#19329

CovidLock: Mobile Coronavirus Tracking App Coughs Up Ransomware

Donc y a une app de suivi du virus qui est en fait un ransomware.

Apparemment, la clé de déblocage est codée en dur dans l’appli : https://mobile.twitter.com/ESETresearch/status/1239820488110718976

Facepalm pour ces dev minables, mais après faut pas s’étonner que n’importe quel gosse arrive à pirater la moitié des smartphones de la planète juste en suivant une mode. C’est vraiment n’importe quoi. Oh et il semble (voir les comm) que cette app ne soit pas installable depuis le Play Store, mais depuis un site tiers… Y a donc aussi un joli PEBKAC dans l’histoire.

https://www.domaintools.com/resources/blog/covidlock-mobile-coronavirus-tracking-app-coughs-up-ransomware

#19245

CSP Header Inspector and Validator

Dans la même veine que le lien précédent…

Les en-têtes CSP (content security policy : https://developer.mozilla.org/fr/docs/Web/HTTP/CSP ) permettent de spécifier quels contenus peuvent s’afficher/s’éxécuter dans votre machine.

Pour vulgariser à l’extrême (ne faites pas ça), ça permettrait à n’importe qui de poster du JS ou du CSS valide dans vos pages (par exemple dans un commentaire) et ce dernier sera bloqué si les en-têtes interdisent le JS inline, ou le CSS inline.
(faut pas le faire car tous les navigateurs ne supportent pas et il faut partir du principe que le navigateur du visiteur (voire le vôtre) n’a pas forcément ça d’activé).

Si j’ajoute cette en-tête CSP à une page :

default-src 'self'; img-src 'self' data:; script-src 'self' 'unsafe-inline'; form-action 'self';

Cela autorisera par liste blanche :
– le contenu peu importe son type (default-src) en provenance de votre domaine ('self') seulement
– les images (img-src) en provenance de votre domaine (self), des liens data-uri (data:)
– les scripts (script-src) en provenance de votre domaine (self), ainsi que les script inline (unsafe-inline)
– les POST de formulaires (form-action) en provenance de votre domaine (self)

Tout le reste sera inutile, bloqué.

Avec ces règles, si vous mettez une image "src=https://example.com", alors l’image ne chargera pas : bloqué par les règles CSP : seule une image sur votre site, et une image avec data-uri peuvent s’afficher.

Dans les outils de dév de Firefox, vous verrez afficher une alerte relative à CSP.

Le lien que je donne ici permet de tester vos règles CSP (copiez-y mon code ci-dessus, pour tester). Il décortique également tout ça pour y voir clair.

Enfin, si vous utilisez Apache, voilà comment on ajoute une entête dans un .htaccess :

# Extra Security Headers
<IfModule mod_headers.c>
	Header set Content-Security-Policy "<regle csp>" 
</IfModule>

Remplacez <regle csp> par votre règle, virez les « <> », mais laissez les quotes.

Comme ça :

# Extra Security Headers
<IfModule mod_headers.c>
	Header set X-Content-Type-Options nosniff
	Header set Content-Security-Policy "default-src 'self'; img-src 'self' data:; script-src 'self' 'unsafe-inline'; form-action 'self';"
</IfModule>
https://cspvalidator.org/

#19095

Certbot 1.0 est enfin disponible – Vous n’avez plus d’excuses pour ne pas activer HTTPS sans douleur sur votre site – Korben

Certbot permet d’installer des certificats directement sur le serveur où il est éxécuté.

Perso j’ai pris l’habitude de générer les certificats sur mon PC puis d’uploader les certificats (et la clé) sur le serveur mutualisé qui héberge (entre autre) mon site.

La procédure est un peu plus compliquée, car il faut passer par une phase de validation (sinon n’importe qui peut faire un certificat pour mes NDD).

La procédure, que j’applique toujours à ce jour, est dispo là : https://lehollandaisvolant.net/?d=2016/07/05/18/44/28-lets-encrypt-certbot-sur-son-pc-pour-un-serveur-distant

Je fais également ça avec des sites hébergés sur des Nas divers, qui n’ont pas forcément tout l’attirail nécessaire pour exécuter ça ou automatiser ça.

https://korben.info/certbot-1-0-est-enfin-disponible-vous-navez-plus-dexcuses-pour-activer-https-sans-douleur-sur-votre-site.html

#18934

Les anciens détecteurs de fumée sont radioactifs - SCMB

Le premier commentaire montre un gros problème très connu en prévention des risques mais ignoré du public.

Imaginez qu’on mette en place un dispositif de sécurité quelconque, et que ce dispositif tue une personne par sa présence. Ce dispositif remplit-il son rôle ?

Car même s’il y a eu un mort, le dispositif en a peut-être empêché 1000. Mais comme on ne peut pas dénombrer des vies sauvées, ben on ne retiendra toujours que ce « 1 mort ».

Un autre exemple assez tordu que j’aime bien : les contrôles aux aéroports sont intenses et rebutants : beaucoup de gens préfèrent prendre un autre transport que l’avion.

Aux USA, par exemple, on estime que ce sont 500 personnes, statistiquement, qui sont mortes sur les routes qui ne seraient pas mortes si elles avaient pris l’avion, plus sûr, car la sécurité des aéroports est si chiante (voir là : https://www.youtube.com/watch?v=1Y1kJpHBn50&t=620s ).

Est-ce que ça vaut le coup le garder la sécurité des aéroports, du coup ? Impossible à dire, réellement : si on vire la sécurité, peut-être que les détournements d’avions vont reprendre et donc augmenter le nombre de morts…

https://secouchermoinsbete.fr/79290-les-anciens-detecteurs-de-fumee-sont-radioactifs?page=1#comment-677815

#18576

Chris McClellan sur Twitter : "I think it’s odd that manufacturer’s recognize this, but knowledge organizations don’t.… "

If you don’t schedule time for your maintenance, your equipment will schedule it for you

« Si vous ne planifiez pas un peu de temps pour la maintenance, vos appareils le planifieront pour vous »

… et le temps que ça coûtera sera largement plus important.

Un peu comme les boîtes qui veulent bâcler leur application Web en rognant sur la sécurité des données, croyant faire des économies, et qui au final se retrouveront avec 5 millions d’euros d’amende RGPD.

Ou encore le « oui mais j’ai pas le temps de faire des backup » : dans ce cas faut pas pleurer de perdre 6 semaines et 2 000 € quand il faudra envoyer le disque en salle blanche pour une récupération de données…

https://twitter.com/Rubberduck203/status/1124691471658037248

#18541

Chiffrement : les ministères de l’Intérieur du G7 rêvent de backdoors installées par l’industrie

Backdoors gouvernementaux, applications gouvernementaux pré-installées sur les smartphones… Ils ont de drôles d’idées. C’est très proche de ce que fait la Chine, qui, je le rappelle, est une dictature communiste très répressive. Le tout, comme d’habitude, enrobé dans de la lutte contre le terrorisme.

https://www.nextinpact.com/news/107815-chiffrement-ministeres-linterieur-g7-revent-backdoors-installees-par-lindustrie.htm

#18428

"If you want, I can store the encrypted password." A Password-Storage Field Study with Freelance Developers - Naiakshina_Password_Study.pdf

First of all, we reveal that, similar to the students, freelancers do not store passwords securely unless prompted, they have misconceptions about secure password storage, and they use outdated methods.

Et ça, qui résume :

Researchers asked 43 freelance developers to code the user registration for a web app and assessed how they implemented password storage. 26 devs initially chose to leave passwords as plaintext.
Those devs were then asked to rewrite their code to 'store passwords securely.' Overall here are the methods of password storage chosen by the developers:
8 - Base64
3 - AES
3 - 3DES
10 - MD5
1 - SHA-1
5 - SHA-256
5 - PBKDF2
7 - Bcrypt
1 - HMAC/SHA1

(voir ce tweet :https://twitter.com/PwdRsch/status/1103021803503607808 )

Et ben…

https://net.cs.uni-bonn.de/fileadmin/user_upload/naiakshi/Naiakshina_Password_Study.pdf

#17991

Un tiers des directeurs informatiques français seraient prêts à payer un ransomware pour éviter les amendes liées au RGPD - Data Security Breach

Beuh, c’est pas comme ça qu’on dit, voyons.

Voilà :

« Un tiers des directeurs informatiques français n’en ont rien à foutre que leurs données, ceux des clients, des collaborateurs et de leur patron se trouvent dans la nature, et préfèrent payer un pirate plutôt que se sortir les doigts et faire leur boulot ».

De rien.

https://www.datasecuritybreach.fr/payer-un-ransomware/

#17910

Un carnet pour noter ses mots de passe. Une idée de cadeau de Noël ? — Pascal MARTIN : développement Web & PHP

J’avoue, de tous les moyens de stockage de mots de passe, le carnet en papier est peut-être celui qui est le plus solide.

Un stockage dans le navigateur ? Laisse tomber : si c’est Chrome (et pas seulement), les mots de passes sont envoyés en ligne et à la merci du prochain hack de Google.

Un stockage dans une extension de navigateur ? Même chose, mais chez l’éditeur, ou alors il suffit que l’éditeur soit hacké et l’extension se met soudainement à tout envoyer chez un pirate.

Un stockage sur un fichier ou un gestionnaire de notes ? Il suffit d’un virus pas trop con et c’est mort aussi.

Oh et une méthode chiffrée parmi les idées ci-dessus ne me semble pas non plus plus sécurisé. À un moment donnée, un gestionnaire de mot de passe doit avoir accès au mot de passe en clair. C’est obligé. Et un virus / hacker peut très bien se réveiller à ce moment là.

Si vous devez stocker vos mots de passe parce que vous n’arrivez pas à les retenir de tête, le papier me semble également le plus sécurisé.

Évidemment, il ne faut que vous ayez une bibliothèque vide avec un seul calepin estampillé « MeS MoTs De PaSseS ». Un peu de discrétion est évidemment nécessaire (un carnet « ce carnet ne contient pas tous mes mots de passes » est donc beaucoup mieux #patapé #jerigole).

Quant à tout retenir de tête… soit vous êtes un surhumain avec une mémoire très forte (ce qui n’est pas impossible), soit vous avez un algo top secret de tête… et le point faible se trouve là.

Mais autrement, je rejoins l’article là : un carnet n’est peut-être pas forcément une mauvaise idée.

À la limite on pourrait offusquer un peu ça, en y mettant des numéros, comme par exemple 111.23.56.143.555… correspondant aux numéros de pages dans un bouquin particulier, duquel l’on prendrait les premières lettres pour reformer le mot de passe : mais là encore, ça ralentirait seulement un cambrioleur ou les autorités, mais vous également…

https://blog.pascal-martin.fr/post/un-carnet-pour-noter-ses-mots-de-passe-une-idee-de-cadeau-de-noel.html

#17799

This Toy Can Open Any Garage - YouTube

Super intéressant, et un peu flippant.

Le tout a bien-sûr devenir de plus en plus commun avec les serrures de porte connectés, et tout le reste, qui ne sont que des version un peu plus complexes que ce qui est présenté là dedans.

https://www.youtube.com/watch?v=CNodxp9Jy4A