« Strava, un réseau social permettant de partager des activités sportives, est une mine de renseignements sur les déplacements de certains chefs d'état. »

« Le standard CXP semble mettre les acteurs d'accord et permettra d'importer et d'exporter ses mots de passe d'une plateforme à une autre, mais également de demander d'augmenter le niveau de sécurité de ces derniers lors du transit des mots de passe. »

« La cyberattaque qui a touché UPSaclay cet été a été revendiquée. »

« Des lois américaines imposant la présence de backdoors comme si elle pouvaient ne servir que le gouvernement sont utilisées par d'autres. Et les équipements d'autres pays sont également impactés. Vous avez dit "souveraineté numérique" ? »

« Article de proposition pour l'implémentation de réseaux de consentement (basés sur des object capabilities) comme alternative aux systèmes actuels implémentés dans les réseaux sociaux distribués (ACLs, block lists, allow-lists) pour protéger les utilisateurs, notamment du harcèlement, mais qui se révèlent inefficaces. »

« Il est connu qu'il ne faut pas donner tous les accès à docker quand on l'installe. Voici une des techniques pour escalader les privilèges d'un utilisateur grâce à docker. »

« Le National Institute of Standards and Technology américain a relancé le débat contre les règles contre-productives liés aux mots de passe. La synthèse de leurs propositions est à la fin de l'article. »

« Un article de blog qui soutient que les attaques via les chaînes de fabrication sont contre-productives, faciles à reproduire, et ouvrent la voie à une perte de confiance générale envers les distributeurs d'équipements électroniques. »

« Les YubiKeys, une des plus populaires solutions d'authentification multi-facteur, sont vulnérables au clônage. Comme la faille est au niveau matériel, c'est toute une génération de YubiKey qui devient obsolète »

« Une explication détaillée du protocole OAuth : pourquoi toutes ces étapes sont-elles requises ? À partir d'un protocole basique, l'auteur montre quelles attaques visent à déjouer chaque étape. »

« Pour contourner les sanctions internationales, la Corée du Nord profite des emplois en distanciel aux Etats-Unis pour faire embaucher des hommes de paille, récupérer les salaires, voler des secrets industriels et même déployer des rançongiciels. »

« Si vous utilisez polyfill.io dans vos sites web: arrêtez tout de suite. Si vous allez sur des sites qui l'utilisent, bloquez polyfill.io. Le code javascript fourni inclut du code malicieux. »

« Microsoft toujours à la pointe de la sécurité. Des chercheurs ont réalisé en 30 minutes une extension pour changer les couleurs de l'éditeur VSCode... et envoyer le code édité par l'utilisateur vers un serveur distant. La suite de leurs investigations sur la market place de VSCode fait l'objet d'autres billets de la même série. »

« Le partage de liens via Mastodon provoque des DDoS à cause de la prévisualisation. Les développeurs de Mastodon ne semblent pas pressés d'agir pour éviter le problème. »

« Tout ce qu'il faut savoir sur la cryptographie asymétrique et les mathématiques qui se cachent derrière. »

« Une faille de sécurité importante (note maximale de 10 sur 10 en criticité de la faille) a été introduite dans Gitlab en mai 2023 et est présente dans nombre d'instances de Gitlab; mettre en place l'authentification multi-facteurs (MFA) est recommandée si ce n'est déjà fait. »

« Le virus PlugX continue de se répliquer via des clés USB. Même si elle est possible, son éradication pose des problèmes de légalité. »

« Les mails en HTML sont pure diablerie, épisode treize mille deux cent douze. »

« Un malware a failli passer dans les versions mainstream de plusieurs distributions Linux. Laurent Steff a également trouvé ce lien qui retrace l'enquête du développeur qui a trouvé cette faille. »

« Un malware a failli passer dans les versions mainstream de plusieurs distributions Linux. Laurent Steff a également trouvé ce lien qui retrace l'enquête du développeur qui a trouvé cette faille. »

« Des chercheurs ont trouvé une vulnérabilité dans les puces ARM d'Apple avec la même problématique que pour Spectre il y a quelques années: c'est un problème côté matériel et les mesures pour se protéger contre cette faille auraient un coût certain en performance. Les plus récentes des puces (M3) ont une option pour désactiver l'optimisation qui crée la faille, mais l'impact sur les performances n'était pas encore clairement identifié. »

« Une vidéo de vulgarisation de l'algorithme de Diffie Hellman. »

« GitHub est la cible d'une attaque d'un nouveau genre, où des projets sont forkés avec des malwares placés dans les forks. Vérifiez bien si vous utilisez un projet sur Github que vous êtes bien dans le dépôt principal du projet! »

« Comment sont exploitées les violations d'accès mémoire ? Et comment s'en prémunir avec une architecture client/agent, ou encore mieux, en utilisant le service de rétention de clé du noyau Linux »

« Un deep fake aurait été utilisée pour extorquer 25 millions de dollars à une multinationale non citée: un fake Chief Financial Officer aurait ordonné à des employés de procéder à des transferts de fonds. Certains commentaires évoquent cependant que ça pourrait en fait être une malversation d'un des employés impliqués dans ces transferts. Quoi qu'il en soit, l'article termine par quelques pistes sur comment sécuriser les échanges en visio. »

« Les sites ArsTechnica et Vimeo ont tous les deux été utilisés dans une attaque d'un genre inédit, avec du texte dissimulé respectivement dans l'URL d'une photo d'un utilisateur et un descriptif de vidéo. Un journaliste ArsTechnica a utilisé une analogie parlante pour décrire l'attaque: It's like the old spy craft of taking out a classified ad in a newspaper, and someone knows to check for such and such job listing, and the salary range is the address of the drop spot. The newspaper might has facilitated bad actors, but not because they were running classified ads wrong. The ad only meant something to the right people. In the same sense the URL was only meaningful to someone infected. So there's kinda nothing for us to stop? In theory we could try and dedicate resources to not allowing this specific kind of attack in the future, but there's almost no point. »

« Une étude en terme de confidentialité et de sécurité met à mal les constructeurs de voitures qui collectent sans chiffrer tout un tas de données personnelles, tout en se vantant de garantir cette prétendue confidentialité. »

« Les données de "Have I been pwned?" ont montré que près d'un tiers des entrées récentes étaient de nouvelles données (par opposition à une réapparition de données déjà publiées sur le black market). Certaines de ces entrées montrent des mots de passe en clair; on voit que les mots de passe restent désespérément insuffisamment sécurisés (trop court, avec des années de naissance par exemple). L'article rappelle comment mieux protéger ses identifiants en ligne. »

« Tout un tas de bonnes pratiques pour durcir sa configuration ssh et la tester. »

« Via cet article d'Ars technica. Un expert en sécurité a analysé les quelques 450 000 projets sur Pypi et y a trouvé près de 4000 secrets dans les sources! Il mentionne ensuite dans son article plusieurs manières de détecter et d'éviter ce type de problème... y compris une commande en une ligne pour les paquets Pypi! (ggshield secret scan pypi). »

« Des chercheurs ont démontré une faille utilisable en situation réelle sans avoir accès aux machines physiques qui permet d'obtenir des clés privées SSH. La plupart des logiciels implémentant SSH ont des contremesures qui empêchent cette faille (notammant OpenSSH), mais ce n'est pas le cas de toutes les solutions propriétaires (l'article mentionne que les solutions Cisco, Zyxel, Hillstone Networks et Mocana ne sont pas protégées correctement). »

« Mettez à jour vos appareils Apple dès que possible! »

« Des ressources (en open source) pour aider les enseignants à initier les élèves aux notions de cybersécurité, grâce au jeu et à la compréhension des enjeux de cette discipline. »

« Au moins deux institutions fédérales américaines (FCC et FBI) ont émis des recommendations contre des piratages sur les bornes de charge accessibles librement... alors que l'article souligne qu'il n'y a aucun cas avéré en pratique, et que c'est en pratique très complexe à mettre en oeuvre. »

« Les fraudes utilisant l'IA pour contrefaire des voix de proches ont pris de l'ampleur aux Etats-Unis notamment, avec au moins 11 M$ volés à plus de 5000 personnes de cette manière. »

« Une explication très claire du principe du heap-based buffer overflow, avec un exemple concret d'exploitation d'un programme test. »

« Au moins 451 paquets Pypi sont infectés par un malware qui cible particulièrement les détenteurs de cryptomonnaie: leur bit rest de remplacer le destinataire lors d'une transaction. L'article explique un peu le fonctionnement du malware et l'obfuscation qu'il utilise dans le code. Le post de blog de ceux qui ont trouvé ces malware est aussi très intéressant; il donne notamment la liste complète des packages concernés. Ces packages sont en fait des variations orthographiques de package de référence qui comptent sur des typos lors de la saisie de la commande d'installation (scikiit-learn ou scikit-earn par exemple) »

« J'avais raté l'annonce, mais il y a 3 semaines un article indiquant une méthode permettant de cracker l'encryption RSA a apparemment généré pas mal de buzz - un algorithme quantique permettant de le faire est théorisé depuis longtemps mais est loin de pouvoir être mis en oeuvre avec nos moyens actuels; l'article en question indiquait qu'on pourrait atteindre cet objectif bien avant les prévisions (qui comptent en décennies le temps d'y arriver). ll semblerait toutefois que ça a été grandement exagéré, comme le souligne un spécialiste mentionné dans l'article: All told, this is one of the most actively misleading quantum computing papers I’ve seen in 25 years, and I’ve seen ... many »

« 2 failles de sécurité critiques ont été trouvées (plus une troisième pour le GUI sous Windows) dans git. L'article indique les actions pour se protéger:

• Utiliser un client git récent (>= v2.39.1) - Ubuntu a par exemple la version à jour.
• GitHub et Gitlab ont aussi des versions patchées (attention le Gitlab Inria est pour le moment à la version 15.5.2 (au moment où ces lignes sont écrites - l'information est ici) et le patch est présent à partir de la 15.5.9)

 »

« Un audit du "US Department of the Interior" montre que les mots de passe faibles conservent leur popularité, avec quelques variations pour passer les tests requis au moment du choix de mots de passe (longueur, présence caractères spéciaux et de chiffres). Comme le souligne l'article, ces règles supposent que l'attaque est en mode force brute (dans lequel chaque caractère ajouté rend le mot de passe bien plus solide) alors que les attaques utilisent beaucoup des dictionnaires de mots de passe connus et de leur variation commune (susbtituter un o par un 0 par exemple). »

« L'approche décentralisée de Mastodon induit quelques risques de sécurité de plus qu'une approche centralisée telle que celle utilisée par Twitter... mais pas mal de risques de sécurité existent de fait déjà avec des plateformes plus répandues, et la conclusion de l'article n'est pas que Mastodon est à proscrire. »

« Une communication erronnée de Microsoft laissait penser que des mises à jour de sécurité de drivers étaient faites automatiquement... alors que ce n'était pas le cas. »

« sha1 a également une faible résistance aux collisions. Ce site permet de créer deux fichiers pdf qui collisionnent par sha1. »

« md5 n'est pas une méthode sûre pour référencer des fichiers. La preuve avec cet utilitaire qui permet d'avoir toujours le même hash md5 pour des fichiers de moins de 4Kb. »

« Le journaliste d'Ars Technica couvrant la sécurité offre un témoignage sur comment il n'a pas détecté immédiatement une tentative de phising (même si le titre exagère un peu: il n'a communiqué aucune de ses données, et se reproche juste de ne pas avoir immédiatement décelé l'imposture). »

« Apple va proposer récemment sur macOS et iOS un mode de sécurité renforcé (notamment contre des logiciels espions type Pegasus) au prix d'une expérience utilisateur dégradée (certaines fonctionnalités seront désactivées). ArsTechnica estime que ce nouveau niveau de sécurité sera recherché avant tout par les personnels "à risque" (diplomates par exemple) mais au vu des commentaires (il est vrai d'un site à l'audience "geek" et très sensible aux questions de vie privée et de sécurité) ce mode pourrait trouver un public plus large. »

« Une nouvelle faille de sécurit;e a été trouvée dans Travis, un service d'intégration continue couplé à GitHub (déjà dans la ligne de mire en septembre 2021). Si vous l'utilisez, il est conseillé de renouveler les tokens utilisés. »

« Une faille de sécurité inntroduite dans un changement opéré en août 2021 a été trouvée pour les voitures Tesla. La conclusion n'est pas rassurante: apparemment Tesla ne prend pas en compte les failles ainsi remontées. »

« Une explication claire du vol récent de l'équivalent de 600 M$ en cryptomonnaie qui a été évoqué bien plus succinctement dans la presse classique. »

« Une faille de sécurité importante a éte trouvée dans le noyau Linux; elle a été introduite en août 2020 et est résolue depuis un mois. Il est donc conseillé de mettre à jour votre version d'OS si vous utilisez Linux... mais la situation est moins claire pour les utilisateurs d'Android. »

« Des chercheurs ont montré qu'on pouvait demander à Alexa de se donner des instructions via son micro. La courte vidéo mentionnée dans l'article est plus détaillée et présente d'autres scénarios possibles d'attaque, dont un où un tiers peut se faire passer pour Alexa et répondre ce qu'il veut à sa place (pour info j'ai été surpris au début par ce terme mais "skill" est le nom qu'Amazon a donné aux apps d'Alexa). »

« Une application de QR code sous Android abritait un cheval de troie (RAT = remote access trojan) qui ciblait principalement les données bancaires, d'assurance et liées aux crypto. L'article explique le fonctionnement du malware et donne aussi un lien permettant de voir si son appareil est infecté. »

« La raison a prévalu: un jugement a débouté le gouverneur américain qui poursuivait un journaliste pour piratage... quand ce dernier avait juste lu le code html d'un site officiel (c'est aggravé par le fait que même si on retient le "piratage" le journaliste s'est comporté comme un white hat: les autorités ont été prévenues en avance de phase et ont eu le temps de patcher avant la publication de l'article). »

« Dans les administrations états-uniennes, de nouvelles règles de cybersécurité arrivent. Parmi elles, l'interdiction de recourir à des mots de passe comportant des caractères spéciaux et d'exiger leur changement à intervalle régulier. Les applications métier devront aussi être accessibles via l'internet public et ne pas compter sur un VPN comme élément de sécurité. »

« Un malware nommé "UpdateAgent" sévit sur macOS depuis décembre 2020; cet article illustre son évolution et présente notamment les nouvelles "fonctionnalités" de ce malware au fil du temps. Il est un peu dommage qu'il ne spécifie pas comment vérifier si un Mac est infecté; des commentateurs ont fait des propositions mais il n'y a pas encore de suggestion "clé en main". »

« macOS n'est pas en reste: un malware très performant qui peut installer une backdoor si on se rend sur un site malicieux avec un navigateur se fondant sur WebKit a été détecté (le lien donné en fin d'article rentre plus dans les détails techniques). »

« Un bug majeur a été trouvé dans le noyau Linux; il est conseillé de mettre à jour vos systèmes dès que possible. L'article donne également un workaround si votre distro n'a pas encore de correctif disponible. »

« Comme le souligne l'article, The truth is that, with enough time, resources, and skill, everything can be hacked. L'article s'emploie ensuite à donner des conseils permettant de décourager la majorité des pirates. »

« Le gouverneur de l'état du Missouri a poursuivi un chercheur pour piratage parce que ce dernier avait indiqué que les numéros de sécurité sociale des enseignants étaient indûment disponibles en consultant le code html des pages Web... »

« Un "speedrunner" a fait en 2013 un mouvement qu'aucun autre n'a réussi à reproduire... et a réussi à prouver 8 ans plus tard que c'était très probablement dû à un bit changé par une interaction avec un rayon cosmique. L'article conclut avec des cas potentiellement bien plus graves qu'un record de jeu vidéo. »

« Une faille de sécurité exposait les données secrètes de projets passés à l'outil d'intégration continue Travis. La faille est maintenant résolue - même si la communauté d'utilisateurs n'a pas apprécié le manque de transparence de Travis; il est conseillé de changer les secrets de vos projets s'ils utilisent Travis. »

« Une faille dans l'API LinkedIn aurait permis la fuite de plus de 700 millions de données utilisateurs, dont les mots de passe. »

« With the announce of the latest stable Linux Kernel (5.13), it seems that support for Clang CFI is integrated (for arm64, I am not sure about x86_64). Anyway CFI is a nice security feature, and is integrated on Android Kernel since a while now. This article explains how it works. »

« This short article explains how ransomware gangs are using this technique since 2020, and why security solutions needs to monitor unwanted virtual machine creation and deletion. »

« Un billet qui explique les différents types de clés SSH avec des recommendations d'utilisation. »

« Google va financer un projet de réécriture de certaines parties du Kernel Linux en Rust pour en améliorer la sécurité. »

« Bugfixes are out since the 3rd of June, once you have updated or ensured you are up to date, you could have look at this blog post explaining all of it, including how dbus and polkit work. »

« L'entreprise ManoMano a décrit la démarche suivie pour un exercice de sécurité très élaboré - où une de leurs équipes tentait d'infecter les ordinateurs de ses agents en exploitant une vulnérabilité de Zoom. »

« Pour tous ceux qui utilisent le service codecov.io dans leur CI, une backdoor a été découverte qui permettait d'envoyer entre autre les tokens et mots de passe qui étaient passés au script bash uploader. »

« Les contributions de l'Université de Minnesota pour le kernel Linux sont maintenant systématiquement rejetées, suite à des chercheurs qui ont à au moins deux reprises soumis à dessein des patchs défaillant intentionnellement. Les mainteneurs de Linux n'ont clairement pas apprécié... »

« La dernière version de macOS (11.3) corrige des failles de sécurité dont certaines sont là depuis longtemps et sont activement exploitée. Il est conseillé de mettre à jour rapidement (l'article ne dit pas si un patch a aussi été émis pour les versions plus anciennes de l'OS comme Catalina). »

« L'outil "Cellebrite" qui permet d'extraire des données d'appareils mobiles a annoncé un support prochain de Signal... Les développeurs de cette application n'ont pas apprécié et ont procédé à un audit de sécurité dévastateur pour cette app de... sécurité. »

« Un article qui pointe l'insécurité de nombre de dispositifs IoT, pour lesquels aucune procédure de MAJ n'est prévue. Un analyste indique même une tendance à voir resurgir les bugs typiques des années 90, et dénonce un focus insuffisant sur la qualité de code. »

« Un petit tutoriel pour faire du test à données aléatoires (ou fuzzing en anglais) sur un exemple d'encodage d'URL. Ce type de test a notament permis de découvrir le fameux heartbleed, par exemple. »

« Une série d'add-ons sur Chrome ou Edge (listée dans l'article) comporte des adwares et malwares. »

« A very well explained story on an as easy a impressive way to get root access on Ubuntu Desktop. Well most of us have happily updated since but anyway this story of a 0 day discovery could be interesting. »

« ... ce qui ne veut pas dire qu'on n'entend plus parler de Zoom! »

« Après Zoom il y a quelques mois, c'est au tour de Cisco Webex d'avoir une faille de sécurité (corrigée maintenant) exposée au grand jour... »

« Le Projet Zéro de Google a trouvé 3 failles de sécurité exploitées activement dans iOS; Apple les a corrigées dans ses récentes mises à jour de sécurité. »

« Un bug important a été trouvé par hasard et est corrigé dans les dernières mises à jour de sécurité. »

« Il est conseillé de mettre au plus vite à jour Chrome sous Android (pour les versions Desktop c'est automatique quand une session est relancée). »

« Un compte-rendu par un white hat du travail d'audit de sécurité réalisé pour Apple dans le cadre de leur programme de primes au bug (une version plus synthétique peut être trouvée sur ArsTechnica). »

« Des hackers utilisent activement une faille de sécurité Zerologon dans Windows; mettez à jour vos systèmes! »

« Un ingénieur de chez Avast décrit de manière assez détaillée la démarche utilisée pour hacker une cafetière connectée. Il soulève en fin d'article un point intéressant: un frigo a en moyenne une durée de vie de 17 ans; quelle garantie a-t-on que les aspects connectés seront supportés sur une telle durée ? (la cafetière testée est par exemple déjà déclarée obsolète par son fabricant). Ars Technica couvre également cette expérience dans son article When coffee makers are demanding a ransom, you know IoT is screwed, qui rentre un peu moins dans les détails techniques. »

« Pour information, la CNIL a publié le 2 septembre cet article. »

« Une chronique sur les attaques par rançongiciel qui ont explosé cette année et qui conseille la lecture du guide publié par l'ANSSI. »

« Le plugin File Manager a une faille de grande ampleur qui pourrait affeter nombre de sites; il est recommandé d'updater au plus vite à la version 6.9. »

« L'été a été un peu tourmenté pour Apple, dont l'exclusivité de l'AppStore pour installer des applications sur iOS a été mise en cause par plusieurs éditeurs tiers dont Epic Games (Fortnite), Facebook et Microsoft. Cet article du printemps d'Ars Technica mentionner un cas similaire de bataille entre Apple et un éditeur tiers, en essayant d'apporter un éclairage pour les deux positions; il critique le manque de transparence des règles d'utilisation d'Apple mais souligne aussi les garanties que sa politique offre en terme de vie privée et de sécurité. »

« Une faille critique de sécurité exploitée a été décelée dans iOS - pensez bien à upgrader vers la version 13.4.5 dès qu'elle sera disponible [MAJ 21/04] Apple a indiqué après vérification que la faille indiquée (activation par réception d'un email sans aucune action de la part de l'utilisateur) était exagérée, et que ce n'était qu'un simple bug qui pouvait conduire a un crash. Des experts externes ont aussi mis en doute le diagnostic initial (voir cet article pour plus de détails). »

« La recherche de contacts automatisée via des appareils mobiles pourrait être utile notamment dans le cadre de l'épidémie actuelle. Les propositions de protocoles et d'APIs se multiplient, et leurs relectures critiques également. L'article présenté ici en détaille quelques limitations et compromis. Ce fil twitter présente un avis plus optimiste, tandis que la quadrature du net donne son argumentaire pour rejeter StopCovid. »

« Un enchaînement de failles de sécurité permettait d'activer la caméra d'un device sans l'accord de l'utilisateur. Le découvreur a signalé ces failles à Apple qui les a corrigées; pensez à mettre à jour vos OS pour bénéficier des patchs, »

« Une faille a été découverte dans le plugin Wordpress ThemeGrill Demo Importer, il est recommandé de le désactiver ou au minimum de le mettre à jour. »

« Une faille a été trouvée dans la version desktop de Whatsapp sous Windows et macOS; c'est corrigé dans les versions les plus récentes. »

« Une faille vieille de 9 ans a été découverte dans la commande sudo. Elle requiert un réglage qui n'est pas activé par défaut dans la plupart des distributions (attention toutefois si vous utilisez Mint ou ElementaryOS où il l'est). La faille est déjà corrigée dans certaines distributions (Debian, macOS). »

« Une faille de sécurité majeure a été signalée dans Windows 10 - il est recommandé d'installer au plus vite les mises à jour récentes. L'article souligne aussi que le fait que la NSA l'ait signalé publiquement est un changement de paradigme - auparavant ils gardaient l'information pour eux et l'exploitaient activement. MAJ ArsTechnica livre une explication technique plus détaillée dans cet article. »

« Si vous utilisez Firefox, mettez-le à jour au plus vite pour utiliser la 72.0.1. »

« Deux bibliothèques malveillantes ont été repérées dans pip et supprimées. »

« Le Maroc utilise un logiciel du NSO Group qui exploite une faille de l'appli WhatsApp pour espionner des opposants politiques. Facebook, qui détient WhatsApp, part en procès contre ce groupe. »

« Un bug dans la dernière mise à jour de Chrome peut poser des problèmes importants sur un Mac. Cependant, ce bug ne touche que les utilisateurs qui ont soit désactivé volontairement le SIP (system integrity protection) soit utilisent une version de macOS antérieure à ElCapitan. »

« Si vous utilisez le gestionnaire de mots de passe LastPass, mettez-le à jour: des failles de sécurités ont été corrigées très récemment. »

« Microsoft ne recommande désormais plus d'imposer l'expiration périodique des mots de passe. »

« Nouvelle faille de sécurité découverte, avec la particularité d'avoir été découverte par Netflix... Des patchs sont déjà disponibles. »

« Voir le titre... »

« L'article résume et commente les résultats de l'analyse effectuée par l'Agence nationale de la sécurité des systèmes d'information (ANSSI), dans son rapport annuel, concernant les principales tendances des cyber-menaces en 2018 : espionnage, attaques indirectes, opération de déstabilisation et d'influence , opérations clandestines sur les cryptomonnaies et la fraude en ligne. »

« Kaspersky a identifié un virus dans les ordinateurs Asus qui est dormant pour la plupart des utilisateurs mais s'active pour certains ordinateurs dont l'adresse MAC fait partie d'une liste préalablement établie par les hackeurs. »

« Cet article explique comment Microsoft a trouvé une vulnérabilité dans un driver Huawei avec un algorithme de machine learning (cette vulnérabilité est corrigée dans les versions récentes des drivers) »

« Cisco propose un système de reconnaissance faciale qui va être installé dans 2 lycées en France pour aider à la surveillance et faire du suivi d'élèves dans l'établissement. Pour garantir les libertés individuelles, les élèves devront se porter volontaires. »

« Facebook autorise certaines fautes de frappe dans les mots de passe, et l'auteur nous démontre, contrairement à ce que l'on pourrait penser, pourquoi cela ne pose pas de soucis de sécurité. »

« Google+ rate sa sortie programmée: une erreur a exposé publiquement pendant plus d'une semaine les profils privés de 52 millions de personnes. »

« Une nouvelle tactique de scam utilisant l'identification digitale d'Apple. »

« Une faille de sécurité importante (score de 9.8) a été découverte dans Kubernetes. Elle touche l'API et permet une escalade de privilèges dans a configuration par défaut. Il y a plusieurs mesures correctives selon la configuration en place et des versions à jour sont disponibles sur Zdnet ou sur l'un de ces liens Redhat. »

« Cet article reporte une recrudescence des tentatives de vol de données de cartes bancaires, à tel point que deux hackers sont actifs sur le même site, avec le deuxième minant les efforts du premier (maladroitement à en croire le premier commentaire). »

« 7 nouvelles variantes de Spectre et Meltdown ont été publiées récemment; cependant elles seraient d'après Intel déjà couvertes par les patchs mis en place depuis le début de l'année. »

« L'éditeur d'antivirus Kaspersky - qui est la solution actuelle obligatoire pour les postes macOS et Windows chez Inria - tente de convaincre avec peine de l'étanchéité de ses données avec l'état russe en déménageant une partie de ses serveurs en Suisse. Le ton de l'article est assez critique, soulignant par exemple que ces données restent accessibles aux experts Kaspersky basés à Moscou. »

« Une faille de sécurité importante trouvée dans libssh; l'impact pour les utilisateurs n'est pas encore clair mais pourrait être limité. Github par exemple utilise une version modifiée de cette lib et est épargné par la faille. »

« Une faille de sécurité découverte dans git, déjà patchée dans les versions les plus récentes. »

« Une étude de Princeton relate que les applications IoT pourraient être utilisées pour des attaques sur les réseaux électriques. »

« Intel a renoncé à fournir du microcode patchant une variante de Spectre pour certains anciens processeurs. »

« Une nouvelle attaque exploitant un principe similaire à celui de Spectre a été mise en évidence. »

« Une vulnérabilité critique divulguée la semaine passée par Cisco intéresse grandement les hackeurs. »

« Une nouvelle faille de sécurité dans Flash. Pour ceux qui ont absolument besoin de Flash pour naviguer sur certains sites en ayant besoin, il est mentionné que Chrome en propose une version customizée avec une sécurité renforcée. »

« Une mauvaise semaine pour la sécurité informatique: au moins 4 extensions Chrome totalisant 500 000 downloads se sont révélées vérolées, un malware Android d'un nouveau genre a été identifié, et les patchs à Spectre et Meltdown se révèlent problématiques alors qu'on craint des attaques réelles exploitant ces failles. »

« Comment se débarrasser de l'utilisateur root dans un conteneur Docker et ainsi améliorer sa sécurité. »

« Entretien avec Mikko Hypponen, directeur de la recherche chez F-Secure, au sujet des nouveaux défis de la cybersécurité, en particulier le machine learning. »

« Une faille dans macOS High Sierra permet d'avoir l'accès root sans mot de passe. [Update Sébastien] Une mise à jour de sécurité a été mise en ligne le 29 novembre par Apple. »

« Un excellent article qui revient sur cet employé de la NSA qui s'est fait piraté son ordinateur portable, comme par hasard après que Kaspersky ait détecté un virus (sur lequel il travaillait) et qui venait d'être envoyé à la société Russe. Alors que le Sénat des Etats Unis a interdit l’usage du logiciel Kaspersky par le gouvernement et ses agences, l'antivirus continue à être utilisé dans la plupart des administrations françaises (INRIA, CNRS, armée, ...). »

« Importante faille de sécurité trouvée dans le protocole WPA2. Il est conseillé de mettre à jour dès qu'ils sont disponibles les pilotes de vos matériels Wifi; le dernier paragraphe fournit quelques pistes pour limiter le risque et suggère notamment d'utiliser des VPN sûrs. Le problème est également reporté dans un récent article du monde.fr »

« Une faille de sécurité qui permet d'accéder au contenu du keychain manager de macOS. »

« Une note de sécurité pour les utilisateurs de CCleaner. »

« L'attaque d'Equifax, une société de bureau de crédit, qui a eu lieu en septembre a permis aux pirates de dérober les données de plus de 200 millions de personnes. L'article explique comment une telle attaque a pu avoir lieu et ses conséquences. »

« “Encore une faille de sécurité (sous Windows uniquement): le driver d'un fabriquant de carte audio qui équipe notamment certains ordinateurs HP stockait dans un fichier très facilement accessible (C:\Users\Public\MicTray.log) et non crypté l’intégralité des touches saisies, mots de passe inclus. Ca pose à la fois la question de l'éthique et de la compétence des développeurs, d’autant que le but de la manœuvre était juste de faire marcher les touches du clavier qui guident le comportement audio (monter le son par exemple). »

« Le récent phising “Google Docs" avait été prédit par des chercheurs, et les pirates sont susceptibles de s’être inspirés de leur code (le titre anglais résume bien l’article d’où la paraphrase…) »

« Un lien vers la première plateforme de "bug bounty" européenne qui met en lien des hackers qui veulent se faire une réputation dans le monde de la sécurité informatique sans enfeindre la loi et des associations qui n'ont qu'un budget limité pour leur sécurité informatique. Ce site garantit aussi la protection de ces lanceurs d'alerte, qui ont pas mal œuvré pendant la campagne présidentielle. »

« Un article qui montre que briser des mots de passe n’est pas l’apanage d’experts. »

« Un projet collaboratif pour résoudre une faille présente dans de nombreux projets libres. »

« Sécurité informatique: ne laissez pas n’importe qui mettre une clé USB dans vos devices. »

« Une bonne synthèse et etude technique sur la résilience du routage, du service DNS des operateurs francais. »

« Une analyse de l'attaque de juin 2016 contre l'organisation The DAO. »

« Une interface de gestion opaque présente sur les plate-formes intel. »

« Le typosquatting consiste originellement à acheter des noms de domaines proches lexicalement de noms de domaines très fréquentés, de façon à bénéficier du traffic engendré par une erreur de frappe de l'utilisateur dans l'adresse du site. L'auteur de l'article montre qu'il est possible d'utiliser cette technique dans plusieurs gestionnaires de paquets des langages de programmation pour, par exemple, prendre le contrôle de plusieurs machines. »

« Un article sur les bases de la sécurité dans les applications web. »

« Manipulation de données et machine learning en python »

« Un article sur les vulnérabilités de "Network Time Protocol". »