Planète Warez

J’opte pour la seconde proposition :hihi:

Il suffit de tester avec 2 navigateurs différents.

Le premier user peut partager sa clé soit par le QR Code soit par le lien

4336bdbb-446a-48f4-bded-28d0c9753757-image.png

L’autre user utilise ce lien et ajoute la clé du premier user :

0ddc7a04-469d-4215-8a83-8531fb158d90-image.png

2c09aa13-5ced-47a9-8c71-a79debbc8833-image.png

005ced53-4446-4429-8702-8ecd8dfaf910-image.png

Rien de plus simple 😉

cb8b844b-b591-4e57-86eb-c1935a82f48f-image.png

Voici une clé à ajouter pour tester :

https://cryptboard.io/add-key?uid=9b1947a8-79e6-4cf8-825d-e6d1cd079449&key=MIGeMA0GCSqGSIb3DQEBAQUAA4GMADCBiAKBgE5gdchDAih3T1ser9fHsxyPn3EWiYA3AOS2vrfGZ0XV5gomv9hy2vYbZBWbpLW3TKksE5BnZqb9UEtgh7rUTlL2amae2DXe2TkIdCszhmE17awPq08RrA7IsDH%2BkFKjTub2K8HsfLILlAbnc7pUSJu8xAqmo%2BC%2BI0i%2Bcxv1P8xxAgMBAAE%3D

Nouvelles versions qui apportent leur lot de nouveautés :

https://safing.io/blog/2023/08/08/portmaster-v1.3/#disabled?source=Portmaster

https://safing.io/blog/2023/08/21/portmaster-v1.4/

7 mois que je le fais tourner. Ça marche vraiment bien

@Tristan-0 a dit dans Parution de la 6ᵉ édition du guide d’autodéfense numérique :

Ceci dit, quand on se rappelle qu’il y a quelques mois, la majorité de la population a accepté sans broncher de se faire QRCoder/contact-tracer pour pouvoir aller au cinoche ou boire un café

Face à une pandémie qui a fait 160 000 morts en France (sérieux, à côté de ça, les attentats qu’on utilise pour faire passer des tas de lois sécuritaires, c’est une vaste blague), c’était justifiable (et c’est resté temporaire ; je parle du QR code, le contact tracing lui est mort-né, personne n’en voulait ; j’ai même signé une pétition contre en tant que chercheur en informatique, comme beaucoup de mes pairs). Je n’en dirais pas autant de la soumission aux GAFAM juste pour des services “gratuits” à l’utilité discutable.

Si vous travaillez dans la sécurité, que vous pratiquez le pentest, le Bug Bounty ou tout simplement si vous avez un site et que vous êtes curieux, voici un super script nommé All In One Recon Tool – AORT.

Ce script permet de faire de la reconnaissance autour d’un nom de domaine. Ainsi, si vous voulez savoir ce qu’un éventuel attaquant peut apprendre sur votre site web, simplement en fouillant un peu, vous n’allez pas être déçu.

AORT permet ainsi de débusquer tous les sous-domaines, mais également tout un tas d’infos concernant les DNS, la possibilité d’un transfert de nom de domaine, le type de WAF en place (firewall application), les informations Whois, les ports ouverts, ainsi que divers endpoints ou boite mail.

Le mieux c’est encore de l’essayer. Pour installer AORT à partir des sources, faites :

git clone https://github.com/D3Ext/AORT cd AORT pip3 install -r requirements.txt

Puis lancez le script avec le paramètre --all pour dégainer toute l’artillerie.

python3 AORT.py -d exemple.com --all

Très simple à utiliser et super pratique !

– Source

Mimecast (solution de cybersécurité cloud opérant pour les mails, les données et le web) dévoile son étude sur le coût total des ransomwares et leurs impacts sur les responsables informatiques en France.

87% des répondants déclarent que le nombre de cyberattaques contre leur entreprise a augmenté depuis l’année dernière ou est resté le même 40% de responsables informatiques estiment que les attaques par ransomware ont un impact négatif sur leur santé mentale. 51% des attaques subies engendrent plus de 100k$ de frais

Au cours de l’année écoulée, 31 % des entreprises ont subi plus de trois attaques par ransomware et 53% des attaques étaient par le biais du phishing comprenant une pièce jointe vérolée.

Néanmoins, les entreprises françaises restent optimistes et ils sont 20% à penser qu’il leur faudrait moins de 24h pour se remettre d’une cyberattaque quand 27% estiment cette durée à 2 jours. En parallèle à ça, on constate toujours un manque de compétences et de moyens dans les entreprises puisque 40% des répondants déclarent ne pas pouvoir recruter le personnel essentiel dont ils ont besoin dans leur équipe pour garder l’entreprise sécurisée.

16% des entreprises dépensent déjà plus de 850 000$ par an pour assurer leur cybersécurité.

Et alors même que les entreprises commencent à prendre conscience qu’il faut allouer un véritable budget pour prévenir les attaques par ransomware et y faire face, il est également important de se concentrer sur l’impact qu’ils peuvent avoir sur les responsables informatiques (comment ça va @Violence ?). Ainsi, on apprend que 64% des répondants sont préoccupés par l’impact et les dégâts que peuvent avoir les attaques par ransomware sur les vies humaines.

Les ransomware, ainsi que toutes les formes de cybercriminalité, ne resteront pas inactifs dans les années à venir et Il est essentiel que les équipes de cybersécurité puissent faire le meilleur usage de leurs ressources afin de réduire le coût total des attaques pour les entreprises et les particuliers, tout en veillant à ce que la cybersécurité soit une carrière durable et épanouissante.

Source: https://www.undernews.fr/malwares-virus-antivirus/etude-mimecast-le-cout-total-des-ransomwares-et-leurs-impacts-sur-les-dsi-en-france.html

Voir aussi: https://planete-warez.net/topic/2356/les-snapshots-dernier-rempart-contre-les-ransomwares?_=1666702788462

Grâce à notre liste de blocage dynamique, les utilisateurs bénéficient d’une réduction instantanée de plus de 90 % du nombre de cyberattaques entrantes », a expliqué Philippe Humeau, président de Crowdsec.

Spécialisée dans la reconnaissance automatisée et communautaire d’IP malveillantes, la start-up Crowdsec annonce une levée de fonds Serie A de 14 millions d’euros. Mené par Supernova Invest, ce tour de table bénéficie aussi toujours du soutien de l’investisseur historique Breega.

Les levées de fonds des start-ups françaises en cybersécurité dépassent rarement la dizaine de millions d’euros. C’est pourtant la performance que vient de réaliser Crowdsec, fondée en décembre 2019 par Philippe Humeau, Thibault Koechlin et Laurent Soubrevilla. La jeune pousse se distingue avec une solution de pare-feu open source basé sur le comportement et la réputation via de la reconnaissance d’adresses IP malveillantes par sa communauté d’utilisateurs, a en effet réussi un tour de table Serie A de 14 millions d’euros.

Cette levée a été emmenée par Supernova Invest, avec le soutien de l’actionnaire historique Breega. Elle fait suite à un précédent tour d’1,5 millions d’euros en octobre 2020. Avec ce financement, la société a plusieurs ambitions dont une croissance des effectifs qui passeront de 20 à 45. Il servira également à développer sa pile technique et à s’étendre aux Etat-Unis. Relever le défi outre-Atlantique n’est pas une mince affaire, on se rappelle par exemple l’exemple du spécialiste hexagonal du PAM Wallix qui a rouvert une filiale à Boston après une première initiative à New-York qui a tourné court.

16 millions de signaux d’attaque remontés quotidiennement par la communauté d’utilisateurs

Grâce à cette levée, Crowdsec espère développer davantage son réseau mondial de machines protégées et collaboratives de plusieurs centaines de milliers aujourd’hui à plusieurs millions demain. « En moyenne, la communauté fait remonter plus de 16 millions de signaux d’attaque par jour et a déjà signalé 8 millions d’adresses IP malveillantes. Grâce à notre liste de blocage dynamique, les utilisateurs bénéficient d’une réduction instantanée de plus de 90 % du nombre de cyberattaques entrantes », a expliqué Philippe Humeau, président de Crowdsec, qui avait par ailleurs eu l’occasion d’intervenir sur la dernière conférence Cybermatinée Sécurité 2022 du Monde Informatique à Nantes le 21 juin dernier.

SOURCE

Pour information @Philippe Humeau nous avais fait l’honneur d’ouvrir un compte ici suite à mon tutoriel d’installation que j’avais créé :amen: .

👇 Ce tutoriel d’installation a été mis à jour et est disponible sur le wiki en suivant le lien ci-dessous :

https://wiki.planete-warez.net/fr/informatique/sécurité/crowdsec

fier

@duJambon a dit dans Tella : Pour documenter et protéger son travail quand on est journaliste ou activiste :

Très pratique pour stocker des documents, tels permis de conduire, carte d’identité, billets, etc…, qui ne seront pas pompés par le backup auto de google ou google drive et autres saletés.

Adopté.

Par contre je me demande quelle confiance on peut avoir envers la solidité du cryptage…

Bonjour !

Exactement, moi je pourrais pas stocker de telle donnée importante et contenant ma vie privée, je pense pas qu’il existe une confiance ou une sécurité, cela dépend de la personne derrière, tout le monde promet sécurité etc… on sait tous que la sécurité n’existe pas, si quelqu’un de très compétent a envie de faire tout pété il le fera sans problème. Donc une réelle sécurité plus sûre, est de ne rien stocker sur l’internet en ce qui concerne paperasse ou autres privé.

Non :lol:

La foire aux gogols est ouverte: https://planete-warez.net/topic/2282/le-monde-est-fou/

Un dernier rapport de Sysdig montre que chaque dollar gagné par les cryptojackers représente un coût de 53 dollars pour les victimes. Les attaques basées sur du cryptojacking et du déni de service distribué visant les environnements conteneurisés dans le cloud se multiplient.

D’après un rapport publié hier par l’entreprise de cybersécurité Sysdig, le cryptojacking est la modalité d’attaque la plus courante utilisée contre les systèmes basés sur des conteneurs fonctionnant dans le cloud. De plus, les attaques par déni de service distribué (DDoS) ont été multipliées par quatre cette année, motivées en grande partie par des objectifs géopolitiques liés principalement à la guerre de la Russie contre l’Ukraine. Selon l’étude « 2022 Sysdig Cloud Native Threat Report » issue des travaux de l’équipe de recherche sur les menaces Threat Research Team de Systig (Sysdig TRT), l’usage de plus en plus fréquent des conteneurs dans les systèmes basés sur le cloud, les a élevés au rang de vecteur de menace important pour les attaques de la chaîne d’approvisionnement.

« La portabilité des images de conteneurs a grandement facilité le partage de conteneurs entre développeurs », indique le rapport. « De multiples projets open source fournissent le code source pour déployer un registre de conteneurs ou des registres de conteneurs en libre accès et permettent aux développeurs de partager des images de conteneurs », précise encore le rapport.

« Dans les dépôts publics comme Docker Hub, on trouve de plus en plus d’images de conteneurs malveillantes contenant des mineurs de cryptomonnaies, des portes dérobées et d’autres vecteurs de la menace qui se font passer pour des applications logicielles légitimes », fait remarquer le spécialiste des produits de sécurité des conteneurs et du cloud.

« Le cryptojacking, c’est-à-dire l’usage non autorisé d’une infrastructure informatique pour extraire de la cryptomonnaie, reste la principale motivation des attaquants qui cherchent à exploiter les vulnérabilités critiques et les configurations système vulnérables », pointe le rapport.

« Lors de l’analyse de Docker Hub, le nombre total d’images malveillantes uniques dans l’ensemble de données rapportées était de 1 777. Parmi celles-ci, 608, soit 34 %, contenaient des mineurs de cryptomonnaies », a déclaré Michael Clark, directeur de la recherche sur les menaces chez Sysdig. La forte prévalence de l’activité de cryptojacking s’explique par le faible risque et la forte récompense qu’elle peut apporter aux auteurs.

Les attaques DDoS attisées par le conflit Russie-Ukraine

Selon Sysdig, les cryptojackers gagnent un dollar pour chaque tranche de 53 dollars de ressources IT facturées à la victime. L’entreprise de cybersécurité a basé ce calcul sur une analyse des activités menées par un acteur de la menace appelé TeamTNT, et sur le coût du cryptomining. Sysdig TRT a pu suivre l’activité de cryptojacking de TeamTNT en utilisant un réseau mondial de honeypots. Selon l’équipe de recherche de Sysdig, TeamTNT a réussi à voler plus de 8 100 dollars de crypto-monnaie en exploitant illégalement des ressources d’infrastructure cloud, pour un coût de plus de 430 000 dollars pour les victimes.

« Pour effectuer ce calcul, nous avons déterminé le coût de minage d’une crypto-monnaie sur une instance AWS et nous l’avons comparé à la valeur en dollars de cette monnaie », a expliqué Michael Clark.
« Le coût pour l’attaquant est effectivement nul, tandis que la victime doit payer la facture onéreuse de l’infrastructure cloud », a déclaré le directeur de la recherche sur les menaces de Sysdig.

Le rapport de Sysdig fait également remarquer que depuis le début de l’invasion russe en Ukraine, les attaques DDoS utilisant des conteneurs ont beaucoup augmenté. « Entre le 4T21 et le 1T22, la volonté de perturber des infrastructures informatiques et des services publics s’est traduite par une multiplication par quatre des attaques DDoS », selon le rapport.

« Plus de 150 000 volontaires ont rejoint les campagnes DDoS anti-russes en utilisant des images de conteneurs provenant de Docker Hub. Les acteurs de la menace frappent toute personne qu’ils identifient comme sympathisant avec leur adversaire, et toute infrastructure non sécurisée est ciblée pour servir de levier dans l’intensification des attaques », indique encore le rapport.

Côté russe, un groupe de hacktiviste pro-russe, appelé Killnet, a lancé plusieurs attaques DDoS contre des pays de l’OTAN, ciblant notamment des sites web en Italie, en Pologne, en Estonie, en Ukraine et aux États-Unis, mais pas seulement. « Comme de nombreux sites sont désormais hébergés dans le cloud, les protections DDoS sont plus courantes, mais elles ne sont pas encore omniprésentes et peuvent parfois être contournées par des adversaires habiles », a déclaré Sysdig. « Les conteneurs préchargés avec des logiciels DDoS permettent aux meneurs de fournir un moyen d’action rapide à leurs volontaires », peut-on lire dans le rapport.

Prévenir les attaques contre les systèmes cloud

Selon l’éditeur, la meilleure façon de prévenir ces attaques sur les systèmes basés sur le cloud est de mettre en place une défense à plusieurs niveaux. « Les équipes chargées de la sécurité du cloud doivent mettre en œuvre des contrôles préventifs comme la gestion des vulnérabilités et des autorisations afin de rendre la compromission de leur infrastructure par les attaquants plus difficile », a déclaré M. Clark. Ce dernier recommande aussi l’usage de techniques de détection des cryptomineurs basée sur l’apprentissage machine pour alerter les équipes de sécurité et bloquer les attaques qui parviennent à passer.

« Pour les attaques de cryptomineurs, les contrôles préventifs à l’aide de technologies de gestion des identités et des accès (IAM pour identity access management) et de gestion des droits de l’infrastructure cloud (CIEM pour cloud infrastructure entitlements manager) peuvent rendre très difficile pour un attaquant le provisionnement des instances au nom d’un utilisateur légitime », a encore expliqué M. Clark.

Source

Et si on discutait pour se raconter nos pires secrets ? Mais comment ? Puisque tout est loggé, espionné, analysé…etc.

Et bien une petite application open source à héberger vous-même existe et permet de communiquer par écrit en peer to peer de manière chiffrée, sans faire transiter les messages via un serveur. Le tout sans stockage de message et de manière totalement décentralisée.

Quel rêve !

Son nom : Chitchatter !

Inspiré de feu Cryptocat, l’outil se repose sur des serveurs webtorrents publics pour la mise en relation initiale des participants. Et quand le P2P n’est pas possible, il rebondit sur des Open Relay.

Chitchatter est actuellement à l’état de prototype et est encore très basic en termes de fonctionnalités. Un nom d’utilisateur est généré automatiquement et vous pouvez personnaliser le nom de la chatroom et c’est à peu près tout ce qu’on peut faire. Dans le futur, il est prévu d’ajouter des options de visio conf et de partage de fichiers (entre autres).

Bref de quoi improviser des discussions éphémères et sans conséquence judiciaire.

Vous trouverez les sources sur Github et vous pouvez tester ça directement ici.

Source:

https://korben.info/chitchatter.html

Allez parler de 2FA rien qu’à vos voisins IRL, vous comprendrez aisément pourquoi le GVT ne peut tout simplement pas forcer son utilisation. Sans compter que ça nécessite un numéro de téléphone portable (et un appareil), que certains ne peuvent obtenir faute de moyens financiers.

@dujambon a dit :

Et ils se reproduisent entre eux… :lolilol: (remplacez antivax par anti-ce-que-vous-voulez…)

moi perso je suis anti-antivax et mon sperme est une série limitée, très rare et très demandée :hehe:

Heuuu… J’ai simplement pas fait attention

Le bbcode c’est assez chiant a écrire je trouve contrairement au markdown qui est ultra simple…

Mais c’est une question d’habitude je pense.
J’utilise quotidiennement le markdown en prise de note en réunion par exemple donc ça coule de source et la mise en forme se fait hyper rapidement quand tu connais le code.

Je ne m’imagine pas mettre en forme mes prises de notes en bbcode

Une révision du règlement eIDAS, qui régule les procédures électroniques transfrontières pour l’identification, l’authentification et la certification de sites web au sein de l’UE, est en ce moment étudiée par l’Union européenne. L’article 45 de la proposition concerne l’un des mécanismes clés de la sécurité web pour vérifier si un site sécurisé est celui qu’il prétend être. Chaque navigateur web possède une liste d’ « Autorités de certification racine » (appelées « Root Certificate Authorities » ou « Root CAs » en anglais) jugées dignes de confiance pour, dit simplement, valider les certificats TLS (pour « Transport Layer Security », certificats destinés à garantir la sécurité de la connexion Internet) utilisés par les sites. Chaque éditeur de navigateur web – tel que Mozilla, Google, Apple et Microsoft – dirige son propre programme d’audit indépendant pour valider ces Autorités de certification.
Problème : l’article 45.2 du règlement eIDAS révisé obligerait ces programmes à valider et intégrer automatiquement certaines Autorités de certification soutenues par les États membres de l’Union Européenne, qu’elles remplissent ou non les critères de sécurité exigés jusque-là par les navigateurs web. L’adoption de cette proposition créerait un dangereux précédent mondial : le risque, bien réel, est ni plus ni moins que de rendre possible l’abaissement du niveau de sécurité web pour les internautes.

Naviguer sur un site sécurisé sur Internet est rendu possible grâce à une série d’opérations de vérification et d’audits de sécurité. Ceci permet de s’assurer que le site est bien celui qu’il prétend être et que les informations qui transitent entre le navigateur et le site en question sont chiffrées de manière confidentielle.

Pour cela, le navigateur web vérifie deux choses :

que le certificat TLS d’authentification utilisé par le site sécurisé est valide et digne de confiance. que l’Autorité de certification qui a validé et signé ce certificat est digne de confiance.

Si ces conditions ne sont pas réunies, le navigateur vous préviendra que le site est peut-être malveillant. Ce sont les fameux messages que vous avez sans doute déjà rencontrés : « Attention risque probable de sécurité » sur Firefox ou « Votre navigation n’est pas privée » sur Chrome.

Si une Autorité de certification rencontre des défaillances en termes de sécurité, il devient possible pour des acteurs malveillants d’émettre des faux certificats TLS, par exemple pour des sites très fréquentés comme www.google.com. Les attaquants peuvent ensuite consulter le trafic des internautes qui tapent leur requête sur le site malveillant qui se fait passer pour www.google.com. Ce type d’attaque a été conduit par le passé contre de multiples Autorités de certification en raison de failles de sécurité sur leurs systèmes (par exemple DigiNotar CA et Comodo CA en 2011).

Des acteurs étatiques malveillants qui veulent mener des opérations de surveillance de masse dans leur pays peuvent aussi créer et contrôler une Autorité de certification pour contourner les protocoles de sécurité sur Internet. Tous les certificats émis par l’Autorité de certification en question peuvent alors potentiellement être utilisés pour espionner les communications des internautes ciblés.

Pour limiter les risques pour leurs utilisateur-rice-s, les navigateurs web auditent et sélectionnent de manière indépendante les Autorités de certification qui sont jugées dignes de confiance. Les critères de validation sont consultables en ligne, tel le « Root Program » de Mozilla ou celui d’Apple.

En cas de problème de sécurité, les navigateurs peuvent décider de ne pas inclure ou de retirer une Autorité de certification de leurs listes. Par exemple, une Autorité de certification gérée par le gouvernement du Kazakhstan a été bloquée de concert par Google, Apple et Mozilla en 2019. Autre exemple en 2014, lorsque Google avait détecté des faux certificats pour des noms de domaines de Google émis par le centre national d’informatique du gouvernement indien suite à une faille de sécurité : ceux-ci étaient alors inclus dans le « Root Store » de Microsoft, qui a dû les révoquer.
Le processus d’évaluation pour révoquer ou rejeter une Autorité de certification est particulièrement transparent dans le cas des programmes publics à but non lucratif : Mozilla documente ainsi publiquement les audits et les problèmes rencontrés, comme dans le cas de la révocation en 2019 du CA français Certinomis.

Que propose la nouvelle révision du règlement eIDAS ?

La version initiale du règlement eIDAS a été adoptée en 2014 pour fournir « la base des procédures électroniques transfrontières pour l’identification, l’authentification et la certification de sites web au sein de l’UE » (dossier de presse).
Concrètement, le règlement a pour ambition de réguler la manière dont les transactions électroniques s’effectuent au sein de l’Union Européenne, en établissant, pour citer l’ANSSI, un « socle commun pour les interactions sécurisées entre les citoyens, les entreprises et les autorités publiques ».

La section 8 du règlement est dédiée à l’ « Authentification de site internet ». L’article 45 présente les « Exigences applicables aux certificats qualifiés d’authentification de site internet » qui sont fixées à l’annexe IV. Ces certificats qualifiés (« Qualified Web Authentication Certificates », ou QWAC en anglais) sont délivrés par des prestataires de service de confiance (« Trust Service Providers » ou TSP) régis par le règlement eIDAS et qui sont des Autorités de certification soutenues par les gouvernements des États membres de l’Union Européenne.

L’article 45.2 de la proposition de révision pose que « Les certificats qualifiés d’authentification de site internet visés au paragraphe 1 sont reconnus par les navigateurs internet. À cette fin, les navigateurs garantissent que les données d’identité fournies au moyen de l’une des méthodes s’affichent de manière conviviale. À l’exception des entreprises considérées comme des micro et petites entreprises au sens de la recommandation 2003/361/CE de la Commission pendant leurs cinq premières années d’activité en tant que prestataires de services de navigation sur internet, les navigateurs acceptent les certificats qualifiés d’authentification de site internet visés au paragraphe 1 et garantissent l’interopérabilité avec ces derniers. »

Ceci implique que les navigateurs webs sont légalement tenus de reconnaître ces certificats qualifiés comme valides, et donc d’intégrer dans leur liste de confiance les prestataires de service de confiance régis par eIDAS.

Quelles sont les conséquences de cette révision pour les internautes ?

Malheureusement, ces certificats qualifiés d’authentification posent plusieurs problèmes de sécurité et d’interopérabilité dans leur modèle d’implémentation. Depuis leur introduction en 2014, ils n’ont donc pas été adoptés dans l’écosystème web. La Common CA Database, une initiative rassemblant plusieurs éditeurs de navigateurs web autour de la gestion des Autorités de certification et gérée par la fondation à but non-lucratif Mozilla, expose en détails les problèmes techniques rencontrés par les navigateurs avec les spécifications proposées pour les certificats qualifiés : notamment son absence de compatibilité avec le fonctionnement technique des navigateurs web et du déploiement de TLS sur les site, ainsi que ses manques en terme de respect de la vie privée des internautes.

Concrètement, l’article 45.2 reviendrait à obliger les navigateurs web à accepter des prestataires de service de confiance régis par eIDAS, même s’ils ne remplissent pas les critères de sécurité exigés habituellement par les navigateurs. Le risque que des certificats soient émis et utilisés à des fins malveillantes par des cybercriminels serait accru. C’est sur quoi alertent trente-cinq experts mondiaux en cybersécurité et en cryptographie dans une lettre ouverte adressée aux membres du Parlement Européen et publiée sur le site de l’organisation à but non lucratif Electronic Frontier Foundation en mars 2022.

Pire, si une Autorité de certification intégrée à la liste de confiance des navigateurs est vulnérable à des problèmes de sécurité, les navigateurs web ne seraient pas légalement en mesure de refuser ou de retirer l’Autorité de certification de leur liste de confiance pour protéger les internautes.

Par ailleurs, les connaissances techniques en sécurité peuvent vite évoluer : la découverte d’une nouvelle faille de sécurité peut requérir une réponse rapide de la part des éditeurs de navigateurs web afin de protéger les internautes, par exemple en retirant une Autorité de certification du « Root Store ». De plus, les règles de gestion des « Root Store » sont mises à jour régulièrement afin de suivre les évolutions technologiques et se protéger contre les tentatives des acteurs malveillants qui tentent de les contourner. Cette réactivité (quelques semaines) n’est malheureusement pas compatible avec les délais requis pour des changements législatifs (un an ou plus).

Enfin, si elle était adoptée, cette proposition de révision du règlement eIDAS créerait un précédent au niveau mondial. Les navigateurs web pourraient dès lors difficilement refuser ou retirer une Autorité de certification racine provenant d’un autre gouvernement qui ne respecterait pas les critères de sécurité requis. Des tentatives précédentes, au Kazakhstan comme mentionné précédemment ou en Iran comme l’explique l’ONG Article19, prouvent qu’il s’agit d’un danger bien réel. Autre exemple plus récent : suite au retrait de plusieurs Autorités de certification en Russie pour sanctionner la guerre qu’elle mène en Ukraine, le gouvernement russe a dû mettre en place une Autorité de certification de remplacement pour assurer le fonctionnement de plusieurs de ses sites web et a demandé aux internautes d’autoriser manuellement cette Autorité au sein de leur navigateur. Si cette opération peut être justifiée par un motif légitime et qu’il n’y pour l’instant aucune preuve qu’elle ait été rendue obligatoire et utilisée à des fins de surveillance, elle a aussi pour conséquence de rendre possible, justement, la surveillance de masse de la population russe comme le souligne l’Electronic Frontier Foundation.

Bien que cela ne soit clairement pas l’intention visée, la proposition du règlement eIDAS risque de normaliser des dispositifs jusque-là largement condamnés au sein de l’Union Européenne et hors de ses frontières.

Par ailleurs, ce n’est pas la première fois que l’Union Européenne cherche à intervenir directement sur les technologies et l’infrastructure d’Internet. Les controverses autour de la nouvelle directive Network and System of Information Security (NIS2), de la proposition d’établissement d’un DNS européen DNS4EU ou même du Digital Service Act témoignent de cette nouvelle volonté d’intervention directe de l’UE sur les technologies/l’infrastructure et de sa légitimation à travers des biais sécuritaires et économiques, mais qui peuvent aussi avoir des conséquences dommageables sur l’interopérabilité des systèmes et la sécurité des internautes.

Nous nous joignons donc à Mozilla et à l’Electronic Frontier Foundation pour alerter sur les dangers introduits par l’article 45.2 de la proposition de révision du règlement eIDAS.
Nous appelons en conséquence le gouvernement et les élus français à demander la modification ou le retrait de l’article 45.2 afin que les navigateurs web restent en mesure de protéger les internautes en appliquant des standards élevés en termes de sécurité et de transparence.

@nlancien :lol:

Si vous faites de la sécurité informatique et plus particulièrement de l’audit ou de l’analyse de logiciels malveillants, je vous invite aujourd’hui à jeter un œil à SSH-MITM.

Comme son nom l’indique, SSH-MITM est un serveur Man In The Middle qui une fois installé permet de voir tout ce qui transite entre des machines dans le cadre de connexions SSH.

L’outil gère l’authentification avec clés publiques, le détournement de sessions et la manipulation de fichiers durant les transferts SCP / SFTP.

SSH-MITM peut être installé sous Linux avec la commande suivante, et sur les Android :

sudo snap install ssh-mitm

Vous pouvez également l’installer avec pip (package python) comme ceci :

pip install ssh-mitm

C’est évidemment à utiliser uniquement sur votre propre matériel dans un cadre de recherche.

Ne faites rien d’illégal avec ça sinon, vous irez obligatoirement en prison. C’est sûr et certain ^^ !

SSH-MITM est disponible ici.

SOURCE: Korben.info

Une vulnérabilité dans le noyau Linux a été découverte et relativement facile à exploiter. Elle touche plusieurs distributions Linux, ainsi qu’Android de Google.

A l’occasion d’une analyse d’un problème soulevé par un client de l’hébergeur Ionos, un expert a découvert une faille dans le kernel Linux. Classée comme CVE-2022-0847 et un score de sévérité CVSS : 7.8. Max Kellermann, développeur au sein de Ionos a baptisé cette faille Dirty Pipe en écho à une brèche similaire nommée Dirty Cow (CVE-2016-5195), qui a été révélée en octobre 2016.

Dans son analyse, le spécialiste a constaté « un cas surprenant de corruption » affectant les journaux d’accès au serveur web. Concrètement, la faille se situe dans le noyau Linux et donne la possibilité aux attaquants la capacité d’écraser des données dans n’importe quel fichier en lecture seule et prendre le contrôle complet des systèmes affectés.

Un Poc (Proof Of Concept) publié

Selon Max Kellermann, la vulnérabilité existe depuis la version 5.8 du kernel Linux et conduit à « une élévation de privilèges, car les processus non privilégiés peuvent injecter du code dans les processus racines ».

Dans le détail, la faiblesse se situe dans la façon de gérer les pipe. Diminutif de pipeline, un pipe est un mécanisme de communication inter-processus unidirectionnel dans lequel un ensemble de processus s’enchaîne. Pour se servir de la faille, il faut selon le spécialiste : créer et remplir un pipe avec des données, vider le pipe, couper les données du fichier en lecture seule cible et écrire des données arbitraires dans le pipe.

Il a démontré ses travaux avec un PoC de l’exploit. Les attaquants peuvent mener un certain nombre d’actions malveillantes sur un système, y compris l’altération de fichiers sensibles tels que /etc/passwd pour supprimer le mot de passe d’un utilisateur root l’ajout de clés SSH pour un accès à distance et même l’exécution de code arbitraire avec les privilèges les plus élevés.

**Pour rendre cette vulnérabilité plus intéressante, elle ne fonctionne pas seulement sans droits d’écriture, mais aussi avec des fichiers immuables, sur des snapshots btrfs en lecture seule et sur des montages en lecture seule (y compris les montages de CD-ROM) **
Max Kellermann.

Des correctifs à installer d’urgence

Le problème a été corrigé dans les versions 5.16.11, 5.15.25 et 5.10.102 de Linux à partir du 23 février 2022, trois jours après avoir été signalé à l’équipe de sécurité du noyau Linux. Google, pour sa part, a intégré les correctifs dans le noyau Android le 24 février 2022.

Étant donné la facilité avec laquelle la faille peut être exploitée et la publication de l’exploit PoC, il est recommandé aux utilisateurs de mettre à jour les serveurs Linux immédiatement et d’appliquer les correctifs pour les autres distributions dès qu’ils sont disponibles.

SOURCE: Le monde informatique

Si vous pratiquez cette merveilleuse discipline qu’est le Bug Bounty, vous avez surement déjà une boite à outils bien pratique. Mais si vous débutez, la bonne nouvelle c’est que le hacker éthique Kamil Vavra a compilé une « Awesome List » comme seul Github peut en héberger.

Cette liste contient tous les outils pour faire de la reconnaissance de sous domaines, de technologies, de ports…etc et également de l’exploitation type injection de commande, injection SQL, XSS, XXE, File Inclusion…etc.

f05c4b44-12c2-4a54-8186-8fdf27aeee7f-image.png

Vous en aurez pour des heures à regarder et tester tout ça et je pense qu’ensuite ça vous fera gagner un max de temps.

A découvrir ici.

SOURCE: Korben

Donc en gros n’importe qui peut faire de la merde avec notre IP si on participe et inversement ?

On leur a dit qu’ils partaient en manoeuvres puis qu’ils seraient accueillis les bras ouverts en ukraine… on leur aurait menti ?
Mais ils ont raison,il vaut mieux faire l’amour que la guerre !