Let’s Encrypt : Le HTTPS gratuit arrive !
La nouvelle autorité de certification gratuite et automatisée, Let’s Encrypt, arrive fin juillet afin de distribuer son premier certificat.
Lire cet article
Sécurité
Le gestionnaire de mots de passe LastPass piraté !
Suite à une attaque le week-end dernier, les équipes de LastPass annonce que des pirates ont réussi à obtenir différentes données sur les utilisateurs.
Lire cet article
Minecraft : 33 applications malicieuses sur Google Play Store
Si vous aimez Minecraft, méfiez-vous des applications que vous téléchargez notamment celles qui vous promettent d’accéder à des cheats pour ce jeu très populaire.
Lire cet article
Sécurité : Protéger les comptes Administrateur local avec LAPS
Local Administrator Password Solution : Tutoriel sur l’installation et la configuration de LAPS, un outil pour gérer le password administrateur local des PCs.
Lire cet article
Pwn2own : tous les navigateurs mis à mal !
La compétition de deux jours « Pwn2own » a pour objectif de mettre à mal les différents navigateurs web pour torturer leur sécurité.
Lire cet article
OTR.to : Un service de messagerie instantanée sécurisé
Le service « Otr.to », une application web et Open Source, qui offre une manière sécurisée d’échanger en utilisant le protocole Off-the-Record (OTR) Messaging.
Lire cet article
Tous ligués contre les menaces virales !
Les virus se répandent partout et de manière très rapide. Ils s’attaquent à vos ordinateurs et autres périphériques sans que vous ne puissiez rien y faire.
Lire cet article
Vulnérabilités : Apple et Linux, les mauvais élèves en 2014
Un rapport de GFI sur les failles de sécurité contient quelques statistiques intéressantes. Ces statistiques sont réalisées à partir de la National Vulnerability Database du NIST américain. De plus en plus de failles… En 2014, il y a 7 038 failles de sécurité répertoriées, alors qu’en 2013 on en comptait 4 794, et 4 347 failles en 2012. Un chiffre en hausse considérablement, comme le montre ce graphique : ..Et aussi de plus en plus de failles critiques Le nombre de failles a augmenté de façon significative, quant au nombre de failles critiques, il a également augmenté, mais de manière moins importante. Sur le total, presque un quart (24%) des vulnérabilités sont critiques, c’est moins qu’en 2013, mais c’est surtout, car il y a eu nettement plus de vulnérabilités en 2014 qu’en 2013. Au final, il y a tout de même une hausse si l’on compare les données quant aux vulnérabilités critiques découvertes : 1 492 (2011), 1 488 (2012),
Lire cet article
Windows 10 sera compatible FIDO pour renforcer l’authentification
En début de semaine, Microsoft a annoncé que Windows 10 sera compatible avec la norme FIDO pour l’authentification biométrique. Microsoft entend bien renforcer la sécurité sur son prochain OS. Après Google, c’est Microsoft qui se rejoint l’alliance FIDO (Fast Identity Online) avec pour objectif l’implémentation de la norme FIDO 2.0 au sein de Windows 10. Avec FIDO, vous pouvez vous authentifier sans saisir de mot de passe, notamment en s’appuyant sur différents types d’appareils compatibles (lecture des empreintes digitales, la reconnaissance vocale ou encore l’iris). D’ailleurs, comme je le disais précédemment, Google s’est déjà intéressé à l’alliance FIDO et à son standard FIDO 1.0. Cela avait abouti à une collaboration avec la société Yubico et le développement d’une clé de sécurité (USB). Cette clé permet l’authentification à deux facteurs au niveau de son compte Google, tout d’abord on saisit le mot de passe, et ensuite on insère la clé dans l’ordinateur, et on presse un bouton pour déclencher l’authentification. Retrouvez
Lire cet article
Carbanak, le malware qui dérobe les banques !
Kaspersky Lab a publié aujourd’hui une nouvelle campagne de cybercriminalité internationale. Oui, internationale, car son équipe de chercheurs en sécurité est à l’origine des informations fournies, mais avec l’aide d’Interpol, d’Europol ainsi que les autorités de plusieurs pays. Ça ne rigole plus ! Des banques et institutions financières sont victimes d’attaques informatiques par un groupe inconnu, depuis fin 2013 et jusqu’à aujourd’hui. À chaque fois, le mode opératoire utilisé est le même et les attaques prennent entre 2 et 4 mois. La France fait partie de la trentaine de pays touchés par ces attaques. Des attaques qui auraient pu entraîner des pertes financières s’élevant à 1 milliard de dollars, et qui ont atteint au minimum 300 millions de dollars. Dans certains cas, une seule attaque aurait permis de dérober jusqu’à 10 millions de dollars. Les attaques sont longues, car il faut du temps pour pénétrer dans le réseau, et arriver sur le premier ordinateur de la banque. D’ailleurs, pour cela
Lire cet article
Patch Tuesday Février 2015 : Une masse de correctifs !
Les développeurs de chez Microsoft « n’ont pas chômés » et proposent pour ce Patch Tuesday de février, une quantité importante de correctifs ! Une grande part de ces correctifs touchent Internet Explorer, mais ce n’est pas tout. Riche en matière de correctifs de sécurité, ce nouveau Patch Tuesday contient six bulletins importants et trois bulletins critiques. De ce fait, 41 failles sont corrigées au sein d’Internet Explorer, sur tous les OS, pour toutes les versions du navigateur (rien que ça). Cependant, la faille Zero-Day découverte il y a quelques jours n’est pas corrigée dans ce Patch Tuesday. Pour le reste, une quinzaine de failles sont corrigées au sein de Windows, Windows Server et de la suite Office. Ah oui, j’allais oublier, Windows Server 2003 est épargné par ces mises à jour. Attendez-vous à recevoir près d’un gigaoctet de mise à jour. Pour avoir le détail sur les différents bulletins et les versions concernées, je vous invite à consulter cette page :
Lire cet article
Une backdoor WordPress utilise les codes sources Pastebin !
Depuis une dizaine d’années, le service en ligne Pastebin est utilisé par les développeurs pour partager des codes sources, mais également par les hackers pour partager des codes sources voir même des dumps de données… Les hackers utilisent le service Pastebin pour distribuer du code malicieux notamment pour la création de backdoor. D’après Denis Sinegubko, chercheur spécialisé dans les malwares chez Sucuri, les hackers exploitent en ce moment les faiblesses d’une ancienne version de RevSlider, un plug-in payant et populaire pour WordPress. D’ailleurs, ce plug-in est souvent packagé dans certains thèmes WordPress qui l’intègre directement. Les hackers cherchent à vérifier en premier lieu la présence du plug-in RevSlider sur le site ciblé, et lorsqu’il est découvert, ils exploitent une vulnérabilité dans RevSlider et tentent d’envoyer la backdoor sur le site. Denis Sinegubko précise que les hackers utilisent Pastebin pour faire ce qu’il est censé faire : partager du code, sauf que là il s’agit d’un code malicieux, ce qui pose
Lire cet article
iDict : Un outil pour réaliser une attaque brute force sur iCloud
Un hacker a mis en ligne sur Github un outil qui permet de « cracker » un compte iCloud ! Cet outil nommé iDict utilise une méthode par brute force. Pour rappel, avec une attaque par brute force on essaye successivement une liste de combinaisons jusqu’à trouver la bonne. En l’occurrence dans ce cas précis, iDict tente de trouver le mot de passe correspondant à une adresse e-mail. Cet outil exploite une faille de l’infrastructure iCloud d’Apple, lui permettant d’outrepasser les restrictions et l’authentification à deux facteurs qui prévient en temps normal des attaques brute force. Heureusement pour les utilisateurs, Apple a corrigé cette vulnérabilité suite à la mise en ligne de cet outil. Pour fonctionner, iDict s’appuie sur un dictionnaire de combinaisons ou plutôt une liste de 500 mots de passe prédéfinis. Ils s’agit de mot de passe plutôt basiques : password, 12345678, qwerty, abc123, iloveyou, ABCabc123, Superm@n, Yankees1, Stephen1, Shannon1, John3:16, Gerrard8, Fuckyou2, etc… Voir la liste complète Cependant, malgré
Lire cet articleFacebook Hacking : une vulnérabilité touche Android !
Une vulnérabilité critique a été découverte dans le navigateur par défaut d’Android 4.4 et les versions inférieures. Cela touche de nombreux périphériques sous Android et autorise un hacker à bypasser la SOP (Same Origin Policy). Same Origin Policy : L’objectif est d’empêcher l’accès en lecture ou en écriture à des serveurs dont le nom de domaine est différent, entre celui du document d’origine et celui de la page en cours. Grâce à cela, on conserve l’intégrité d’un document et de protéger la navigation. Cette vulnérabilité référencée CVE-2014-6041, fût découverte pour la première fois en Septembre 2014 par un chercheur en sécurité indépendant, Rafay Baloch. Il a trouvé que le navigateur installé par défaut depuis Android 4.2.1 (AOSP – Android Open Source Platform) est vulnérable à un bypass de la SOP. Les chercheurs de chez Trend Micro en collaboration avec Facebook ont découvert plusieurs cas où des utilisateurs de Facebook sont ciblés par des attaques, où cette faille tente d’être exploitée.
Lire cet articleUAC – Le contrôle de compte d’utilisateur
Explications concernant l’UAC (User Account Control) intégré à Windows depuis Windows Vista.
Lire cet article