• Rapport complet : Campagne de tests canyonisme et débrayeurs
• Campagne de tests canyonisme et débrayeurs - résumé

Security Vulnerabilities fixed in Thunderbird 115.0.1

C’est une vérité incontestable : l’authentification multifacteur (MFA) renforce la sécurité, dans tous les cas. Pourtant, cette technologie reste complexe et exige souvent de faire un compromis entre sécurité et facilité d’utilisation. Les hackers malveillants le savent et ils font le pari que les défenseurs n’appliqueront pas la MFA de façon suffisamment étendue, ou qu’ils commettront des erreurs ce faisant.

Voici le résultat de l' impact d'un morceau de plastique de quelques centimètres propulsé à 24 000 km/h sur un bloc d'aluminium. Ce test a été réalisé par la NASA pour étudier les risques liés aux débris spatiaux en orbite.

Des pirates informatiques ont [...] infecté un hôpital européen avec des logiciels malveillants. Un médecin a utilisé une clé USB inconnue piégée !

security.txt est une norme proposée pour les informations de sécurité des sites Web qui est destinée à permettre aux chercheurs en sécurité de signaler facilement les failles de sécurité. La norme prescrit un fichier texte appelé security.txt qui est similaire à robots.txt mais destiné à être lu par les humains souhaitant contacter le propriétaire d'un site Web au sujet des problèmes de sécurité.

Les attaques Magecart ont été découvertes il y a cinq ans et malgré cela, elles restent très efficaces. De nombreux utilisateurs de sites de e-commerce en font encore les frais aujourd’hui. Que désigne donc le terme Magecard et quels sont les risques pour nous autres, consommateurs ?
[...]
[L'attaque Magecart] consiste en l’insertion de scripts malveillants pour voler les données des clients de sites d'achats en ligne. [...] les cartes de crédit et les informations personnelles des consommateurs qui sont directement concernées. Ces attaques ont lieu lors du processus de paiement, et ce, par le biais de sites totalement légitimes. C’est ce qui rend cette nouvelle campagne de vols de cartes de crédit particulièrement préoccupante. Les sites concernés sont utilisés comme serveurs de commandes et de contrôle. Ceci donne tout le loisir aux pirates de contourner les mesures de détection et de blocage en se soustrayant à la nécessité de mettre en place leur propre infrastructure. Ces attaques sont de plus en plus fréquentes et posent une menace sérieuse pour la sécurité des transactions en ligne. Une nouvelle campagne de vols de cartes de crédit par ce biais a récemment été découverte.
[...]
Aujourd'hui, la méthode de piratage utilisée n’est pas claire. Il est cependant fortement probable que les pirates exploitent les vulnérabilités de plateformes de commerces numériques très fréquentées : Magento, WooCommerce, WordPress ou Shopify.
[...]
L’entreprise américaine Akamai reconnaît aujourd’hui deux types de skimmers. La première est une version fortement masquée contenant des sélecteurs CSS personnalisés pour chaque site ciblé, visant les informations personnelles des clients. La deuxième variante est moins bien protégée. Akamai a pu établir une cartographie précise de la campagne de piratage et identifier plus facilement les victimes.

On peut commencer à parler d'une passphrase à partir de 16 caractères
[...]

• Une passphrase est plus facile à retenir qu'un mot de passe, tout en étant plus facilement robuste ! On retient plus facilement une liste de mots qu'une suite de caractères aléatoires. Par exemple, le mot de passe "f=X5nx`j|rC~DqN" sera beaucoup plus difficile à retenir que la passphrase "J'habite-en-Normandie-en-France" qui en plus a une meilleure entropie (très légèrement). Dans le cas présent, on note qu'à entropie quasi égale, la passphrase est beaucoup plus longue, mais plus facile à retenir.

• Une passphrase peut répondre plus facilement à la politique de mots de passe de votre entreprise, notamment lorsqu'il y a une longueur minimale à respecter. Le fait d'inclure des mots et de les séparer par un caractère ou un espace permet aussi d'utiliser plus facilement au moins trois types de caractères : minuscules, majuscules et caractères spéciaux.

Une nouvelle version du gestionnaire de mots de passe KeePass est disponible : KeePass 2.54. Cette nouvelle mouture permet de se protéger contre la faille de sécurité CVE-2023-32784.

Une proposition de loi américaine veut rendre obligatoire un système de freinage automatique en cas de risque de collision avec les piétons. C'est bien ça :-) Vivement la même chose chez nous.

La cause de cette voiture qui prit feu ? Une bouteille d'eau.
La bouteille d'eau a cette particularité qu'elle peut concentrer les rayons du soleil comme une loupe (ou lentille) et entraîner un départ de feu dans une voiture, notamment sur certaines surfaces plus facilement inflammables.

Le développeur de KeePass, Dominik Reichl, a déclaré qu’il était déjà au courant de ce bogue. Il promet de publier un correctif pour CVE-2023-32784 dans la version 2.54, qui est attendue début juin. KeePass 2.54 pour Windows bénéficiera de ces deux améliorations, tandis que les versions macOS et Linux n’obtiendront que la dernière. Une version test est déjà disponible pour ceux qui le souhaitent .