le service codecov.io dans leur CI, une backdoor a été découverte qui permettait d'envoyer entre autre les tokens et mots de passe qui étaient passés au script bash uploader.  »
mardi 27 avril 2021
« Les contributions de l'Université de Minnesota pour le kernel Linux sont maintenant systématiquement rejetées, suite à des chercheurs qui ont à au moins deux reprises soumis à dessein des patchs défaillant intentionnellement. Les mainteneurs de Linux n'ont clairement pas apprécié...  »
mardi 27 avril 2021
« La dernière version de macOS (11.3) corrige des failles de sécurité dont certaines sont là depuis longtemps et sont activement exploitée. Il est conseillé de mettre à jour rapidement (l'article ne dit pas si un patch a aussi été émis pour les versions plus anciennes de l'OS comme Catalina).  »
lundi 19 avril 2021
« L'outil "Cellebrite" qui permet d'extraire des données d'appareils mobiles a annoncé un support prochain de Signal... Les développeurs de cette application n'ont pas apprécié et ont procédé à un audit de sécurité dévastateur pour cette app de... sécurité.  »
jeudi 15 avril 2021
« Un article qui pointe l'insécurité de nombre de dispositifs IoT, pour lesquels aucune procédure de MAJ n'est prévue. Un analyste indique même une tendance à voir resurgir les bugs typiques des années 90, et dénonce un focus insuffisant sur la qualité de code.  »
jeudi 15 avril 2021
« Un petit tutoriel pour faire du test à données aléatoires (ou fuzzing en anglais) sur un exemple d'encodage d'URL. Ce type de test a notament permis de découvrir le fameux heartbleed, par exemple.  »
lundi 14 décembre 2020
« Une série d'add-ons sur Chrome ou Edge (listée dans l'article) comporte des adwares et malwares.  »
jeudi 26 novembre 2020
« A very well explained story on an as easy a impressive way to get root access on Ubuntu Desktop. Well most of us have happily updated since but anyway this story of a 0 day discovery could be interesting.  »
jeudi 19 novembre 2020
« ... ce qui ne veut pas dire qu'on n'entend plus parler de Zoom!  »
jeudi 19 novembre 2020
« Après Zoom il y a quelques mois, c'est au tour de Cisco Webex d'avoir une faille de sécurité (corrigée maintenant) exposée au grand jour...  »
jeudi 12 novembre 2020
« Le Projet Zéro de Google a trouvé 3 failles de sécurité exploitées activement dans iOS; Apple les a corrigées dans ses récentes mises à jour de sécurité.  »
jeudi 12 novembre 2020
« Un bug important a été trouvé par hasard et est corrigé dans les dernières mises à jour de sécurité.  »
jeudi 5 novembre 2020
« Il est conseillé de mettre au plus vite à jour Chrome sous Android (pour les versions Desktop c'est automatique quand une session est relancée).  »
jeudi 15 octobre 2020
« Un compte-rendu par un white hat du travail d'audit de sécurité réalisé pour Apple dans le cadre de leur programme de primes au bug (une version plus synthétique peut être trouvée sur ArsTechnica).  »
lundi 28 septembre 2020
« Des hackers utilisent activement une faille de sécurité Zerologon dans Windows; mettez à jour vos systèmes!  »
lundi 28 septembre 2020
« Un ingénieur de chez Avast décrit de manière assez détaillée la démarche utilisée pour hacker une cafetière connectée. Il soulève en fin d'article un point intéressant: un frigo a en moyenne une durée de vie de 17 ans; quelle garantie a-t-on que les aspects connectés seront supportés sur une telle durée ? (la cafetière testée est par exemple déjà déclarée obsolète par son fabricant). Ars Technica couvre également cette expérience dans son article When coffee makers are demanding a ransom, you know IoT is screwed, qui rentre un peu moins dans les détails techniques.  »
Moteur de recherche et d’analyse Elasticsearch : 4 bonnes pratiques pour renforcer la sécurité des données [Lien fourni par Anne Combe (déléguée à la protection des données Inria)]
mardi 22 septembre 2020
« Pour information, la CNIL a publié le 2 septembre cet article.  »
lundi 7 septembre 2020
« Une chronique sur les attaques par rançongiciel qui ont explosé cette année et qui conseille la lecture du guide publié par l'ANSSI.  »
lundi 31 août 2020
« Le plugin File Manager a une faille de grande ampleur qui pourrait affeter nombre de sites; il est recommandé d'updater au plus vite à la version 6.9.  »
lundi 31 août 2020
« L'été a été un peu tourmenté pour Apple, dont l'exclusivité de l'AppStore pour installer des applications sur iOS a été mise en cause par plusieurs éditeurs tiers dont Epic Games (Fortnite), Facebook et Microsoft. Cet article du printemps d'Ars Technica mentionner un cas similaire de bataille entre Apple et un éditeur tiers, en essayant d'apporter un éclairage pour les deux positions; il critique le manque de transparence des règles d'utilisation d'Apple mais souligne aussi les garanties que sa politique offre en terme de vie privée et de sécurité.  »
mardi 21 avril 2020
« Une faille critique de sécurité exploitée a été décelée dans iOS - pensez bien à upgrader vers la version 13.4.5 dès qu'elle sera disponible [MAJ 21/04] Apple a indiqué après vérification que la faille indiquée (activation par réception d'un email sans aucune action de la part de l'utilisateur) était exagérée, et que ce n'était qu'un simple bug qui pouvait conduire a un crash. Des experts externes ont aussi mis en doute le diagnostic initial (voir cet article pour plus de détails).  »
mercredi 15 avril 2020
« La recherche de contacts automatisée via des appareils mobiles pourrait être utile notamment dans le cadre de l'épidémie actuelle. Les propositions de protocoles et d'APIs se multiplient, et leurs relectures critiques également. L'article présenté ici en détaille quelques limitations et compromis. Ce fil twitter présente un avis plus optimiste, tandis que la quadrature du net donne son argumentaire pour rejeter StopCovid.  »
lundi 6 avril 2020
« Un enchaînement de failles de sécurité permettait d'activer la caméra d'un device sans l'accord de l'utilisateur. Le découvreur a signalé ces failles à Apple qui les a corrigées; pensez à mettre à jour vos OS pour bénéficier des patchs,  »
mercredi 19 février 2020
« Une faille a été découverte dans le plugin Wordpress ThemeGrill Demo Importer, il est recommandé de le désactiver ou au minimum de le mettre à jour.  »
mercredi 5 février 2020
« Une faille a été trouvée dans la version desktop de Whatsapp sous Windows et macOS; c'est corrigé dans les versions les plus récentes.  »
mercredi 5 février 2020
« Une faille vieille de 9 ans a été découverte dans la commande sudo. Elle requiert un réglage qui n'est pas activé par défaut dans la plupart des distributions (attention toutefois si vous utilisez Mint ou ElementaryOS où il l'est). La faille est déjà corrigée dans certaines distributions (Debian, macOS).  »
mercredi 15 janvier 2020
« Une faille de sécurité majeure a été signalée dans Windows 10 - il est recommandé d'installer au plus vite les mises à jour récentes. L'article souligne aussi que le fait que la NSA l'ait signalé publiquement est un changement de paradigme - auparavant ils gardaient l'information pour eux et l'exploitaient activement. MAJ ArsTechnica livre une explication technique plus détaillée dans cet article.  »
mercredi 8 janvier 2020
« Si vous utilisez Firefox, mettez-le à jour au plus vite pour utiliser la 72.0.1.  »
jeudi 12 décembre 2019
« Deux bibliothèques malveillantes ont été repérées dans pip et supprimées.  »
jeudi 7 novembre 2019
« Le Maroc utilise un logiciel du NSO Group qui exploite une faille de l'appli WhatsApp pour espionner des opposants politiques. Facebook, qui détient WhatsApp, part en procès contre ce groupe.  »
jeudi 26 septembre 2019
« Un bug dans la dernière mise à jour de Chrome peut poser des problèmes importants sur un Mac. Cependant, ce bug ne touche que les utilisateurs qui ont soit désactivé volontairement le SIP (system integrity protection) soit utilisent une version de macOS antérieure à ElCapitan.  »
jeudi 19 septembre 2019
« Si vous utilisez le gestionnaire de mots de passe LastPass, mettez-le à jour: des failles de sécurités ont été corrigées très récemment.  »
jeudi 27 juin 2019
« Microsoft ne recommande désormais plus d'imposer l'expiration périodique des mots de passe.  »
jeudi 20 juin 2019
« Nouvelle faille de sécurité découverte, avec la particularité d'avoir été découverte par Netflix... Des patchs sont déjà disponibles.  »
mercredi 12 juin 2019
« Voir le titre...  »
jeudi 16 mai 2019
« L'article résume et commente les résultats de l'analyse effectuée par l'Agence nationale de la sécurité des systèmes d'information (ANSSI), dans son rapport annuel, concernant les principales tendances des cyber-menaces en 2018 : espionnage, attaques indirectes, opération de déstabilisation et d'influence , opérations clandestines sur les cryptomonnaies et la fraude en ligne.  »
mercredi 27 mars 2019
« Kaspersky a identifié un virus dans les ordinateurs Asus qui est dormant pour la plupart des utilisateurs mais s'active pour certains ordinateurs dont l'adresse MAC fait partie d'une liste préalablement établie par les hackeurs.  »
mercredi 27 mars 2019
« Cet article explique comment Microsoft a trouvé une vulnérabilité dans un driver Huawei avec un algorithme de machine learning (cette vulnérabilité est corrigée dans les versions récentes des drivers)  »
mercredi 6 février 2019
« Cisco propose un système de reconnaissance faciale qui va être installé dans 2 lycées en France pour aider à la surveillance et faire du suivi d'élèves dans l'établissement. Pour garantir les libertés individuelles, les élèves devront se porter volontaires.  »
mercredi 30 janvier 2019
« Facebook autorise certaines fautes de frappe dans les mots de passe, et l'auteur nous démontre, contrairement à ce que l'on pourrait penser, pourquoi cela ne pose pas de soucis de sécurité.  »
jeudi 13 décembre 2018
« Google+ rate sa sortie programmée: une erreur a exposé publiquement pendant plus d'une semaine les profils privés de 52 millions de personnes.  »
mercredi 5 décembre 2018
« Une nouvelle tactique de scam utilisant l'identification digitale d'Apple.  »
mercredi 5 décembre 2018
« Une faille de sécurité importante (score de 9.8) a été découverte dans Kubernetes. Elle touche l'API et permet une escalade de privilèges dans a configuration par défaut. Il y a plusieurs mesures correctives selon la configuration en place et des versions à jour sont disponibles sur Zdnet ou sur l'un de ces liens Redhat.  »
jeudi 22 novembre 2018
« Cet article reporte une recrudescence des tentatives de vol de données de cartes bancaires, à tel point que deux hackers sont actifs sur le même site, avec le deuxième minant les efforts du premier (maladroitement à en croire le premier commentaire).  »
jeudi 15 novembre 2018
« 7 nouvelles variantes de Spectre et Meltdown ont été publiées récemment; cependant elles seraient d'après Intel déjà couvertes par les patchs mis en place depuis le début de l'année.  »
jeudi 15 novembre 2018
« L'éditeur d'antivirus Kaspersky - qui est la solution actuelle obligatoire pour les postes macOS et Windows chez Inria - tente de convaincre avec peine de l'étanchéité de ses données avec l'état russe en déménageant une partie de ses serveurs en Suisse. Le ton de l'article est assez critique, soulignant par exemple que ces données restent accessibles aux experts Kaspersky basés à Moscou.  »
lundi 15 octobre 2018
« Une faille de sécurité importante trouvée dans libssh; l'impact pour les utilisateurs n'est pas encore clair mais pourrait être limité. Github par exemple utilise une version modifiée de cette lib et est épargné par la faille.  »
jeudi 11 octobre 2018
« Une faille de sécurité découverte dans git, déjà patchée dans les versions les plus récentes.  »
jeudi 23 août 2018
« Une étude de Princeton relate que les applications IoT pourraient être utilisées pour des attaques sur les réseaux électriques.  »
mercredi 4 avril 2018
« Intel a renoncé à fournir du microcode patchant une variante de Spectre pour certains anciens processeurs.  »
mercredi 28 mars 2018
« Une nouvelle attaque exploitant un principe similaire à celui de Spectre a été mise en évidence.  »
lundi 12 février 2018
« Une vulnérabilité critique divulguée la semaine passée par Cisco intéresse grandement les hackeurs.  »
mercredi 7 février 2018
« Une nouvelle faille de sécurité dans Flash. Pour ceux qui ont absolument besoin de Flash pour naviguer sur certains sites en ayant besoin, il est mentionné que Chrome en propose une version customizée avec une sécurité renforcée.  »
Notes de sécurité [Sébastien]
mercredi 17 janvier 2018
« Une mauvaise semaine pour la sécurité informatique: au moins 4 extensions Chrome totalisant 500 000 downloads se sont révélées vérolées, un malware Android d'un nouveau genre a été identifié, et les patchs à Spectre et Meltdown se révèlent problématiques alors qu'on craint des attaques réelles exploitant ces failles.  »
mercredi 10 janvier 2018
« Comment se débarrasser de l'utilisateur root dans un conteneur Docker et ainsi améliorer sa sécurité.  »
mercredi 29 novembre 2017
« Entretien avec Mikko Hypponen, directeur de la recherche chez F-Secure, au sujet des nouveaux défis de la cybersécurité, en particulier le machine learning.  »
mercredi 29 novembre 2017
« Une faille dans macOS High Sierra permet d'avoir l'accès root sans mot de passe. [Update Sébastien] Une mise à jour de sécurité a été mise en ligne le 29 novembre par Apple.  »
mercredi 15 novembre 2017
«  Un excellent article qui revient sur cet employé de la NSA qui s'est fait piraté son ordinateur portable, comme par hasard après que Kaspersky ait détecté un virus (sur lequel il travaillait) et qui venait d'être envoyé à la société Russe. Alors que le Sénat des Etats Unis a interdit l’usage du logiciel Kaspersky par le gouvernement et ses agences, l'antivirus continue à être utilisé dans la plupart des administrations françaises (INRIA, CNRS, armée, ...).  »
mercredi 18 octobre 2017
« Importante faille de sécurité trouvée dans le protocole WPA2. Il est conseillé de mettre à jour dès qu'ils sont disponibles les pilotes de vos matériels Wifi; le dernier paragraphe fournit quelques pistes pour limiter le risque et suggère notamment d'utiliser des VPN sûrs. Le problème est également reporté dans un récent article du monde.fr  »
mercredi 27 septembre 2017
« Une faille de sécurité qui permet d'accéder au contenu du keychain manager de macOS.  »
mercredi 20 septembre 2017
« Une note de sécurité pour les utilisateurs de CCleaner.  »
mercredi 20 septembre 2017
« L'attaque d'Equifax, une société de bureau de crédit, qui a eu lieu en septembre a permis aux pirates de dérober les données de plus de 200 millions de personnes. L'article explique comment une telle attaque a pu avoir lieu et ses conséquences.  »
jeudi 18 mai 2017
« “Encore une faille de sécurité (sous Windows uniquement): le driver d'un fabriquant de carte audio qui équipe notamment certains ordinateurs HP stockait dans un fichier très facilement accessible (C:\Users\Public\MicTray.log) et non crypté l’intégralité des touches saisies, mots de passe inclus. Ca pose à la fois la question de l'éthique et de la compétence des développeurs, d’autant que le but de la manœuvre était juste de faire marcher les touches du clavier qui guident le comportement audio (monter le son par exemple). »
jeudi 11 mai 2017
« Le récent phising “Google Docs" avait été prédit par des chercheurs, et les pirates sont susceptibles de s’être inspirés de leur code (le titre anglais résume bien l’article d’où la paraphrase…) »
Bounty factory [Vincent]
jeudi 27 avril 2017
« Un lien vers la première plateforme de "bug bounty" européenne qui met en lien des hackers qui veulent se faire une réputation dans le monde de la sécurité informatique sans enfeindre la loi et des associations qui n'ont qu'un budget limité pour leur sécurité informatique. Ce site garantit aussi la protection de ces lanceurs d'alerte, qui ont pas mal œuvré pendant la campagne présidentielle. »
jeudi 13 avril 2017
« Un article qui montre que briser des mots de passe n’est pas l’apanage d’experts. »
jeudi 9 mars 2017
« Un projet collaboratif pour résoudre une faille présente dans de nombreux projets libres. »
jeudi 23 février 2017
« Sécurité informatique: ne laissez pas n’importe qui mettre une clé USB dans vos devices. »
vendredi 8 juillet 2016
« Une bonne synthèse et etude technique sur la résilience du routage, du service DNS des operateurs francais. »
vendredi 1 juillet 2016
« Une analyse de l'attaque de juin 2016 contre l'organisation The DAO. »
vendredi 17 juin 2016
« Une interface de gestion opaque présente sur les plate-formes intel. »
vendredi 10 juin 2016
« Le typosquatting consiste originellement à acheter des noms de domaines proches lexicalement de noms de domaines très fréquentés, de façon à bénéficier du traffic engendré par une erreur de frappe de l'utilisateur dans l'adresse du site. L'auteur de l'article montre qu'il est possible d'utiliser cette technique dans plusieurs gestionnaires de paquets des langages de programmation pour, par exemple, prendre le contrôle de plusieurs machines. »
vendredi 5 février 2016
« Un article sur les bases de la sécurité dans les applications web. »
vendredi 23 octobre 2015
« Manipulation de données et machine learning en python »
vendredi 23 octobre 2015
« Un article sur les vulnérabilités de "Network Time Protocol". »