Partager à toutes et tous (enfin ceux que ça intéresse) ce que je note sur le net

Aller au contenu | Aller au menu | Aller à la recherche

Mot-clé - Sécurité

Fil des billets - Fil des commentaires

vendredi, 5. mars 2021

FichtreuHⓒ - The EMV Standard: Break, Fix, Verify (passer outre le code PIN sur VISA et Mastercard via des téléphones nfc)

Note: "ils" ont été mis au jus de ces failles ...

The EMV Standard: Break, Fix, Verify

emvrace.github.io.jpg
emvrace.github.io

Les vidéos:

Lire la suite...

mardi, 2. mars 2021

[Progra] cyberveille-sante.gouv.fr - utile même si on est pas dans la Santé

Par exemple, là ils parlent d'une faille NodeJS

Portail d'Accompagnement Cybersécurité des Structures de Santé

cyberveille-sante.gouv.fr.jpg
cyberveille-sante.gouv.fr

Bref, je me suis abonné à leur RSS =)

lundi, 1. mars 2021

Ce matin, j'ai traversé la rue pour faire F11 chez une voisine - arnaque au TechScam

En gros, je suis un des "ingénieurs informaticieeeeeeeeeeennnnnnnnns" du quartier.
Tendance, imprimante débranchée qui marche plus, routeur avec câble débranché ou grignoté par le rongeur de la famille (plus rarement un non rongeur, mais ça n'existe), souris sans fin (et sans pile pleine), etc...  Bref de la bobotechnologie.

Appel de la voisine ce matin, « Pascal (c'est moi) HELP, j'ai un message virus sur mon ordi ».
Bon, moi je sais ce que c'est à 95%: un TechScam.  En gros

  • un message depuis votre browser,
  • qui passe en plein écran,
  • avec pleins de truc fear,
  • et oh miracle un numéro à appeler (généralement en 09 70 ...) pour vous sauver

Donc, dans plein de cas, si c'est vraiment un TechScam

  1. La première chose à faire, NO PANIC. Et ne pas appeler le numéro à l'écran !
  2. La deuxième, appeler quelqu'un de confiance.  Ça rassure
  3. La troisième, appuyer sur le clavier sur F11 (sortie du mode plein écran, normalement la ligne de touche tout en haut)
  4. Si vous voyez de nouveau les onglets de votre browser, cliquer sur le petite croix du site courant, et confirmer "Oui je veux fermer"
  5. Et en général ça s'arrête là

Temps passé chez ma voisine: 20 secondes, le plus long pour la rassurer. Temps pour faire l'aller-retour (traverser la rue), 1mn.
Alors OUI ça peut se faire par téléphone, mais franchement, si la personne est en panique et qu'on peut se déplacer, c'est plus rapide avec un sourire, même derrière un masque.

Alors d'où ça vient ?  Parfois sur des sites "sérieux", oui oui, il y a des pubs qui se chargent qui viennent de l'extérieur du dit site sérieux, et qui ramènent avec eux ce genre de désagrément dans votre browser.  C'est rare, mais ça arrive.
Sinon c'est par exemple aussi que vous avez voulu aller sur un site XYZ, mais qu'au lieu de taper XYX.com, vous avez tapé XUZ.com, typo, autre site qui a été racheté et qui y ressemble et hop !
Et sinon c'est que vous butinez sur des site ahum, mais en théorie vous êtes habitué ou chanceux ;)

Papage officielle qui en parle:

Faire face aux arnaques au faux support technique

cybermalveillance.gouv.fr tous-nos-contenus fiches-reflexes arnaques-au-faux-support-technique.jpg
cybermalveillance.gouv.fr

D'une manière générale, je vous conseille d'aller faire un tour sur Comprendre les menaces et agir @cybermalveillance.gouv.fr, il y a des infos à savoir.

Dernier rappel: sortez couvert. C'est aussi valable pour votre ordinateur: antivirus (Microsoft Defender marche très bien) et SURTOUT des sauvegardes de vos données, emails, photos, etc.
Prévenir c'est bien, guérir c'est jouer avec le feu.

jeudi, 25. février 2021

Firefox 86 de sortie - avec son système de sandbox de cookies par site web

Cad que un site A ne pourra pas aller piocher dans la bote à cookies "partagés".
Chaque site a sa boiboite à lui, sécurisée.

C'est chouette (mais quand on veut et peut faire des liens entre vos butinages sur le Net, là je parle des GAFAM etc, on peut ;) ce sera juste un peu plus dur)

Firefox 86 Introduces Total Cookie Protection

blog.mozilla.org total-cookie-protection.jpg
blog.mozilla.org

Rappel: Cookieviz par la CNIL, visualisez les cookies de vos sites favoris par la CNIL, pour se rendre compte de ce que sont les cookies. Plus directement, la version 2.0 est là CookieViz 2.0 @github.com

dimanche, 21. février 2021

lemondeinformatique - arrestation de personnes en lien avec Egregor, un autre ransomware

Avec l'aide de la police française, des membres du ransomware Egregor arrêtés

lemondeinformatique.fr lire-avec-l-aide-de-la-police-francaise-des-membres-du-ransomware-egregor-arretes.jpg
lemondeinformatique.fr

mardi, 26. janvier 2021

csweb - Certificat ssl gratuit : Pourquoi et comment l’obtenir ?

Ça fait pas de mal de revenir sur le sujet de temps à autre: vous avez un site web ?  Préférez plus de sécurité, surtout si vous avez des trucs à vendre, ou pas mal d'échanges avec vos butineurs.

Certificat ssl gratuit : Pourquoi et comment l’obtenir ?

csweb.fr certificat-ssl-gratuit.jpg
csweb.fr

samedi, 23. janvier 2021

Pas d'espoir pour l'espèce humaine / No hope for mankind - quitter WhatsAppⓇ ⸮

LOL

facebook.com No hope for mankind - je quitte whatsapp.jpg

Note:en fait je trouve toujours encore que c'est beaucoup de vent, de cris (un bon GROS mix de « pousser des cris d'orfraie » et de « crier au Loup ») pour Trump qui n'en aura rien n'a fout' de mes discussion perso avec mes pot'.

Source: Pas d'espoir pour l'espèce humaine / No hope for mankind @FB

Source de la source: demaincommenceaujourdhui @instagram

mardi, 19. janvier 2021

Avast - Une faille de sécurité majeure a été découverte dans un sex toy connecté

Euh, lol, bon faut le vouloir quand même, avec pas mal de "pas d'bol" (et ils ont payés pour souffrir nan ? ;) ).
Et c'est entre adultes consentants *chuckle*

J'aurai appris

  • qu'une ceinture de chasteté masculine ça n'existe (je m'en doutais) mais comment ça marchait non.  Tapez "Qiui Cellmate" dans votre moteur de recherche favori et yadesphotos de gars avec leurs parties emprisonnés dedans !  J'ai oublié de dire NSFW ?
  • le terme technique ... sex toys télédildoniques
Une faille de sécurité majeure a été découverte dans un sex toy connecté

thesun.co.uk hacker-chastity-cage-ransom.jpg
blog.avast.com

Source de l'image: WILLY LET ME OUT OF HERE? Hacker ‘locks up victims’ PENISES’ using ‘smart’ chastity cages – and demands $750 ransom @thesun.co.uk
Note: non ce n'est pas fait pour emprisonner une carotte :P

lundi, 18. janvier 2021

Dans l'histoire de la migration Whatsapp vers Signal, il existe aussi Olvid

Alors Olvid, c'est une messagerie sécurisée Française.  Je cite:

Olvid est la première messagerie instantanée certifiée CSPN par l'ANSSI

Kézako CSPN ?  Par là: ssi.gouv.fr/administration/produits-certifies/cspn/.
Et en plus, pas besoin de votre numéro de portable, par contre il faudra envoyer votre "id" aux autres sur Olvid par un moyen extérieur à Olvid (ou en QrCode). Si vous voulez le mien, demandez le moi avec mon "Contact" à droite plus bas ⇒

La Liberté vous appartient.

olvid.io.jpg
olvid.io/fr/

Ils annoncent rester gratuit pour qui veut, en se payant avec les Entreprises qui achètent leurs services en mode payant. Je cite leur FAQ:

L’application actuelle est et restera gratuite pour le grand public.

Cette version gratuite est financée par les fonctionnalités payantes pour les entreprises.

La première fonctionnalité payante est la téléphonie et les conférences téléphoniques (VoIP) avec le même niveau de sécurité que pour les communications par texte.

A savoir que le code source n'est pas encore "open source", mais qu'à la question "La technologie d'Olvid est-elle open source ?", la réponse est oui et est dans leur FAQ.

Autre chose importante avec Olvid: si vous perdez votre user ... il est perdu.  Dans les paramètres, il faut l'exporter, et le sauver quelque part.  Et/ou activer la sauvegarde dans iOS-iCloud / Android-Google Drive.

jeudi, 14. janvier 2021

La réponse de l'accusé - WhatsApp

En un tweet.

Alors attention, je ne défends pas WhatsApp et FB.  Leurs détracteur ont certainement (leur) raison.
Je pense juste que c'est parti en coui*bip* (tendance  « les GAFAM sont nos ennemis, il faut les Baygon-niser aussi : ») alors que c'est peut être pas si grave que ça pour ma liberté.

J'ai déjà cherché ET demandé à des zamis dans la sécu, le Droit, le Net ... mais pour le moment pas trouvé une étude de ce qui change et qui pourrait être une atteinte (en plus) de mes libertés (autre que "je vous l'avais bien dit !").
Intuitivement, je pense par exemple que vu qu'ils vont utiliser des infrastructures partagées avec FB, il doit bien avoir une raison légale quelque part qui fait qu'ils doivent donner le droit de faire transiter les datas du point A au point B non ?
Mais si vous avez un tel document, je suis preneur.

We want to address some rumors and be 100% clear we continue to protect your private messages with end-to-end encryption.

twitter.com WhatsApp end-to-end encryption.jpg
twitter.com

Comme dit hier dans un tweet:

Mon Signal me signale (Signal²) qu'il y a plein de transfuge ... je me demande sk'iss pass' ⸮ ;)

- page 1 de 24