13 liens privés
À l'aide d'un Flipper Zero, il est possible d'inonder de notifications les appareils sous Android, Windows et iOS, grâce au Bluetooth Low Energy (BLE). Un développeur vient de reproduire cette attaque à l'aide d'une application Android.
Sur son site, le FIRST a mis en ligne un article qui résume les changements apportés au sein de CVSS 4.0. Vous pouvez retrouver cet article à cette adresse. Il y a aussi ce PDF qui revient en détail sur CVSS 4.0 et qui a été utilisé en juin dernier lorsque le FIRST a dévoilé CVSS 4.0 lors d'une conférence qui s'est déroulée à Montréal, au Canada.
Cette nouvelle version devrait permettre d'être plus précise et elle répond mieux aux menaces actuelles. Pour cela, le FIRST a introduit de nouvelles métriques permettant de calculer le score, notamment l'automatisabilité (wormable), la restauration (recovery), l'effort à fournir en réponse aux vulnérabilités et le niveau d'urgence pour le fournisseur. La métrique de base est également scindée en deux métriques : la complexité de l'attaque (Attack Complexity) et les prérequis pour mener l'attaque (Attack Requirements).
Il est à noter que CVSS ne se limite pas à la note de base. Avec la version 4.0, CVSS adopte une nouvelle nomenclature que voici :
- CVSS-B : Score de base CVSS
- CVSS-BT : Score de base CVSS + Threat Score
- CVSS-BE : Score de base CVSS + Environmental Score
- CVSS-BTE : Score de base CVSS + Threat Score + Environmental Score
Le score CVSS est vraiment un indicateur clé utilisé par certaines applications et les professionnels de l'informatique, don c'est important qu'il soit actualisé pour suivre l'évolution des menaces.
Dans une lettre ouverte publiée jeudi, plusieurs centaines de spécialistes de la sécurité et de la cryptographie contestent un texte bientôt soumis au vote au Parlement européen, parce qu’il impose aux navigateurs Web d’utiliser certains certificats de sécurité sélectionnés par les Etats membres.
Si le texte est adopté, les états pourront faire du MITM et nous pister sans qu'on y voie goutte 😡. Ouuuuuhhhhhh la belle faille de sécurité...
Alors que les sirènes d’alerte aux populations retentissent généralement entre 11h45 et 12h15 en fonction de l’endroit où l’on se trouve en France, le 1er novembre étant un jour férié, la décision a donc été prise de « procéder au report de l’essai mensuel » du Système d’alerte et d’information aux populations (SAIP), a fait savoir le ministère de l’Intérieur. Un message depuis relayé par les mairies et les préfectures de l’Hexagone.
L’exercice mensuel a été reporté au mercredi 8 novembre « aux horaires habituels ». Il ne faudra donc pas être surpris lorsque les haut-parleurs feront retentir l’alarme une semaine après la date habituelle.
[...]
La totalité du territoire national français n’est pas concernée par cette alarme. Seules 2 133 sirènes sont réparties en France, déployées dans des « zones d’alertes identifiées comme prioritaires », comme l’explique Yves Hocdé, sous-directeur chargé de la gestion des crises au sein de la direction générale de la sécurité civile.
Plus de détails sur la sirène ici
Le réseau informatique d'un hôpital américain a connu des coupures pendant plusieurs heures car le chat d'un technicien a sauté sur le clavier au mauvais moment.
🤣
Picocrypt est très léger puisqu'il pèse seulement 3 Mo et il n'a pas besoin d'être installé : c'est une application portable qui présente l'avantage de ne pas demander les droits administrateur ! Pour autant, il ne néglige pas la sécurité puisqu'il s'appuie sur des algorithmes robustes et fiables :
- Algorithme de chiffrement XChaCha20
- Fonction de dérivation de clé Argon2
Au-delà des avantages qui viennent d'être cités, ce qui plait énormément, c'est sa facilité d'utilisation !
Il ne lui manque qu'une chose : un audit du code, mais c'est planifié comme le montre le tableau comparatif ci-dessus (dernière ligne). Mais bon, comme il est open source, rien ne vous empêche de jeter un coup d'œil à son code source.
Même s'il est comparé à BitLocker dans le tableau ci-dessus, à mon sens BitLocker et Picocrypt sont destinés à des usages différents : BitLocker pour chiffrer un volume complet (celui de Windows, par exemple) et Picocrypt pour chiffrer une arborescence ou un espace de stockage type "Drive".
Des nouvelles des dangers des centrales nucléaires, cette technologie non maîtrisée (!!) et non surveillée (!!!), alors tout le reste est plus propre et plus sécurisé (!!!!!!).
35.
C’est le facteur entre le nombre de morts par kWh électrique produit par l’hydro et celui produit par le nuke : l’hydro tue 35 fois plus que le nucléaire.
(Pour le charbon, le facteur est de 2 500)
Merde !
Ces empreintes digitales sont l'équivalent d'une clé passe-partout pour les portables, avec un peu moins de succès. Créées par des chercheurs en utilisant une intelligence artificielle, elles atteignent tout de même un taux de succès de 20%.
Erik Neuenschwander, directeur de la protection de la vie privée des utilisateurs et de la sécurité des enfants chez Apple, explique [...]} que « l'analyse des données iCloud privées de chaque utilisateur créerait de nouveaux vecteurs d'attaques que des pirates pourraient trouver et exploiter » :
Cela pourrait nous amener sur une pente glissante avec des conséquences imprévues. La recherche d'un type de contenu ouvre la porte à la surveillance en masse et pourrait donner l'envie de rechercher tout type de contenu dans d'autres systèmes de messagerie chiffrée. Nous avons conclu qu'il n'était pas possible de la mettre en œuvre sans mettre en péril la sécurité et la vie privée de nos utilisateurs.
Une nouvelle étude de Mozilla a révélé que des constructeurs automobiles connus et vendus dans le monde entier comme Chevrolet, Nissan, Toyota, Kia, Audi, Jeep, Honda, Volkswagen recueillent des données très personnelles comme le patrimoine génétique ou encore l’activité sexuelle de leurs clients. Et elles ne s’arrêtent pas là, puisqu’elles partagent, et même dans certains cas vendent ces données aux annonceurs, aux courtiers en données et aux autorités.
WTF ???
L'azote est un gaz généralement inoffensif, mais il peut néanmoins présenter un risque lorsqu'il s'évapore à partir d'azote liquide : le passage en phase gazeuse multiplie son volume par 700, peut faire dangereusement baisser le taux d'oxygène dans l'air et mener à des asphyxies potentiellement mortelles.
PhoneSploit Pro est un outil tout-en-un écrit en Python.
Quelques-unes des fonctionnalités de PhoneSploit Pro :
- Copier toutes les photos de la caméra sur l’ordinateur.
- Envoyer des SMS via le périphérique cible.
- Déverrouiller et verrouiller le périphérique avec une facilité déconcertante.
- Extraire tous les SMS, contacts et journaux d’appels du périphérique vers l’ordinateur.
- Obtenir des informations sur le périphérique et la batterie.
- Et obtenir une image de tout ce qui se passe à l’écran ou contrôler le périphérique cible.
Stocker mes mots de passes en ligne ? FBI ! Fausse Bonne Idée
Figure-toi que le hérisson est capable de grimper tout en haut d’un arbre et de se laisser tomber sans craindre les effets de la chute ! Quel est donc son secret ?
Eh bien, figure-toi que des chercheurs se sont penchés sur la question !
Alors, pour absorber les chocs, il faut pouvoir encaisser de l’énergie en se déformant ! C’est exactement ce que fait le hérisson : l’énergie est absorbée par ses piquants et ses muscles.
Le gouvernement vient de lancer un nouveau service très utile pour apposer un filigrane sur les scans de documents que vous envoyez à des organismes, entreprises ou même des particuliers dans le cadre de dossiers administratifs divers.
Les informations à faire figurer sur le filigrane :
- Le nom du destinataire, son email et téléphone
- La limite d’utilisation du document
- Exemple : « Pour Mr Dupont, adupont@gmail.com, 06xxxxxxxx, pour location immobilière uniquement »
Des cartes SIM employées par des individus « inconnus ».