#firefox (IV) – Sécuriser un peu plus sa navigation | OpenFacto
▻https://openfacto.fr/2019/09/01/firefox-iv-securiser-un-peu-plus-sa-navigation
Tags: firefox #sécurité_informatique #internet
#firefox (IV) – Sécuriser un peu plus sa navigation | OpenFacto
▻https://openfacto.fr/2019/09/01/firefox-iv-securiser-un-peu-plus-sa-navigation
Tags: firefox #sécurité_informatique #internet
Pour ceux et celles qui s’intéresssent à la critique des médias, uniquement. Un remarquable condensé de conneries sur la #sécurité_informatique et la #quantique. Le journaliste copiant le dossier de presse sans le comprendre, dans toute son horreur.
▻https://www.washingtonpost.com/technology/2020/07/23/us-plan-quantum-internet
UVP, Une application mobile pour filmer les violences policières
▻https://reporterre.net/Une-application-mobile-pour-filmer-les-violences-policieres
Le collectif Urgence notre police assassine lance une application pour filmer les interventions des forces de l’ordre sans que celles-ci puissent effacer les images. Un outil précieux pour documenter des violences policières en pleine recrudescence depuis le début du confinement.
« Nous ne pouvons plus accepter l’impunité policière. Il nous faut la documenter, nous entraider, agir et nous organiser. »
Depuis le début du confinement, une recrudescence des cas de violences policières est observée dans les quartiers populaires. [...]
Tous les jours, des vidéos dénonçant les agissements des forces de l’ordre sont diffusées sur les réseaux sociaux. Dimanche 26 avril, les journalistes Taha Bouhafs et Nadir Dendoune ont publié des images montrant un groupe de policiers tenant des propos racistes pendant une interpellation au bord de la Seine, dans la nuit de samedi à dimanche, à L’Ile-Saint-Denis (Seine-Saint-Denis).
« Un bicot comme ça, ça ne nage pas », a notamment dit l’un des policiers à propos d’un homme qui aurait plongé dans l’eau pour échapper à la police. Cette vidéo s’est répandue comme une trainée de poudre sur les réseaux sociaux et la police des polices, l’IGPN, a été saisie. Avec l’accord du ministre de l’Intérieur, le préfet de police de Paris, Didier Lallement, a demandé au directeur général de la police nationale la suspension de deux policiers mis en cause. « Morale de l’histoire : filmez, filmez, y’a que ça de vrai » , a réagi Taha Bouhafs sur Twitter.
En ce sens, une application gratuite baptisée UVP (Urgence violences policières) a été lancée par le collectif Urgence notre police assassine, réunissant des familles de victimes. Celle-ci permet de filmer les interventions des forces de l’ordre sans qu’elles ne puissent effacer les images ou les conserver en saisissant les téléphones, puisqu’elles sont envoyées instantanément sur les serveurs du collectif, avec une géolocalisation très précise de l’endroit où a lieu la scène.
Présentation de l’application par le collectif Urgence notre police assassine :
L’application Urgence violences policières a pour but la surveillance citoyenne de la police. Elle est le résultat de nombreuses années de réflexion et d’observation du comportement de la police française. Dans la majorité des affaires de violences policières, rares sont les poursuites à l’encontre des fonctionnaires puisque les témoignages ne suffisent plus et les nombreuses vidéos sont effacées. On s’est demandé comment s’organiser pour arrêter ce fléau et l’impunité policière qui l’alimente ? L’une de nos armes privilégiées, c’est la vidéo. Cette application va servir à filmer et stocker les images sur nos serveurs. Les images nous seront envoyées en instantané. Elles nous serviront à documenter ces violences et accompagner les victimes. Elles pourront donc évidemment être utilisées à des fins juridiques. Notre association n’hésitera pas à se porter partie civile à chaque fois que nécessaire. »
[erreur de ma part : applications à déconseiller, voir ci-dessous, ndc]
Filme un flic, sauve une vie ! Petit guide juridique pour filmer la police
▻https://paris-luttes.info/filme-un-flic-sauve-une-vie-petit-5966
Une réserve, et pas de recette pour parer au grain : filmer c’est aussi fabriquer ce qui pourra servir à blâmer ou incriminer des personnes aux prises avec la police. Je ne trouve pas dans l’instant d’autre texte à ce sujet que celui qui suit, mais il en existe de nombreux : Nous ne voulons plus de vos images
▻https://paris-luttes.info/nous-ne-voulons-plus-de-vos-images-13868
Lettre ouverte à ceux qui capturent. Sur la nécessité de filmer et de diffuser un feu d’artifice. Sur la nécessité de filmer et diffuser un feu d’artifice quand celui-ci est tiré sur la police. Sur la nécessité de soutenir les insurgés sans les mettre en difficulté.
#capture
#surveillons_la_police #police #copwatching #violence_policière #Urgence_notre_police_assassine (ce « notre »,une appellation initiale qui n’a jamais pu bouger, le coup était parti, tristesse).
> La réalisation est franchement à l’avenant :
> elle utilise des trackers : ▻https://reports.exodus-privacy.eu.org/fr/reports/119482
> elle n’est pas open source (et elle a été outsourcée à une boîte indienne)
> * et, surtout, elle semble poser des risques majeurs pour celleux qui l’utilisent : ▻https://nitter.net/i/status/1254569502030905348
1/ L’application a pour but de permettre à une personne possédant l’application mobile d’enregistrer une violence policière. (avec une localisation).
Elle est disponible sur l’App Store et le Play Store.
2/ Je vais tout d’abord procéder à une analyse dynamique via un proxy (Charles) en me baladant dans l’application, m’inscrire, me connecter etc.
3/ Après quelques requêtes on obtient un nom de domaine.
▻https://www.urgenceviolencespolicieres.com
4/ En nous rendant simplement sur le site en question on tombe sur une page de maintenance.
5/ Le nom de domaine est enregistré chez @infomaniak en Suisse.
L’hébergement quant à lui est situé aux USA chez AWS (13.59.42.179).
6/ Petit point presse pour savoir qui est derrière cette application, d’après l’@LEXPRESS l’application est à l’origine de l’OVNP (Observatoire national des pratiques et des violences policières).
7/ De retour sur l’application, nous avons la possibilité de nous inscrire et de nous connecter.
J’y découvre une première vulnérabilité de sécurité, le code OTP est toujours le même et il est contenu dans la réponse de tentative de connexion réussite de l’utilisateur.
8/ L’application se présente comme ceci, vous avez un écran principal permettant d’enregistrer une vidéo avec la localisation actuelle que j’ai caché par un rectangle rouge.
Il y a un autre screen qui est celui contenant les informations du compte courant.
9/ En me baladant dans la FAQ, je trouve quelque chose qui semble inconcevable.
Pour supprimer votre compte de l’application soit vous désinscrire, il faut simplement supprimer l’application.
C’est faux, sinon il n’y aurait pas de communication vers un serveur.
9-bis / Votre compte est conservé dans une base de données et vous n’avez visiblement aucun moyen de vous en supprimer depuis l’application.
10/ Revenons vers le site, hébergeant l’API permettant de communiquer avec l’application.
A première vue une simple page de maintenance, mais celui-ci est vulnérable à du directory listing.
Concrètement on peut y voir des dossiers de dépendances PHP.
11/ En m’aidant de mon proxy et des requêtes envoyées depuis l’application, je trouve un panel d’administration.
12/ Avec de la déduction et un peu d’expérience, je déduis que c’est une plateforme développée sous un certain framework PHP.
Mélangé avec du directory listing cité plus haut cela donne.... le login et le mot de passe de la base de données...
🤦🏻♂️
3/ A titre indicatif le mot de passe est très très faible (quelque chose mélangeant 1234 et des termes trop communs) et le login subit le même sort.
J’y obtiens également les accès au serveur SMTP permettant d’envoyer des mails aux inscrits.
13-bis/ Théoriquement il me serait tout à fait possible d’utiliser l’identité de l’adresse email expéditrice et de réaliser du phishing.
14/ J’obtiens également l’information que la plateforme est en mode debug, c’est à dire que sans la vulnérabilité de listing directory il m’aurait été possible d’obtenir les informations ci-dessus très facilement.
15/ J’en obtiens d’autres informations comme la clé secrète JWT qui permet de signer et authentifier un utilisateur.
BONUS : la clé secrète permettant d’envoyer des notifications aux utilisateurs.
16/ J’obtiens un accès à phpMyAdmin et j’accède ainsi à l’entièreté de la base de données, avec tous les utilisateurs.
Petit complément d’information, on peut trouver la société qui a développé la solution via les captures d’écran sur l’App Store.
C’est la société indienne Devstree qui l’a réalisé. (l’Inde n’est jamais très loin, cc @fs0c131y)
Bon...
Complément d’information 2, il est possible de récupérer le code source de la plateforme et de s’y inscrire en tant qu’administrateur. ▻https://nitter.net/gif/https%3A%2F%2Fvideo.twimg.com%2Ftweet_video%2FEWlIKsCXYAUJjjY.mp4
Merci pour cette clarification @whilelm !! J’avais des doutes de cybernouille sur la sécurisation (centralisation de quoi ? par qui ? accessible comment ?). Si je n’ai pas compris l’intégralité de ce que tu pointes, ce que tu dis permet de savoir à quoi s’en tenir. C’est plus une balle dans le pied, c’est le cerveau qui explose à tout va. Déjà des échanges sur l’appellation ’notre’ police - plutôt imaginée de bonne foi il me semble pour dire le besoin d’un contrôle collectif, d’imposer des limites à la liberté de la police - avait illustré ce que l’activisme, nécessaire, l’urgence, imposée, peut amener à dire et faire comme boulettes illogiques. Ce qui m’ennuie profondément c’est que faire part aux initiateurs de tels défaut rédhibitoires sans indiquer une amorce de solution rendrait la critique inaudible et sans effet, forcément.
Ce virus là a commencé à circuler le 10 mars (ou avant) en presse, avec une pullulation récente, et des syndicats de flics ont déféqués leurs communiqués outrés, en lui décernant le label " anti-flics ".
Je n’ai aucun moyen de vérifier quoi que ce soit, mais l’ open bar sur les données des utilisateurs aurait duré près de deux mois avant que :
▻https://nitter.net/thibeault_chenu/status/1254613329198407681#m
Bon...
Complément d’information 2, il est possible de récupérer le code source de la plateforme et de s’y inscrire en tant qu’administrateur.
5:28 AM · Apr 27, 2020
Thibeault 👨🏻💻
@thibeault_chenu
8h
Les vulnérabilités viennent d’être corrigées. ✅
Il semblerait que la personne qui a fait l’analyse de UVP cité ci-dessus ait lui même effectué des corrections (?) ce qui ne cesse pas de me laisser perplexe (performer en public avec rapidité pour monter qu’on connait le job, ok, mais sans contact avec les initiateurs ?). D’autant qu’il avait accès à des mdp. Soit il les a changé pour les rendre moins faibles, et alors quid des gens d’UVP ? soit il les a laissé en l’état sur une application qui intéresse nécessairement la police (pas celle qui satonne ou tire dans les rues et ailleurs, celle qui taffe au renseignement et à l’analyse dans des bureaux) qui les aurait déjà. Comment imaginer que ces semaines à « vulnérabilités » (enaurme euphémisme) n’aient pas été mises à profit d’une manière ou d’une autre, mais - à minima - en prenant possession de toutes les données utilisateurs pour des usages hostiles ?
Bonjour, à titre d’information je n’ai pas réalisé les corrections mais j’ai soumis des recommandations pour chaque vulnérabilité à l’équipe en charge de la plateforme qui les a ensuite corrigé. Les mots de passe ont été laissé en l’état pour ma part.
Ils ont normalement été renforcé, suite à mes recommandations. 👍🏻
Un contact (par mail puis par téléphone) avec l’équipe en charge de cette plateforme a été pris à l’instant où j’ai découvert ces vulnérabilités. La prise en charge a été rapide et les responsables de celle-ci ont pris conscience de la gravité de la découverte.
▻https://twitter.com/thibeault_chenu/status/1255322743886708736
Cool pour le suivi. D’ailleurs, je suis curieux de voir quand les dépôts seront mis à jour avec une nouvelle version.
Ah bah le lien vers le dépot Android est mort... ▻https://play.google.com/store/apps/details?id=com.onpvp.uvp&hl=fr
Celui vers la page iOS marche toujours pour autant ▻https://apps.apple.com/fr/app/urgence-violences-polici%C3%A8res/id1493754560 avec des mises à jour du 14 et du 15 mai.
Cybermalveillance.gouv.fr : un succès à l’image de la réalité des risques
▻https://www.banquedesterritoires.fr/cybermalveillancegouvfr-un-succes-limage-de-la-realite-des-risq
Le rapport d’activité 2019 du GIP #Cybermalveillance révèle un bond de 200% des demandes d’assistance sur un an. Le résultat d’une stratégie de notoriété de la plateforme autant que le reflet de la réalité des risques numériques, comme le montre la récente attaque de la région Grand Est.
▻https://www.cybermalveillance.gouv.fr/medias/2020/02/Cybermalveillancegouvfr-rapport-2019.pdf
#DFAK : Digital First Aid Kit : une trousse de premiers soins en cas de péril informatique et plus ?
Un site vient d’être lancé afin de répondre à d’éventuels besoin d’aide / de protection contre les risques informatiques les plus courants en cas de perte d’appareil / perte d’accès à des comptes / fonctionnement inquiétant d’un appareil / message suspect / site web hors ligne / usurpation d’identité / harcèlement / données perdues / arrestation d’un proche.
Mine de rien, c’est une base assez énorme, avec à chaque fois de multiples conseils et / ou questionnaire en ligne pour couvrir un maximum de situations et prévu pour venir en aide à des publics civils (lanceurs d’alertes, activistes, féministes, etc.) comme des organisations ou les formateur-ice-s en sécu, etc. @arnoferrat a un peu testé est est tombé sur une page d’erreur, tout en ayant une impression première « top » ( ▻https://twitter.com/arnoferrat/status/1195291577993879552 ).
Pour ma part, point de 404 mais beaucoup de liens vers des articles en anglais menant vers les sites partenaires, avec la sensation d’un environnement très entrepreneurial, mais c’est juste une sensation, aucun reproche concret à faire sur la première rapide visite, bien au contraire ! Vos avis et retours sont les bienvenus, tout comme j’aimerai avoir ceux de membres de legal teams ou def coll sur la partie répression...
▻https://www.digitalfirstaid.org/fr
Une trousse conçue pour vous conduire à la bonne équipe CiviCERT
La trousse de premiers soins numériques est une ressource gratuite pour aider les intervenants du réseau de réponses rapides, les formateurs en sécurité numérique et les activistes amateurs de technologies à mieux se protéger et à mieux protéger les communautés qu’ils soutiennent contre les types les plus courants d’urgences numériques. Elle peut également être utilisée par les militants, les défenseurs des droits humains, les blogueurs, les journalistes ou les activistes dans les médias qui veulent en savoir plus sur la façon dont ils peuvent se protéger et soutenir les autres. Si vous ou quelqu’un que vous aidez éprouvez une urgence numérique, la trousse de premiers soins numérique vous guidera dans le diagnostic des problèmes auxquels vous faites face et vous dirigera vers des soutiens pour obtenir de l’aide si besoin.
DFAK / A propos
La trousse de premiers soins numériques est le fruit d’une collaboration entre le #RaReNet (Rapid Response Network) et le #CiviCERT.
Le Réseau de réponse rapide est un réseau international d’intervenants réactifs et d’experts en sécurité numérique qui comprend l’EFF, Global Voices, Hivos & the Digital Defenders Partnership, Front Line Defenders, Internews, Freedom House, Access Now, Virtual Road, CIRCL, Open Technology Fund, ainsi que des experts individuels en sécurité qui travaillent dans le domaine de la sécurité numérique et des interventions d’urgence.
Certaines de ces organisations et personnes font partie de CiviCERT, un réseau international de services d’assistance en matière de sécurité numérique et de fournisseurs d’infrastructures qui se concentrent principalement sur le soutien aux groupes et organisations luttant pour la justice sociale et la défense des droits humains et numériques. CiviCERT est un cadre professionnel pour soutenir les efforts distribués de la communauté d’intervention rapide CERT (Computer Emergency Response Team). CiviCERT est accrédité par Trusted Introducer, le réseau européen d’équipes de confiance pour l’intervention d’urgence en informatique.
La trousse de premiers soins numérique est également un projet open-source qui accepte des contributions extérieures : ▻https://gitlab.com/rarenet/dfak
Sites référence : ▻https://www.rarenet.org + ▻https://www.civicert.org
#autodefense #defense_informatique #defense_numerique #securite_informatique #securite_numerique #intimite #activisme #repression #censure
Montréal : Le CUSM demande d’éviter son urgence en raison de problèmes informatiques La Presse canadienne - 30 septembre 2019 - Le devoir
▻https://www.ledevoir.com/societe/sante/563756/la-presse-canadienne
Parce qu’il éprouve lundi des problèmes majeurs avec ses systèmes informatiques, le Centre universitaire de santé McGill (CUSM), à Montréal, demande à ceux qui ont besoin de soins urgents de se rendre dans un autre hôpital ou clinique.
Le mégahôpital ajoute que tous les rendez-vous cliniques sont annulés pour le reste de la journée de lundi.
Il est demandé aux gens de ne pas se présenter à l’urgence de l’établissement.
Même si les problèmes informatiques étaient en train de se résorber lundi en début d’après-midi, le CUSM prévient que la situation demeure « instable » et maintient sa décision d’annuler les rendez-vous prévus lundi.
Le CUSM dit prendre toutes les mesures nécessaires pour assurer la sécurité des patients.
Pour ceux qui sont déjà hospitalisés, les soins sont assurés comme à l’habitude.
#Informatique #internet #en_vedette #sécurité_informatique #actualités_informatiques #numérique #Santé #Hôpital #Urgences #mégahôpital
L’entreprise Asco paralysée par une cyberattaque, les activités mondiales à l’arrêt - Belga - 11 Juin 2019 - RTBF
▻https://www.rtbf.be/info/economie/detail_l-entreprise-asco-paralysee-par-une-cyberattaque-les-activites-mondiales
La production de l’équipementier aéronautique Asco est à l’arrêt jusqu’à mercredi soir en raison d’un problème informatique consécutif à un piratage subi vendredi. Sur le site de Zaventem, plus de 1000 travailleurs se retrouvent ainsi en chômage technique tandis que les activités des autres sites du groupe, notamment aux Etats-Unis, au Canada et en Allemagne, sont également à l’arrêt, a-t-on appris mardi de source syndicale.
Pendant les deux jours de chômage technique, les travailleurs belges toucheront des indemnités de chômage. « Quand les problèmes techniques seront résolus, nous voulons regarder avec la direction si elle ne peut pas octroyer un supplémentent pour compenser la perte de revenus des travailleurs », indique Jan Baetens, du syndicat chrétien ACV-CSC Metea.
De son côté, l’entreprise a assuré avoir informé toutes les autorités compétentes de cette cyberattaque et fait appel à des experts externes pour résoudre le problème. « Nous travaillons actuellement d’arrache-pied », affirme Vicky Welvaert, directrice des ressources humaines, qui ne souhaite pas préciser si la situation est maintenant sous contrôle ou quand l’activité sera redémarrée.
#sécurité_informatique #piratage_informatique #cyberguerre #piratage de grande ampleur #Belgique
Les nouvelles technologies et l’école primaire. Partie 13 / 125 (Évaluations, statistiques et cybersécurité…) (Blog Le Mari De La Maîtresse)
▻https://lmdlm16.wordpress.com/2018/09/30/les-nouvelles-technologies-et-lecole-primaire-partie-13-125-evalu
Je n’y connais rien mais le peu que j’ai vu, il m’a semblé retrouver les tests que j’avais passés il y a … longtemps… lors de mon entretien d’embauche.
Cette méthode avec des tests très répétitifs est typique du « big data » : des « data scientists » devraient arriver à sortir de ce volume gigantesque de données, des indicateurs de performance et une synthèse du niveau des élèves sondés.
On est à 100% dans les méthodes de mesure de la performance industrielle ou de la maintenance prédictive, par exemple, ou même dans l’analyse marketing, qui fait ressortir des comportements-types à partir des données personnelles récoltées par vos comportements sur le ouaibe.
#éducation #école #évaluations #sécurité_informatique #données_personnelles #big_data #date_scientists #tests
Mettre des visages sur un Reflets :
Surveillance, Hacker et Journaliste : sans filtre - Thinkerview
▻https://thinkerview.com/surveillance-hacker-et-journaliste-sans-filtre
▻https://www.youtube.com/watch?v=d4MiF4AWtsw
#hackers #securité_informatique #cybersecurité #logiciels_libres #journalisme
Les banques néerlandaises touchées par des attaques informatiques RTBF Belga - 29 Janvier 2018
▻https://www.rtbf.be/info/economie/detail_les-banques-neerlandaises-touchees-par-des-attaques-informatiques?id=982
Aussi bien ING qu’ABN Amro ont dû faire face durant le week-end, aux Pays-Bas, à des attaques informatiques DDoS. La banque ABN Amro a ainsi été touchée au moins trois fois au cours du week-end, ING étant visée aussi dimanche. Ces attaques, qui surchargent le serveur par un envoi massif de requêtes simultanées, ont rendu certains services instables voire indisponibles pour les clients néerlandais des deux banques, comme les services de banque en ligne ou sur mobile. On ne sait pas qui se cache derrière ces attaques « par déni de service distribué ».
Une porte-parole d’ABN Amro a indiqué regretter fortement les désagréments pour les clients. ING a également présenté des excuses. A noter que ces attaques ne sont pas du piratage à proprement parler, et ne comprennent donc pas d’intrusion dans le système ou d’accès aux données clients, tiennent à souligner les banques. Detailhandel Nederland, qui défend les intérêts de milliers de commerçants néerlandais, s’est malgré tout récemment inquiété de ce genre de perturbations, et des conséquences qu’elles pourraient avoir au niveau de la stabilité et de la fiabilité de la circulation des paiements. Klaas Knot, président de la Banque nationale néerlandaise, la DNB, a quant à lui admis que le sujet des attaques informatiques fait partie des préoccupations discutées actuellement avec les différentes banques.
#banques #sécurité_informatique #informatique #cyberguerre #internet #cybersécurité #internet #web #économie pas de #paiements par #carte-bancaires et autres #smartphones #Pays-Bas
L’attaque MELTDOWN - La vie est mal configurée
▻http://david.monniaux.free.fr/dotclear/index.php/post/2018/01/05/L-attaque-MELTDOWN
Il y a en fait deux catégories d’attaques publiées ce jour : MELTDOWN et SPECTRE, qui partagent certaines caractéristiques. J’ai publié un autre billet sur SPECTRE, dont je vais reprendre ici quelques éléments explicatifs. Je vais discuter ici de MELTDOWN, en me basant sur la lecture de l’article décrivant les attaques (Lipp et al., Meltdown). Les attaques MELTDOWN sont celles contre lesquelles Microsoft, Apple et les développeurs de Linux ont intégré des contre-mesures. Je vais tenter de les expliquer à un niveau ne nécessitant pas de connaissances particulières en informatique.
#Spectre et #Meltdown : deux grosses failles de sécurité sur les processeurs dans nos machines
Quasi toutes les machines à base de processeurs Intel (donc Mac et PC) sont affectés pour Meltdown, ainsi que les AMD et ARM pour Spectre.
Meltdown et Spectre : 7 questions pour comprendre les failles critiques sur les processeurs
▻https://www.numerama.com/tech/318576-meltdown-et-spectre-7-questions-pour-comprendre-les-failles-critiqu ?
Meltdown and Spectre
Bugs in modern computers leak passwords and sensitive
data
Microsoft issues emergency Windows update for processor security bugs
▻https://www.theverge.com/2018/1/3/16846784/microsoft-processor-bug-windows-10-fix
Meltdown, Spectre : The password theft bugs at the heart of Intel CPUs
▻http://www.theregister.co.uk/2018/01/04/intel_amd_arm_cpu_vulnerability
Failles des processeurs : Intel, AMD et ARM prévenus par Google
▻https://www.generation-nt.com/faille-processeur-google-intel-amd-arm-mletdown-spectre-actualite-194
Un début d’analyse en français
▻https://twitter.com/fenarinarsa/status/948697105996156928
Et une version plus étoffée en anglais
▻https://twitter.com/gsuberland/status/948907452786933762
Deux failles critiques : Meltdown et Spectre - LinuxFr.org
▻http://linuxfr.org/news/deux-failles-critiques-meltdown-et-spectre
Ces derniers jours, les rumeurs allaient bon train sur les réseaux sociaux suite à l’intégration en urgence d’un gros correctif dans la RC-6 du noyau Linux. Cela allait à l’encontre de toutes les habitudes de #Linus_Torvalds, ce qui laissait penser que les conditions étaient vraiment particulières.
[SECURITY] [DSA 4078-1] linux security update
▻https://lists.debian.org/debian-security-announce/2018/msg00000.html
This specific attack has been named Meltdown and is addressed in the Linux kernel for the Intel x86-64 architecture by a patch set named Kernel Page Table Isolation, enforcing a near complete separation of the kernel and userspace address maps and preventing the attack. This solution might have a performance impact, and can be disabled at boot time by passing `pti=off’ to the kernel command line.
Deux failles critiques : Meltdown et Spectre - LinuxFr.org
▻http://linuxfr.org/news/deux-failles-critiques-meltdown-et-spectre#comment-1725951
J’aurai tendance à dire que #Linus a entièrement raison.
Check if/inhowfar you’re affected with InSpectre
▻https://www.ghacks.net/2018/01/16/gibson-releases-inspectre-vulnerability-and-performance-checker
La capacité d’#espionnage des objets connectés est sous-estimée
La #sécurité_informatique est devenue un enjeu majeur, pour les gouvernements, les entreprises et chacun d’entre nous. Il y a trois semaines, un piratage chez Uber concernant 57 millions d’utilisateurs a été révélé.
▻https://avisdexperts.ch/videos/view/7724?platform=hootsuite
#surveillance
"La capacité d’#espionnage des objets connectés est sous-estimée"
La #sécurité_informatique est devenue un enjeu majeur, pour les gouvernements, les entreprises et chacun d’entre nous. Il y a trois semaines, un piratage chez Uber concernant 57 millions d’utilisateurs a été révélé.
Cette semaine encore en Suisse, la Confédération a annoncé un nouveau vol de 70’000 noms d’utilisateurs et mots de passe.
« On voit de plus en plus de #vols_de_données, y compris du côté des fournisseurs et pas forcément du côté de l’utilisateur final. Cela interpelle car nous sommes tous victimes de cette #criminalité_informatique », commente l’experte en cybersécurité Solange Ghernaouti, invitée du 19h30 dimanche.
▻http://www.rts.ch/info/sciences-tech/9160201--la-capacite-d-espionnage-des-objets-connectes-est-sous-estimee-.html
#surveillance
CERT : These emerging technologies bring new risks | ZDNet
▻http://www.zdnet.com/article/emerging-technologies-bring-new-risks
n its Emerging Technology Domains Risk Survey, CERT examines a variety of trends that can provide a lot of benefits to people and businesses, but also pose risks that need to be addressed.
Some of these areas are moving ahead so quickly in adoption that companies have not had a chance to completely evaluate their implications. For example, “machine learning and robotics are advancing more quickly than expected, and may have as-yet-undiscovered risks,” said Dan Klinedinst, senior threat and vulnerability researcher at CERT and one of the authors of the report.
Aetna May Have Exposed The HIV Status Of Thousands Of Clients | HuffPost
►http://www.huffingtonpost.com/entry/aetna-hiv-status-privacy_us_59a04965e4b0821444c2e1fb
Insurance company Aetna Inc. inadvertently revealed the HIV status of potentially thousands of its customers when it sent information about HIV medication using an envelope with a mailing window large enough to read the letter’s contents, according to reports. Aetna sent the letter to about 12,000 people, Time reported.
In addition to breaking privacy laws that give people the right to have their medical information protected, the breach also put people’s safety at risk, as HIV stigma is still strong in the U.S.
Several of the affected clients said that family members and neighbors had learned that they were using HIV medication from these mailers, the letter from the nonprofit advocacy groups said.
People have been denied medical and dental care on the basis of their HIV status. People have been fired or had job offers rescinded on the basis of their HIV status. Indeed, shame and fear about the infection prevents many from getting tested in the first place. The U.S. Centers for Disease Control and Prevention estimates that 15 percent of Americans with HIV don’t know that they have it.
Sonos says users must accept new privacy policy or devices may “cease to function” | ZDNet
▻http://www.zdnet.com/article/sonos-accept-new-privacy-policy-speakers-cease-to-function
A spokesperson for the home sound system maker told ZDNet that, “if a customer chooses not to acknowledge the privacy statement, the customer will not be able to update the software on their Sonos system, and over time the functionality of the product will decrease.”
“The customer can choose to acknowledge the policy, or can accept that over time their product may cease to function,” the spokesperson said.
The move has drawn ire from several privacy and policy experts.
“Sonos is a perfect illustration of how effective privacy, when it comes to not just services but also physical objects, requires more than just ’more transparency’ — it also requires choices and effective controls for users,” said Joe Jerome, a policy analyst at the Center for Democracy & Technology.
“We’re going to see this more and more where core services for things that people paid for are going to be conditioned on accepting ever-evolving privacy policies and terms of use,” he said. “That’s not going to be fair unless companies start providing users with meaningful choices and ensure that basic functionality continues if users say no to new terms.”
Lee Tien, a senior staff attorney at the Electronic Frontier Foundation, said it was a “growing” problem among the consumer electronics space.
“[Device] makers obviously can do a lot about the problem,” said Tien. “They can design their systems to separate more data collection side from product feature. Obviously some features don’t work without data but even so, you can often choose to store data locally and not transmit it to some mothership somewhere.”
“Society as a whole continues down a path where devices in your home, traditionally our most private space, are largely controlled by other people who want to know what you’re doing,” he said.
La société #Fireworld ▻http://fireworld.fr (compte Twitter @espion_pc) publie un logiciel espion, permettant de surveiller à distance ce qui se passe sur un autre ordinateur. (Avec des avertissements hypocrites comme quoi il ne faut l’utiliser que dans un cadre légal ▻http://fireworld.fr/fr/responsibility.htm .) Parmi les scénarios d’usage cités, surveiller si votre mari/femme vous « trompe ».
Un autre scénario qui était cité était de découvrir « si votre fils est gay » (tiens, ils ne s’inquiétaient pas pour les filles). La page en question ▻http://fireworld.fr/fr/comment-savoir-fils-gay-logiciel-espion.htm a été retirée depuis. On la trouve sur WebArchive ▻https://web.archive.org/web/20170821181652/http://fireworld.fr/fr/comment-savoir-fils-gay-logiciel-espion.htm La version en espagnol du texte homophobe est toujours en ligne ▻http://fireworld-supervision.es/como-saber-hijo-gay-software-espia.htm
Notez que la société semble fantôme : domaine FR réservé par un particulier (pour permettre l’anonymat), pas de coordonnées sur le site Web, absence des registres officiels. Il pourrait donc s’agir d’une escroquerie.
#homophobie #spyware #sécurité_informatique
Un article qui fait le point : ▻http://www.logitheque.com/articles/homophobie_un_logiciel_espion_propose_de_decouvrir_si_son_fils_est_gay_1 L’article de Next Inpact : ▻https://www.nextinpact.com/news/104992-savoir-si-mon-fils-est-gay-argument-dun-vendeur-logiciels-espions et celui de Libération ▻http://www.liberation.fr/futurs/2017/08/22/le-scandaleux-logiciel-espion-vendu-pour-savoir-si-son-fils-est-gay_15913
Et, en anglais, celui de la BBC ▻http://www.bbc.com/news/world-europe-41022827
Parmi les scénarios d’usage cités, surveiller si votre mari/femme vous « trompe ».
Ça ne me semble pas très légal.
Tiens, Fireworld a écrit au Refuge (notez l’explication #SEO à la con) : ▻https://twitter.com/AmicaleRefuge/status/900064070543585281
dans le même ordre d’idée: “The Top WhatsApp Spy Software 2017” sur ▻http://www.hackspyapp.com
...avec une super collection de “bonnes raisons” de les utiliser, du style “Help Parents Make it Through Their Child’s Teenage Years” ou “You’re not sure, but your spouse might be cheating on you. You need proof, but don’t know how to get it.”
Enquête du Monde sur les logiciels espions en France
▻https://seenthis.net/messages/628363
#Addictions en série – Framablog
►https://framablog.org/2017/05/23/addictions-en-serie
Une enquête réalisée par un consortium de neuf journalistes européens met à jour les risques qui dérivent de la dépendance des #gouvernements à #Microsoft — aucun n’est indemne…
Même si çà et là des efforts sont notés pour migrer vers des solutions open source voire libres, l’adversaire est impitoyable et utilise un arsenal bien rodé.
Combien faudra-t-il encore de telles enquêtes pour provoquer une prise de conscience et pour que les décisions nécessaires soient prises et mises en œuvre ?
#munich #logiciel_libre #gendarmerie_nationale #gnu_linux #linux #union_européenne #sécurité_informatique #armée_italienne #marchés_publics
Sortie du livre de Rayna Stamboliyska @maliciarogue « La face cachée d’Internet : hackers, dark net… » aux éditions Larousse ▻http://www.editions-larousse.fr/la-face-cachee-d-internet-hackers-dark-net-9782035936417
Il y a un site Web compagnon ▻http://www.face-cachee-internet.fr où devrait apparaitre des bonus.
L’auteure a documenté son expérience et donné quelques conseils de lecture en ▻https://medium.com/@maliciarogue/la-face-cach%C3%A9e-dinternet-comprendre-les-enjeux-du-num%C3%A9rique-8ef00d
#darknet #darkweb #sécurité_informatique #bitcoin #anonymous
Merci, @stephane ! Tu as oublié de mentionner que la préface est de toi ;)
Du Sextoy au „Dark Web” : #Rayna_Stamboliyska [EN DIRECT] - YouTube
Streamed live on Aug 1, 2017
Interview de Rayna Stamboliyska en direct.
et ▻https://seenthis.net/messages/608464
Alors, plusieurs choses ici. Je sais que ça va susciter l’ire de plein de gens, mais il faut dire les choses clairement : il y a un #sexisme quotidien dans les milieux tech et science. Je suis sûre que ça existe ailleurs aussi, hein, mais disons que ce qui nous préoccupe ici, c’est le milieu tech.
1988, le virus informatique était dans le courrier (du facteur) - Vidéo Ina.fr
▻http://www.ina.fr/video/S629642_001
1988, le virus informatique était dans le courrier (du facteur)
flash-back
Une attaque informatique mondiale a fait 200 000 victimes dans 150 pays. La première attaque en France date de 1988. Rapidement identifié, on parlait déjà de « possible émergence d’une nouvelle forme de terrorisme ». A l’époque, la disquette contenant le virus avait été envoyé par la poste… L’ingénieur, découvreur du virus, raconte son aventure.
Les processeurs #Intel « haut de gamme » (en gros ceux qui équipent les serveurs donc, pour une fois, @mmemichu peut dormir sur ses deux oreilles) ont une faille tellement énorme qu’il m’est difficile de ne pas penser à une porte dérobée. Le processeur inclut un serveur Web (oui !!!), activé par défaut et, comme c’est le processeur, il ne dépend pas du système d’exploitation. Même si Windows ou Unix est éteint, ce serveur Web répond. Évidemment, il est protégé par un système d’authentification et, non moins évidemment, ce système est programmé avec les pieds, et est contournable. Ce service se nomme #AMT et fait partie d’un ensemble plus vaste nommé #ME (Management Engine).
Les articles des deux chercheurs qui ont (indépendamment) découvert la faille :
▻https://www.embedi.com/files/white-papers/Silent-Bob-is-Silent.pdf
▻http://www.tenable.com/blog/rediscovering-the-intel-amt-vulnerability
Le truc officiel d’Intel ▻https://downloadcenter.intel.com/download/26755
Le serveur en question écoute sur les ports 16992 et 16993. Vous pouvez donc chercher des machines vulnérables sur votre réseau, par exmeple avec nmap (’nmap -p 16992-16993 192.0.2.0/24’) ou Nessus <▻https://www.tenable.com/blog/intel-amt-vulnerability-detection-with-nessus-and-pvs-intel-sa-00075> ou ce script nmap <▻https://github.com/nmap/nmap/blob/7bd54ab0989a8412a000d0475c90da36367eb574/scripts/http-vuln-cve2017-5689.nse> Évidemment, #Shodan trouve des tas de processeurs Intel ainsi accessible de l’extérieur.
Question politique, Cory Doctorow note à juste titre que la faille vient du désir d’Intel de mettre un ordinateur complet dans chaque processeur, afin de contrôler l’usage qu’on en fait : ▻http://boingboing.net/2017/05/09/management-engine.html
From the mitigation document ▻https://downloadcenter.intel.com/download/26754 , the list of ports is as follows :
16992, 16993, 16994, 16995, 623, and 664.
Quelques liens complémentaires à ce sujet, car le mini OS qu’est intel ME ne touche pas que les serveurs, par contre ça ne semble pas easy de se débarrasser du bouzin...
▻https://github.com/corna/me_cleaner
▻https://wiki.gentoo.org/wiki/Sakaki%27s_EFI_Install_Guide/Disabling_the_Intel_Management_Engine
▻http://blog.ptsecurity.com/2017/08/disabling-intel-me.html
▻https://puri.sm/learn/intel-me
Se former à #SSH (Secure SHell)
▻http://www.dsfc.net/formations/securite-informatique/formation-ssh
Au travers de cette formation, vous apprendrez à mettre en œuvre SSH dans votre infrastructure de serveurs Linux et Windows.
#Sécurité_informatique #Authentification_SSH #Clefs_SSH #Clés_SSH #Formateur_OpenSSH #Formateur_SSH #OpenSsh #PuTTY #Rsync #Serveur_SSH #Sftp #ssh-keygen #VPN
30% des virus non détectés par les antivirus ?!
▻http://www.dsfc.net/infrastructure/securite/30-pour-cent-des-virus-non-detectes-par-les-antivirus
D’après #WatchGuard, les antivirus ne sauraient faire face qu’à 70% des infections virales.
#Sécurité #Chromium #Firefox #Formateur_Sécurité_informatique #Google_Chrome #Internet_Security_Report #Javascript #Sécurité_informatique
Renforcer la sécurité de vos serveurs #SSH avec TCP Wrapper
▻http://www.dsfc.net/infrastructure/securite/renforcer-la-securite-de-vos-serveurs-ssh-avec-tcp-wrapper
TCP Wrapper vous permet de renforcer la sécurité de vos serveurs #OpenSsh qui s’exécutent sur Linux.
#Sécurité #Formateur_Sécurité_informatique #Sécurité_informatique