Hackropole [Vincent]
jeudi 28 novembre 2024
« LeFrance Cybersecurity Challenge est maintenant accessible toute l'année, et permet ainsi de se former au domaine de la cybersécurité. »
jeudi 28 novembre 2024
« Ce site recense les fuites de données des entreprises, et donc souvent nos données. »
vendredi 1 novembre 2024
« Strava, un réseau social permettant de partager des activités sportives, est une mine de renseignements sur les déplacements de certains chefs d'état. »
jeudi 17 octobre 2024
« Le standard CXP semble mettre les acteurs d'accord et permettra d'importer et d'exporter ses mots de passe d'une plateforme à une autre, mais également de demander d'augmenter le niveau de sécurité de ces derniers lors du transit des mots de passe. »
jeudi 17 octobre 2024
« La cyberattaque qui a touché UPSaclay cet été a été revendiquée. »
jeudi 10 octobre 2024
« Des lois américaines imposant la présence de backdoors comme si elle pouvaient ne servir que le gouvernement sont utilisées par d'autres. Et les équipements d'autres pays sont également impactés. Vous avez dit "souveraineté numérique" ? »
jeudi 10 octobre 2024
« Article de proposition pour l'implémentation de réseaux de consentement (basés sur des object capabilities) comme alternative aux systèmes actuels implémentés dans les réseaux sociaux distribués (ACLs, block lists, allow-lists) pour protéger les utilisateurs, notamment du harcèlement, mais qui se révèlent inefficaces. »
jeudi 10 octobre 2024
« Il est connu qu'il ne faut pas donner tous les accès à docker quand on l'installe. Voici une des techniques pour escalader les privilèges d'un utilisateur grâce à docker. »
jeudi 3 octobre 2024
« Le National Institute of Standards and Technology américain a relancé le débat contre les règles contre-productives liés aux mots de passe. La synthèse de leurs propositions est à la fin de l'article. »
jeudi 26 septembre 2024
« Un article de blog qui soutient que les attaques via les chaînes de fabrication sont contre-productives, faciles à reproduire, et ouvrent la voie à une perte de confiance générale envers les distributeurs d'équipements électroniques. »
jeudi 19 septembre 2024
« Les YubiKeys, une des plus populaires solutions d'authentification multi-facteur, sont vulnérables au clônage. Comme la faille est au niveau matériel, c'est toute une génération de YubiKey qui devient obsolète »
OAuth from First Principles [Romain (via le blog de Simon Willison)]
jeudi 19 septembre 2024
« Une explication détaillée du protocole OAuth : pourquoi toutes ces étapes sont-elles requises ? À partir d'un protocole basique, l'auteur montre quelles attaques visent à déjouer chaque étape. »
jeudi 12 septembre 2024
« Pour contourner les sanctions internationales, la Corée du Nord profite des emplois en distanciel aux Etats-Unis pour faire embaucher des hommes de paille, récupérer les salaires, voler des secrets industriels et même déployer des rançongiciels. »
vendredi 28 juin 2024
« Si vous utilisez polyfill.io dans vos sites web: arrêtez tout de suite. Si vous allez sur des sites qui l'utilisent, bloquez polyfill.io. Le code javascript fourni inclut du code malicieux. »
jeudi 20 juin 2024
« Microsoft toujours à la pointe de la sécurité. Des chercheurs ont réalisé en 30 minutes une extension pour changer les couleurs de l'éditeur VSCode... et envoyer le code édité par l'utilisateur vers un serveur distant. La suite de leurs investigations sur la market place de VSCode fait l'objet d'autres billets de la même série. »
jeudi 13 juin 2024
« Le partage de liens via Mastodon provoque des DDoS à cause de la prévisualisation. Les développeurs de Mastodon ne semblent pas pressés d'agir pour éviter le problème. »
jeudi 16 mai 2024
« Tout ce qu'il faut savoir sur la cryptographie asymétrique et les mathématiques qui se cachent derrière. »
jeudi 16 mai 2024
« Une faille de sécurité importante (note maximale de 10 sur 10 en criticité de la faille) a été introduite dans Gitlab en mai 2023 et est présente dans nombre d'instances de Gitlab; mettre en place l'authentification multi-facteurs (MFA) est recommandée si ce n'est déjà fait. »
jeudi 2 mai 2024
« Le virus PlugX continue de se répliquer via des clés USB. Même si elle est possible, son éradication pose des problèmes de légalité. »
Kobold letters [Maxence]
jeudi 11 avril 2024
« Les mails en HTML sont pure diablerie, épisode treize mille deux cent douze. »
jeudi 11 avril 2024
« Un malware a failli passer dans les versions mainstream de plusieurs distributions Linux. Laurent Steff a également trouvé ce lien qui retrace l'enquête du développeur qui a trouvé cette faille. »
jeudi 4 avril 2024
« Un malware a failli passer dans les versions mainstream de plusieurs distributions Linux. Laurent Steff a également trouvé ce lien qui retrace l'enquête du développeur qui a trouvé cette faille. »
jeudi 28 mars 2024
« Des chercheurs ont trouvé une vulnérabilité dans les puces ARM d'Apple avec la même problématique que pour Spectre il y a quelques années: c'est un problème côté matériel et les mesures pour se protéger contre cette faille auraient un coût certain en performance. Les plus récentes des puces (M3) ont une option pour désactiver l'optimisation qui crée la faille, mais l'impact sur les performances n'était pas encore clairement identifié. »
jeudi 21 mars 2024
« Une vidéo de vulgarisation de l'algorithme de Diffie Hellman. »
jeudi 29 février 2024
« GitHub est la cible d'une attaque d'un nouveau genre, où des projets sont forkés avec des malwares placés dans les forks. Vérifiez bien si vous utilisez un projet sur Github que vous êtes bien dans le dépôt principal du projet! »
jeudi 29 février 2024
« Comment sont exploitées les violations d'accès mémoire ? Et comment s'en prémunir avec une architecture client/agent, ou encore mieux, en utilisant le service de rétention de clé du noyau Linux »
jeudi 8 février 2024
« Un deep fake aurait été utilisée pour extorquer 25 millions de dollars à une multinationale non citée: un fake Chief Financial Officer aurait ordonné à des employés de procéder à des transferts de fonds. Certains commentaires évoquent cependant que ça pourrait en fait être une malversation d'un des employés impliqués dans ces transferts. Quoi qu'il en soit, l'article termine par quelques pistes sur comment sécuriser les échanges en visio. »
jeudi 1 février 2024
« Les sites ArsTechnica et Vimeo ont tous les deux été utilisés dans une attaque d'un genre inédit, avec du texte dissimulé respectivement dans l'URL d'une photo d'un utilisateur et un descriptif de vidéo. Un journaliste ArsTechnica a utilisé une analogie parlante pour décrire l'attaque: It's like the old spy craft of taking out a classified ad in a newspaper, and someone knows to check for such and such job listing, and the salary range is the address of the drop spot. The newspaper might has facilitated bad actors, but not because they were running classified ads wrong. The ad only meant something to the right people. In the same sense the URL was only meaningful to someone infected. So there's kinda nothing for us to stop? In theory we could try and dedicate resources to not allowing this specific kind of attack in the future, but there's almost no point. »
jeudi 1 février 2024
« Une étude en terme de confidentialité et de sécurité met à mal les constructeurs de voitures qui collectent sans chiffrer tout un tas de données personnelles, tout en se vantant de garantir cette prétendue confidentialité. »
jeudi 18 janvier 2024
« Les données de "Have I been pwned?" ont montré que près d'un tiers des entrées récentes étaient de nouvelles données (par opposition à une réapparition de données déjà publiées sur le black market). Certaines de ces entrées montrent des mots de passe en clair; on voit que les mots de passe restent désespérément insuffisamment sécurisés (trop court, avec des années de naissance par exemple). L'article rappelle comment mieux protéger ses identifiants en ligne. »
jeudi 14 décembre 2023
« Tout un tas de bonnes pratiques pour durcir sa configuration ssh et la tester. »
jeudi 16 novembre 2023
« Via cet article d'Ars technica. Un expert en sécurité a analysé les quelques 450 000 projets sur Pypi et y a trouvé près de 4000 secrets dans les sources! Il mentionne ensuite dans son article plusieurs manières de détecter et d'éviter ce type de problème... y compris une commande en une ligne pour les paquets Pypi! (ggshield secret scan pypi). »
jeudi 16 novembre 2023
« Des chercheurs ont démontré une faille utilisable en situation réelle sans avoir accès aux machines physiques qui permet d'obtenir des clés privées SSH. La plupart des logiciels implémentant SSH ont des contremesures qui empêchent cette faille (notammant OpenSSH), mais ce n'est pas le cas de toutes les solutions propriétaires (l'article mentionne que les solutions Cisco, Zyxel, Hillstone Networks et Mocana ne sont pas protégées correctement). »
jeudi 29 juin 2023
« Mettez à jour vos appareils Apple dès que possible! »
vendredi 16 juin 2023
« Des ressources (en open source) pour aider les enseignants à initier les élèves aux notions de cybersécurité, grâce au jeu et à la compréhension des enjeux de cette discipline. »
jeudi 11 mai 2023
« Au moins deux institutions fédérales américaines (FCC et FBI) ont émis des recommendations contre des piratages sur les bornes de charge accessibles librement... alors que l'article souligne qu'il n'y a aucun cas avéré en pratique, et que c'est en pratique très complexe à mettre en oeuvre. »
jeudi 9 mars 2023
« Les fraudes utilisant l'IA pour contrefaire des voix de proches ont pris de l'ampleur aux Etats-Unis notamment, avec au moins 11 M$ volés à plus de 5000 personnes de cette manière. »
jeudi 16 février 2023
« Une explication très claire du principe du heap-based buffer overflow, avec un exemple concret d'exploitation d'un programme test. »
jeudi 16 février 2023
« Au moins 451 paquets Pypi sont infectés par un malware qui cible particulièrement les détenteurs de cryptomonnaie: leur bit rest de remplacer le destinataire lors d'une transaction. L'article explique un peu le fonctionnement du malware et l'obfuscation qu'il utilise dans le code. Le post de blog de ceux qui ont trouvé ces malware est aussi très intéressant; il donne notamment la liste complète des packages concernés. Ces packages sont en fait des variations orthographiques de package de référence qui comptent sur des typos lors de la saisie de la commande d'installation (scikiit-learn ou scikit-earn par exemple) »
jeudi 26 janvier 2023
« J'avais raté l'annonce, mais il y a 3 semaines un article indiquant une méthode permettant de cracker l'encryption RSA a apparemment généré pas mal de buzz - un algorithme quantique permettant de le faire est théorisé depuis longtemps mais est loin de pouvoir être mis en oeuvre avec nos moyens actuels; l'article en question indiquait qu'on pourrait atteindre cet objectif bien avant les prévisions (qui comptent en décennies le temps d'y arriver). ll semblerait toutefois que ça a été grandement exagéré, comme le souligne un spécialiste mentionné dans l'article: All told, this is one of the most actively misleading quantum computing papers I’ve seen in 25 years, and I’ve seen ... many »
vendredi 20 janvier 2023
« 2 failles de sécurité critiques ont été trouvées (plus une troisième pour le GUI sous Windows) dans git. L'article indique les actions pour se protéger:
  • Utiliser un client git récent (>= v2.39.1) - Ubuntu a par exemple la version à jour.
  • GitHub et Gitlab ont aussi des versions patchées (attention le Gitlab Inria est pour le moment à la version 15.5.2 (au moment où ces lignes sont écrites - l'information est ici) et le patch est présent à partir de la 15.5.9)
 »
jeudi 12 janvier 2023
« Un audit du "US Department of the Interior" montre que les mots de passe faibles conservent leur popularité, avec quelques variations pour passer les tests requis au moment du choix de mots de passe (longueur, présence caractères spéciaux et de chiffres). Comme le souligne l'article, ces règles supposent que l'attaque est en mode force brute (dans lequel chaque caractère ajouté rend le mot de passe bien plus solide) alors que les attaques utilisent beaucoup des dictionnaires de mots de passe connus et de leur variation commune (susbtituter un o par un 0 par exemple). »
jeudi 1 décembre 2022
« L'approche décentralisée de Mastodon induit quelques risques de sécurité de plus qu'une approche centralisée telle que celle utilisée par Twitter... mais pas mal de risques de sécurité existent de fait déjà avec des plateformes plus répandues, et la conclusion de l'article n'est pas que Mastodon est à proscrire. »
jeudi 20 octobre 2022
« Une communication erronnée de Microsoft laissait penser que des mises à jour de sécurité de drivers étaient faites automatiquement... alors que ce n'était pas le cas. »
SHA1 collider [Daniel Augot (Grace)]
mardi 11 octobre 2022
« sha1 a également une faible résistance aux collisions. Ce site permet de créer deux fichiers pdf qui collisionnent par sha1. »
jeudi 29 septembre 2022
« md5 n'est pas une méthode sûre pour référencer des fichiers. La preuve avec cet utilitaire qui permet d'avoir toujours le même hash md5 pour des fichiers de moins de 4Kb. »
jeudi 1 septembre 2022
« Le journaliste d'Ars Technica couvrant la sécurité offre un témoignage sur comment il n'a pas détecté immédiatement une tentative de phising (même si le titre exagère un peu: il n'a communiqué aucune de ses données, et se reproche juste de ne pas avoir immédiatement décelé l'imposture). »
mercredi 6 juillet 2022
« Apple va proposer récemment sur macOS et iOS un mode de sécurité renforcé (notamment contre des logiciels espions type Pegasus) au prix d'une expérience utilisateur dégradée (certaines fonctionnalités seront désactivées). ArsTechnica estime que ce nouveau niveau de sécurité sera recherché avant tout par les personnels "à risque" (diplomates par exemple) mais au vu des commentaires (il est vrai d'un site à l'audience "geek" et très sensible aux questions de vie privée et de sécurité) ce mode pourrait trouver un public plus large. »
jeudi 16 juin 2022
« Une nouvelle faille de sécurit;e a été trouvée dans Travis, un service d'intégration continue couplé à GitHub (déjà dans la ligne de mire en septembre 2021). Si vous l'utilisez, il est conseillé de renouveler les tokens utilisés. »
jeudi 9 juin 2022
« Une faille de sécurité inntroduite dans un changement opéré en août 2021 a été trouvée pour les voitures Tesla. La conclusion n'est pas rassurante: apparemment Tesla ne prend pas en compte les failles ainsi remontées. »
jeudi 31 mars 2022
« Une explication claire du vol récent de l'équivalent de 600 M$ en cryptomonnaie qui a été évoqué bien plus succinctement dans la presse classique. »
jeudi 10 mars 2022
« Une faille de sécurité importante a éte trouvée dans le noyau Linux; elle a été introduite en août 2020 et est résolue depuis un mois. Il est donc conseillé de mettre à jour votre version d'OS si vous utilisez Linux... mais la situation est moins claire pour les utilisateurs d'Android. »
jeudi 10 mars 2022
« Des chercheurs ont montré qu'on pouvait demander à Alexa de se donner des instructions via son micro. La courte vidéo mentionnée dans l'article est plus détaillée et présente d'autres scénarios possibles d'attaque, dont un où un tiers peut se faire passer pour Alexa et répondre ce qu'il veut à sa place (pour info j'ai été surpris au début par ce terme mais "skill" est le nom qu'Amazon a donné aux apps d'Alexa). »
jeudi 3 mars 2022
« Une application de QR code sous Android abritait un cheval de troie (RAT = remote access trojan) qui ciblait principalement les données bancaires, d'assurance et liées aux crypto. L'article explique le fonctionnement du malware et donne aussi un lien permettant de voir si son appareil est infecté. »
jeudi 17 février 2022
« La raison a prévalu: un jugement a débouté le gouverneur américain qui poursuivait un journaliste pour piratage... quand ce dernier avait juste lu le code html d'un site officiel (c'est aggravé par le fait que même si on retient le "piratage" le journaliste s'est comporté comme un white hat: les autorités ont été prévenues en avance de phase et ont eu le temps de patcher avant la publication de l'article). »
jeudi 10 février 2022
« Dans les administrations états-uniennes, de nouvelles règles de cybersécurité arrivent. Parmi elles, l'interdiction de recourir à des mots de passe comportant des caractères spéciaux et d'exiger leur changement à intervalle régulier. Les applications métier devront aussi être accessibles via l'internet public et ne pas compter sur un VPN comme élément de sécurité. »
mercredi 2 février 2022
« Un malware nommé "UpdateAgent" sévit sur macOS depuis décembre 2020; cet article illustre son évolution et présente notamment les nouvelles "fonctionnalités" de ce malware au fil du temps. Il est un peu dommage qu'il ne spécifie pas comment vérifier si un Mac est infecté; des commentateurs ont fait des propositions mais il n'y a pas encore de suggestion "clé en main". »
mercredi 26 janvier 2022
« macOS n'est pas en reste: un malware très performant qui peut installer une backdoor si on se rend sur un site malicieux avec un navigateur se fondant sur WebKit a été détecté (le lien donné en fin d'article rentre plus dans les détails techniques). »
mercredi 26 janvier 2022
« Un bug majeur a été trouvé dans le noyau Linux; il est conseillé de mettre à jour vos systèmes dès que possible. L'article donne également un workaround si votre distro n'a pas encore de correctif disponible. »
mardi 26 octobre 2021
« Comme le souligne l'article, The truth is that, with enough time, resources, and skill, everything can be hacked. L'article s'emploie ensuite à donner des conseils permettant de décourager la majorité des pirates. »
mardi 26 octobre 2021
« Le gouverneur de l'état du Missouri a poursuivi un chercheur pour piratage parce que ce dernier avait indiqué que les numéros de sécurité sociale des enseignants étaient indûment disponibles en consultant le code html des pages Web... »
jeudi 30 septembre 2021
« Un "speedrunner" a fait en 2013 un mouvement qu'aucun autre n'a réussi à reproduire... et a réussi à prouver 8 ans plus tard que c'était très probablement dû à un bit changé par une interaction avec un rayon cosmique. L'article conclut avec des cas potentiellement bien plus graves qu'un record de jeu vidéo. »
mercredi 15 septembre 2021
« Une faille de sécurité exposait les données secrètes de projets passés à l'outil d'intégration continue Travis. La faille est maintenant résolue - même si la communauté d'utilisateurs n'a pas apprécié le manque de transparence de Travis; il est conseillé de changer les secrets de vos projets s'ils utilisent Travis. »
jeudi 1 juillet 2021
« Une faille dans l'API LinkedIn aurait permis la fuite de plus de 700 millions de données utilisateurs, dont les mots de passe. »
jeudi 1 juillet 2021
« With the announce of the latest stable Linux Kernel (5.13), it seems that support for Clang CFI is integrated (for arm64, I am not sure about x86_64). Anyway CFI is a nice security feature, and is integrated on Android Kernel since a while now. This article explains how it works. »
jeudi 1 juillet 2021
« This short article explains how ransomware gangs are using this technique since 2020, and why security solutions needs to monitor unwanted virtual machine creation and deletion. »
jeudi 24 juin 2021
« Un billet qui explique les différents types de clés SSH avec des recommendations d'utilisation. »
jeudi 24 juin 2021
« Google va financer un projet de réécriture de certaines parties du Kernel Linux en Rust pour en améliorer la sécurité. »
mercredi 16 juin 2021
« Bugfixes are out since the 3rd of June, once you have updated or ensured you are up to date, you could have look at this blog post explaining all of it, including how dbus and polkit work. »
mercredi 2 juin 2021
« L'entreprise ManoMano a décrit la démarche suivie pour un exercice de sécurité très élaboré - où une de leurs équipes tentait d'infecter les ordinateurs de ses agents en exploitant une vulnérabilité de Zoom. »
lundi 3 mai 2021
« Pour tous ceux qui utilisent le service codecov.io dans leur CI, une backdoor a été découverte qui permettait d'envoyer entre autre les tokens et mots de passe qui étaient passés au script bash uploader. »
mardi 27 avril 2021
« Les contributions de l'Université de Minnesota pour le kernel Linux sont maintenant systématiquement rejetées, suite à des chercheurs qui ont à au moins deux reprises soumis à dessein des patchs défaillant intentionnellement. Les mainteneurs de Linux n'ont clairement pas apprécié... »
mardi 27 avril 2021
« La dernière version de macOS (11.3) corrige des failles de sécurité dont certaines sont là depuis longtemps et sont activement exploitée. Il est conseillé de mettre à jour rapidement (l'article ne dit pas si un patch a aussi été émis pour les versions plus anciennes de l'OS comme Catalina). »
lundi 19 avril 2021
« L'outil "Cellebrite" qui permet d'extraire des données d'appareils mobiles a annoncé un support prochain de Signal... Les développeurs de cette application n'ont pas apprécié et ont procédé à un audit de sécurité dévastateur pour cette app de... sécurité. »
jeudi 15 avril 2021
« Un article qui pointe l'insécurité de nombre de dispositifs IoT, pour lesquels aucune procédure de MAJ n'est prévue. Un analyste indique même une tendance à voir resurgir les bugs typiques des années 90, et dénonce un focus insuffisant sur la qualité de code. »
jeudi 15 avril 2021
« Un petit tutoriel pour faire du test à données aléatoires (ou fuzzing en anglais) sur un exemple d'encodage d'URL. Ce type de test a notament permis de découvrir le fameux heartbleed, par exemple. »
lundi 14 décembre 2020
« Une série d'add-ons sur Chrome ou Edge (listée dans l'article) comporte des adwares et malwares. »
jeudi 26 novembre 2020
« A very well explained story on an as easy a impressive way to get root access on Ubuntu Desktop. Well most of us have happily updated since but anyway this story of a 0 day discovery could be interesting. »
jeudi 19 novembre 2020
« ... ce qui ne veut pas dire qu'on n'entend plus parler de Zoom! »
jeudi 19 novembre 2020
« Après Zoom il y a quelques mois, c'est au tour de Cisco Webex d'avoir une faille de sécurité (corrigée maintenant) exposée au grand jour... »
jeudi 12 novembre 2020
« Le Projet Zéro de Google a trouvé 3 failles de sécurité exploitées activement dans iOS; Apple les a corrigées dans ses récentes mises à jour de sécurité. »
jeudi 12 novembre 2020
« Un bug important a été trouvé par hasard et est corrigé dans les dernières mises à jour de sécurité. »
jeudi 5 novembre 2020
« Il est conseillé de mettre au plus vite à jour Chrome sous Android (pour les versions Desktop c'est automatique quand une session est relancée). »
jeudi 15 octobre 2020
« Un compte-rendu par un white hat du travail d'audit de sécurité réalisé pour Apple dans le cadre de leur programme de primes au bug (une version plus synthétique peut être trouvée sur ArsTechnica). »
lundi 28 septembre 2020
« Des hackers utilisent activement une faille de sécurité Zerologon dans Windows; mettez à jour vos systèmes! »
lundi 28 septembre 2020
« Un ingénieur de chez Avast décrit de manière assez détaillée la démarche utilisée pour hacker une cafetière connectée. Il soulève en fin d'article un point intéressant: un frigo a en moyenne une durée de vie de 17 ans; quelle garantie a-t-on que les aspects connectés seront supportés sur une telle durée ? (la cafetière testée est par exemple déjà déclarée obsolète par son fabricant). Ars Technica couvre également cette expérience dans son article When coffee makers are demanding a ransom, you know IoT is screwed, qui rentre un peu moins dans les détails techniques. »
Moteur de recherche et d’analyse Elasticsearch : 4 bonnes pratiques pour renforcer la sécurité des données [Lien fourni par Anne Combe (déléguée à la protection des données Inria)]
mardi 22 septembre 2020
« Pour information, la CNIL a publié le 2 septembre cet article. »
lundi 7 septembre 2020
« Une chronique sur les attaques par rançongiciel qui ont explosé cette année et qui conseille la lecture du guide publié par l'ANSSI. »
lundi 31 août 2020
« Le plugin File Manager a une faille de grande ampleur qui pourrait affeter nombre de sites; il est recommandé d'updater au plus vite à la version 6.9. »
lundi 31 août 2020
« L'été a été un peu tourmenté pour Apple, dont l'exclusivité de l'AppStore pour installer des applications sur iOS a été mise en cause par plusieurs éditeurs tiers dont Epic Games (Fortnite), Facebook et Microsoft. Cet article du printemps d'Ars Technica mentionner un cas similaire de bataille entre Apple et un éditeur tiers, en essayant d'apporter un éclairage pour les deux positions; il critique le manque de transparence des règles d'utilisation d'Apple mais souligne aussi les garanties que sa politique offre en terme de vie privée et de sécurité. »
mardi 21 avril 2020
« Une faille critique de sécurité exploitée a été décelée dans iOS - pensez bien à upgrader vers la version 13.4.5 dès qu'elle sera disponible [MAJ 21/04] Apple a indiqué après vérification que la faille indiquée (activation par réception d'un email sans aucune action de la part de l'utilisateur) était exagérée, et que ce n'était qu'un simple bug qui pouvait conduire a un crash. Des experts externes ont aussi mis en doute le diagnostic initial (voir cet article pour plus de détails). »
mercredi 15 avril 2020
« La recherche de contacts automatisée via des appareils mobiles pourrait être utile notamment dans le cadre de l'épidémie actuelle. Les propositions de protocoles et d'APIs se multiplient, et leurs relectures critiques également. L'article présenté ici en détaille quelques limitations et compromis. Ce fil twitter présente un avis plus optimiste, tandis que la quadrature du net donne son argumentaire pour rejeter StopCovid. »
lundi 6 avril 2020
« Un enchaînement de failles de sécurité permettait d'activer la caméra d'un device sans l'accord de l'utilisateur. Le découvreur a signalé ces failles à Apple qui les a corrigées; pensez à mettre à jour vos OS pour bénéficier des patchs, »
mercredi 19 février 2020
« Une faille a été découverte dans le plugin Wordpress ThemeGrill Demo Importer, il est recommandé de le désactiver ou au minimum de le mettre à jour. »
mercredi 5 février 2020
« Une faille a été trouvée dans la version desktop de Whatsapp sous Windows et macOS; c'est corrigé dans les versions les plus récentes. »
mercredi 5 février 2020
« Une faille vieille de 9 ans a été découverte dans la commande sudo. Elle requiert un réglage qui n'est pas activé par défaut dans la plupart des distributions (attention toutefois si vous utilisez Mint ou ElementaryOS où il l'est). La faille est déjà corrigée dans certaines distributions (Debian, macOS). »
mercredi 15 janvier 2020
« Une faille de sécurité majeure a été signalée dans Windows 10 - il est recommandé d'installer au plus vite les mises à jour récentes. L'article souligne aussi que le fait que la NSA l'ait signalé publiquement est un changement de paradigme - auparavant ils gardaient l'information pour eux et l'exploitaient activement. MAJ ArsTechnica livre une explication technique plus détaillée dans cet article. »
mercredi 8 janvier 2020
« Si vous utilisez Firefox, mettez-le à jour au plus vite pour utiliser la 72.0.1. »
jeudi 12 décembre 2019
« Deux bibliothèques malveillantes ont été repérées dans pip et supprimées. »
jeudi 7 novembre 2019
« Le Maroc utilise un logiciel du NSO Group qui exploite une faille de l'appli WhatsApp pour espionner des opposants politiques. Facebook, qui détient WhatsApp, part en procès contre ce groupe. »
jeudi 26 septembre 2019
« Un bug dans la dernière mise à jour de Chrome peut poser des problèmes importants sur un Mac. Cependant, ce bug ne touche que les utilisateurs qui ont soit désactivé volontairement le SIP (system integrity protection) soit utilisent une version de macOS antérieure à ElCapitan. »
jeudi 19 septembre 2019
« Si vous utilisez le gestionnaire de mots de passe LastPass, mettez-le à jour: des failles de sécurités ont été corrigées très récemment. »
jeudi 27 juin 2019
« Microsoft ne recommande désormais plus d'imposer l'expiration périodique des mots de passe. »
jeudi 20 juin 2019
« Nouvelle faille de sécurité découverte, avec la particularité d'avoir été découverte par Netflix... Des patchs sont déjà disponibles. »
mercredi 12 juin 2019
« Voir le titre... »
jeudi 16 mai 2019
« L'article résume et commente les résultats de l'analyse effectuée par l'Agence nationale de la sécurité des systèmes d'information (ANSSI), dans son rapport annuel, concernant les principales tendances des cyber-menaces en 2018 : espionnage, attaques indirectes, opération de déstabilisation et d'influence , opérations clandestines sur les cryptomonnaies et la fraude en ligne. »
mercredi 27 mars 2019
« Kaspersky a identifié un virus dans les ordinateurs Asus qui est dormant pour la plupart des utilisateurs mais s'active pour certains ordinateurs dont l'adresse MAC fait partie d'une liste préalablement établie par les hackeurs. »
mercredi 27 mars 2019
« Cet article explique comment Microsoft a trouvé une vulnérabilité dans un driver Huawei avec un algorithme de machine learning (cette vulnérabilité est corrigée dans les versions récentes des drivers) »
mercredi 6 février 2019
« Cisco propose un système de reconnaissance faciale qui va être installé dans 2 lycées en France pour aider à la surveillance et faire du suivi d'élèves dans l'établissement. Pour garantir les libertés individuelles, les élèves devront se porter volontaires. »
mercredi 30 janvier 2019
« Facebook autorise certaines fautes de frappe dans les mots de passe, et l'auteur nous démontre, contrairement à ce que l'on pourrait penser, pourquoi cela ne pose pas de soucis de sécurité. »
jeudi 13 décembre 2018
« Google+ rate sa sortie programmée: une erreur a exposé publiquement pendant plus d'une semaine les profils privés de 52 millions de personnes. »
mercredi 5 décembre 2018
« Une nouvelle tactique de scam utilisant l'identification digitale d'Apple. »
mercredi 5 décembre 2018
« Une faille de sécurité importante (score de 9.8) a été découverte dans Kubernetes. Elle touche l'API et permet une escalade de privilèges dans a configuration par défaut. Il y a plusieurs mesures correctives selon la configuration en place et des versions à jour sont disponibles sur Zdnet ou sur l'un de ces liens Redhat. »
jeudi 22 novembre 2018
« Cet article reporte une recrudescence des tentatives de vol de données de cartes bancaires, à tel point que deux hackers sont actifs sur le même site, avec le deuxième minant les efforts du premier (maladroitement à en croire le premier commentaire). »
jeudi 15 novembre 2018
« 7 nouvelles variantes de Spectre et Meltdown ont été publiées récemment; cependant elles seraient d'après Intel déjà couvertes par les patchs mis en place depuis le début de l'année. »
jeudi 15 novembre 2018
« L'éditeur d'antivirus Kaspersky - qui est la solution actuelle obligatoire pour les postes macOS et Windows chez Inria - tente de convaincre avec peine de l'étanchéité de ses données avec l'état russe en déménageant une partie de ses serveurs en Suisse. Le ton de l'article est assez critique, soulignant par exemple que ces données restent accessibles aux experts Kaspersky basés à Moscou. »
lundi 15 octobre 2018
« Une faille de sécurité importante trouvée dans libssh; l'impact pour les utilisateurs n'est pas encore clair mais pourrait être limité. Github par exemple utilise une version modifiée de cette lib et est épargné par la faille. »
jeudi 11 octobre 2018
« Une faille de sécurité découverte dans git, déjà patchée dans les versions les plus récentes. »
jeudi 23 août 2018
« Une étude de Princeton relate que les applications IoT pourraient être utilisées pour des attaques sur les réseaux électriques. »
mercredi 4 avril 2018
« Intel a renoncé à fournir du microcode patchant une variante de Spectre pour certains anciens processeurs. »
mercredi 28 mars 2018
« Une nouvelle attaque exploitant un principe similaire à celui de Spectre a été mise en évidence. »
lundi 12 février 2018
« Une vulnérabilité critique divulguée la semaine passée par Cisco intéresse grandement les hackeurs. »
mercredi 7 février 2018
« Une nouvelle faille de sécurité dans Flash. Pour ceux qui ont absolument besoin de Flash pour naviguer sur certains sites en ayant besoin, il est mentionné que Chrome en propose une version customizée avec une sécurité renforcée. »
Notes de sécurité [Sébastien]
mercredi 17 janvier 2018
« Une mauvaise semaine pour la sécurité informatique: au moins 4 extensions Chrome totalisant 500 000 downloads se sont révélées vérolées, un malware Android d'un nouveau genre a été identifié, et les patchs à Spectre et Meltdown se révèlent problématiques alors qu'on craint des attaques réelles exploitant ces failles. »
mercredi 10 janvier 2018
« Comment se débarrasser de l'utilisateur root dans un conteneur Docker et ainsi améliorer sa sécurité. »
mercredi 29 novembre 2017
« Entretien avec Mikko Hypponen, directeur de la recherche chez F-Secure, au sujet des nouveaux défis de la cybersécurité, en particulier le machine learning. »
mercredi 29 novembre 2017
« Une faille dans macOS High Sierra permet d'avoir l'accès root sans mot de passe. [Update Sébastien] Une mise à jour de sécurité a été mise en ligne le 29 novembre par Apple. »
mercredi 15 novembre 2017
« Un excellent article qui revient sur cet employé de la NSA qui s'est fait piraté son ordinateur portable, comme par hasard après que Kaspersky ait détecté un virus (sur lequel il travaillait) et qui venait d'être envoyé à la société Russe. Alors que le Sénat des Etats Unis a interdit l’usage du logiciel Kaspersky par le gouvernement et ses agences, l'antivirus continue à être utilisé dans la plupart des administrations françaises (INRIA, CNRS, armée, ...). »
mercredi 18 octobre 2017
« Importante faille de sécurité trouvée dans le protocole WPA2. Il est conseillé de mettre à jour dès qu'ils sont disponibles les pilotes de vos matériels Wifi; le dernier paragraphe fournit quelques pistes pour limiter le risque et suggère notamment d'utiliser des VPN sûrs. Le problème est également reporté dans un récent article du monde.fr »
mercredi 27 septembre 2017
« Une faille de sécurité qui permet d'accéder au contenu du keychain manager de macOS. »
mercredi 20 septembre 2017
« Une note de sécurité pour les utilisateurs de CCleaner. »
mercredi 20 septembre 2017
« L'attaque d'Equifax, une société de bureau de crédit, qui a eu lieu en septembre a permis aux pirates de dérober les données de plus de 200 millions de personnes. L'article explique comment une telle attaque a pu avoir lieu et ses conséquences. »
jeudi 18 mai 2017
« “Encore une faille de sécurité (sous Windows uniquement): le driver d'un fabriquant de carte audio qui équipe notamment certains ordinateurs HP stockait dans un fichier très facilement accessible (C:\Users\Public\MicTray.log) et non crypté l’intégralité des touches saisies, mots de passe inclus. Ca pose à la fois la question de l'éthique et de la compétence des développeurs, d’autant que le but de la manœuvre était juste de faire marcher les touches du clavier qui guident le comportement audio (monter le son par exemple). »
jeudi 11 mai 2017
« Le récent phising “Google Docs" avait été prédit par des chercheurs, et les pirates sont susceptibles de s’être inspirés de leur code (le titre anglais résume bien l’article d’où la paraphrase…) »
Bounty factory [Vincent]
jeudi 27 avril 2017
« Un lien vers la première plateforme de "bug bounty" européenne qui met en lien des hackers qui veulent se faire une réputation dans le monde de la sécurité informatique sans enfeindre la loi et des associations qui n'ont qu'un budget limité pour leur sécurité informatique. Ce site garantit aussi la protection de ces lanceurs d'alerte, qui ont pas mal œuvré pendant la campagne présidentielle. »
jeudi 13 avril 2017
« Un article qui montre que briser des mots de passe n’est pas l’apanage d’experts. »
jeudi 9 mars 2017
« Un projet collaboratif pour résoudre une faille présente dans de nombreux projets libres. »
jeudi 23 février 2017
« Sécurité informatique: ne laissez pas n’importe qui mettre une clé USB dans vos devices. »
vendredi 8 juillet 2016
« Une bonne synthèse et etude technique sur la résilience du routage, du service DNS des operateurs francais. »
vendredi 1 juillet 2016
« Une analyse de l'attaque de juin 2016 contre l'organisation The DAO. »
vendredi 17 juin 2016
« Une interface de gestion opaque présente sur les plate-formes intel. »
vendredi 10 juin 2016
« Le typosquatting consiste originellement à acheter des noms de domaines proches lexicalement de noms de domaines très fréquentés, de façon à bénéficier du traffic engendré par une erreur de frappe de l'utilisateur dans l'adresse du site. L'auteur de l'article montre qu'il est possible d'utiliser cette technique dans plusieurs gestionnaires de paquets des langages de programmation pour, par exemple, prendre le contrôle de plusieurs machines. »
vendredi 5 février 2016
« Un article sur les bases de la sécurité dans les applications web. »
vendredi 23 octobre 2015
« Manipulation de données et machine learning en python »
vendredi 23 octobre 2015
« Un article sur les vulnérabilités de "Network Time Protocol". »