33 private links
La plateforme MesVaccins.ch, maintenue par une fondation sous mandat de l'Office fédéral de la santé publique, était un carnet de vaccination dématérialisé accessible en ligne. Elle a été beaucoup mise en avant par les professionnels de la santé.
En mai, patatras : grosse fuite de données (450'000 données de vaccination librement accessibles), le site a été fermé prestement par les autorités. Des graves manquements en matière de sécurité ont été constatés. La fondation promet dès lors de travailler d'arrache-pied pour corriger les failles.
Fin août, on apprend que la fondation jette l'éponge par faute de moyens financiers. Pour les utilisateurs, c'est la douche froide et l'incompréhension : impossible d'accéder à leurs données, pas plus que d'en demander la suppression, et ce de manière probablement définitive !
Petite pensée émue à celles et ceux qui ont fait numériser leur carnet vaccinal et n'en ont plus aucune trace ailleurs... Par chance, j'avais gardé mon carnet papier en souvenir.
À la lumière de ces événements, je me questionne :
• N'auraient-ils pas pu éviter bien des problèmes et mésaventures avec une solution libre ? Avec l'aide la communauté, les failles auraient pu être comblées sans risquer la faillite (ou découvertes bien plus tôt)...
• Pourquoi n'est-il pas possible d'accéder aux données ? Même un bête dump ferait l'affaire dans la situation actuelle... Est-ce une contrainte juridique ? Mise en faillite = actifs sous saisie.
• Honnêtement, ça coûte si cher de développer et de maintenir une plateforme pareille ? Quel était leur budget ?
• Pourquoi la sécurité n'a-t-elle pas été prise plus au sérieux ? Qu'est-ce qui rend les correctifs onéreux au point de devoir abandonner ?
« Selon le porte-parole Ryan Mathre, le risque est très faible et aucune exploitation de ces failles n’a été notée à ce jour. En outre, il faudrait selon l'entreprise des connaissances techniques particulièrement aiguisées pour détourner un pacemaker de son rôle. »
Ah tiens, on sacrifie encore la sécurité au nom de la rentabilité... Ben oui, voyez-vous, ça coûte cher de faire les choses dans les règles de l'art ! D'ailleurs, il est bien connu que les pirates doués n'existent pas ! Et puis au pire, il n'y a pas mort d'hommes, si ? 🙄
Visiblement, le routeur portable HooToo TripMate a (ou avait ?) de sérieuses (et nombreuses) failles de sécurité : "Multiple memory corruptions, multiple OS command injections, arbitrary file upload, and arbitrary firmware update: all of them unauthenticated."
C'est du joli, bravo. Notre argent est vraiment entre de bonnes mains, il n'y a pas à dire >_<
Comme les autre sites, l'article est trop alarmiste. Déjà le titre, WinRAR installé ou pas, on parle des archives auto-extractibles, qui n'ont justement pas besoin de WinRAR, et puis la faille n'en est pas vraiment une. Bon ça n'empêche pas de préférer 7zip hein ;)
Comme je le dis dans les commentaires : « [...] n'importe quel exécutable peut être modifié pour inclure du code malicieux. La seule différence ici, c'est que c'est beaucoup plus triviale, car WinRAR donne tous les outils pour le faire. »
Le seul débat à avoir ici, c'est la facilité d'inclusion de code malicieux.
Et comme dit un commentateur sur Developpez.net (http://www.developpez.net/forums/d1545236/systemes/windows/securite/faille-critique-winrar-permet-d-executer-code-distance-elevation-privilege/#post8396144) :
« Comme le disent les devs de winrar, les archives auto-extractibles sont des exécutables. C'est le cas de toutes les archives auto-extractibles, celles de winzip comprises. Et comme ils le disent, la vraie faille, c'est que l'utilisateur accepte de lancer des exécutables de source douteuse. C'est un peu comme si on nous indiquait une faille de sécurité trouvée sur un couteau: en le tenant à l'envers, on peut se couper... Ben, oui, un couteau, ça coupe, c'est à ça que ça sert. »
Contrairement à ce que laisse sous-entendre l'article, il n'est pas possible d'écrire un logiciel dans le CPU, il s'agit d'une faille permettant la reprogrammation du système d'exploitation (cf. commentaires).
Cela n'empêche que ça reste important comme faille.
Faux ;)
C'est une faille d'une bibliothèque d'Android qu'Hangouts utilise justement, mais c'est loin d'être la seule application ! L'application SMS/MMS par défaut peut très bien l'utiliser (et il y a de fortes chances que ce soit le cas).
Donc, c'est la merde :/
Voilà un bel exemple de virus exploitant une faille 0 day ! Nénamoins, ça pue, Duqu.
Le monsieur a révélé les failles de Skype, cool.
Il a essayé d'en faire un business, pas cool.
Il est déjà incarcéré pour viol et semblait être le gourou d'une secte, wait... what ? oO
...
D'autant que le composant WebView est passablement utilisé par les développeurs dans leurs applications (c'est mon cas). On ne parle pas seulement du (vieux) navigateur Internet intégré...
TIens, je ne connaissais pas cette faille.
D'après l'outil de test cité dans l'article, mon site est vulnérable à Poodle. Oups.
J'espère qu'OVH va faire le nécessaire !
Petit compte rendu sur la fameuse faille OpenSSL.
Pendant... un an ?!
Bref, clients de LaCie, allez changer vos mots de passe et surveillez vos transactions bancaires (je ne sais pas si ça s'applique aussi aux clients de Wuala - filiale Cloud de LaCie).
Certes, mais faut-il encore que la faille ait été exploitée !
EDIT : Je n'ai rien dit, la faille a été exploitée au-delà de ce qu'on pouvait penser, allant jusqu'à permettre la récupération des clés privées du serveur : http://links.kevinvuilleumier.net/?wy6O9Q
Du gros n'importe quoi -_-
Certes, de voir apparaître des "torchons" dans cet article ne m'étonnent pas, mais de voir Zataz se tromper ainsi !
Et pour mettre un court à certaines peurs, je cite : "Certes, le bug est critique, mais récupérer des informations à partir de celui-ci n'est pas trivial : elles doivent être en mémoire. Si je ne me suis pas connecté à un site depuis un moment, il est assez peu probable qu'un attaquant potentiel ait pu récupérer quoi que ce soit."
Pour tester si un site particulier est vulnérable à la faille HeartBleed (faille dans certaines versions d'OpenSSL).
Bien, je constate que ma banque ni mon école ne sont impactés, c'est déjà ça.
Ouh, violent comme faille ! Et ça touche tous les systèmes Windows depuis XP (y compris les versions serveurs) !
Ah ouf, j'ai eu le patch de sécurité !
Ah ! C'est de nouveau open-bar chez les fabricants de matériel réseau ><
En plus, j'ai un des appareils listés, oups ! Va falloir que je teste...
Ça commence avec des toilettes, puis ça continue avec les voitures automatisées...
Se prendre un jet d'eau dans les fesses, ce n'est pas agréable, mais attendez que vous ne puissiez plus freiner (cf. actualité il y a peu) !
Interdiction de présenter sa découverte à la conférence Usenix ? Ben voyons... Au lieu de corriger les failles, on préfère taper sur celui qui les annonce. Classique.
Au passage, c'est quoi ce "Megamos Crypto" comme algo de chiffrement ? Ca pue le chiffrement maison en mousse (MegaMousse ?) -_-