47 private links
Ce qu'il est intéressant de noter et qui m'avait échappé à l'époque, c'est que le diffuseur Elephant (Elephant Diffuser), une brique essentielle, a été supprimé de BitLocker dans Windows 8. Ce que beaucoup d'experts en sécurité considèrent comme un affaiblissement inacceptable de la sécurité de BitLocker, déjà vulnérable à certaines attaques.
Le PDF ne le précise pas, mais le retrait du diffuseur a été fait sans aucune annonce de la part de Microsoft. Désactivé en douce et déprécié.
Officiellement, c'est parce que c'est lent. Officieusement, pressions du gouvernement/NSA pour rendre BitLocker encore plus faible ?
Ah et de toute façon, n'oublions pas que dans Windows 10, Microsoft envoie par défaut la clé de récupération BitLocker sur OneDrive... Je dis ça, je dis rien, mais utilisez VeraCrypt plutôt (fork open source de TrueCrypt très actif).
Après, relativisons : s'il s'agit de protégé vos données contre les voleurs, vos voisins, les enfants ou les visiteurs un peu trop curieux, BitLocker est une protection largement suffisante et qui a l'avantage d'être bien intégrée dans Windows.
Par contre, si vous êtes Snowden, que vous protégez des secrets d'état, des secrets industriels, ce n'est effectivement pas la meilleure des protections... Ou alors si vous n'acceptez pas d'utiliser des produits de chiffrement propriétaires et potentiellement vulnérables, par principes.
D'autres lectures sur le sujet :
https://cryptoservices.github.io/fde/2014/12/08/code-execution-in-spite-of-bitlocker.html
http://www.wilderssecurity.com/threads/has-bitlocker-been-weakened-in-windows-8.369873/
https://www.schneier.com/blog/archives/2015/03/can_the_nsa_bre_1.html
Comme les autre sites, l'article est trop alarmiste. Déjà le titre, WinRAR installé ou pas, on parle des archives auto-extractibles, qui n'ont justement pas besoin de WinRAR, et puis la faille n'en est pas vraiment une. Bon ça n'empêche pas de préférer 7zip hein ;)
Comme je le dis dans les commentaires : « [...] n'importe quel exécutable peut être modifié pour inclure du code malicieux. La seule différence ici, c'est que c'est beaucoup plus triviale, car WinRAR donne tous les outils pour le faire. »
Le seul débat à avoir ici, c'est la facilité d'inclusion de code malicieux.
Et comme dit un commentateur sur Developpez.net (http://www.developpez.net/forums/d1545236/systemes/windows/securite/faille-critique-winrar-permet-d-executer-code-distance-elevation-privilege/#post8396144) :
« Comme le disent les devs de winrar, les archives auto-extractibles sont des exécutables. C'est le cas de toutes les archives auto-extractibles, celles de winzip comprises. Et comme ils le disent, la vraie faille, c'est que l'utilisateur accepte de lancer des exécutables de source douteuse. C'est un peu comme si on nous indiquait une faille de sécurité trouvée sur un couteau: en le tenant à l'envers, on peut se couper... Ben, oui, un couteau, ça coupe, c'est à ça que ça sert. »
Une sorte de mur de la honte qui épingle les sites pris en flagrant délit d'envoyer le mot de passe de l'utilisateur lorsque ce dernier l'a oublié. Autrement dit, les sites qui stockent les mots de passe en clair. C'est très mal. Et il y en a beaucoup.
Je confirme par expérience personnelle : cacher la diffusion du SSID de votre réseau WiFi n'apporte aucune sécurité (ce n'est pas son objectif et ça n'empêche nullement la détection du réseau) !
En plus, c'est une plaie à configurer sur vos périphériques et un gros hack de la norme WiFi (qui dit que le SSID doit être diffusé). À éviter, donc.
Si vous voulez améliorer la sécurité de votre réseau WiFi : activez WPA2-AES, choisissez une phrase de passe longue et complexe et, ce n'est pas du luxe, désactivez WPS.
Vous vous demandez ce que sont l'ASLR et le DEP ? Ça tombe bien, les réponses données sont très complètes.
Vous n'avez rien à cacher ?
« Peut-être même que vous avez déjà publié des choses qui vous semblent totalement banales et légales hier, mais qui peuvent devenir totalement illégales et répréhensibles demain. Au Mali par exemple, après l'arrivée des Talibans au pouvoir, vous pouviez être condamné à mort pour avoir suivi une marque d'alcool sur Twitter ou si vous aviez déclaré être athé sur votre profil Facebook… Nous avons la chance de vivre aujourd'hui dans un pays (plus ou moins) démocratique, mais personne ne peut garantir qu'il en sera toujours ainsi demain. »
Mais encore : « Et si vous n'avez réellement rien à cacher, vous ne verrez donc aucun inconvénient à ce que je vous suive 7j/7, que je vous filme 24h/24 et que je diffuse tout ça à vous ne savez trop qui ? Comment ça « non » ? Auriez-vous quelque chose à cacher ? »
Ben voyons... On va revenir en arrière à l'époque où la taille des clés était limitée ? C'est n'importe quoi. Quand on dit que l'histoire est un éternel recommencement...
J'espère qu'en Suisse on est un tantinet plus intelligent sur la question. Bon déjà, à ma connaissance, il n'y a jamais eu de restrictions en matière de chiffrement, bien au contraire, l'État le pousse en avant et l'encourage. Après, c'est comme le secret bancaire, rien n'est immuable...
Il n'y a rien à voir, circulez >_<
Je n'ai pas besoin d'utiliser d'antivirus, je fais attention et ne vais que sur des sites de confiance, bla bla bla.
Dernier exemple en date : une campagne de publicités malveillantes sur tous les sites de Yahoo! (site de confiance, non ?) et probablement d'autres sites qui utilisent cette régie. Et l'utilisateur n'a rien besoin de faire pour être infecté, je cite : « [...] les annonces malveillantes ne nécessitent aucun type d’interaction de l’utilisateur afin d'exécuter leur charge utile. Le simple fait de naviguer sur un site Web qui a des annonces (et la plupart des sites, si pas tous, en ont) est suffisant pour démarrer la chaîne d’infection »
Ce n'est pas la première fois qu'une telle chose arrive, en plus.
Question : est-ce qu'un bloqueur publicitaire permet d'éviter ces infections ? Bloquent-ils le contenu avant ou après leur interprétation/exécution ?
Contrairement à ce que laisse sous-entendre l'article, il n'est pas possible d'écrire un logiciel dans le CPU, il s'agit d'une faille permettant la reprogrammation du système d'exploitation (cf. commentaires).
Cela n'empêche que ça reste important comme faille.
Faux ;)
C'est une faille d'une bibliothèque d'Android qu'Hangouts utilise justement, mais c'est loin d'être la seule application ! L'application SMS/MMS par défaut peut très bien l'utiliser (et il y a de fortes chances que ce soit le cas).
Donc, c'est la merde :/
Ça faisait longtemps >-<
Voilà un bel exemple de virus exploitant une faille 0 day ! Nénamoins, ça pue, Duqu.
Je garde sous le coude, il doit y avoir quelques conseils bien utiles dans le lot.
Encore une belle saloperie... mais en tant que développeur, je reste admiratif :')
Le monsieur a révélé les failles de Skype, cool.
Il a essayé d'en faire un business, pas cool.
Il est déjà incarcéré pour viol et semblait être le gourou d'une secte, wait... what ? oO
Le dernier audit de sécurité de TrueCrypt est sorti il y a quelques jours. Aucun problème grave à signaler.
Le tout avec un serveur parfaitement à jour.
Pour inciter les utilisateurs à vérifier les paramètres de sécurité de leurs comptes (ce qui est très bien).
Si le sujet t'intéresse, j'avais publié quelques liens en rapport avec le stockage des mots de passe : http://links.kevinvuilleumier.net/?QNJt1g ou encore http://links.kevinvuilleumier.net/?sur1Hw
Ah et ce lien que je te recommande absolument de lire : https://crackstation.net/hashing-security.htm
En résumé, de nos jours, il faudrait plutôt passer à bcrypt, qui utilise Blowfish et qui possède une difficulté variable qu'il est possible de changer n'importe quand !