background preloader

[Oups] Le très sécurisé Blackphone a une faille de sécurité

[Oups] Le très sécurisé Blackphone a une faille de sécurité
Coup dur pour le Blackphone, ce smartphone qui promet une sécurité optimale des données et des conversations de ses utilisateurs. Il semble qu’il y ait quelques trous dans la cuirasse… D’après l’expert en sécurité Mark Dowd, le smartphone ne serait pas aussi sécurisé que ses promoteurs le prétendent. Il a en effet découvert une vulnérabilité au sein de l’application de messagerie texte, qui permet à un pirate de subtiliser messages, contacts et informations de localisation. Pas terrible quand on vante un mobile ultra-sécurisé… L’app en question, pré-installée dans le Blackphone (et disponible sur Google Play) prend des vessies pour des lanternes, à savoir des données pour d’autres, permettant ainsi au pirate de saturer la mémoire de l’engin pour la remplacer par du code malicieux. Dowd a prévenu Blackphone de la méchante faille de sécurité, qui a bouché le trou très rapidement. Related:  Sécurité informatiqueSécurité Informatiqueyagnus

Jailbreak iOS : Apple a eu la main lourde Comme souvent après une mise à jour même mineure, le hacker MuscleNerd (connu pour appartenir à la team evad3rs) conseille aux jailbreakers de rester à l'écart d'iOS 8.1.3. Il faut dire que cette recommandation semble justifiée à la lecture de la trentaine de corrections de sécurité accompagnant iOS 8.1.3. Parmi ces corrections, il est fait référence à plusieurs reprises à des patchs pour des failles découvertes par la team TaiG, sans oublier une vulnérabilité affectant le noyau d'iOS et identifiée par la team Pangu ainsi que Stefan Esser qui est autrement connu sous son pseudonyme de hacker i0n1c. Autant dire que cela laisse augurer que la firme à la pomme a eu la main lourde et a massivement mis fin à des exploits utilisés dans des outils de jailbreak untethered, que ce soit Pangu8, TaiG voire le récent jailbreak PP. Rappelons que la team Pangu propose l'outil Pangu8 (sur Windows et OS X) pour le jailbreak d'iOS 8.0 à 8.1.0. Via Twitter, i0n1c est caustique.

Choisissez bien votre pseudo Vous vous trainez le pseudo de Tipioupiou63 ou de SuperDarkKiller59 sur la toile depuis trop longtemps ? Vous voulez vous refaire une identité numérique complète en choisissant un pseudo qui vous ressemble un peu plus, mais vous ne savez pas quoi choisir, car tout est déjà pris ? Facebook, Instagram, Twitter, Youtube, eBay et j'en passe, il vous les faut tous ! Alors voici un service qui s'appelle NameChk qui va vous permettre de vérifier la disponibilité de n'importe quel pseudo sur 157 services. Je me dis que ça peut aussi service à des sociétés qui cherchent à trouver le bon nom pour apparaitre partout de manière unifiée. À tester ici. Vous avez aimé cet article ?

Une faille de sécurité dans Snapchat Le groupe de hackers a détaillé son attaque sur Snapchat. Crédit Photo: D.R Des hackers australiens ont publié un document montrant comment accéder au numéro de téléphone et aux paramètres de confidentialité des utilisateurs de Snapchat. Il y a quelques semaines le service d'échange de photos Snapchat avait fait parler de lui en refusant une offre de 2 à 3 milliards de dollars de Facebook. Aujourd'hui, c'est un groupe de hackers australiens, Gibson Security, qui publie un document sur une faille de sécurité dans Snapchat qui permet à un pirate d'accéder au numéro de téléphone des utilisateurs. Le rapport est détaillé en décrivant la méthode point par point. Vulnérabilité dans la fonction « trouver des amis » Un porte-parole de Gibson Security a décrit le problème. « Snapchat dispose d'une fonction où il va récupérer tous les numéros de votre carnet d'adresses, les télécharger sur ses serveurs et vous suggère des amis.

Sécurité : la biométrie pourra-t-elle remplacer les mots de passe ? Le mot de passe est au centre de la vie connectée, or, le grand public commence à comprendre à quel point il est fragile. D'abord et surtout parce que les internautes et les mobinautes n'en créent pas de suffisamment complexes pour résister aux attaques des pirates. Avec la multiplication des affaires de fuite de données, se pose donc, de manière encore plus prégnante, la question des alternatives. Celle qui fait le plus parler, s'appuie sur des éléments de notre corps, à savoir la biométrie (identifier un individu par ce qu'il est est et pas seulement ce qu'il sait). Et l'an dernier, un hacker a démontré comment une simple photo pouvait permettre de récupérer les empreintes digitales d’un individu. Nuance, le spécialiste de la reconnaissance vocale, mise lui sur la biométrie vocale dont il a fait évoluer la technologie. De quoi convaincre banques, opérateurs télécoms (notamment en Turquie) mais aussi des grandes entreprises.

Après Windows, Google débusque des failles dans OS X d'Apple... Pas de jaloux ! Microsoft est remonté contre Google et son programme Project Zero de divulgation des failles de sécurité. Il ne sera peut-être bientôt pas le seul. Car si la firme de Mountain View ne badine pas sur les délais (90 jours), elle ne fait pas non plus de traitement de faveur. Après avoir dévoilé plusieurs vulnérabilités de Windows, au grand mécontentement de l'éditeur, l'équipe sécurité de Google vient de publier les détails de trois failles zero-day affectant la plateforme OS X d'Apple. Et si ces bugs font l'objet d'une divulgation publique (ou "full disclosure"), c'est car plus de 90 jours se sont écoulés depuis qu'Apple a été alerté de leur existence sans que ne soient diffusés des correctifs de sécurité. Google qualifie le niveau de risque associé à ces vulnérabilités de sévère. Comme pour chacune des vulnérabilités dévoilées dans le cadre de Project Zero, les chercheurs mettent à un disposition un exploit sous la forme d'un PoC.

Sécurité : un nouveau virus surfant sur le slogan « je suis Charlie” Bien souvent, les pirates tentent d’exploiter les actualités afin de pousser les internautes à exécuter des programmes malveillants. Le laboratoire de recherche des menaces sur Internet de Blue Coat surveille ces activités, et le dernier cas recensé fait état d’un logiciel malveillant redoutable sur le thème « Je suis Charlie », un slogan qui s’est propagé de manière virale suite à l’attaque des bureaux de Charlie Hebdo à Paris le 7 Janvier 2015. Le code malicieux en question est le tristement célèbre DarkComet RAT (aka Fynloski), un outil de prise de contrôle à distance des ordinateurs, disponible gratuitement, et qui peut également se doubler d’un cheval de Troie qui crée une porte d’accès à l’ordinateur pour le pirate (backdoor). DarkComet a été initialement développé par le pirate français DarkCoderSc, qui a arrêté son développement en 2012. La variante utilisée dans cette attaque est camouflée pour la rendre plus difficilement détectable par les scanners des antivirus.

Des failles dans les réseaux 3G permettent d’écouter tous les appels 01net le 22/12/14 à 12h54 Cette fin d’année ne sera pas bonne pour les opérateurs télécoms et leurs stratégies de sécurité. Plusieurs chercheurs en sécurité vont profiter de la prochaine conférence 31C3 du Chaos Computer Club - qui se déroule du 27 pour montrer des attaques sur les réseaux mobiles 3G, permettant d’intercepter n’importe quel appel ou SMS. Ainsi, Karsten Nohl et d’autres experts de la société allemande Security Research Labs (SRLabs) viennent de démontrer leur méthode à quelques journalistes outre-Rhin. Une simple requête protocolaire suffit En effet, les chercheurs ont détecté une faille dans le protocole de signalisation Signal System 7 (SS7), que tous les opérateurs 3G utilisent pour pouvoir bien acheminer leurs appels à travers le monde. Karsten Nohl et sa troupe ont réalisé avec succès cette attaque sur les réseaux mobiles de Deutsche Telekom, Vodafone et O2. Précisons que les chercheurs n’ont montré que la lecture de SMS. Des techniques qui font penser à la NSA

Une faille informatique a menacé des milliers de centres de données dans le monde Baptisé «VENOM», un bug permettait à des pirates de pénétrer au sein de serveurs et de prendre contrôle des systèmes qui y sont hébergés, appartenant notamment à des entreprises. Elle s'appelle CVE-2015-3456, ou plus simplement «VENOM» («venin» en français). L'entreprise américaine de cybersécurité Crowdstrike a dévoilé mercredi une grave faille qui a potentiellement mis en danger des milliers de systèmes informatiques d'entreprises dans le monde. VENOM touche plus particulièrement le logiciel libre (QEMU) utilisé pour concevoir des machines virtuelles. D'après Crowdstrike, VENOM existe depuis 2004. Plus de peur que de mal? Heartbleed et VENOM partagent au moins un point commun: elles ont bénéficié d'un plan de communication qui ne ferait pas rougir des spécialistes du marketing, avec un site dédié, un surnom et même un logo officiel.

Related: