background preloader

Palinopsia - Quand votre carte graphique trahit vos secrets

Palinopsia - Quand votre carte graphique trahit vos secrets
Des chercheurs en sécurité allemands viennent de publier un document dans lequel ils expliquent une méthode pour lire et afficher des framebuffers (en Français : Des tampons de trames) extraits de plusieurs cartes graphiques grand public. En effet, même après un redémarrage de l'ordinateur, le contenu de la VRAM n'est pas effacé et il est possible d'y accéder. Imaginons que vous soyez en train de travailler sur un document top secret qui ressemble à ceci : Vous partez faire une pause café et comme vous l'a appris le formateur ANSSI, vous pensez bien à verrouiller la session de votre ordinateur. Très bien... Seulement, voici un affreux espion chinois ou russe ou américain ou du daesh qui s'incruste dans votre bureau pendant que vous n'y êtes pas. Et comme la VRAM de la carte graphique n'a pas été vidée, voici ce qu'il obtient : Il récupère les fameux framesbuffers. ATI Radeon HD3750ATI Radeon HD4350/4550nVidia NVS 5400MnVidia GeForce GT650M

Des malwares qui s'attaquent aux BIOS UEFI Lors de la conférence dédiée à la sécurité CanSecWest, deux chercheurs spécialisés dans le domaine, Xeno Kovah et Corey Kallenberg, sont venus avec un petit malware nommé LightEater. Ce genre de petit logiciel malveillant est connu de tous, mais la particularité de ce dernier est qu'il s'attaque directement au BIOS UEFI de la mobale. L'UEFI a été une vraie révolution et est bien plus agréable à utiliser que les vieux BIOS, mais d'un autre côté, l'UEFI est un OS pour carte mère et apporte le lot de failles qui va avec un système plus complexe.

Piratage de voitures, de téléphones et de feux rouges Voici une série de vidéos parues l’année dernière sur le site Motherboard qui montre qu’il est possible d’aller très loin et d’agir vraiment sur le monde réel avec un peu de hacking. Cette série baptisée Phreaked Out est sous-titrée en français. On commence donc avec du piratage de feux rouges, qui a été constaté pour la première fois en 2006, provoquant des bouchons monstrueux à Los Angeles. On poursuit sur du piratage de voiture (et c’est vraiment flippant) Pour terminer avec le dernier épisode sur le piratage de téléphone portable Amusant tout ça non ? Allez, bon week-end à tous !

Double FREAK! A crypto bug that was found because of the FREAK bug Imagine that you just checked into a hotel. You're in the lift on the way to your room, holding a key. You get to your room; you wave, swipe or turn the key; and the door opens. Assuming the door wouldn't open until you presented the key, it certainly feels like security of a sort, doesn't it? But what if your key isn't unique? What if your key opens every other door in the hotel (or, for that matter, if every other key opens your door)? How would you ever know, just for starters? You could make a habit of trying your key on a random selection of doors every time you use a hotel, but even that might not help, because: You'll probably get into trouble, especially if you do manage to open someone else's door unexpectedly. In short, you have to assume that the hotel's key management software (or its locksmith service) knows what it's doing. From hotel keys to router keys You might similarly assume that tasks related to key setup, such as generating public-private keypairs, were done correctly.

SMS, Facebook, Twitter, blogs : dangers du virtuel sur la vie réelle - 22 novembre 2010 Rompre par SMS, se faire licencier à cause de Facebook, insulter son voisin sur Twitter : censées faciliter les rapports humains, les nouvelles communications ne sont pas sans danger et imposent la vigilance. C'est la mise en garde lancée par des chercheurs interrogés par Reuters à l'intention des quelque 15 millions de Français abonnés à Facebook et autres habitués du net et du téléphone portable. "On passe du privé au public. De nouveaux comportements qui ont leurs conséquences, comme l'a montré la décision du Conseil des Prud'hommes de Boulogne-Billancourt (Hauts-de-Seine), qui a confirmé vendredi le licenciement de deux salariés sanctionnés pour avoir critiqué leur direction lors d'une discussion sur Facebook. "Là, c'est public" Truffés d'informations en apparence anodines, ces réseaux ne sont pas non plus sans danger pour l'entreprise et le salarié, prévient Gwendal Delcros, consultant chez Cert Lexsi, société spécialisée dans la sécurité de l'information.

“Black Box” brouhaha breaks out over brute forcing of iPhone PIN lock A bit of a brouhaha has broken out about a "Black Box" that can brute force your iPhone PIN by trying every possible combination, from 00..00 to 99..99. Robotic "PIN typing" devices are not new, but this one doesn't press on-screen buttons. Apparently, it uses a USB connection to inject the screen taps virtually, thus simplifying operation. As you know, an iPhone keeps a count of how many wrong PINs have been entered, in case you have turned on the Erase Data option on the Settings | Touch ID & Passcode screen. That's a highly-recommended option, because it wipes your device after 10 passcode mistakes. Even if you only set a 4-digit PIN, that gives a crook who steals your phone just a 10 in 10,000 chance, or 0.1%, of guessing your unlock code in time. But this Black Box has a trick up its cable. Apparently, the device uses a light sensor to work out, from the change in screen intensity, when it has got the right PIN. (This fix may, indeed, be in iOS 8.2. So, choose a PIN longer than 4 digits!

Réseaux sociaux : de nouveaux dangers pour nos enfants ? Le Monde.fr | • Mis à jour le | Par Olivier Dumons L'intégralité du débat avec Jacques Henno, auteur du livre Les 90 Questions que tous les parents se posent. Ganon : Pourquoi considérez-vous que ces réseaux puissent être un danger ? Bonjour. Ces réseaux peuvent être des dangers pour les enfants à deux titres : ils peuvent être abordés par des prédateurs sexuels, et ils peuvent être victimes de harcèlement (injures, photos obscènes...) de la part d'autres mineurs. lebaro : Pourriez-vous lister les dangers que représentent les réseaux sociaux pour les enfants ? Premier danger : être victime d'un prédateur sexuel.Deuxième danger : le harcèlement de la part d'autres enfants. Le premier danger est réel, mais ne doit pas être exagéré. Le harcèlement : les réseaux sociaux permettent d'échanger des messages. Le vol d'identité : ce phénomène comporte plusieurs degrés. Comment se protéger ? Oui, pourquoi pas ? niort2009 : Comment surveiller ce que font nos enfants sur ces réseaux ?

Il monte une opération de phishing pour s'échapper de prison Il monte une opération de phishing pour s’échapper de prison On peut en faire, des choses formidables avec un simple smartphone et une connexion au net. La preuve avec Neil Moore, ce prisonnier de 28 ans, incarcérée à la prison de Wandsworth (Angleterre) qui condamné pour escroquerie, s'est échappé le 10 mars 2014 grâce à un téléphone obtenu en douce. À partir de sa connexion, il a réservé un nom de domaine ressemblant à celui de la Cour de Justice de Southwark, en remplaçant les points par des tirets et a créé une boite mail semblable à celle utilisée pour communiquer avec les services de la prison. Il s'est ensuite fendu d'un petit mail à la prison pour demander sa propre libération. Il passera en procès le 20 avril prochain pour 8 chefs d'accusation concernant ses escroqueries et 1 concernant son évasion. Malin le gars quand même ;-) Source Rejoignez les 47435 korbenautes et réveillez le bidouilleur qui est en vous Je vous recommande aussi la lecture des sujets suivants...

La Hadopi en sursis au moins jusqu'en avril Le gouvernement vient de dévoiler sa feuille de route pour la session parlementaire qui s'ouvre demain pour sept semaines, relèvent ce matin nos confrères de PC Inpact. Celle-ci sera ensuite interrompue pendant cinq semaines pour cause d'élections municipales, ce qui laisse une fenêtre assez étroite pour les projets de lois en cours. Parmi la liste, on peut noter plusieurs textes touchant de près ou de loin au numérique et aux nouvelles technologies. Le projet de loi Hamon sur la consommation, le projet Taubira sur les données de géolocalisation, ou la proposition de loi "visant à renforcer la lutte contre la contrefaçon". Pas de texte présenté avant l'automne ? D'autres se poursuivront, comme le projet de loi Vallaud-Belkacem pour l'égalité entre les femmes et les hommes, qui ne devrait cependant pas passer au vote avant les municipales. Trop de travail ?

Slack gets hacked – rolls out two-factor authentication after breach Slack is the latest start-up to make a big media splash in one of the worst possible ways - by acknowledging a data breach that exposed its users to malicious hackers. If you haven't heard of it until now, Slack is a "team collaboration" platform that promises businesses a way to simplify communications, file-sharing, project management and more. The San Francisco-based company announced the breach in a blog post last Friday, saying that its database of usernames, email addresses and hashed passwords was accessed over the course of four days in February. Because the stored passwords were encrypted with a technique known as salting and hashing it's unlikely the hackers would have been able to crack well-chosen passwords. Phone numbers and Skype IDs also could have been swiped, if users had entered that optional information into their profiles. Although no financial information was stolen, Slack said on its blog that the company noticed "suspicious activity" on a small number of accounts:

Une faille qui fait planter les téléphones Wiko à distance Une faille qui fait planter les téléphones Wiko à distance Adrien, fidèle lecteur de Korben.info m'a envoyé une petite astuce assez marrante pour faire planter à distance les téléphones de la marque Wiko. Accrochez-vous à vos slips, vous allez rire... Pour faire planter et rebooter de force un téléphone Wiko (soft reset apparemment, car le téléphone ne redemande pas le code PIN), il suffit tout simplement de lui envoyer un SMS contenant uniquement le symbole "=" (sans les guillemets) Démonstration : Hallucinant non ? Bizarrement, ce problème est reproductible sur les téléphones d'origine comme sur les téléphones où d'autres ROM ont été installées (testées sur des CyanogenMod). Faites le test chez vous, vous allez vous marrer ! Merci à Adrien Vous avez aimé cet article ?

As easy as 123 – Xen hypervisor bug found, fixed, phew…‏ Popular virtualisation platform Xen has just announced a worrying bug. Fortunately, it's already patched. And, as far as we can tell, numerous major server hosting companies that rely on Xen were given an early warning, and installed the fix before its public announcement. Here's what went wrong, and why it matters. Understanding VMs Virtualisation is where you take one physical computer and make it pretend to be one or more pseudo-computers, known as virtual machines (VMs). Inside those VMs, known as guests, you can then install a range of different operating systems and applications. The physical computer, known as the host, acts as the overall manager of the virtual guests. There are many good reasons for virtualisation: For testing your software on multiple operating systems at the same time. Each guest VM thinks it has a real computer all to itself, and, thanks to the virtualisation layer, can't mess with any of the other guests. Hypervision Such as XSA-123. As easy as 123 The tricky stuff

Related: