44 private links
Comme les autre sites, l'article est trop alarmiste. Déjà le titre, WinRAR installé ou pas, on parle des archives auto-extractibles, qui n'ont justement pas besoin de WinRAR, et puis la faille n'en est pas vraiment une. Bon ça n'empêche pas de préférer 7zip hein ;)
Comme je le dis dans les commentaires : « [...] n'importe quel exécutable peut être modifié pour inclure du code malicieux. La seule différence ici, c'est que c'est beaucoup plus triviale, car WinRAR donne tous les outils pour le faire. »
Le seul débat à avoir ici, c'est la facilité d'inclusion de code malicieux.
Et comme dit un commentateur sur Developpez.net (http://www.developpez.net/forums/d1545236/systemes/windows/securite/faille-critique-winrar-permet-d-executer-code-distance-elevation-privilege/#post8396144) :
« Comme le disent les devs de winrar, les archives auto-extractibles sont des exécutables. C'est le cas de toutes les archives auto-extractibles, celles de winzip comprises. Et comme ils le disent, la vraie faille, c'est que l'utilisateur accepte de lancer des exécutables de source douteuse. C'est un peu comme si on nous indiquait une faille de sécurité trouvée sur un couteau: en le tenant à l'envers, on peut se couper... Ben, oui, un couteau, ça coupe, c'est à ça que ça sert. »
Une sorte de mur de la honte qui épingle les sites pris en flagrant délit d'envoyer le mot de passe de l'utilisateur lorsque ce dernier l'a oublié. Autrement dit, les sites qui stockent les mots de passe en clair. C'est très mal. Et il y en a beaucoup.
Je confirme par expérience personnelle : cacher la diffusion du SSID de votre réseau WiFi n'apporte aucune sécurité (ce n'est pas son objectif et ça n'empêche nullement la détection du réseau) !
En plus, c'est une plaie à configurer sur vos périphériques et un gros hack de la norme WiFi (qui dit que le SSID doit être diffusé). À éviter, donc.
Si vous voulez améliorer la sécurité de votre réseau WiFi : activez WPA2-AES, choisissez une phrase de passe longue et complexe et, ce n'est pas du luxe, désactivez WPS.
Vous vous demandez ce que sont l'ASLR et le DEP ? Ça tombe bien, les réponses données sont très complètes.
Vous n'avez rien à cacher ?
« Peut-être même que vous avez déjà publié des choses qui vous semblent totalement banales et légales hier, mais qui peuvent devenir totalement illégales et répréhensibles demain. Au Mali par exemple, après l'arrivée des Talibans au pouvoir, vous pouviez être condamné à mort pour avoir suivi une marque d'alcool sur Twitter ou si vous aviez déclaré être athé sur votre profil Facebook… Nous avons la chance de vivre aujourd'hui dans un pays (plus ou moins) démocratique, mais personne ne peut garantir qu'il en sera toujours ainsi demain. »
Mais encore : « Et si vous n'avez réellement rien à cacher, vous ne verrez donc aucun inconvénient à ce que je vous suive 7j/7, que je vous filme 24h/24 et que je diffuse tout ça à vous ne savez trop qui ? Comment ça « non » ? Auriez-vous quelque chose à cacher ? »
Ben voyons... On va revenir en arrière à l'époque où la taille des clés était limitée ? C'est n'importe quoi. Quand on dit que l'histoire est un éternel recommencement...
J'espère qu'en Suisse on est un tantinet plus intelligent sur la question. Bon déjà, à ma connaissance, il n'y a jamais eu de restrictions en matière de chiffrement, bien au contraire, l'État le pousse en avant et l'encourage. Après, c'est comme le secret bancaire, rien n'est immuable...
Il n'y a rien à voir, circulez >_<
Je n'ai pas besoin d'utiliser d'antivirus, je fais attention et ne vais que sur des sites de confiance, bla bla bla.
Dernier exemple en date : une campagne de publicités malveillantes sur tous les sites de Yahoo! (site de confiance, non ?) et probablement d'autres sites qui utilisent cette régie. Et l'utilisateur n'a rien besoin de faire pour être infecté, je cite : « [...] les annonces malveillantes ne nécessitent aucun type d’interaction de l’utilisateur afin d'exécuter leur charge utile. Le simple fait de naviguer sur un site Web qui a des annonces (et la plupart des sites, si pas tous, en ont) est suffisant pour démarrer la chaîne d’infection »
Ce n'est pas la première fois qu'une telle chose arrive, en plus.
Question : est-ce qu'un bloqueur publicitaire permet d'éviter ces infections ? Bloquent-ils le contenu avant ou après leur interprétation/exécution ?
Contrairement à ce que laisse sous-entendre l'article, il n'est pas possible d'écrire un logiciel dans le CPU, il s'agit d'une faille permettant la reprogrammation du système d'exploitation (cf. commentaires).
Cela n'empêche que ça reste important comme faille.
Faux ;)
C'est une faille d'une bibliothèque d'Android qu'Hangouts utilise justement, mais c'est loin d'être la seule application ! L'application SMS/MMS par défaut peut très bien l'utiliser (et il y a de fortes chances que ce soit le cas).
Donc, c'est la merde :/
Ça faisait longtemps >-<
Voilà un bel exemple de virus exploitant une faille 0 day ! Nénamoins, ça pue, Duqu.
Je garde sous le coude, il doit y avoir quelques conseils bien utiles dans le lot.
Encore une belle saloperie... mais en tant que développeur, je reste admiratif :')
Le monsieur a révélé les failles de Skype, cool.
Il a essayé d'en faire un business, pas cool.
Il est déjà incarcéré pour viol et semblait être le gourou d'une secte, wait... what ? oO
Le dernier audit de sécurité de TrueCrypt est sorti il y a quelques jours. Aucun problème grave à signaler.
Le tout avec un serveur parfaitement à jour.
Pour inciter les utilisateurs à vérifier les paramètres de sécurité de leurs comptes (ce qui est très bien).
Si le sujet t'intéresse, j'avais publié quelques liens en rapport avec le stockage des mots de passe : http://links.kevinvuilleumier.net/?QNJt1g ou encore http://links.kevinvuilleumier.net/?sur1Hw
Ah et ce lien que je te recommande absolument de lire : https://crackstation.net/hashing-security.htm
En résumé, de nos jours, il faudrait plutôt passer à bcrypt, qui utilise Blowfish et qui possède une difficulté variable qu'il est possible de changer n'importe quand !
...
D'autant que le composant WebView est passablement utilisé par les développeurs dans leurs applications (c'est mon cas). On ne parle pas seulement du (vieux) navigateur Internet intégré...