Archives de l’auteur : Janiko

Brèves (juin 2016)

Tape m’en cinq !

Nouveau type d’attaque, encore embryonnaire, mais amusante : des chercheurs ont créé une « table » simulant une interaction tactile sur des smartphones.

Pour l’instant, l’exploitation est difficile, car le paramétrage dépend de chaque type de smartphone, et l’utilisateur doit poser son téléphone sur la table (ou sur l’objet) contenant la surface spécialement créée à cet effet. Par ailleurs, des remédiations logicielles ou matérielles sont possibles, mais je trouve l’idée assez maligne.

Docker, API et configuration

Docker n’échappe pas à la grande mode des erreurs de configuration, comme sur S3 ou MongoDB.

Malheureusement, là aussi les conséquences peuvent être importantes : prise de contrôle des ressources de l’hôte, des conteneurs, installation de malwares ou de cryptomineurs, etc. TrendMicro1 détaille l’affaire, mais qui nous rappelle qu’il ne suffit pas de s’arrêter à « ça marche » quand on met en place un système informatique…

Traces

Je me doutais qu’il était possible de trouver beaucoup d’infos sur un système depuis l’extérieur. Des chercheurs ont placé la barre très haut2 rien qu’en JavaScript. Ce genre de bidouille, déjà prisée des départements marketing et des pirates, permet de tout savoir sur le navigateur qu’un quidam est en train d’utiliser pour visiter un site contenant ce(s) script(s).

Trop triste réalité

J’en voulais aux Shadow Brokers d’avoir publié certains outils de la NSA, rendant ainsi facile l’attaque par des personnes ignares et non qualifiées, telles que les Anonymous.

Trop triste : dans la série « les espions espionnent », il s’avère que des pirates chinois1 ont utilisé ces outils… un an plus tôt !

L’exemple israëlien

Israël est devenu un acteur incontournable en sécurité informatique : ce pays, pourtant relativement petit en termes de population et d’activité économique (au niveau mondial) est pourtant le leader en recherche et développement SSI.

Continuer la lecture