Les codes PIN de quatre chiffres sont fréquents dans le quotidien des individus : pour leur carte bancaire, pour un coffre-fort, pour la carte SIM, pour déverrouiller un smartphone ou pour accéder à un service en ligne. Certaines séquences sont toutefois bien plus utilisées que d'autres.
Cet article a été réalisé en collaboration avec Bitdefender
Vous avez un doute sur la fiabilité d’un message ? Demandez donc au nouveau chatbot gratuit Scamio de Bitdefender ce qu’il en pense.
Cet article a été réalisé en collaboration avec Bitdefender
Il s’agit d’un contenu créé par des rédacteurs indépendants au sein de l’entité Humanoid xp. L’équipe éditoriale de Numerama n’a pas participé à sa création. Nous nous engageons auprès de nos lecteurs pour que ces contenus soient intéressants, qualitatifs et correspondent à leurs intérêts.
Dell informe ses clients d'une fuite de données, tandis qu'un pirate affirme détenir les informations de 49 millions de clients de l'entreprise.
Proton Pass marche dans les pas de ses rivaux en ajoutant une option qui permet de connaitre l'état de ses mots de passe. Ils sont trop faibles ? Trop réutilisés ? Exposés sur Internet ? Privés de double authentification ? Vous connaitrez ainsi vos marges de progression pour faire mieux.
Un chatbot disponible sur un service en ligne ainsi que sur WhatsApp et Messenger analyse les SMS et mails de phishing et alerte l'utilisateur lorsqu'ils sont malveillants. Nous l'avons testé.
Un hacker éthique a découvert de nombreuses failles de cybersécurité sur Wizz App, une application pointée du doigt pour des affaires de sextorsion. Ses recherches incluent des captures de discussions privées.
La plateforme pour obtenir un laissez-passer dématérialisé doit ouvrir en mai 2024. Elle sera incontournable pour avoir un QR Code qui sera réclamé à l'entrée de certains périmètres sécurisés, durant les Jeux olympiques de Paris.
Une campagne de phishing contre les internautes utilisant LastPass comme gestionnaire de mots de passe a été repérée. Elle mobilise le kit de phishing CryptoChameleon. Un site utilisé pour le hameçonnage a été neutralisé, mais d'autres tentatives pourraient survenir.
Le déplacement à Paris durant les Jeux olympiques de 2024 sera conditionné à la présentation d'un pass jeux, basé sur un QR Code. Ce pass sera requis dans certains périmètres de la capitale et de l'Île-de-France. La plateforme d'inscription pour le récupérer est désormais en ligne. Voilà les grandes lignes de son fonctionnement.
Gérald Darmanin annonce au Parisien l'ouverture d'un site dédié aux Jeux olympiques de Paris, le 10 mai. Il permettra de générer des QR Codes pour accéder à la ville, dont l'accès sera restreint durant la compétition.
Google cherche à bloquer le vol de cookies sur le navigateur Chrome, une technique courante employée par les cybercriminels. Pour cela, la société américaine introduit une nouvelle norme d'authentification sur les appareils.
Andres Freund, un développeur Postgres, s’est rendu compte dans les derniers jours que xz et liblzma ont été corrompus par l’un des mainteneurs du projet. Le problème a été découvert par chance, pour la seule raison que la performance de sshd s’était dégradée sur sa machine.
L’investigation d’Andres Freund a montré que Jia Tan, co-mainteneur de xz depuis environ un an et demi, a poussé plusieurs commits contenant une porte dérobée extrêmement bien cachée au milieu d’un certain nombre de contributions valables depuis environ deux ans et demi, après avoir gagné la confiance du mainteneur historique, Lasse Collin.
Jia Tan a ensuite fait deux versions de xz, la 5.6.0 et 5.6.1, et les a poussées vers les mainteneurs de différentes distributions, comme Fedora Rawhide, Debian Unstable, Kali Linux ou encore Suse. Les contributions de Jia Tan à divers projets sont maintenant en cours de ré-analyse, car il apparaît qu’il a contribué des changements maintenant louches à d’autres projets, comme oss-fuzz, maintenant considérés comme visant probablement à cacher cette porte dérobée.
La plupart des distributions affectées sont des versions bleeding edge, et sont revenues à une version antérieure de leurs paquets xz.
Les effets de cette porte dérobée ne sont pas complètement analysés, mais les investigations existantes montrent des détournements d’appels très suspects autour des fonctions de validation des secrets d’OpenSSH.
Cet épisode rappelle une nouvelle fois combien tout l’écosystème repose sur la bonne volonté et la bonne foi de contributeur·rice·s volontaires, surchargé·e·s de travail, et peu soutenu·e·s par l’industrie utilisant leur travail.
NdM : le sujet est frais, les analyses en cours, et de nouvelles informations apparaissent encore toutes les heures. Il convient donc de rester prudent, mesuré, et surtout factuel, dans les commentaires. Merci d’avance.
Les infos qui suivent ont été ajoutées en modération (le sujet ayant été discuté en lien et en journal précédemment) :
autres sites discutant du sujet :
des résumés / suivis :
des analyses du code injecté :
quelques commentaires techniques :
Commentaires : voir le flux Atom ouvrir dans le navigateur
Les aéroports parisiens commencent à s’équiper d'une nouvelle génération de scanner pour accélérer les contrôles de sécurité. Derrière ces machines se cache le principe de la tomographie, qui est employé depuis longtemps dans le domaine médical et scientifique.
Pour 249 euros (199 euros pour les abonnés Freebox), Qiara propose cinq équipements domotiques pour protéger sa maison. S'ajoute au matériel un abonnement optionnel (de 0 à 19,99 euros par mois), pour bénéficier d'un service de télésurveillance 24/7 en cas d'urgence. Est-ce aussi disruptif que ce que Free prétend ?
Cybermalveillance.gouv.fr, la plateforme gouvernementale d'assistance aux victimes de piratage, a mis en ligne un programme de test et de sensibilisation à la cybersécurité pour le grand public. Baptisé SensCyber, il permet d'acquérir les bons gestes pour comprendre et éviter les cyberattaques.
Pour répondre à la demande urgente de personnels supplémentaires dans la cybersécurité, l'ANSSI, la sentinelle chargée de la protection numérique de l'administration française, publie un rapport pour briser les clichés du secteur.
FR-Alert est un dispositif permettant d'alerter les populations d'un danger à l'aide d'une notification sur le téléphone. Ce système est opérationnel en France depuis juin 2022.
Une équipe de hackers éthiques français a remporté un concours de piratage de Tesla pour la deuxième fois. Ces compétitions visent à sécuriser les véhicules, avant que des pirates malveillants s'attaquent sérieusement aux voitures connectées.
Suite à la dépêche Comparatif : GrapheneOS vs LineageOS, je souhaitais faire part d’un retour d’expérience sur l’utilisation de GrapheneOS sur un téléphone Android Pixel 7a. Ce commentaire est repris ici sous forme de dépêche.
Le point de départ est celui d’un utilisateur sensible aux logiciels libres mais qui utilise un téléphone Android Samsung « comme tout le monde », avec :
L’utilisateur a déjà expérimenté par le passé les solutions suivantes :
La mise en œuvre du système « stock » installé sur le smartphone est très facile et simple d’utilisation. Les téléphones Pixel proposent des fonctionnalités « avancées » spécifiques qui sont proposées au démarrage, avec à chaque fois le jeu de « voulez-vous activer cette fonctionnalité ? Si oui, acceptez le contrôle des données suivantes… »
On est dans un environnement full google, donc avec quelques habitudes à changer me concernant venant d’un environnement Samsung (la surcouche de l’OS est différente).
Launcher Pixel avec une barre de recherche Google qui ne peut pas être enlevée (The search bar cannot be removed from the bottom of the home screen, it's part of the Pixel Launcher https://support.google.com/pixelphone/thread/133065648/is-there-any-way-to-remove-the-google-search-bar-from-the-home-screen?hl=en), sinon tout est fluide / "beau"
Procédure d’installation web très simple et rassurante. C’est la première fois que je me verrai recommander ce type d’install à un utilisateur non technique (alors que la procédure d’install de LineageOS - à l’époque ou j’ai essayé - est complexe et obscure, avec le risque de se planter à plusieurs étapes).
Pour le Store Google, il est possible d’installer plusieurs « briques » de l’éco-système :
Il existe deux approches possibles de séparation des usages :
Ce qui bloque : je voulais utiliser la fonctionnalité « work profile » d’Android avec Shelter pour isoler mon compte Google personnel. Hors c’est ce compte qui jusqu’ici synchronise les contacts. Les applications par défaut de GrapheneOS ne gèrent pas cette synchro (autrement que via import/export manuel, ou alors je n’ai pas trouvé comment). Si on veut quelque chose qui s’intègre tout seul il faut passer par les applications Google de Téléphone/Contacts/Calendrier. Hors ces applications ne peuvent pas devenir « applications par défaut » (pour remplacer celles existantes de GrapheneOS) dans le « work profile », c’est le profil personnel qui gère cette configuration.
Ce qui bloque : j’utilise le téléphone à la fois pour le pro & perso, sauf que le fait d’avoir deux profils implique de jongler systématiquement entre les deux profils. Trop compliqué au quotidien.
La première problématique c’est la synchro des contacts et des agendas. Pour se passer de Google sur ce point, il faut mettre en place au préalable un service de partage de contact / agenda :
Bref c’est un projet en tant que tel, pas forcément à la portée de tous
À ce stade, pour accéder à d’éventuelles applications uniquement présentes sur le Play Store, il est possible de :
Cependant, de nombreuses applications du Play Store requièrent l’installation du Google Services Framework (« GSF ») pour fonctionner.
Me concernant, j’ai la liste suivante d’applications que j’ai pu récupérer par ce biais (et qui fonctionnent sans GSF) :
Certaines applications nécessitent le GSF, c’est le cas notamment de :
J’ai mis du temps à comprendre / trouver comment activer la fonctionnalité de profils multiples (alors que c’est simple) : Paramètres > Système > Utilisateurs multiples > Autoriser plusieurs utilisateurs (https://www.youtube.com/watch?v=SZ0PKtiXTSs)
Le profil séparé à l’avantage d’être comme un « deuxième téléphone ». C’est aussi un inconvénient pour les personnes qui ne sont pas prêtes à faire cet « effort » (passer de l’un à l’autre), même si les notifications « cross profile » aident sur ce point.
Il faut reproduire sur chacun des profils toutes les « custo » faites (changement de launcher, de clavier, configurations diverses, etc).
La fonction work profile fournit une séparation moins forte, mais c’est aussi plus « pratique » au quotidien car toutes les applications (et les comptes) sont dans un seul profil. J’ai testé via l’application Shelter.
Avantages :
Inconvénients :
J’ai passé beaucoup plus de temps que prévu à comprendre GrapheneOS, tester différentes solutions et configurer les options / trouver des alternatives. Je suis bien conscient que plusieurs « problèmes » remontés pourraient tout simplement être résolus si j’acceptais de faire les choses différemment. Cela me pousse à m’interroger sur le compromis à choisir entre sécurité / respect de la vie privée / facilité d’utilisation ? Cette question dépend bien sur du modèle de menace (« threat model ») de chacun.
GrapheneOS répondrait parfaitement à des contraintes de sécurité « forte » pour des personnes étant journaliste / activiste / lanceur d’alerte / député. Dans ce cas d’usage, le coût de la sécurité est accepté.
GrapheneOS apporte un choix indéniable permettant à chacun de trouver le meilleur usage possible.
Dans mon cas d’usage, je trouve que la fonction de profil séparé apporte trop de friction au quotidien, et je suis prêt à tout rassembler au sein du même profil. L’utilisation de deux téléphones différents (un perso / un pro) pourrait être une alternative. De la même manière, je n’ai pas encore passé le pas de me séparer de mon compte Google (pour la synchro des contacts / agendas), donc pour le moment je continue d’utiliser le Play Store. À terme, j’essaierai de ne plus en dépendre.
À chaque fois la question est : est-ce utile ou pas ? Puis-je facilement m’en passer ?
Commentaires : voir le flux Atom ouvrir dans le navigateur
Connexion