Si vous utilisez 1Password, Bitwarden, LastPass, Enpass, iCloud Passwords ou LogMeOnce, mauvaise nouvelle : ils sont tous vulnérables. En fait, sur les 11 gestionnaires de mots de passe testés, tous présentaient cette faille. Certains ont déjà patché (Dashlane, Keeper, NordPass, ProtonPass et RoboForm), mais pour les autres, c’est toujours open bar pour les hackers.

Selon l’analyse de Marek Tóth, les attaquants exploitent la façon dont les extensions de navigateur injectent leurs éléments dans les pages web. Ils créent une couche invisible par-dessus les boutons du gestionnaire de mots de passe et quand vous pensez cliquer sur un élément tout à fait innocent de la page, vous activez en réalité l’auto-remplissage (autofill) de votre gestionnaire.

Un seul clic suffit. Les pirates peuvent alors récupérer vos identifiants de connexion, vos codes de double authentification, vos numéros de carte bancaire avec le code de sécurité, et même dans certains cas, détourner vos passkeys. Le tout sans que vous ne vous rendiez compte de quoi que ce soit.

Et Keepass ? Ils n'en parlent pas 🤨

En gros, les profils eSIM établissent silencieusement des connexions vers des serveurs à Singapour et récupèrent des SMS depuis des numéros hongkongais, le tout sans que vous en ayez la moindre idée. Mais attendez, ça devient encore plus rigolo puisque pour devenir revendeur d’eSIM, il suffit d’avoir une adresse email valide et un moyen de paiement. Y’a pas de vérification approfondie, pas de contrôle de sécurité du coup, n’importe qui peut se lancer dans le business. Et une fois revendeur, on a accès à des données ultra-sensibles comme les numéros IMSI (l’identifiant unique de votre carte SIM), la localisation des appareils avec une précision de 800 mètres, et même la possibilité d’envoyer des SMS directement aux utilisateurs.

Porte dérobée = Faille de sécurité volontaire

Pas de problème, j'ai attaché mon vélo avec de la ficelle à rôti !

Oups...

Imaginez. Vous êtes tranquillement en train de bosser sur votre PC, votre webcam Lenovo tranquillement posée sur votre écran, et vous ne vous doutez de rien. Sauf que pendant ce temps, un cybercriminel à l’autre bout du monde a trafiqué votre innocente caméra pour qu’elle tape des commandes sur votre clavier sans que vous ne voyiez rien. Et même si vous formatez votre PC, elle continuera son petit manège.

Tiens, je te vends une passoire... Maintenant, il faut raquer pour que je te fournisse aussi le cadenas qui va bien avec !

Juste une clef de 5 bits pour le moment... Même pas un octet !

Les américains de la défense qui ont utilisé Signal ont en fait utilisé une version bidouillée de Signal... Avec des failles de sécurité... Qui s'est fait pirater !

Configurer un serveur mail c’est vraiment un truc bien relou. Surtout qu’aujourd’hui, ça ne se fait plus comme en 1997… ça a bien évolué avec des nouveaux concepts liés à la sécurité comme SPF, DKIM ou encore DMARC. Et sans ces protections, c’est open bar pour les criminels qui peuvent envoyer des emails en se faisant passer pour vous. Flippant, non?
[...]
En gros, SPF c’est comme la liste des invités à l’entrée d’une soirée VIP… ça définit quels serveurs ont le droit d’envoyer des emails pour votre domaine. DKIM, c’est une signature cryptographique qui prouve que le message n’a pas été falsifié en transit, un peu comme le tampon UV sur votre main à l’entrée du club. Et DMARC ? Eh bien, c'est le chef de la sécurité qui décide si on laisse passer, si on met en quarantaine, ou si on rejette carrément les emails suspects.
[...]

1. Envoyez un email depuis votre adresse, celle donnée par leanDMARC 2. Attendez quelques secondes que l’analyse s’affiche 3. Et après, cliquez sur “Spoof my email” 4. Entrez votre domaine et voyez s’il est vulnérable
   Si vous découvrez que votre domaine est vulnérable (résultat en rouge), pas de panique. La mise en place de ces protections n’est pas si complexe, même si ça fait peur au premier abord. C’est comme configurer un routeur, c’est intimidant au début, mais logique une fois qu’on comprend les bases.

Le gouvernement américain coupe son financement à CVE... Finalement non ?

De toute façon, le présictateur tout-puissant sait parfaitement ce qu'il fait !

Un outils d'analyse de disque orienté forensics (investigations) qui peut être complémentaire à PhotoRec : à partir d'une image disque il peut analyser l'activité chronologiquement, effectuer des recherches par mot-clé, afficher les images et vidéos, rechercher les fichiers par type, afficher l'historique de navigation, téléchargements...

Appeler les urgences (15, 17, 18, 112) avec un portable sans carte SIM… C'est strictement impossible en France.

NIST : nouvelles directives sur la sécurité des mots de passe. Découvrez les recommandations 2025 et les différences avec les pratiques traditionnelles.

Le fameux duo clef privée + clef publique. Il est automatiquement et aléatoirement définit de manière unique pour chaque site, et nécessite juste le déverrouillage via smartphone (biométrique, facial, schéma, PIN).

Le point 2 est intéressant :

2. Ajustez la pression des pneus

Le froid entraîne une diminution de la pression des pneus, ce qui peut affecter leur adhérence et augmenter la consommation de carburant. Avant de prendre la route, vérifiez et ajustez la pression des pneus selon les recommandations du constructeur.

Une baisse de 10 °C entraîne une perte de pression d’environ 0,07 à 0,14 bar selon Continental. Pour compenser cette perte due au froid, il peut être conseillé d’ajouter 0,2 bar à la pression recommandée par le constructeur lors du gonflage de vos pneus en hiver.

Le document pdf est en anglais, donc facilement accessible.

D’après le Code monétaire et financier, votre banquier a l’obligation de vous restituer immédiatement l’intégralité des montants fraudés, ainsi que les sommes perçues par la banque du fait de la fraude (agios, commissions d’intervention ou frais de rejet par exemple). Dans ce but, adressez cette lettre à votre banquier, de préférence en recommandé avec accusé de réception.
[...]
Tout prélèvement non autorisé peut être contesté. À cet effet, il doit tout d’abord être signalé à votre établissement, et ce, au plus tard dans les treize mois du débit.

Sachez qu’il appartient à votre banque d’établir que le prélèvement a bien été autorisé. A défaut, elle doit vous recréditer les sommes débitées ainsi que les éventuels frais occasionnés par ce prélèvement.

Articles L. 133-6, L. 133-18, L. 133-23, L. 133-24 du Code monétaire et financier.

Modèle :

J’ai constaté, sur mon compte n° (numéro de compte) un prélèvement en date du (date) d’un montant de (somme) au bénéfice de (nom du bénéficiaire).
Je vous signale que ce prélèvement n’a pas été autorisé par mes soins.
En conséquence de quoi, je vous demande de bien vouloir rétablir au crédit de mon compte la somme débitée, et ce, conformément aux dispositions de l’article L. 133-18 du Code monétaire et financier.
(Ajouter éventuellement)
Je vous demanderais, par ailleurs, de me rembourser de l’ensemble des frais perçus à la suite du prélèvement non autorisé (agios, frais d’incident de paiement, commissions d’intervention...).
À défaut de réponse de votre part, dans un délai de (délai raisonnable), je me verrai dans l’obligation de saisir la juridiction compétente aux fins de vous y contraindre.

Résumé des articles de loi en question (Code monétaire et financier) :

• Autorisation d'une opération de paiement → L. 133-6
  Une opération ou une série d'opérations de paiement est autorisée si le payeur a donné son consentement à son exécution, notamment sous la forme d'un mandat de prélèvement. Le payeur et son banquier de services de paiement peuvent convenir que le payeur pourra donner son consentement à l'opération de paiement après l'exécution de cette dernière.

• Contestation et responsabilité en cas d'opération de paiement non autorisée → L. 133-18
  En cas d'opération de paiement non autorisée signalée par l'utilisateur, le banquier de services de paiement du payeur rembourse au payeur le montant de l'opération non autorisée immédiatement, sauf s'il a de bonnes raisons de soupçonner une fraude de l'utilisateur. Le banquier rétablit le compte débité dans l'état où il se serait trouvé si l'opération de paiement non autorisée n'avait pas eu lieu.

• Modalités pratiques et délais en cas d'opérations de paiement non autorisées ou mal exécutées → L. 133-23
  Lorsqu'un utilisateur nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l'opération de paiement n'a pas été exécutée correctement, il incombe à son banquier de prouver que l'opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre.

• Modalités pratiques et délais en cas d'opérations de paiement non autorisées ou mal exécutées → L. 133-24
  L'utilisateur signale, sans tarder, à son banquier une opération de paiement non autorisée ou mal exécutée et au plus tard dans les treize mois suivant la date de débit.

Modèle :

Conformément à l’article 5-3. d) du règlement européen n°260/2012 du 14 mars 2012 établissant des exigences techniques et commerciales pour les virements et les prélèvements en euros (dit « Règlement SEPA »), merci de bien vouloir bloquer le passage sur mon compte courant (mettre ici le numéro du compte concerné) de tout prélèvement à l’exception des fournisseurs suivants :

1. Nom du fournisseur (exemple : électricité) ; numéro d’identifiant créancier SEPA (« ICS ») ; RUM
2. Nom du fournisseur (exemple : téléphone) ; numéro d’identifiant créancier SEPA (« ICS ») ; RUM
3. Nom du fournisseur (exemple : impôts) ; numéro d’identifiant créancier SEPA (« ICS ») ; RUM
4. Nom du fournisseur (exemple : crédit) ; numéro d’identifiant créancier SEPA (« ICS ») ; RUM
   ...

Résumé des articles réglementaires en question :

• Article 5-3. d)
  Les banquiers effectuent les prélèvements conformément aux exigences suivantes, sous réserve de toute obligation de droit national mettant en œuvre la directive 95/46/CE:
  [...]
  Le payeur doit avoir le droit de donner instruction à son banquier :
  • de limiter l’encaissement des prélèvements à un certain montant, ou à une certaine périodicité, ou les deux ;
  • de bloquer n’importe quel prélèvement sur leur compte de paiement ou de bloquer n’importe quel prélèvement initié par un ou plusieurs bénéficiaires spécifiés, ou de n’autoriser que les prélèvements initiés par un ou plusieurs bénéficiaires spécifiés.

Article du 🗓️16/01/2015

À la différence de l’ancien système, les banques n’ont plus l’obligation d’obtenir l’autorisation du client pour passer un prélèvement. C’est désormais le destinataire du prélèvement qui formule lui-même la demande auprès de l’établissement. C’est aussi lui qui conserve le mandat de prélèvement signé par le titulaire du compte débité. Conséquence pratique : n’importe qui disposant du numéro IBAN d’un particulier peut y prélever de l’argent, sans aucun contrôle de la banque.

Conscient de cette importante faille, le règlement SEPA a imaginé une parade pour les clients qui le souhaiteraient : la liste blanche. L’article 5-3. d) du règlement européen n°260/2012 du 14 mars 2012 prévoit en effet expressément que tous les particuliers peuvent adresser à leur établissement bancaire une liste des fournisseurs autorisés à effectuer des prélèvements sur leur compte. Il suffit d’indiquer l’ensemble de vos abonnements actuels (électricité, eau, téléphone, gaz, etc.) à votre banque qui doit bloquer le passage de tout ordre émanant d’opérateurs qui ne sont pas indiqués dans la liste.

L'article date du 🗓️17/01/2018.

La norme SEPA (ou Single Euro Payments Area, espace unique de paiement en euros) a été mise en place au niveau de l'Union européenne et des États associés en août 2014. Grâce à ce changement technique de grande envergure, il n'est plus nécessaire de donner une autorisation de prélèvement à sa banque. Si vous communiquez vos coordonnées à un fournisseur d'eau ou d'énergie, ce dernier peut se faire virer les sommes que vous lui devez sans formalités supplémentaires. C'est ce qu'on appelle un SEPA direct débit, ou SDD.
[...]
Le client indûment débité a 13 mois pour se faire rembourser. La banque doit le faire sous huit semaines, sans pouvoir exiger qu'il porte plainte. Ce système avantageux pour le consommateur était la contrepartie du SDD. Problème : des prélèvements de faibles montants aux intitulés anodins peuvent passer inaperçus.

Liste blanche des prélèvements autorisés

Il existe un moyen de se protéger. C'est la liste blanche des prestataires seuls autorisés à faire des prélèvements sur votre compte. Il existe aussi une liste noire, mais son utilité est moins évidente. [...] Ces listes sont gérées par les banques, qui en parlent assez peu à leurs clients et les facturent parfois au prix fort. L'inscription d'un nouveau nom sur la liste blanche ou noire est gratuite dans quelques banques [...] mais elle peut dépasser les 15 € dans certains établissements, ce qui paraît démesuré par rapport au travail demandé.

Virement instantané

Pour le moment, les dates de valeur d'un virement sont de 24 h minimum et peuvent monter à 72 h en cas de pont ou de jour férié. C'est plus qu'il n'en faut aux banques pour repérer les mouvements frauduleux. Selon l'Observatoire de la sécurité des moyens de paiement, le taux de fraude au virement en 2016 était de 0,0004 %, soit 1 sur 250 000 seulement ! Depuis cet automne, la technologie et le cadre réglementaire permettent des virements en 10 secondes.
[...]
Le virement instantané est d'une utilité incontestable pour les paiements entre particuliers. Vous vendez une voiture d'occasion ? Vous vous faites payer instantanément et de manière irréversible. Le paiement est sécurisé, en théorie, par l'envoi de SMS de confirmation et l'authentification de « terminaux de confiance », à savoir nos téléphones et tablettes, répertoriés par les banques. Même si des pirates dérobent des numéros de compte, ce qui arrive assez souvent, ils ne pourront pas facilement les siphonner par virement. En revanche, il y a un risque évident d'explosion des fraudes sur des sites comme Leboncoin, ou dans le démarchage abusif à domicile. Les escrocs qui arriveront à convaincre un particulier de faire un virement instantané auront plusieurs heures devant eux pour disparaître. La Banque centrale européenne, pour accélérer encore la procédure, propose de remplacer le code IBAN par le numéro de téléphone, plus facile à retenir. Fort pratique, mais pas sans danger.

OpSec failed...

Dans le premier réacteur nucléaire, mis au point en 1942, la barre de contrôle qui permettait un arrêt d'urgence en cas d'emballement du réacteur, était manipulée directement par un technicien : celui-ci se tenait, une hache à la main, prêt à couper une corde maintenant la barre au-dessus du réacteur.

Cette pratique aurait donné son nom au terme utilisé encore aujourd'hui pour désigner l'arrêt automatique d'un réacteur nucléaire : "SCRAM", qui serait l'acronyme de "safety control rod axe man".

Un rapport d'étude de Cybernews (source : Who owns your shiny new Pixel 9 phone? You can’t say no to Google’s surveillance [Cybernews]) révèle que des informations privées ont été envoyées à plusieurs reprises en arrière-plan à Google, notamment l'adresse e-mail de l'utilisateur, le numéro de téléphone, la localisation, la liste d'applications et d'autres télémétries et statistiques. De plus le rapport montre les capacités de contrôle à distance de Google pour exécuter un nouveau code sur l'appareil sans aucun consentement explicite donné.

Démo de Veritasium sur la faille dans le SS7 qui permet d’usurper des numéros de téléphone, et aussi d’en capter les communications (comme les codes OTP).

SS7 : protocole utilisé sur les réseaux GSM, 2G et 3G. Pas en 4G, ni 5G.

Les bornes d'appels le long des autoroutes et dans les ascenseurs sont "de simples téléphones portables" qui fonctionnent avec des cartes SIM. Des escrocs dérobent ces cartes en vandalisant les appareils pour passer des appels ou envoyer des SMS frauduleux.

Les États-Unis ne sont pas en avance dans tous les domaines…

Mince 😒... Une faille notée 9,9/10 sur le système d'impression des machines Linux. Elle permet l'exécution de code arbitraire !

En attendant le correctif :

sudo systemctl stop cups-browsed
sudo systemctl disable cups-browsed

De quoi faire plaisir aux amateur(ice)s de théories du complot.

Le BLEVE ("boiling liquid expanding vapor explosion") est un phénomène extrêmement violent. Dans une citerne, le gaz, pressurisé, est majoritairement sous forme liquide, mais il subsiste une phase gazeuse. Si le réservoir est ouvert brusquement (par exemple, en cas de brèche), le gaz sous pression s'échappe brutalement, ce qui crée une première onde de choc et fait brutalement baisser la pression dans le réservoir. Le liquide se met alors à bouillir (il passe de liquide à gaz) très rapidement, occupant un volume des milliers de fois supérieur à celui du liquide et faisant exploser la citerne.

Si le gaz en question est inflammable, le gaz peut créer une gigantesque boule de feu dévastatrice. C'est notamment ce qui s'est passé en 1978, en Espagne, lors de la catastrophe de Los Alfaques, qui fit 215 morts et des centaines de blessés.

Rhaaaaaaa ! 😡

Et comment savoir si ma/mes carte(s) est/sont vulnérable(s) ?

C'est le moment de changer son mot de passe de la CAF !

LE système d'alerte aux populations en France ! C'était LA bonne idée pour alerter les riverains d'un danger imminent. Forcément, si maintenant, c'est juste utilisé pour vendre un produit, ce n'est plus que du foutage de gueule, un de plus… Un manque de respect qui implique qu'on ne peut même plus y faire confiance !

• les clés de chiffrement BitLocker sont envoyées à Microsoft.
• Un document Word/PowerPoint ouvert envoie son contenu aux serveurs Microsoft.
• avec le nouvel Outook, Microsoft a tous vos mails et tous vos mots de passe mail.
• Edge envoie les URLs visitées à Microsoft.
• OneDrive récupère par défaut tous vos fichiers.
• Recall enregistre tout.

A l’ouverture d’un document Microsoft Powerpoint ou Word, depuis Windows, une connexion websocket chiffrée (TLS) est initialisée entre le poste de travail de l’utilisateur et le serveur distant "augloop.office.com". Au travers de cette connexion, l’ensemble du contenu du document est transmis à ce serveur au format texte. Chaque modification effectuée sur le document est également transmise au travers de cette connexion. Ce comportement est effectif même si le document initial n’est pas stocké dans le cloud Microsoft.

• Les versions Microsoft 365 Apps for enterprise de PowerPoint et Word transfèrent le contenu textuel des documents vers un point de terminaison appartenant à Microsoft, et ce dès l’ouverture du document, sans action utilisateur.
• Ce transfert de contenu est réalisé dans le cadre de l’analyse du contenu des documents des Expériences Connectées. [du magnifique bullshitlanguage]
• Ce fonctionnement est actif même lorsque le document n’est pas stocké dans le cloud de Microsoft, incluant donc les fichiers locaux. Le comportement est observé sur les clients lourds Office utilisés dans le cadre de l’abonnement Microsoft 365 Apps for Enterprise.
• A l’ouverture d’un document Microsoft Powerpoint ou Word, depuis Windows, une connexion websocket chiffrée (TLS) est initialisée entre le poste de travail de l’utilisateur et le serveur distant "augloop.office.com". Au travers de cette connexion, l’ensemble du contenu du document est transmis à ce serveur au format texte. Chaque modification effectuée sur le document est également transmise au travers de cette connexion. Ce comportement est effectif même si le document initial n’est pas stocké dans le cloud Microsoft.

Liens :

• https://cloud.herbinet.fr/index.php/s/7KFS3BrW3rWPcM2/download/Wavestone%20-%20Rapport%20technique%20-%20Analyse%20donn%C3%A9es%20-%20Exp%C3%A9riences%20connect%C3%A9es%20Microsoft%20365%20Apps%20for%20entreprise.pdf?trk=public_post_comment-text
• https://kdrive.infomaniak.com/app/share/222864/ff1c4bc4-39ce-42e3-b07a-ae0366329489/preview/pdf/2104?trk=public_post_comment-text

En état de micropesanteur, et sans courants d'air, le dioxyde de carbone a tendance à s'accumuler en bulles, notamment lorsque les astronautes dorment : le CO2 expiré s'accumule autour de leur tête, formant une poche qui pourrait les asphyxier. Des buses de ventilation permettent de brasser l'air et d'éviter de tels incidents.

Faire un check-up de sécurité automatisé de son site

Test your site’s HTTP headers, including CSP and HSTS, to find security problems and get actionable recommendations to make your website more secure. Test other websites to see how you compare.

L'ère du tout tactile dans les voitures touche peut-être à sa fin : EuroNCAP - l'organisme qui teste la sécurité des véhicules en Europe - va baisser la note des voitures qui n'ont pas de boutons physiques.

Ben oui ! Un écran tactile dans une voiture, c'est tout simplement une aberration du point de vue sécurité ! Ç'aurait dû être interdit depuis le début !

WebTunnel, c’est un nouveau type de bridge Tor conçu pour aider les internautes des pays où c’est la misère niveau liberté sur le web. Le principe est simple: ça imite du trafic web chiffré (HTTPS) pour se fondre dans la masse. Comme ça, pour les censeurs, ça ressemble juste à un internaute lambda qui surfe sur le web. Malin ! 😎

Les serrures électroniques des coffres-forts les plus populaire ont des backdoors (code permettant de les déverouiller sans connaître votre code), connues des services de police et des services de renseignements. Le gouvernement interdit d'ailleurs l'usage de ces coffres dans ses administrations, mais cache l'information au public.

via sebsauvage.net

Les sirènes d'alerte qui retentissent dans les villes en France en cas d'urgence imitent le hurlement du loup. Ce son a été choisi car il est capable de parcourir de grandes distances tout en restant audible, et fait appel à notre subconscient comme le signal d'un danger.

Les animaux interprètent d'ailleurs souvent le son de cette sirène pour un hurlement de loup, agissant alors en conséquence (fuite, aboiements, hurlements ...).

Un clavier numérique à l'écran pour entrer un code (comme sur le site de la plupart des banques), mais il affiche de multiples curseurs mobiles à l'écran.
Vous n'avez aucun problème pour taper votre code (votre cerveau n'a pas de soucis pour repérer le curseur qui a les mêmes mouvements que votre main), mais quelqu'un qui regarde par dessus votre épaule n'arrivera pas à savoir ce que vous avez cliqué.

Quand la profondeur des pneus est inférieure à 1,6 mm, ils doivent être changés. Or, nos tests prouvent que leurs performances se dégradent bien avant ce seuil.

La réglementation française serait-elle un brin légère ? Elle impose que les pneus présentent, pendant toute leur utilisation, une épaisseur d’au moins 1,6 mm dans les rainures de leur bande de roulement. Cette dernière permet en effet de maintenir une bonne adhérence sur l’asphalte, car elle contribue à expulser l’eau qui s’y trouve, limitant ainsi les risques d’aquaplaning. Certains pays européens, comme l’Autriche, la Bulgarie ou la Suède, se montrent bien plus sévères pour les gommes hivernales, exigeant une profondeur de 3 mm ou 4 mm. Excès de prudence ?

Afin de le savoir, nous avons jaugé le comportement de 6 références (1) hiver (dans la dimension 205/55 R16 H) : d’abord, à l’état neuf, lorsque la hauteur moyenne des sculptures de la bande de roulement s’élève à environ 8 mm ; ensuite, quand celle-ci n’affiche plus que 2,5 mm de profondeur après des dizaines de milliers de kilomètres parcourus. Des tests critiques ont également été réalisés sur pneus usés, à savoir le roulage sur revêtement mouillé et enneigé. Enfin, nous avons mesuré la consommation d’une Volkswagen Golf VIII équipée de pneumatiques neufs puis usagés. En parallèle, nous avons jugé les performances de nombreux pneus hiver (neufs !).

Résistance à l’aquaplaning réduite

Six critères ont été pris en compte dans notre évaluation : la motricité et le freinage sur neige, le freinage et l’agilité sur chaussée mouillée, l’aquaplaning longitudinal (ligne droite) et transversal (en virage). Conclusion ? Ce dernier est le plus impacté dès lors que l’usure s’accroît. Les meilleurs modèles neufs (notés ) deviennent au mieux médiocres en fin de vie. Ils perdent une grande partie de leurs capacités à transmettre des forces latérales sur route humide (résistance à l’aquaplaning, parcours chronométré sur piste), et le niveau de leurs performances chute drastiquement – de 80 % pour plusieurs d’entre eux – par rapport à l’état neuf. Et si les résultats ne sont pas aussi catastrophiques lorsqu’il s’agit de forces exercées dans le sens de la marche, où il subsiste toujours une certaine sécurité résiduelle, les distances de freinage sont dégradées, avec 20 % d’efficacité en moins. À l’inverse, la consommation baisse de 0 à 3,5 %. Un phénomène qui pourrait être dû à une réduction de l’adhérence, donc à une diminution du frottement du pneu sur la chaussée.

Voilà pourquoi nous vous recommandons de remplacer vos gommes hiver dès que l’épaisseur de leur bande de roulement atteint 4 mm. C’est d’ailleurs ce que préconisent quelques fabricants. En dessous de cette valeur, la conduite est risquée, l’eau et la neige fondue ne pouvant plus être évacuées assez vite et l’usure – ou, pire, la disparition des lamelles – empêchant une bonne adhérence sur l’asphalte.

Usure • Un second témoin

Chaque bande de roulement, qu’il s’agisse d’une gomme été, toutes saisons ou hiver, doit comporter un témoin d’usure mentionnant une épaisseur minimale de 1,6 mm. Sa position est indiquée soit par le marquage TWI (Tread Wear Indicator), soit par le logo du manufacturier apposé sur le flanc du pneu. De nombreux pneus hiver et certains toutes saisons sont équipés d’un second témoin, sans valeur légale en France. Son emplacement est signalé par la présence d’un flocon de neige sur un des côtés du pneu. Il annonce généralement une profondeur de 4 mm.

Si vous avez créé un portefeuille Bitcoin avant 2016, votre argent pourrait être en danger

À l'aide d'un Flipper Zero, il est possible d'inonder de notifications les appareils sous Android, Windows et iOS, grâce au Bluetooth Low Energy (BLE). Un développeur vient de reproduire cette attaque à l'aide d'une application Android.

Sur son site, le FIRST a mis en ligne un article qui résume les changements apportés au sein de CVSS 4.0. Vous pouvez retrouver cet article à cette adresse. Il y a aussi ce PDF qui revient en détail sur CVSS 4.0 et qui a été utilisé en juin dernier lorsque le FIRST a dévoilé CVSS 4.0 lors d'une conférence qui s'est déroulée à Montréal, au Canada.

Cette nouvelle version devrait permettre d'être plus précise et elle répond mieux aux menaces actuelles. Pour cela, le FIRST a introduit de nouvelles métriques permettant de calculer le score, notamment l'automatisabilité (wormable), la restauration (recovery), l'effort à fournir en réponse aux vulnérabilités et le niveau d'urgence pour le fournisseur. La métrique de base est également scindée en deux métriques : la complexité de l'attaque (Attack Complexity) et les prérequis pour mener l'attaque (Attack Requirements).

Il est à noter que CVSS ne se limite pas à la note de base. Avec la version 4.0, CVSS adopte une nouvelle nomenclature que voici :

• CVSS-B : Score de base CVSS
• CVSS-BT : Score de base CVSS + Threat Score
• CVSS-BE : Score de base CVSS + Environmental Score
• CVSS-BTE : Score de base CVSS + Threat Score + Environmental Score

Le score CVSS est vraiment un indicateur clé utilisé par certaines applications et les professionnels de l'informatique, don c'est important qu'il soit actualisé pour suivre l'évolution des menaces.

Dans une lettre ouverte publiée jeudi, plusieurs centaines de spécialistes de la sécurité et de la cryptographie contestent un texte bientôt soumis au vote au Parlement européen, parce qu’il impose aux navigateurs Web d’utiliser certains certificats de sécurité sélectionnés par les Etats membres.

Si le texte est adopté, les états pourront faire du MITM et nous pister sans qu'on y voie goutte 😡. Ouuuuuhhhhhh la belle faille de sécurité...

Alors que les sirènes d’alerte aux populations retentissent généralement entre 11h45 et 12h15 en fonction de l’endroit où l’on se trouve en France, le 1er novembre étant un jour férié, la décision a donc été prise de « procéder au report de l’essai mensuel » du Système d’alerte et d’information aux populations (SAIP), a fait savoir le ministère de l’Intérieur. Un message depuis relayé par les mairies et les préfectures de l’Hexagone.

L’exercice mensuel a été reporté au mercredi 8 novembre « aux horaires habituels ». Il ne faudra donc pas être surpris lorsque les haut-parleurs feront retentir l’alarme une semaine après la date habituelle.
[...]
La totalité du territoire national français n’est pas concernée par cette alarme. Seules 2 133 sirènes sont réparties en France, déployées dans des « zones d’alertes identifiées comme prioritaires », comme l’explique Yves Hocdé, sous-directeur chargé de la gestion des crises au sein de la direction générale de la sécurité civile.

Plus de détails sur la sirène ici

Le réseau informatique d'un hôpital américain a connu des coupures pendant plusieurs heures car le chat d'un technicien a sauté sur le clavier au mauvais moment.

🤣

Picocrypt est très léger puisqu'il pèse seulement 3 Mo et il n'a pas besoin d'être installé : c'est une application portable qui présente l'avantage de ne pas demander les droits administrateur ! Pour autant, il ne néglige pas la sécurité puisqu'il s'appuie sur des algorithmes robustes et fiables :

• Algorithme de chiffrement XChaCha20
• Fonction de dérivation de clé Argon2

Au-delà des avantages qui viennent d'être cités, ce qui plait énormément, c'est sa facilité d'utilisation !

Il ne lui manque qu'une chose : un audit du code, mais c'est planifié comme le montre le tableau comparatif ci-dessus (dernière ligne). Mais bon, comme il est open source, rien ne vous empêche de jeter un coup d'œil à son code source.

Même s'il est comparé à BitLocker dans le tableau ci-dessus, à mon sens BitLocker et Picocrypt sont destinés à des usages différents : BitLocker pour chiffrer un volume complet (celui de Windows, par exemple) et Picocrypt pour chiffrer une arborescence ou un espace de stockage type "Drive".

Des nouvelles des dangers des centrales nucléaires, cette technologie non maîtrisée (!!) et non surveillée (!!!), alors tout le reste est plus propre et plus sécurisé (!!!!!!).

35.

C’est le facteur entre le nombre de morts par kWh électrique produit par l’hydro et celui produit par le nuke : l’hydro tue 35 fois plus que le nucléaire.

Voir là : https://lehollandaisvolant.net/?d=2022/08/29/18/40/42-le-charbon-est-beaucoup-plus-dangereux-que-le-nucleaire

(Pour le charbon, le facteur est de 2 500)

Merde !

Ces empreintes digitales sont l'équivalent d'une clé passe-partout pour les portables, avec un peu moins de succès. Créées par des chercheurs en utilisant une intelligence artificielle, elles atteignent tout de même un taux de succès de 20%.

Erik Neuenschwander, directeur de la protection de la vie privée des utilisateurs et de la sécurité des enfants chez Apple, explique [...]} que « l'analyse des données iCloud privées de chaque utilisateur créerait de nouveaux vecteurs d'attaques que des pirates pourraient trouver et exploiter » :

Cela pourrait nous amener sur une pente glissante avec des conséquences imprévues. La recherche d'un type de contenu ouvre la porte à la surveillance en masse et pourrait donner l'envie de rechercher tout type de contenu dans d'autres systèmes de messagerie chiffrée. Nous avons conclu qu'il n'était pas possible de la mettre en œuvre sans mettre en péril la sécurité et la vie privée de nos utilisateurs.

Une nouvelle étude de Mozilla a révélé que des constructeurs automobiles connus et vendus dans le monde entier comme Chevrolet, Nissan, Toyota, Kia, Audi, Jeep, Honda, Volkswagen recueillent des données très personnelles comme le patrimoine génétique ou encore l’activité sexuelle de leurs clients. Et elles ne s’arrêtent pas là, puisqu’elles partagent, et même dans certains cas vendent ces données aux annonceurs, aux courtiers en données et aux autorités.

WTF ???

L'azote est un gaz généralement inoffensif, mais il peut néanmoins présenter un risque lorsqu'il s'évapore à partir d'azote liquide : le passage en phase gazeuse multiplie son volume par 700, peut faire dangereusement baisser le taux d'oxygène dans l'air et mener à des asphyxies potentiellement mortelles.

PhoneSploit Pro est un outil tout-en-un écrit en Python.

Quelques-unes des fonctionnalités de PhoneSploit Pro :

• Copier toutes les photos de la caméra sur l’ordinateur.
• Envoyer des SMS via le périphérique cible.
• Déverrouiller et verrouiller le périphérique avec une facilité déconcertante.
• Extraire tous les SMS, contacts et journaux d’appels du périphérique vers l’ordinateur.
• Obtenir des informations sur le périphérique et la batterie.
• Et obtenir une image de tout ce qui se passe à l’écran ou contrôler le périphérique cible.

Stocker mes mots de passes en ligne ? FBI ! Fausse Bonne Idée

Figure-toi que le hérisson est capable de grimper tout en haut d’un arbre et de se laisser tomber sans craindre les effets de la chute ! Quel est donc son secret ?

Eh bien, figure-toi que des chercheurs se sont penchés sur la question !
Alors, pour absorber les chocs, il faut pouvoir encaisser de l’énergie en se déformant ! C’est exactement ce que fait le hérisson : l’énergie est absorbée par ses piquants et ses muscles.

Le gouvernement vient de lancer un nouveau service très utile pour apposer un filigrane sur les scans de documents que vous envoyez à des organismes, entreprises ou même des particuliers dans le cadre de dossiers administratifs divers.

Les informations à faire figurer sur le filigrane :

• Le nom du destinataire, son email et téléphone
• La limite d’utilisation du document
• Exemple : « Pour Mr Dupont, adupont@gmail.com, 06xxxxxxxx, pour location immobilière uniquement »

Des cartes SIM employées par des individus « inconnus ».

• Rapport complet : Campagne de tests canyonisme et débrayeurs
• Campagne de tests canyonisme et débrayeurs - résumé

Security Vulnerabilities fixed in Thunderbird 115.0.1

C’est une vérité incontestable : l’authentification multifacteur (MFA) renforce la sécurité, dans tous les cas. Pourtant, cette technologie reste complexe et exige souvent de faire un compromis entre sécurité et facilité d’utilisation. Les hackers malveillants le savent et ils font le pari que les défenseurs n’appliqueront pas la MFA de façon suffisamment étendue, ou qu’ils commettront des erreurs ce faisant.