A partir du 8 avril, tout Windows XP connecté au net sera susceptible d'être infecté suite à la découverte d'une faille, et sans qu'on puisse y faire quoi que ce soit !

Bon et je fais comment avec mon netbook, moi ?

Interdiction de présenter sa découverte à la conférence Usenix ? Ben voyons... Au lieu de corriger les failles, on préfère taper sur celui qui les annonce. Classique.

Au passage, c'est quoi ce "Megamos Crypto" comme algo de chiffrement ? Ca pue le chiffrement maison en mousse (MegaMousse ?) -_-

Tox, une messagerie sécurisée libre et gratuite (les sources sont sur GitHub) concurrençant Skype (messagerie texte, appels audios et vidéos).

Chiffrement asymétrique, DHT, UDP... ça paraît bien foutu !

Via Shaarli.fr

A garder sous le coude : comment sécuriser un serveur tournant sous Nginx.

Par défaut, RDP (le protocole de bureau à distance Windows) n'est pas très sécurisé. Voici comment l'améliorer.

Si quelqu'un a un accès root via ADB, il peut aisément "cracker" le schéma de verrouillage d'Android. Pourquoi ? Parce que celui-ci est simplement hashé en SHA1 (sans utiliser de sel) et stocké dans /data/system/gesture.key.

Le fait que le hash ne soit pas salé fait qu'il est possible de le brute-forcer facilement (méthode ici : http://thanat0s.trollprod.org/2013/07/lock-pattern-et-android/) ou d'utiliser une "rainbow table" (comme dans l'article) ; il suffira de quelques secondes à peine !

Pour cela, il suffira au "pirate" d'avoir un accès externe via ADB (mode debug activé). Remarquez qu'il est quand même possible d'accéder en debug à l'appareil même si celui-ci n'est pas activé... Et par l'interface JTAG, tout est possible aussi !

J'ai essayé sur mon smartphone et je confirme que ça fonctionne parfaitement.

Au passage, remarquons que le code PIN est un peu plus compliqué à cracker, mais pas impossible : http://forensics.spreitzenbarth.de/2012/02/28/cracking-pin-and-password-locks-on-android/

Via Kevin Merigot.

Euh... deux fichiers avec le même nom et au même endroit dans l'archive o_O Ce n'est pas possible ou bien, on est d'accord ?

On s'en doutait, maintenant voici les preuves.

Détail intéressant : « Il convient de noter que WhatsApp ne chiffrait pas les messages jusqu’en mai 2012, ce qui signifie qu’ils pouvaient être facilement lus après interception. Depuis, tous les messages sont envoyés et réceptionnés de façon chiffrée. »

C'est bien ce que j'avais cru voir en sniffant les paquets de mon téléphone. C'est au moins un bon point, mais loin d'être suffisant !

C'est le festival du n'importe quoi dans les commentaires :

« [...] Quels moyens auraient la police et la justice pour traquer les trafiquants et terroristes de toutes especes si ceux çi pouvaient tranquillement communiquer par des messages cryptés ? En fait qu'es ce qui est recherché comme informations ! Si ce qui circule est legal pourquoi s'y interesser. [...] »

« En effet en France tout fabricant de clef, tout générateur de process de chiffrement doit d'abord donner la possibilité à l'Agence nationale de la sécurité des systèmes d'information (Anssi) de le déchiffrer... »

On ne le dira jamais assez : un Wi-Fi ouvert peut être dangereux !

Une alternative crédible et mature à BitTorrent Sync. A tester.

SHA1 + cryptage = LOL

Un projet de messagerie sécurisée pour OS mobiles. Ils vont utiliser XMPP et PGP, c'est un bon point, mais certaines choses me font tiquer :

1) Le code ne sera pas Open Source dès le départ !
2) Architecture centralisée...

Leur avis sur la question de l'Open Source : "We have all intentions of opening up the source as much as possible for scrutiny and help! What we really want people to understand however, is that Open Source in itself does not guarantee any privacy or safety. It sure helps with transparency, but technology by itself is not enough. The fundamental benefits of Heml.is will be the app together with our infrastructure, which is what really makes the system interesting and secure."

Le fait que Heml.is tourne sur leur propre infrastructure rend le système plus intéressant et sécurisant ? J'attends de voir ce que ça va donner avant de donner un jugement trop hâtif, mais au moins ils essaient de démocratiser le chiffrement PGP et le rendre plus user-friendly en utilisant des standards ouverts (XMPP) !

Cf. mon commentaire.

Selon les informations données, l’exploitation de cette faille est impossible à effectuer depuis le Google Play.

Faut-il vraiment s'en étonner ?

TL;DR

Tu veux parler de cette astuce : http://blogmotion.fr/systeme/reinitialiser-mot-de-passe-admin-windows-vista-et-7-reset-password-2109 ?

Oups, ça m'a échappé !

Mouais mouais, ne tombons pas dans la paranoïa excessive !

Certes la NSA contribue au noyau Linux avec le module SELinux, mais ce n'est pas pour autant une porte dérobée (backdoor). Le code source est libre, ne l'oublions pas, alors une telle magouille serait visible. De plus, le projet n'aurait jamais été fusionné au développement du noyau en 2003 s'il avait contenu une telle faille de sécurité !

Oui, la NSA développent des trucs (en premier lieu pour elle, car elle est utilisatrice de ces outils), mais ce n'est pas pour autant qu'il faut cracher sur ce qu'ils font...

WoT devrait être installé de base dans tous les navigateurs, ainsi qu'Adblock d'ailleurs !