Articles tagués : Sécurité

L’arroseur arrosé

Un fait divers récent est passé relativement peu aperçu et pourtant il révèle, non seulement, la présence toujours accrue des menaces qui pèsent sur nos vies digitales, mais aussi le savoir faire de ceux qui luttent pour nous protéger.

Aidés par la Sté Avast, le centre de lutte contre les criminalités numériques (C3N) a utilisé une méthode plutôt originale pour  désinfecter à distance plus de 800 000 ordinateurs infectés par un botnet. Quand j’vous disais que c’étais des gens biens… 😉
En effet, ils ont utilisé la même faille, celle qui avait permis aux cybercriminels d’infester un grand nombre de machines, pour éradiquer la menace et obtenir les informations nécessaires pour engager des actions en justice.

Il est plaisant de constater que les failles exploitées par les cybercriminels ont elles-même servi à stopper l’attaque.
C’est par ici.

le WPA-3 arrive, on y croyait plus…

Il y a quelques heures le consortium WiFi Alliance publiait son nouveau protocole, le WPA3.
Rappelons qu’à l’automne dernier une faille de sécurité, nommée Krack, avait été découverte. Elle utilisait une vulnérabilité du protocole WPA2, qui, de ce fait devenait guère plus sécurisé que feu WEP, ne promettant que quelques heures de résistance à une attaque sur un AP.

Bien sûr quelques correctifs avaient été diffusés pour “patcher” cette faille, encore que seuls les produits les plus récents de quelques éditeurs pouvaient en bénéficier; les autres passez votre chemin…
Depuis, plus de nouvelles.

Avec WPA-3 l’ancien protocole de négociation (4-way hand shake) est replacé par un nouveau appelé « Simultaneous Authentication of Equals ». La phase d’authentification est ainsi protégée des attaques et, en supplément, le chiffrement des données transmises est renforcé empêchant l’interception par un pirate même ayant découvert le mot de passe.

En supplément le protocole utiliserai une connexion chiffrée entre l’ordinateur et les AP des lieux publics, mais j’ai peu d’informations sur ce point.

Le blog de René en https://

Vous l’avez remarqué, depuis quelques jours le blog est accessible à travers une liaison https.
Cette modification est motivée plus par souci de référencement que par sécurité, les informations diffusées n’ayant aucun caractère confidentiel ou commercial.

Voici quelques mois que Google et d’autres moteurs de recherche menacent de ne plus référencer les sites qui n’utiliseraient pas le protocole sécurisé. Cette décision à l’emporte-pièce risque de voir les bébés jetés avec l’eau du bain. Si le danger est bien réel sur les sites de commerce ou sur ceux permettant de consulter des données plus ou moins confidentielles, le risque est négligeable sur les blogs personnels où les auteurs ne font que diffuser de la connaissance; l’usurpation et la falsification des données n’ayant aucun intérêt.

Bien entendu lorsque j’ai souhaité implémenter ce protocole, un certain nombre d’obstacles se sont dressés devant le modeste webmestre que je suis. Un des plus surprenants était qu’il fallait passer sur une offre d’hébergement supérieure pour pouvoir activer le SSL. Tiens ! Revoilà la petite musique qui tinte : “envoie la monnaie !” 🙂 On le constate de plus en plus chaque jour, il est bien difficile d’être un blogueur indépendant…

En attendant ma disparition du cyber monde, profitez de ces pages, même si elle sont en https. C’est toujours gratuit 😉 . Si votre navigateur rencontrait une quelconque difficulté suite à ce changement, n’hésitez pas à m’en faire part que j’essaye d’y remédier avec mes petits bras.

Bonne lecture à tous.

Découverte d’une vulnérabilité sur le protocole WiFi/WPA2

Comme des millions d’internautes nous utilisons tous le WiFi de notre box. Pour sécuriser cette liaison radio, il est recommandé d’utiliser le protocole WPA2, le plus sûr jusqu’à ce jour.

Des chercheurs ont découvert une vulnérabilité dans ce protocole.Il fallait s’y attendre. A ce jour les utilisateurs de cette protection ne sont pas plus protégés que s’ils utilisaient le WEP, c’est à dire pas du tout !

En attendant des correctifs vous pouvez prendre connaissance du problème sur le site du CERT et mettre en place les mesures conservatoires.

Et surtout n’attendez pas pour effectuer les mises à jour dès qu’elles seront disponibles…
Si elles sont disponibles un jour…

Galileo : le temps est détraqué !

Cela ne vous a pas échappé, le programme de positionnement par satellites européen Galileo rencontre quelque soucis avec les horloges atomiques embarquées dans les satellites.

Selon les informations disponibles dans la presse, 9 horloges sur les 72 que compte la constellation (18 satellites à ce jour) son tombées en panne. Chaque satellite embarquant 2 horloges au rubidium et 2 horloges masers à hydrogène passif, cepandant, il reste suffisamment d’horloges opérationnelles pour assurer la mission (lire mon article pour comprendre l’importance de la précision du temps sur la géolocalisation).

Cependant si l’on ignore pour l’instant l’origine exacte des avaries, la situation n’en demeure pas moins préoccupante car de la précision des informations horodatées émises par les satellites dépend la précision de la géolocalisation. Certains analystes évoquent le piratage du système, pointant du doigt la faiblesse des protections sur nos systèmes informatiques. A ce jour cette hypothèse n’est pas confirmée.

Sécurité informatique : tout le monde est concerné…

Il y a quelques années, les problématiques sérieuses de sécurité informatique ne concernaient que les plus grand groupes, même s’il arrive parfois que les particuliers soient ennuyés par des virus sur leur poste personnel. Mais à l’heure du “tout connecté”, il est temps de revoir les enjeux liés à la sécurité informatique, que l’on soit un particulier, une petite ou une grande entreprise. Pour preuve, la toute récente attaque informatique ayant mis hors service pendant plusieurs heures des sites de grande envergure aux Etats Unis et en France, tels que Ebay, Airbnb, Paypal ou le New York Times, et à laquelle les médias font référence comme l’affaire de l’attaque DDoS Dyn. La particularité de cette attaque ? Les hackers avaient levés une armée d’objets connectés “zombies”, autrement dit, des objets ordinaires, connectés à Internet, dont ils avaient pu prendre le contrôle, entre autre, des caméras et des enregistreurs DVR. A l’aide de ces objets, les pirates ont pu lancer une attaque contre un fournisseur de service lié au bon fonctionnement des redirections web,  surchargeant de requêtes le site ciblé, ils ont pu ainsi mettre hors service momentanément une partie de l’Internet…

Ya pas que Google dans la vie…

xvm022f16e2-ac1e-11e6-83d1-1a3376f6dc1dLe Figaro tech & web vient de publier un article décrivant la découverte d’un logiciel espion implanté nativement dans des smartphones Androïd. Bien entendu la société à l’origine de cette affaire est Chinoise…
Maintenant on ne dis plus “Votre argent m’intéresse” (les moins de 40 ans ne peuvent pas connaître 🙂 ) mais “Votre vie m’intéresse !”

Sont pas prêts de me voir randonner chez eux (des fois qu’il leur prendrait l’idée de me pirater mes photos de touriste 🙂 )

Etes vous sûrs de votre meilleur ami ?

concept-renderingMalgré mon enthousiasme pour les nouvelles technologies, je dois bien reconnaître que la “face sombre” existe bel et bien.
Si comme moi vous utilisez le mode avion sans compter, je suis sûr qu’une petite voix vous susure régulièrement “est tu certain que ton machinphone n’émet pas ?

<joke>Dormez bien braves gens l’entreprise au fruit défendu veille sur vos données et même les barbouzes n’y verront que du feu !</joke>

Eh bien quelques concepteurs ne sont pas d’accord avec cette affirmation et ont décidé de s’attaquer au manque de discrétion de nos petites merveilles :
L’ancien analyste de la NSA et le hacker Andrew Huang viennent de présenter un prototype d’outil permettant de couper de manière sûre toute communication d’un téléphone.

A Suivre….

Malware, adware : démêlez le vrai du faux et sécurisez votre smartphone

SecuSmartPhonLes malware sont présentés comme une grande menace pour nos smartphones par les éditeurs d’applications de sécurité mobile. Mais la vérité est tout autre. Suivez le guide pour démêler le vrai du faux !

Pour certains experts, les smartphones sont bien plus facilement piratables qu’un PC, et leur sécurité proche du néant. Preuve en est le cas du Blackphone, ce téléphone portable censé protéger votre vie privée, présenté début 2014 (en grande pompe) par Silent Circle, spécialiste US des communications protégées. Réputé inviolable, son OS (système d’exploitation) comportait pourtant une faille, qui a permis à des hackers de le “rooter”, lors de la conférence BlackHat, en août…

Les smartphones sont aussi touchés par une autre menace : les malwares, ou applications malveillantes. Enfin, il paraît. Selon Lookout, qui édite une application de sécurité, ces applications qui piochent dans vos données sans votre consentement, sont nombreuses.

Truecrypt : une fin pas très claire…

96px-TrueCrypt_logoDans un billet précédent je vous conseillais d’utiliser un logiciel de chiffrement : Truecrypt (lorsque cela était nécessaire, c’est à dire pour protéger des données méritant un tel niveau de sécurité, pas pour les images de votre petit dernier).

Ces jours-ci, j’ai eu besoin d’utiliser cet excellent logiciel, j’ai eu la surprise de voir un message d’alerte m’indiquer que Truecrypt n’était pas compatible avec la version de mon Système d’exploitation 🙁
Désirant en savoir un peu plus je me suis mis à la recherches d’articles relatifs à ce problème.
J’ai alors eu la surprise d’apprendre que les développeurs avaient jeté l’éponge. Bizzare pour un logiciel autant plébiscité.

error: Ce contenu est protégé !!