Sommaire

• Traduction de l'article: Quelques aspects de la securite qui n'ont rien a voir avec le "Sandboxing" et la "separation des processus"
• • Exemple 1: fuite d'information entre domaines differents
  • Exemple 2: bugs du navigateur ou des drivers exposant de la memoire video
  • Exemple 3: deni de service sur le client
  • Conclusion

Ceci est une traduction de mon entree de blog recente. Quelques remarques avant de commencer:
- mon biais: je travaille chez Mozilla Corporation sur WebGL.
- desole pour (…)

Pour ceux qui ne sont pas au courant, l'actrice Scarlett Johansson ainsi qu'une cinquantaine d'autres "peoples" se sont fait "pirater" leur messagerie. Habituellement je ne m'intéresse pas aux actualités "people", mais dans ce cas-ci je ferai une exception. En effet, ce qui est intéressant ici, c'est surtout la méthode employée par le gars qui a piraté les comptes : détermination de l'adresse email de la victime en envoyant des mails "bidon" : lorsque le mail ne revient pas, il considère (…)

Bonjour à toutes et à tous,

Je mets à disposition gratuitement un guide assez exhaustif de 80 pages, qui est le fruit de quelques années d'administration et d'ingénierie des systèmes Open-Source.

Mon objectif, en 1996, était de rédiger un pense-bête, avec l’une des premières distributions libres d’Unix (Slackware). Je l’ai ensuite étoffé via des systèmes similaires, dont RedHat, Mandrake (actuellement Mandriva). Par la suite, j’ai ajouté des commandes et syntaxes propres à Solaris ou Novell/Suse.

Il s'agit d'un document de (…)

Dans la livraison de février du magasine ;Login, un article au format pdf propose une intéressante analyse de la sécurité des différents gestionnaire de paquets de nos distributions Linux.

Les auteurs sont étudiants à l'université d'Arizona et post-doc à l'université de Washington et ils travaillent sur un tout nouveau gestionnaire de paquet nommé Stork(Cigogne). Dans le cadre de leur recherche ils se sont intéressés aux attaques qu'il était possible d'effectuer contre les gestionnaires de paquets déjà existants et (…)

Tizen est l'OS de Samsung qui équipe la plupart de ses téléviseurs connectés mais aussi ses smart-watchs, et certains modèles de téléphones vendus en Asie, en Russie etc…

Un chercheur Israelien l'a étudié et y a découvert près de 40 failles 0-day, mais aussi plein de mauvaises pratiques (pas de SSL pour les connections sensibles par exemple). Selon lui, "c'est le pire code qu'il ait eu à connaitre", et semble être écrit par un débutant.

La suite ici : https://motherboard.vice.com/en_us/article/samsung-tizen-operating-system-bugs-vulnerabilities

(…)

Avant de lire plus loin, s'il vous plait, lancez sudo systemctl disable --now cups-browsed.

Plusieurs failles de sécurité ont été publiées concernant le serveur d'impression Linux CUPS et des logiciels qui y sont liés. Combinées, elles permettent à un utilisateur distant de faire exécuter du code en tant que root lp lors d'une impression initiée par un utilisateur du système. [EDIT : retrait de la mention d'élévation de privilège vers root]

La plupart des systèmes Linux de bureau activent (…)

Il y a quelques mois, gouttegd nous faisait un cours magistral sur l'usage d'OpenPGP sur les cartes à puce et récidivait sur le sujet de la gestion des clés.

Ce comportement inadmissible mérite que l'on s'y intéresse de plus près. J'ai donc décidé de me lancer dans l'aventure et de générer moi aussi ma clé PGP. J'espère donc ici apporter un complément aux excellents articles pondus par gouttegd en expliquant comment j'ai posé les premières pierres de (…)

Bonjour Nal,

Plein de sites webs permettent de s'inscrire via un login et un mot de passe. Les mots de passe, on le sait, c'est la loose absolue. Entre la très grande majorité des gens qui continuent de mettre 123456 ou password comme mot de passe et les formulaires webs qui imposent un minimum de 23 caractères dont au moins une majuscule, une minuscule, un nombre, un caractère spécial, deux emojis et une résistance au dictionnaire, on ne sait pas (…)

Un petit journal pour vous annoncer la sortie d'un outil libre de rétro-ingénierie de protocoles de communication : Netzob* !

Plusieurs cas d'usages sont visés à travers cet outil :

• le développement d'une implémentation libre d'un protocole de communication propriétaire (ou non documenté) ;
• l'analyse de sécurité (fuzzing "intelligent", avec compréhension du protocole) sur des implémentations de protocoles propriétaires ;
• la simulation de trafic réaliste de protocoles de communication propriétaires dans le but de tester des produits tiers (pare-feux, IDS, (…)

Bonjour nal,

Je ne peux m'empêcher de mettre en parallèle les gains ahurissants de performance de Firefox depuis un an (cf la dernière dépêche en date) avec la dégradation tout aussi ahurissante des performances Intel depuis un an.

Tandis que les développements du premier sont entièrement tendus vers les moyens d'accroître la vitesse et la réactivité du logiciel (en même temps que sa sécurité et de proposer des outils de défense de la vie privée aux utilisateurs) (…)