Si vous utilisez 1Password, Bitwarden, LastPass, Enpass, iCloud Passwords ou LogMeOnce, mauvaise nouvelle : ils sont tous vulnérables. En fait, sur les 11 gestionnaires de mots de passe testés, tous présentaient cette faille. Certains ont déjà patché (Dashlane, Keeper, NordPass, ProtonPass et RoboForm), mais pour les autres, c’est toujours open bar pour les hackers.

Selon l’analyse de Marek Tóth, les attaquants exploitent la façon dont les extensions de navigateur injectent leurs éléments dans les pages web. Ils créent une couche invisible par-dessus les boutons du gestionnaire de mots de passe et quand vous pensez cliquer sur un élément tout à fait innocent de la page, vous activez en réalité l’auto-remplissage (autofill) de votre gestionnaire.

Un seul clic suffit. Les pirates peuvent alors récupérer vos identifiants de connexion, vos codes de double authentification, vos numéros de carte bancaire avec le code de sécurité, et même dans certains cas, détourner vos passkeys. Le tout sans que vous ne vous rendiez compte de quoi que ce soit.

Et Keepass ? Ils n'en parlent pas 🤨

En gros, les profils eSIM établissent silencieusement des connexions vers des serveurs à Singapour et récupèrent des SMS depuis des numéros hongkongais, le tout sans que vous en ayez la moindre idée. Mais attendez, ça devient encore plus rigolo puisque pour devenir revendeur d’eSIM, il suffit d’avoir une adresse email valide et un moyen de paiement. Y’a pas de vérification approfondie, pas de contrôle de sécurité du coup, n’importe qui peut se lancer dans le business. Et une fois revendeur, on a accès à des données ultra-sensibles comme les numéros IMSI (l’identifiant unique de votre carte SIM), la localisation des appareils avec une précision de 800 mètres, et même la possibilité d’envoyer des SMS directement aux utilisateurs.

Porte dérobée = Faille de sécurité volontaire

Pas de problème, j'ai attaché mon vélo avec de la ficelle à rôti !

Oups...

Imaginez. Vous êtes tranquillement en train de bosser sur votre PC, votre webcam Lenovo tranquillement posée sur votre écran, et vous ne vous doutez de rien. Sauf que pendant ce temps, un cybercriminel à l’autre bout du monde a trafiqué votre innocente caméra pour qu’elle tape des commandes sur votre clavier sans que vous ne voyiez rien. Et même si vous formatez votre PC, elle continuera son petit manège.

Tiens, je te vends une passoire... Maintenant, il faut raquer pour que je te fournisse aussi le cadenas qui va bien avec !

Juste une clef de 5 bits pour le moment... Même pas un octet !

Les américains de la défense qui ont utilisé Signal ont en fait utilisé une version bidouillée de Signal... Avec des failles de sécurité... Qui s'est fait pirater !

Configurer un serveur mail c’est vraiment un truc bien relou. Surtout qu’aujourd’hui, ça ne se fait plus comme en 1997… ça a bien évolué avec des nouveaux concepts liés à la sécurité comme SPF, DKIM ou encore DMARC. Et sans ces protections, c’est open bar pour les criminels qui peuvent envoyer des emails en se faisant passer pour vous. Flippant, non?
[...]
En gros, SPF c’est comme la liste des invités à l’entrée d’une soirée VIP… ça définit quels serveurs ont le droit d’envoyer des emails pour votre domaine. DKIM, c’est une signature cryptographique qui prouve que le message n’a pas été falsifié en transit, un peu comme le tampon UV sur votre main à l’entrée du club. Et DMARC ? Eh bien, c'est le chef de la sécurité qui décide si on laisse passer, si on met en quarantaine, ou si on rejette carrément les emails suspects.
[...]

1. Envoyez un email depuis votre adresse, celle donnée par leanDMARC 2. Attendez quelques secondes que l’analyse s’affiche 3. Et après, cliquez sur “Spoof my email” 4. Entrez votre domaine et voyez s’il est vulnérable
   Si vous découvrez que votre domaine est vulnérable (résultat en rouge), pas de panique. La mise en place de ces protections n’est pas si complexe, même si ça fait peur au premier abord. C’est comme configurer un routeur, c’est intimidant au début, mais logique une fois qu’on comprend les bases.

Le gouvernement américain coupe son financement à CVE... Finalement non ?

De toute façon, le présictateur tout-puissant sait parfaitement ce qu'il fait !

Un outils d'analyse de disque orienté forensics (investigations) qui peut être complémentaire à PhotoRec : à partir d'une image disque il peut analyser l'activité chronologiquement, effectuer des recherches par mot-clé, afficher les images et vidéos, rechercher les fichiers par type, afficher l'historique de navigation, téléchargements...

Appeler les urgences (15, 17, 18, 112) avec un portable sans carte SIM… C'est strictement impossible en France.

NIST : nouvelles directives sur la sécurité des mots de passe. Découvrez les recommandations 2025 et les différences avec les pratiques traditionnelles.

Le fameux duo clef privée + clef publique. Il est automatiquement et aléatoirement définit de manière unique pour chaque site, et nécessite juste le déverrouillage via smartphone (biométrique, facial, schéma, PIN).

Le point 2 est intéressant :

2. Ajustez la pression des pneus

Le froid entraîne une diminution de la pression des pneus, ce qui peut affecter leur adhérence et augmenter la consommation de carburant. Avant de prendre la route, vérifiez et ajustez la pression des pneus selon les recommandations du constructeur.

Une baisse de 10 °C entraîne une perte de pression d’environ 0,07 à 0,14 bar selon Continental. Pour compenser cette perte due au froid, il peut être conseillé d’ajouter 0,2 bar à la pression recommandée par le constructeur lors du gonflage de vos pneus en hiver.

Le document pdf est en anglais, donc facilement accessible.

D’après le Code monétaire et financier, votre banquier a l’obligation de vous restituer immédiatement l’intégralité des montants fraudés, ainsi que les sommes perçues par la banque du fait de la fraude (agios, commissions d’intervention ou frais de rejet par exemple). Dans ce but, adressez cette lettre à votre banquier, de préférence en recommandé avec accusé de réception.
[...]
Tout prélèvement non autorisé peut être contesté. À cet effet, il doit tout d’abord être signalé à votre établissement, et ce, au plus tard dans les treize mois du débit.

Sachez qu’il appartient à votre banque d’établir que le prélèvement a bien été autorisé. A défaut, elle doit vous recréditer les sommes débitées ainsi que les éventuels frais occasionnés par ce prélèvement.

Articles L. 133-6, L. 133-18, L. 133-23, L. 133-24 du Code monétaire et financier.

Modèle :

J’ai constaté, sur mon compte n° (numéro de compte) un prélèvement en date du (date) d’un montant de (somme) au bénéfice de (nom du bénéficiaire).
Je vous signale que ce prélèvement n’a pas été autorisé par mes soins.
En conséquence de quoi, je vous demande de bien vouloir rétablir au crédit de mon compte la somme débitée, et ce, conformément aux dispositions de l’article L. 133-18 du Code monétaire et financier.
(Ajouter éventuellement)
Je vous demanderais, par ailleurs, de me rembourser de l’ensemble des frais perçus à la suite du prélèvement non autorisé (agios, frais d’incident de paiement, commissions d’intervention...).
À défaut de réponse de votre part, dans un délai de (délai raisonnable), je me verrai dans l’obligation de saisir la juridiction compétente aux fins de vous y contraindre.

Résumé des articles de loi en question (Code monétaire et financier) :

• Autorisation d'une opération de paiement → L. 133-6
  Une opération ou une série d'opérations de paiement est autorisée si le payeur a donné son consentement à son exécution, notamment sous la forme d'un mandat de prélèvement. Le payeur et son banquier de services de paiement peuvent convenir que le payeur pourra donner son consentement à l'opération de paiement après l'exécution de cette dernière.

• Contestation et responsabilité en cas d'opération de paiement non autorisée → L. 133-18
  En cas d'opération de paiement non autorisée signalée par l'utilisateur, le banquier de services de paiement du payeur rembourse au payeur le montant de l'opération non autorisée immédiatement, sauf s'il a de bonnes raisons de soupçonner une fraude de l'utilisateur. Le banquier rétablit le compte débité dans l'état où il se serait trouvé si l'opération de paiement non autorisée n'avait pas eu lieu.

• Modalités pratiques et délais en cas d'opérations de paiement non autorisées ou mal exécutées → L. 133-23
  Lorsqu'un utilisateur nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l'opération de paiement n'a pas été exécutée correctement, il incombe à son banquier de prouver que l'opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre.

• Modalités pratiques et délais en cas d'opérations de paiement non autorisées ou mal exécutées → L. 133-24
  L'utilisateur signale, sans tarder, à son banquier une opération de paiement non autorisée ou mal exécutée et au plus tard dans les treize mois suivant la date de débit.

Modèle :

Conformément à l’article 5-3. d) du règlement européen n°260/2012 du 14 mars 2012 établissant des exigences techniques et commerciales pour les virements et les prélèvements en euros (dit « Règlement SEPA »), merci de bien vouloir bloquer le passage sur mon compte courant (mettre ici le numéro du compte concerné) de tout prélèvement à l’exception des fournisseurs suivants :

1. Nom du fournisseur (exemple : électricité) ; numéro d’identifiant créancier SEPA (« ICS ») ; RUM
2. Nom du fournisseur (exemple : téléphone) ; numéro d’identifiant créancier SEPA (« ICS ») ; RUM
3. Nom du fournisseur (exemple : impôts) ; numéro d’identifiant créancier SEPA (« ICS ») ; RUM
4. Nom du fournisseur (exemple : crédit) ; numéro d’identifiant créancier SEPA (« ICS ») ; RUM
   ...

Résumé des articles réglementaires en question :

• Article 5-3. d)
  Les banquiers effectuent les prélèvements conformément aux exigences suivantes, sous réserve de toute obligation de droit national mettant en œuvre la directive 95/46/CE:
  [...]
  Le payeur doit avoir le droit de donner instruction à son banquier :
  • de limiter l’encaissement des prélèvements à un certain montant, ou à une certaine périodicité, ou les deux ;
  • de bloquer n’importe quel prélèvement sur leur compte de paiement ou de bloquer n’importe quel prélèvement initié par un ou plusieurs bénéficiaires spécifiés, ou de n’autoriser que les prélèvements initiés par un ou plusieurs bénéficiaires spécifiés.

Article du 🗓️16/01/2015

À la différence de l’ancien système, les banques n’ont plus l’obligation d’obtenir l’autorisation du client pour passer un prélèvement. C’est désormais le destinataire du prélèvement qui formule lui-même la demande auprès de l’établissement. C’est aussi lui qui conserve le mandat de prélèvement signé par le titulaire du compte débité. Conséquence pratique : n’importe qui disposant du numéro IBAN d’un particulier peut y prélever de l’argent, sans aucun contrôle de la banque.

Conscient de cette importante faille, le règlement SEPA a imaginé une parade pour les clients qui le souhaiteraient : la liste blanche. L’article 5-3. d) du règlement européen n°260/2012 du 14 mars 2012 prévoit en effet expressément que tous les particuliers peuvent adresser à leur établissement bancaire une liste des fournisseurs autorisés à effectuer des prélèvements sur leur compte. Il suffit d’indiquer l’ensemble de vos abonnements actuels (électricité, eau, téléphone, gaz, etc.) à votre banque qui doit bloquer le passage de tout ordre émanant d’opérateurs qui ne sont pas indiqués dans la liste.

L'article date du 🗓️17/01/2018.

La norme SEPA (ou Single Euro Payments Area, espace unique de paiement en euros) a été mise en place au niveau de l'Union européenne et des États associés en août 2014. Grâce à ce changement technique de grande envergure, il n'est plus nécessaire de donner une autorisation de prélèvement à sa banque. Si vous communiquez vos coordonnées à un fournisseur d'eau ou d'énergie, ce dernier peut se faire virer les sommes que vous lui devez sans formalités supplémentaires. C'est ce qu'on appelle un SEPA direct débit, ou SDD.
[...]
Le client indûment débité a 13 mois pour se faire rembourser. La banque doit le faire sous huit semaines, sans pouvoir exiger qu'il porte plainte. Ce système avantageux pour le consommateur était la contrepartie du SDD. Problème : des prélèvements de faibles montants aux intitulés anodins peuvent passer inaperçus.

Liste blanche des prélèvements autorisés

Il existe un moyen de se protéger. C'est la liste blanche des prestataires seuls autorisés à faire des prélèvements sur votre compte. Il existe aussi une liste noire, mais son utilité est moins évidente. [...] Ces listes sont gérées par les banques, qui en parlent assez peu à leurs clients et les facturent parfois au prix fort. L'inscription d'un nouveau nom sur la liste blanche ou noire est gratuite dans quelques banques [...] mais elle peut dépasser les 15 € dans certains établissements, ce qui paraît démesuré par rapport au travail demandé.

Virement instantané

Pour le moment, les dates de valeur d'un virement sont de 24 h minimum et peuvent monter à 72 h en cas de pont ou de jour férié. C'est plus qu'il n'en faut aux banques pour repérer les mouvements frauduleux. Selon l'Observatoire de la sécurité des moyens de paiement, le taux de fraude au virement en 2016 était de 0,0004 %, soit 1 sur 250 000 seulement ! Depuis cet automne, la technologie et le cadre réglementaire permettent des virements en 10 secondes.
[...]
Le virement instantané est d'une utilité incontestable pour les paiements entre particuliers. Vous vendez une voiture d'occasion ? Vous vous faites payer instantanément et de manière irréversible. Le paiement est sécurisé, en théorie, par l'envoi de SMS de confirmation et l'authentification de « terminaux de confiance », à savoir nos téléphones et tablettes, répertoriés par les banques. Même si des pirates dérobent des numéros de compte, ce qui arrive assez souvent, ils ne pourront pas facilement les siphonner par virement. En revanche, il y a un risque évident d'explosion des fraudes sur des sites comme Leboncoin, ou dans le démarchage abusif à domicile. Les escrocs qui arriveront à convaincre un particulier de faire un virement instantané auront plusieurs heures devant eux pour disparaître. La Banque centrale européenne, pour accélérer encore la procédure, propose de remplacer le code IBAN par le numéro de téléphone, plus facile à retenir. Fort pratique, mais pas sans danger.

OpSec failed...

Dans le premier réacteur nucléaire, mis au point en 1942, la barre de contrôle qui permettait un arrêt d'urgence en cas d'emballement du réacteur, était manipulée directement par un technicien : celui-ci se tenait, une hache à la main, prêt à couper une corde maintenant la barre au-dessus du réacteur.

Cette pratique aurait donné son nom au terme utilisé encore aujourd'hui pour désigner l'arrêt automatique d'un réacteur nucléaire : "SCRAM", qui serait l'acronyme de "safety control rod axe man".

Un rapport d'étude de Cybernews (source : Who owns your shiny new Pixel 9 phone? You can’t say no to Google’s surveillance [Cybernews]) révèle que des informations privées ont été envoyées à plusieurs reprises en arrière-plan à Google, notamment l'adresse e-mail de l'utilisateur, le numéro de téléphone, la localisation, la liste d'applications et d'autres télémétries et statistiques. De plus le rapport montre les capacités de contrôle à distance de Google pour exécuter un nouveau code sur l'appareil sans aucun consentement explicite donné.

Démo de Veritasium sur la faille dans le SS7 qui permet d’usurper des numéros de téléphone, et aussi d’en capter les communications (comme les codes OTP).

SS7 : protocole utilisé sur les réseaux GSM, 2G et 3G. Pas en 4G, ni 5G.

Les bornes d'appels le long des autoroutes et dans les ascenseurs sont "de simples téléphones portables" qui fonctionnent avec des cartes SIM. Des escrocs dérobent ces cartes en vandalisant les appareils pour passer des appels ou envoyer des SMS frauduleux.

Les États-Unis ne sont pas en avance dans tous les domaines…

Mince 😒... Une faille notée 9,9/10 sur le système d'impression des machines Linux. Elle permet l'exécution de code arbitraire !

En attendant le correctif :

sudo systemctl stop cups-browsed
sudo systemctl disable cups-browsed

De quoi faire plaisir aux amateur(ice)s de théories du complot.

Le BLEVE ("boiling liquid expanding vapor explosion") est un phénomène extrêmement violent. Dans une citerne, le gaz, pressurisé, est majoritairement sous forme liquide, mais il subsiste une phase gazeuse. Si le réservoir est ouvert brusquement (par exemple, en cas de brèche), le gaz sous pression s'échappe brutalement, ce qui crée une première onde de choc et fait brutalement baisser la pression dans le réservoir. Le liquide se met alors à bouillir (il passe de liquide à gaz) très rapidement, occupant un volume des milliers de fois supérieur à celui du liquide et faisant exploser la citerne.

Si le gaz en question est inflammable, le gaz peut créer une gigantesque boule de feu dévastatrice. C'est notamment ce qui s'est passé en 1978, en Espagne, lors de la catastrophe de Los Alfaques, qui fit 215 morts et des centaines de blessés.

Rhaaaaaaa ! 😡

Et comment savoir si ma/mes carte(s) est/sont vulnérable(s) ?

C'est le moment de changer son mot de passe de la CAF !