Citizen Labs a trouvé une belle grosse faille de sécurité sur les iPhone permettant de compromettre l'appareil en lui envoyant simplement une image vérolée.
Apple a d'ores et déjà diffusé un patch, mettez-vous à jour !
En début de semaine, Google a annoncé l'ajout de la possibilité de sauvegarder les clés secrètes de Google Authenticator sur leurs serveurs pour faciliter la migration d'un téléphone à un autre, que ce soit Android ou iOS.
Cependant, il semble que Google ait oublié (en tout cas, j'espère que c'est un oubli) de mettre en place du chiffrement de bout en bout.
Dit autrement : une fois la sauvegarde activée, vos clés secrètes se retrouvent sur les serveurs sans la moindre protection. Sachant que Google propose également une solution de gestionnaire de mots de passe, je vous laisse imaginer l'enfer si quelqu'un parvient à obtenir un accès à votre compte Google.
En bref : n'activez pas cette fonction de sauvegarde. Si vous l'aviez déjà fait, désactivez-la et supprimez les sauvegardes effectuées.
Un article extrêmement intéressante sur le format PostScript (qui sert notamment de base au format PDF), sur lequel je suis tombé après avoir tenté de générer un fichier PDF avec ImageMagick, donnant l'erreur (plutôt cryptique) suivante :
convert-im6.q16: attempt to perform an operation not allowed by the security policy `PDF' @ error/constitute.c/IsCoderAuthorized/421.Il semble que ImageMagick ait désactivé par défaut tout traitement depuis et vers les formats PostScript et PDF, car PostScript est un langage de programmation contenant de multiples failles de sécurité qui rendent sa manipulation dangereuse dans les cas (fréquents) de traitement côté serveur dans le cadre des applications Web. Une sage décision, du coup. Apparemment, ces failles sont inhérentes au langage PostScript lui-même, ce qui rend ces failles impossible à corriger.
Si vous êtes sûr⋅e de ce que vous faites, vous pouvez cependant réactiver le traitement de ces fichiers en éditant le fichier /etc/ImageMagick-6/policy.xml :
<policy domain="coder" rights="read|write" pattern="PDF,PS" />Il est aussi possible de mettre uniquement read ou write dans l'attribut rights.
Il semblerait qu'il y ait une vaste campagne de clonage de dépôts sur GitHub afin d'y injecter du code malveillant destiné à transmettre l'intégralité des variables d'environnement à l'attaquant. L'occasion de rappeler de toujours vérifier ce qu'on télécharge, en particulier quand c'est destiné à être exécuté.
La Poste a apparemment décidé de faire l'exact contraire de la bonne pratique : supprimer la fonctionnalité permettant l'authentification en deux étapes via une application OTP (comme Google Authenticator). La raison :
La fonctionnalité de double authentification par l’application mobile […] pouvait générer des blocages (notamment lors d’un changement de téléphone).
Elle recommande désormais l'utilisation de l'authentification en deux étapes par l'envoi d'un code par SMS, comme on en voit encore partout et alors même que cette fonctionnalité est moins sécurisée, puisque non chiffré (là où l'OTP avait l'avantage d'être calculé par l'application, et donc ne nécessitait aucune communication).
Bon. À la personne à La Poste qui a pondu cette décision : sachez que l'argument du changement de téléphone peut tout aussi bien s'appliquer à l'authentification par SMS, dans la mesure où (fun fact) on peut aussi changer de numéro de mobile. Si si !
Ah et autre fun fact, la problématique soulevée, en fait, elle est déjà connue, et une solution assez élégante a été proposée : générer des clés de secours à usage unique.
Bref, plutôt que de supprimer le support de fonctionnalités de sécurité qui ont fait leurs preuves (d'autant plus qu'on parle d'un coffre-fort numérique…), et si vous faisiez de la pédagogie auprès de vos utilisateurs, histoire de leur donner un peu de bonne pratique et d'hygiène numérique ?
Mise à jour 19/05/2022 : le service Digiposte a répondu (très) succinctement via Twitter qu'un nouveau dispositif d'authentification en deux étapes sera proposé, sans donner plus de détail sur sa nature et sur sa date de disponibilité. Je reste tout de même assez étonné de la manœuvre qui consiste à affaiblir la sécurité d'une application avant même de proposer une meilleure solution…
[Les trois géants de la tech] vont faire en sorte que leurs produits prennent en charge la norme de connexion sans mot de passe de la Fido Alliance (Fast IDentity Online) et du World Wide Web Consortium. Empreinte digitale, scan du visage, ou code PIN seront les nouveaux sésames universels pour déverrouiller votre appareil et retrouver vos données.
Je trouve cette nouvelle très inquiétante. N'ayant jamais fait confiance à la biométrie pour l'authentification (trop intrusif et moins sûr), j'espérais ne jamais voir les mots de passe disparaître pour de bon.
Sans compter que ça va laisser sur le carreau de nombreux utilisateurs qui ne possèdent pas l'équipement pour cela, et vont donc devoir se rabattre sur le code PIN (bien moins sécurisé qu'un mot de passe).
Il est très facile de créer de jolies failles de sécurité, et c'est souvent le résultat d'un oubli ou d'une paresse.
Ici un cas pratique avec la Caisse d'Épargne qui avait oublié de supprimer un sous-domaine qui pointait à une époque vers un serveur légitime, depuis supprimé et dont l'adresse IP a été récupéré par un particulier… qui aurait pu effectuer des attaques assez violentes auprès des clients de la banque (s'il en avait eu conscience et l'avait voulu).
Je passe exceptionnellement par Archive.org pour partager ceci, étant donné que le ticket a été fortement altéré par le mainteneur de la librairie.
Apparemment, la librairie JavaScript node-ipc (utilisée par plus de 300 paquets, elles-même certainement en dépendance de beaucoup d'autres, vu que la plupart sont des librairies) a ajouté récemment un morceau de code offusqué qui s'active dans le cas où il est exécuté depuis une adresse IP russe ou biélorusse, et écrase tous les fichiers (au moins de l'application, peut-être du système entier) avec un message de protestation contre la guerre en Ukraine.
Faites donc très attention si cette librairie se trouve dans vos dépendances (directes ou non), car elle pourrait provoquer des dommages irréversibles pour vos utilisateurs.
Édit : un article ici qui explique la situation de façon un peu plus claire.
L'authentification en deux étapes est devenue un incontournable aujourd'hui, et c'est tant mieux. Mais cela crée de nouvelles problématiques en terme d'UX, qu'il est bon de garder en tête.
Il se trouve qu'à l'aide d'une simple balise HTML <input />, sans la moindre ligne de JavaScript, il est possible de rendre cette étape (pas forcément plaisante pour l'utilisateur, bien que nécessaire) un peu moins désagréable, en particulier sur les appareils mobiles.
La proposition de loi prévoit également la mise en place d’un grand concours scientifique pour créer la backdoor parfaite, celle qui serait capable d’assurer la sécurité des utilisateurs tout en garantissant un accès aux forces de l’ordre. Les lauréats recevraient une récompense d’un million de dollars au maximum. Le concours disposerait d’un fond total de 50 millions de dollars.
Ce paragraphe à lui seul montre à quel point le pouvoir législatif manquent d'information sur ces technologies qu'ils veulent pourtant contrôler… Il serait grand temps que les États (et pas que les USA) mettent en place des moyens pour former les décideur⋅se⋅s !
Cela signifie que si les propriétaires de sites Web ne modifient pas ces paramètres par défaut en modifiant le code source du CMS, la plupart des sites Web construits sur ces CMS mettent les mots de passe de l'utilisateur en danger si un pirate informatique volait la base de données du site.
Et comme la plupart des sites basés sur un CMS sont tenus par des personnes n'ayant aucun bagage technique, cela veut dire qu'une très large majorité d'entre eux stocke ses mots de passe de manière non sécurisé. C'est tout de même très problématique compte tenu qu'une très grande proportion de sites sont construits sur WordPress…
Alors que vous pensez cliquer simplement sur « oui », vous donnez en réalité accès à une application tierce à vos paramètres de publication sur Facebook.
On est donc sur une bonne grosse faille de sécu... Normalement, une app est pas censée savoir accéder à un compte sans passer par une page de Facebook pour donner son autorisation
Par défaut, Nginx et PHP sont un peu bavard et signalent au client Web leurs versions exactes. Le problème est qu'il suffit ensuite d'une petite recherche pour visualiser les failles de sécurité existantes dessus.
Cette astuce permet de demander à Nginx et à PHP de ne pas envoyer leurs numéros de version respectifs.
Moi, quand je part de chez moi je ferme tout à clé... bon je laisse une fenêtre ouverte au cas où, mais c'est que pour les gendarmes hein...
Tout est dit.
L'idée est intéressante :)
C'est assez cocasse, comme faille !
Pas considéré comme une faille critique en soi, mais peut permettre de mener des attaques dans le but de piquer des données personnelles de l'internaute, ou même intercepter ses frappes au clavier sur une page Web.
Réponse des éditeurs des navigateurs principaux :
- Google : corrigée
- Apple : corrigée
- Mozilla : pas concerné par la faille
- Microsoft : osef, c'est pas un bug mais une fonctionnalité
Je suis un peu sceptique concernant cette décision : tous les sites n'ont pas forcément besoin d'être protégés par HTTPS. Je pense notamment aux petits sites perso qui ne contiennent que quelques pages Web contenant du texte et quelques images…
Si vous avez installé le jeu colourblock (package com.colourblock.flood), il est possible que votre appareil ait été infecté.
Un article dans lequel des chercheurs montrent qu'il est possible de détecter les voix humaines et de faire de la reconnaissance vocale à l'aide du gyroscope d'un téléphone.
C'est problématique, car sur les système actuels, aucune autorisation n'est requise pour accéder à cet équipement, contrairement à l'accès au microphone (pour lequel une autorisation est demandée pendant l'exécution de l'application).