Liens en bazar2021-09-06T19:28:13+02:00http://links.kevinvuilleumier.net/http://links.kevinvuilleumier.net/http://links.kevinvuilleumier.net/La fin de Mesvaccins.ch scandalise la protection des consommateurs - rts.ch - Suissehttp://links.kevinvuilleumier.net/?P_2WUg2021-09-06T19:28:13+02:00La plateforme MesVaccins.ch, maintenue par une fondation sous mandat de l'Office fédéral de la santé publique, était un carnet de vaccination dématérialisé accessible en ligne. Elle a été beaucoup mise en avant par les professionnels de la santé.<br />
<br />
En mai, patatras : grosse fuite de données (450'000 données de vaccination librement accessibles), le site a été fermé prestement par les autorités. Des graves manquements en matière de sécurité ont été constatés. La fondation promet dès lors de travailler d'arrache-pied pour corriger les failles.<br />
<br />
Fin août, on apprend que la fondation jette l'éponge par faute de moyens financiers. Pour les utilisateurs, c'est la douche froide et l'incompréhension : impossible d'accéder à leurs données, pas plus que d'en demander la suppression, et ce de manière probablement définitive !<br />
<br />
Petite pensée émue à celles et ceux qui ont fait numériser leur carnet vaccinal et n'en ont plus aucune trace ailleurs... Par chance, j'avais gardé mon carnet papier en souvenir.<br />
<br />
À la lumière de ces événements, je me questionne :<br />
• N'auraient-ils pas pu éviter bien des problèmes et mésaventures avec une solution libre ? Avec l'aide la communauté, les failles auraient pu être comblées sans risquer la faillite (ou découvertes bien plus tôt)...<br />
• Pourquoi n'est-il pas possible d'accéder aux données ? Même un bête dump ferait l'affaire dans la situation actuelle... Est-ce une contrainte juridique ? Mise en faillite = actifs sous saisie.<br />
• Honnêtement, ça coûte si cher de développer et de maintenir une plateforme pareille ? Quel était leur budget ?<br />
• Pourquoi la sécurité n'a-t-elle pas été prise plus au sérieux ? Qu'est-ce qui rend les correctifs onéreux au point de devoir abandonner ?<br>(<a href="http://links.kevinvuilleumier.net/?P_2WUg">Permalink</a>)Des défibrillateurs Medtronic comportent plusieurs failles de sécurité - Next INpacthttp://links.kevinvuilleumier.net/?3X789w2019-03-23T19:18:12+01:00« Selon le porte-parole Ryan Mathre, le risque est très faible et aucune exploitation de ces failles n’a été notée à ce jour. En outre, il faudrait selon l'entreprise des connaissances techniques particulièrement aiguisées pour détourner un pacemaker de son rôle. »<br />
<br />
Ah tiens, on sacrifie encore la sécurité au nom de la rentabilité... Ben oui, voyez-vous, ça coûte cher de faire les choses dans les règles de l'art ! D'ailleurs, il est bien connu que les pirates doués n'existent pas ! Et puis au pire, il n'y a pas mort d'hommes, si ? 🙄<br>(<a href="http://links.kevinvuilleumier.net/?3X789w">Permalink</a>)HooToo TripMate Routers are Cute But Insecure | IOActivehttp://links.kevinvuilleumier.net/?dmEsSA2018-07-14T20:20:25+02:00Visiblement, le routeur portable HooToo TripMate a (ou avait ?) de sérieuses (et nombreuses) failles de sécurité : "Multiple memory corruptions, multiple OS command injections, arbitrary file upload, and arbitrary firmware update: all of them unauthenticated."<br>(<a href="http://links.kevinvuilleumier.net/?dmEsSA">Permalink</a>)Carte bancaire Visa : des informations récupérables par force brute, la société nous répondhttp://links.kevinvuilleumier.net/?3ueqeA2017-01-14T18:08:33+01:00C'est du joli, bravo. Notre argent est vraiment entre de bonnes mains, il n'y a pas à dire >_<<br>(<a href="http://links.kevinvuilleumier.net/?3ueqeA">Permalink</a>)Si vous tenez à votre PC, n'installez pas WinRAR !http://links.kevinvuilleumier.net/?VsGUBA2015-10-01T11:21:03+02:00Comme les autre sites, l'article est trop alarmiste. Déjà le titre, WinRAR installé ou pas, on parle des archives auto-extractibles, qui n'ont justement pas besoin de WinRAR, et puis la faille n'en est pas vraiment une. Bon ça n'empêche pas de préférer 7zip hein ;)<br />
<br />
Comme je le dis dans les commentaires : « [...] n'importe quel exécutable peut être modifié pour inclure du code malicieux. La seule différence ici, c'est que c'est beaucoup plus triviale, car WinRAR donne tous les outils pour le faire. »<br />
<br />
Le seul débat à avoir ici, c'est la facilité d'inclusion de code malicieux.<br />
<br />
Et comme dit un commentateur sur Developpez.net (<a href="http://www.developpez.net/forums/d1545236/systemes/windows/securite/faille-critique-winrar-permet-d-executer-code-distance-elevation-privilege/#post8396144" rel="nofollow">http://www.developpez.net/forums/d1545236/systemes/windows/securite/faille-critique-winrar-permet-d-executer-code-distance-elevation-privilege/#post8396144</a>) :<br />
<br />
« Comme le disent les devs de winrar, les archives auto-extractibles sont des exécutables. C'est le cas de toutes les archives auto-extractibles, celles de winzip comprises. Et comme ils le disent, la vraie faille, c'est que l'utilisateur accepte de lancer des exécutables de source douteuse. C'est un peu comme si on nous indiquait une faille de sécurité trouvée sur un couteau: en le tenant à l'envers, on peut se couper... Ben, oui, un couteau, ça coupe, c'est à ça que ça sert. »<br>(<a href="http://links.kevinvuilleumier.net/?VsGUBA">Permalink</a>)Les processeurs Intel x86 souffrent d'un défaut qui permet d'installer des logiciels malveillants dans l'espace protégé des puceshttp://links.kevinvuilleumier.net/?HXaNCw2015-08-12T13:25:49+02:00Contrairement à ce que laisse sous-entendre l'article, il n'est pas possible d'écrire un logiciel dans le CPU, il s'agit d'une faille permettant la reprogrammation du système d'exploitation (cf. commentaires).<br />
<br />
Cela n'empêche que ça reste important comme faille.<br>(<a href="http://links.kevinvuilleumier.net/?HXaNCw">Permalink</a>)La faille Android qui permet d'infecter un téléphone avec un simple MMS - Korben - Liens en vrac de sebsauvagehttp://links.kevinvuilleumier.net/?9FxdYw2015-07-29T11:16:42+02:00Faux ;)<br />
<br />
C'est une faille d'une bibliothèque d'Android qu'Hangouts utilise justement, mais c'est loin d'être la seule application ! L'application SMS/MMS par défaut peut très bien l'utiliser (et il y a de fortes chances que ce soit le cas).<br />
<br />
Donc, c'est la merde :/<br>(<a href="http://links.kevinvuilleumier.net/?9FxdYw">Permalink</a>)L'éditeur Kaspersky piraté par une version modernisée de Duqu - Next INpacthttp://links.kevinvuilleumier.net/?F-JwQg2015-06-12T11:15:15+02:00Voilà un bel exemple de virus exploitant une faille 0 day ! Nénamoins, ça pue, Duqu.<br>(<a href="http://links.kevinvuilleumier.net/?F-JwQg">Permalink</a>)Un informaticien condamné pour avoir contrefait Skype et révélé ses fragilités - Next INpacthttp://links.kevinvuilleumier.net/?5bo6bA2015-04-07T10:44:15+02:00Le monsieur a révélé les failles de Skype, cool.<br />
Il a essayé d'en faire un business, pas cool.<br />
Il est déjà incarcéré pour viol et semblait être le gourou d'une secte, wait... what ? oO<br>(<a href="http://links.kevinvuilleumier.net/?5bo6bA">Permalink</a>)Android : Google refuse de corriger une vulnérabilité de Jelly Beanhttp://links.kevinvuilleumier.net/?8YPvKw2015-01-13T11:21:07+01:00...<br />
<br />
D'autant que le composant WebView est passablement utilisé par les développeurs dans leurs applications (c'est mon cas). On ne parle pas seulement du (vieux) navigateur Internet intégré...<br>(<a href="http://links.kevinvuilleumier.net/?8YPvKw">Permalink</a>)La faille Poodle exploitable avec TLS dans certains cas - Next INpacthttp://links.kevinvuilleumier.net/?QOuHXw2014-12-10T14:47:39+01:00TIens, je ne connaissais pas cette faille.<br />
<br />
D'après l'outil de test cité dans l'article, mon site est vulnérable à Poodle. Oups.<br />
<br />
J'espère qu'OVH va faire le nécessaire !<br>(<a href="http://links.kevinvuilleumier.net/?QOuHXw">Permalink</a>)Heartbleed, une semaine plus tard | Sam & Max: Python, Django, Git et du culhttp://links.kevinvuilleumier.net/?XwS6aA2014-04-15T15:05:50+02:00Petit compte rendu sur la fameuse faille OpenSSL.<br>(<a href="http://links.kevinvuilleumier.net/?XwS6aA">Permalink</a>)LaCie piratée pendant un an, identifiants et numéros de CB dans la nature - Next INpacthttp://links.kevinvuilleumier.net/?YJcUkg2014-04-15T09:48:48+02:00Pendant... un an ?!<br />
<br />
Bref, clients de LaCie, allez changer vos mots de passe et surveillez vos transactions bancaires (je ne sais pas si ça s'applique aussi aux clients de Wuala - filiale Cloud de LaCie).<br>(<a href="http://links.kevinvuilleumier.net/?YJcUkg">Permalink</a>)Heartbleed : faut-il changer ses mots de passe ? (maj)http://links.kevinvuilleumier.net/?iks_PA2014-04-12T11:26:12+02:00Certes, mais faut-il encore que la faille ait été exploitée !<br />
<br />
EDIT : Je n'ai rien dit, la faille a été exploitée au-delà de ce qu'on pouvait penser, allant jusqu'à permettre la récupération des clés privées du serveur : <a href="http://links.kevinvuilleumier.net/?wy6O9Q" rel="nofollow">http://links.kevinvuilleumier.net/?wy6O9Q</a><br>(<a href="http://links.kevinvuilleumier.net/?iks_PA">Permalink</a>)Heartbleed : petit best of des journalistes - LinuxFr.orghttp://links.kevinvuilleumier.net/?zJFcew2014-04-11T12:53:58+02:00Du gros n'importe quoi -_-<br />
<br />
Certes, de voir apparaître des "torchons" dans cet article ne m'étonnent pas, mais de voir Zataz se tromper ainsi !<br />
<br />
Et pour mettre un court à certaines peurs, je cite : "Certes, le bug est critique, mais récupérer des informations à partir de celui-ci n'est pas trivial : elles doivent être en mémoire. Si je ne me suis pas connecté à un site depuis un moment, il est assez peu probable qu'un attaquant potentiel ait pu récupérer quoi que ce soit."<br>(<a href="http://links.kevinvuilleumier.net/?zJFcew">Permalink</a>)Test your server for Heartbleed (CVE-2014-0160)http://links.kevinvuilleumier.net/?fXEfEg2014-04-09T15:52:01+02:00Pour tester si un site particulier est vulnérable à la faille HeartBleed (faille dans certaines versions d'OpenSSL).<br />
<br />
Bien, je constate que ma banque ni mon école ne sont impactés, c'est déjà ça.<br>(<a href="http://links.kevinvuilleumier.net/?fXEfEg">Permalink</a>)Microsoft Security Bulletin MS14-013 - Critical : Vulnerability in Microsoft DirectShow Could Allow Remote Code Execution (2929961) - Liens en vrac de sebsauvagehttp://links.kevinvuilleumier.net/?0CvEsQ2014-03-13T18:37:44+01:00Ouh, violent comme faille ! Et ça touche tous les systèmes Windows depuis XP (y compris les versions serveurs) !<br />
<br />
Ah ouf, j'ai eu le patch de sécurité !<br>(<a href="http://links.kevinvuilleumier.net/?0CvEsQ">Permalink</a>)Une porte dérobée découverte chez Linksys et Netgearhttp://links.kevinvuilleumier.net/?tlrmlw2014-01-03T15:55:37+01:00Ah ! C'est de nouveau open-bar chez les fabricants de matériel réseau ><<br />
<br />
En plus, j'ai un des appareils listés, oups ! Va falloir que je teste...<br>(<a href="http://links.kevinvuilleumier.net/?tlrmlw">Permalink</a>)Insolite : des toilettes japonaises connectées victimes d'une faille de sécuritéhttp://links.kevinvuilleumier.net/?ZTmj9Q2013-08-06T10:11:23+02:00Ça commence avec des toilettes, puis ça continue avec les voitures automatisées...<br />
<br />
Se prendre un jet d'eau dans les fesses, ce n'est pas agréable, mais attendez que vous ne puissiez plus freiner (cf. actualité il y a peu) !<br />
<br />
Via : <a href="http://shaarli.m0le.net/?Xu7Tog" rel="nofollow">http://shaarli.m0le.net/?Xu7Tog</a><br>(<a href="http://links.kevinvuilleumier.net/?ZTmj9Q">Permalink</a>)Un scientifique hacke les clés numériques des voitures de luxehttp://links.kevinvuilleumier.net/?qv4InA2013-07-30T18:33:37+02:00Interdiction de présenter sa découverte à la conférence Usenix ? Ben voyons... Au lieu de corriger les failles, on préfère taper sur celui qui les annonce. Classique.<br />
<br />
Au passage, c'est quoi ce "Megamos Crypto" comme algo de chiffrement ? Ca pue le chiffrement maison en mousse (MegaMousse ?) -_-<br>(<a href="http://links.kevinvuilleumier.net/?qv4InA">Permalink</a>)Actualité > Android : des malwares cachés dans des applications légitimeshttp://links.kevinvuilleumier.net/?riavww2013-07-26T10:21:29+02:00Euh... deux fichiers avec le même nom et au même endroit dans l'archive o_O Ce n'est pas possible ou bien, on est d'accord ?<br>(<a href="http://links.kevinvuilleumier.net/?riavww">Permalink</a>)99 % des appareils Android touchés par une "grosse faille" - FrAndroidhttp://links.kevinvuilleumier.net/?sUCRdA2013-07-04T15:36:10+02:00Selon les informations données, l’exploitation de cette faille est impossible à effectuer depuis le Google Play.<br>(<a href="http://links.kevinvuilleumier.net/?sUCRdA">Permalink</a>)