Recherche : [Sécurité]

Aux États-Unis, une proposition de loi veut casser le chiffrement de bout en bout

La proposition de loi prévoit également la mise en place d’un grand concours scientifique pour créer la backdoor parfaite, celle qui serait capable d’assurer la sécurité des utilisateurs tout en garantissant un accès aux forces de l’ordre. Les lauréats recevraient une récompense d’un million de dollars au maximum. Le concours disposerait d’un fond total de 50 millions de dollars.

Ce paragraphe à lui seul montre à quel point le pouvoir législatif manquent d'information sur ces technologies qu'ils veulent pourtant contrôler… Il serait grand temps que les États (et pas que les USA) mettent en place des moyens pour former les décideur⋅se⋅s !

vie_privée · Sécurité · USA

June 28, 2020 at 9:37:50 AM GMT+2 · permalien

·

https://www.01net.com/actualites/aux-etats-unis-une-proposition-de-loi-veut-casser-le-chiffrement-de-bout-en-bout-1938903.html

·

Un quart des principaux CMS, dont WordPress, utilisent la fonction obsolète MD5 comme schéma de hachage de mot de passe par défaut

Cela signifie que si les propriétaires de sites Web ne modifient pas ces paramètres par défaut en modifiant le code source du CMS, la plupart des sites Web construits sur ces CMS mettent les mots de passe de l'utilisateur en danger si un pirate informatique volait la base de données du site.

Et comme la plupart des sites basés sur un CMS sont tenus par des personnes n'ayant aucun bagage technique, cela veut dire qu'une très large majorité d'entre eux stocke ses mots de passe de manière non sécurisé. C'est tout de même très problématique compte tenu qu'une très grande proportion de sites sont construits sur WordPress…

Web · CMS · WordPress · Sécurité

June 18, 2019 at 8:03:32 PM GMT+2 · permalien

·

https://securite.developpez.com/actu/266368/Un-quart-des-principaux-CMS-dont-WordPress-utilisent-la-fonction-obsolete-MD5-comme-schema-de-hachage-de-mot-de-passe-par-defaut/

·

Attention à ces liens piégés qui partagent des dessins sur votre compte Facebook sans votre accord - Tech - Numerama

Alors que vous pensez cliquer simplement sur « oui », vous donnez en réalité accès à une application tierce à vos paramètres de publication sur Facebook.

On est donc sur une bonne grosse faille de sécu... Normalement, une app est pas censée savoir accéder à un compte sans passer par une page de Facebook pour donner son autorisation

Facebook · Sécurité

December 21, 2018 at 8:23:20 PM GMT+1 · permalien

·

https://www.numerama.com/tech/450101-attention-a-ces-liens-pieges-qui-partagent-des-dessins-sur-votre-compte-facebook-sans-votre-accord.html

·

How to remove nginx & PHP versions from HTTP Header – Patrick's Blog

Par défaut, Nginx et PHP sont un peu bavard et signalent au client Web leurs versions exactes. Le problème est qu'il suffit ensuite d'une petite recherche pour visualiser les failles de sécurité existantes dessus.

Cette astuce permet de demander à Nginx et à PHP de ne pas envoyer leurs numéros de version respectifs.

Sécurité · PHP · Nginx · Web

June 5, 2018 at 1:19:26 PM GMT+2 * · permalien

·

https://blog.laimbock.com/2014/04/11/how-to-remove-nginx-php-versions-from-http-header/

·

Chiffrement : des sénateurs US préparent un nouveau projet de loi sur des portes dérobées uniquement accessibles aux forces de l'ordre

Moi, quand je part de chez moi je ferme tout à clé... bon je laisse une fenêtre ouverte au cas où, mais c'est que pour les gendarmes hein...

— FrostWilson

Tout est dit.

Sécurité

April 12, 2018 at 1:15:10 PM GMT+2 · permalien

·

https://www.developpez.com/actu/197243/Chiffrement-des-senateurs-US-preparent-un-nouveau-projet-de-loi-sur-des-portes-derobees-uniquement-accessibles-aux-forces-de-l-ordre/

·

Firefox va prévenir les utilisateurs si leurs informations d'identifications ont été compromises, Mozilla travaille de concert avec Troy Hunt

L'idée est intéressante :)

Firefox · Sécurité

November 23, 2017 at 2:03:32 PM GMT+1 · permalien

·

https://www.developpez.com/actu/175229/Firefox-va-prevenir-les-utilisateurs-si-leurs-informations-d-identifications-ont-ete-compromises-Mozilla-travaille-de-concert-avec-Troy-Hunt/

·

Stupéfaction dans l'univers de la IT : Une faille découverte dans Internet Explorer ! - Korben

C'est assez cocasse, comme faille !

Web · Sécurité · Internet_Explorer

September 29, 2017 at 10:20:15 AM GMT+2 * · permalien

·

https://korben.info/stupefaction-lunivers-de-it-faille-decouverte-internet-explorer.html

·

Edge : Microsoft refuse de corriger une faille patchée par Safari et Chrome - ZDNet

Pas considéré comme une faille critique en soi, mais peut permettre de mener des attaques dans le but de piquer des données personnelles de l'internaute, ou même intercepter ses frappes au clavier sur une page Web.

Réponse des éditeurs des navigateurs principaux :

Google : corrigée
Apple : corrigée
Mozilla : pas concerné par la faille
Microsoft : osef, c'est pas un bug mais une fonctionnalité

Web · Sécurité · Edge

September 8, 2017 at 10:34:48 AM GMT+2 * · permalien

·

http://www.zdnet.fr/actualites/edge-microsoft-refuse-de-corriger-une-faille-patchee-par-safari-et-chrome-39856960.htm

·

Google pince à nouveau les webmasters : les connexions en HTTP seront marquées comme « non sécurisées » (sous Chrome 62)

Je suis un peu sceptique concernant cette décision : tous les sites n'ont pas forcément besoin d'être protégés par HTTPS. Je pense notamment aux petits sites perso qui ne contiennent que quelques pages Web contenant du texte et quelques images…

Sécurité · Chrome · Web

August 20, 2017 at 8:49:59 AM GMT+2 · permalien

·

https://www.developpez.com/actu/155705/Google-pince-a-nouveau-les-webmasters-les-connexions-en-HTTP-seront-marquees-comme-non-securisees-sous-Chrome-62/

·

Dvmap : certainement le plus intelligent des malwares jamais découverts - FrAndroid

Si vous avez installé le jeu colourblock (package com.colourblock.flood), il est possible que votre appareil ait été infecté.

Android · Sécurité

June 11, 2017 at 2:24:27 PM GMT+2 * · permalien

·

http://www.frandroid.com/android/applications/securite-applications/442536_dvmap-certainement-le-plus-intelligent-des-malwares-jamais-decouverts

·

Gyrophone: Recognizing Speech From Gyroscope Signals

Un article dans lequel des chercheurs montrent qu'il est possible de détecter les voix humaines et de faire de la reconnaissance vocale à l'aide du gyroscope d'un téléphone.
C'est problématique, car sur les système actuels, aucune autorisation n'est requise pour accéder à cet équipement, contrairement à l'accès au microphone (pour lequel une autorisation est demandée pendant l'exécution de l'application).

Sécurité · Android · iOS

June 1, 2017 at 8:46:28 AM GMT+2 · permalien

·

https://www.usenix.org/system/files/conference/usenixsecurity14/sec14-paper-michalevsky.pdf

·

Android : les utilisateurs exposés à une panoplie d'attaques par le biais de deux permissions de l'OS, des démos sont disponibles

"Les permissions en question sont SYSTEM_ALERT_WINDOW et BIND_ACCESSIBILITY SERVICE. Pour rappel, la permission SYSTEM_ALERT_WINDOW permet à une application d’afficher une fenêtre pop-up par-dessus toutes les autres fenêtres. BIND_ACCESSIBILITY_SERVICE par contre est une permission qui permet à une application de rendre les dispositifs Android plus accessibles par des personnes avec des handicaps."
"Pratiquement tout y passe : l’enregistrement furtif de saisies clavier qui exploite la permission SYSTEM_ALERT_WINDOW (première démo ci-dessous), l’usage combiné des deux permissions pour installer une application bénéficiant de toutes les permissions (deuxième démo), le vol de mot de passe qui combine également les deux permissions (troisième démo), etc."

Sécurité · Android

May 30, 2017 at 8:36:30 AM GMT+2 · permalien

·

https://www.developpez.com/actu/139768/Android-les-utilisateurs-exposes-a-une-panoplie-d-attaques-par-le-biais-de-deux-permissions-de-l-OS-des-demos-sont-disponibles/

·

Les stimulateurs cardiaques sont vulnérables à des cyberattaques, d'après les firmes de sécurité WhiteScope et Ponemon Institute

Accès au stimulateur à distance sans authentification, utilisation de systèmes obsolètes et vulnérables (Windows XP, MS-DOS, OS/2), équipement accessible au grand public pour une somme très basse…
Tout va bien…

Sécurité

May 27, 2017 at 11:18:06 AM GMT+2 · permalien

·

https://www.developpez.com/actu/139362/Les-stimulateurs-cardiaques-sont-vulnerables-a-des-cyberattaques-d-apres-les-firmes-de-securite-WhiteScope-et-Ponemon-Institute/

·

EsteemAudit : des chercheurs de sécurité craignent une attaque qui pourrait cibler Windows XP, en raison d'un autre exploit volé à la NSA

« Après des années, il reste encore des centaines de millions de machines tournant sous les systèmes XP et Server 2003 à travers le monde. Les systèmes basés sur Windows XP représentent plus de 7 % des OS de bureau encore en utilisation aujourd’hui et l’industrie de cyber sécurité estime que plus de 600 000 machines hébergeant 175 millions de sites web, tournent toujours Windows Server 2003, soit 18 % de la part du marché global »

Sécurité · Windows · XP

May 27, 2017 at 9:58:27 AM GMT+2 · permalien

·

https://www.developpez.com/actu/139175/EsteemAudit-des-chercheurs-de-securite-craignent-une-attaque-qui-pourrait-cibler-Windows-XP-en-raison-d-un-autre-exploit-vole-a-la-NSA/

·