|
|
Conteneurs Docker Excellent : après la découverte d’une grosse boulette sur les distributions Alpine Linux, dont les images Docker permettaient l’accès root sans mot de passe (durant 3 ans !), les chercheurs ont poussé leur recherche dans les 1000 images les plus utilisées. Au total 194 images (sur 1000) sont dans le même cas (root […] |
|
|
Ca fait quelques années que je connais le principe de la clé USB tueuse : une clé faite en réalité de condensateurs et autres bidules électroniques dont le seul but est de détruire le terminal qui y serait connecté. |
|
|
Quelques semaines après SPOILER, une nouvelle attaque dans la famille des Spectre & Meltdown, avec son site dédié comme de bien entendu. |
|
|
J’en voulais aux Shadow Brokers d’avoir publié certains outils de la NSA, rendant ainsi facile l’attaque par des personnes ignares et non qualifiées, telles que les Anonymous. Trop triste : dans la série « les espions espionnent », il s’avère que des pirates chinois ont utilisé ces outils… un an plus tôt ! |
|
|
Rien ne va plus dans le monde de l’informatique : on s’attaque à la mémoire sans vergogne. Exemples : Martèlement mémoire (cf Wikipédia en français mais surtout en anglais), où on arrive physiquement à modifier de façon déterministe (= voulue et contrôlée) les bits voisins en RAM. Flip Feng Shui (cf silicon.fr), qui est un […] |
|
|
Voilà comment réduire un titre pour lui faire dire ce qu’on veut : il paraît que les antivirus sont nuls sur Android. En 2020, on les a même transformés en « logiciels dévastateurs ». Mouais. |
|
|
Les attaques de type CSRF, ou Cross Sites Request Forgery, font partie du top ten de l’OWASP, c’est-à-dire font partie des attaques les plus courantes et donc contre lesquelles on se protège peu (ou mal) en général. En français ça signifie quelque chose comme falsification des requêtes (http) inter-sites. Le principe est qu’un utilisateur d’un […] |
|
|
SPOILER est une nouvelle variante de Spectre et Meltdown, touchant donc le matériel. Ce genre de variante est attendue, depuis la publication des failles Spectre et Meltdown. Source https://www.nextinpact.com/brief/spoiler—une-nouvelle-faille-sur-les-processeurs-intel–depuis-l-architecture-core-7991.htm |
|
|
Vraiment ? L’actualité court sur tous les sites web (enfin, quelques uns) pour indiquer que les gestionnaires de mots de passe comme KeePass ou 1Password laisseraient des informations critiques en clair. |
|
|
XML, comme toute technologie informatique, est potentiellement utilisable de façon détournée par de méchants pirates. Autrement dit, XML est attaquable. Certaines attaques sont relativement communes, d’autres sont plus spécifiques à la technologie elle-même. Attaques XXE Une attaque XXE consiste à utiliser le mécanisme XML External Entities qui permet de charger, dans un document XML, des données externes. Principe Il […] |
|
|
L’atombombing est une technique permettant l’injection de code de façon très furtive. http://blog.ensilo.com/atombombing-a-code-injection-that-bypasses-current-security-solutions |
|
|
Que vous soyez geek ou pas, la technologie fait partie de votre quotidien. Avec l’essor des smartphones hier et des tablettes aujourd’hui, les risques liés à la mobilité sont désormais un enjeu majeur de la sécurité des systèmes d’information. Cette tendance est renforcée par l’arrivée en entreprise des terminaux personnels : il est en effet très […] |
|
|
Les grosses données sont des données nombreuses et volumineuses. Concept fumeux et marketing comme toujours, il n’en est pas moins vrai que l’augmentation des performances de stockage et de calcul posent de nouveaux problèmes de sécurité. Technologie D’où ça vient ? Nous produisons de l’information depuis longtemps, bien avant le temps de l’informatique, mais la mémorisation (stockage) des informations (données) […] |
|
|
Voici mes différentes sources d’information, en ce qui concerne l’actualité. Dans le registre des newsletters : Côté sites d’informations informatiques, ayant souvent de bons articles sur la SSI : Côté blogs, voici : Chaînes d’infos, webinars, etc. : Pour ce qui est des sources de formation, voici ce que j’ai en stock : D’autres bons sites, payants : Pour […] |
|
|
Non, il ne faut pas croire que cela m’amuse de recenser les failles matérielles sur les processeurs (Intel ou autre). Au contraire : cela m’inquiète au plus haut point, sans m’étonner outre mesure, car la complexité des processeurs est devenue telle qu’il devient quasi-impossible de maîtriser l’ensemble de sa conception. En sécurité informatique, plus c’est […] |
|
|
Je me répète, non ? La plaie Spectre & Meltdown n’est pas encore fermée (et l’hémorragie n’est même pas encore arrêtée) que voilà poindre de nouvelles variantes, De l’avis d’Intel, quatre des huit vulnérabilités mises au jour sont plus critiques que la vulnérabilité Spectre initiale. Gloups. Voici, par ordre d’apparition Nouvelles variantes Variante 3a CVE-2018-3540. Impact […] |
|
|
L’intelligence artificielle est un concept nouveau depuis 30 50 ans (mince, c’est encore plus vieux que je ne le pense). Quand j’ai commencé l’informatique, on parlait déjà d’intelligence artificielle, et déjà on était déçu des résultats, au point que l’acronyme IA se trouvait souvent remplacé par Informatique Avancée qui correspondait mieux à la nature profonde […] |
|
|
SuperFish est un outil publicitaire qui a défrayé la chronique en février 2015. Sa principale fonction était de délivrer de la publicité ciblée, en analysant le trafic réseau de l’ordinateur où il est installé. Le problème est qu’il est aussi capable de déchiffrer les communications théoriquement sécurisées (par SSL ou TLS), via des techniques de […] |
|
|
Sacré Uber ! A leur sujet, je balance entre les pires des filous et les meilleurs bidouilleurs dans leur genre. Après une sombre histoire de batteries, les revoici encore pour nous montrer que leurs développeurs (ou ses cadres de vente) ont de sacrées idées ! L’histoire de la batterie Tout çà ne serait qu’une boutade […] |
|
|
Les attaques par canaux auxiliaires (ou side channel atacks en anglais) sont des attaques très particulières, qui utilisent les propriétés physiques ou matérielles d’un composant ou d’un microprocesseur. Tout peut servir : la chaleur ou le rayonnement émis, le temps de réponse, la consommation electrique, etc. En général, la cible est le processus de chiffrement […] |
|
|
Principe Les principe des serverless functions (fonctions sans serveur) consiste à mettre à disposition, pour un client, un environnement d’exécution géré par l’hébergeur (et non par le client) permettant de faire tourner un script ou programme ayant une durée de vie assez courte, par exemple en réponse à un événement quelconque. Source : https://www.blackhat.com/docs/us-17/wednesday/us-17-Krug-Hacking-Severless-Runtimes.pdf Faille […] |
|
|
S3 (Amazon Simple Storage Service) est un service de stockage d’objets en ligne d’Amazon Web Services (AWS). Bien que très pratique, il peut être très mal utilisé. Résultat : on assiste en ce moment à un florilège de divulgation de données via des S3 fonctionnant très bien mais mal paramétrés. Il existe des variantes avec […] |
|
|
ElasticSearch est un moteur de recherche et d’analyse RESTful distribué, d’après son site web (elastic.co). Très utilisé et même proposé sous forme de service par AWS, ce produit permet de gérer des recherches sur de grandes quantités de données. C’est bien. Mais cela devient moins amusant quand on le configure mal, les informaticiens pouvant être […] |
|
|
L’informatique est un enjeu stratégique. Cette banalité me sert à en introduire une autre, qui est que le pouvoir de l’information engendre désormais des actions visant à la manipuler, pour des raisons économiques, politiques, militaires, etc. Il n’y a pas que l’espionnage qui motive les nations : il est désormais évident que la manipulation de […] |
|
|
Le terme objets connectés me semble plus approprié que l‘internet des objets, qui prend les choses dans le mauvais sens en partant d’internet pour arriver aux objets, et qui est également trop limitatif car le vrai enjeu n’est pas tant d’être sur internet que d’être relié à d’autres objets. Le ‘S’ dans IOT c’est pour […] |