Une campagne de phishing contre les internautes utilisant LastPass comme gestionnaire de mots de passe a été repérée. Elle mobilise le kit de phishing CryptoChameleon. Un site utilisé pour le hameçonnage a été neutralisé, mais d'autres tentatives pourraient survenir.
Le déplacement à Paris dans certains périmètres sera conditionné à la présentation d'un QR Code. Une plateforme dédiée pour s'inscrire est attendue en mai 2024, afin de pouvoir le récupérer. Des documents et des éléments d'identité devront être fournis. En attendant le détail, voilà ce que l'on sait de son fonctionnement.
Gérald Darmanin annonce au Parisien l'ouverture d'un site dédié aux Jeux olympiques de Paris, le 10 mai. Il permettra de générer des QR Codes pour accéder à la ville, dont l'accès sera restreint durant la compétition.
Google cherche à bloquer le vol de cookies sur le navigateur Chrome, une technique courante employée par les cybercriminels. Pour cela, la société américaine introduit une nouvelle norme d'authentification sur les appareils.
Andres Freund, un développeur Postgres, s’est rendu compte dans les derniers jours que xz et liblzma ont été corrompus par l’un des mainteneurs du projet. Le problème a été découvert par chance, pour la seule raison que la performance de sshd s’était dégradée sur sa machine.
L’investigation d’Andres Freund a montré que Jia Tan, co-mainteneur de xz depuis environ un an et demi, a poussé plusieurs commits contenant une porte dérobée extrêmement bien cachée au milieu d’un certain nombre de contributions valables depuis environ deux ans et demi, après avoir gagné la confiance du mainteneur historique, Lasse Collin.
Jia Tan a ensuite fait deux versions de xz, la 5.6.0 et 5.6.1, et les a poussées vers les mainteneurs de différentes distributions, comme Fedora Rawhide, Debian Unstable, Kali Linux ou encore Suse. Les contributions de Jia Tan à divers projets sont maintenant en cours de ré-analyse, car il apparaît qu’il a contribué des changements maintenant louches à d’autres projets, comme oss-fuzz, maintenant considérés comme visant probablement à cacher cette porte dérobée.
La plupart des distributions affectées sont des versions bleeding edge, et sont revenues à une version antérieure de leurs paquets xz.
Les effets de cette porte dérobée ne sont pas complètement analysés, mais les investigations existantes montrent des détournements d’appels très suspects autour des fonctions de validation des secrets d’OpenSSH.
Cet épisode rappelle une nouvelle fois combien tout l’écosystème repose sur la bonne volonté et la bonne foi de contributeur·rice·s volontaires, surchargé·e·s de travail, et peu soutenu·e·s par l’industrie utilisant leur travail.
NdM : le sujet est frais, les analyses en cours, et de nouvelles informations apparaissent encore toutes les heures. Il convient donc de rester prudent, mesuré, et surtout factuel, dans les commentaires. Merci d’avance.
Les infos qui suivent ont été ajoutées en modération (le sujet ayant été discuté en lien et en journal précédemment) :
autres sites discutant du sujet :
des résumés / suivis :
des analyses du code injecté :
quelques commentaires techniques :
Commentaires : voir le flux Atom ouvrir dans le navigateur
Les aéroports parisiens commencent à s’équiper d'une nouvelle génération de scanner pour accélérer les contrôles de sécurité. Derrière ces machines se cache le principe de la tomographie, qui est employé depuis longtemps dans le domaine médical et scientifique.
Pour 249 euros (199 euros pour les abonnés Freebox), Qiara propose cinq équipements domotiques pour protéger sa maison. S'ajoute au matériel un abonnement optionnel (de 0 à 19,99 euros par mois), pour bénéficier d'un service de télésurveillance 24/7 en cas d'urgence. Est-ce aussi disruptif que ce que Free prétend ?
Cybermalveillance.gouv.fr, la plateforme gouvernementale d'assistance aux victimes de piratage, a mis en ligne un programme de test et de sensibilisation à la cybersécurité pour le grand public. Baptisé SensCyber, il permet d'acquérir les bons gestes pour comprendre et éviter les cyberattaques.
Pour répondre à la demande urgente de personnels supplémentaires dans la cybersécurité, l'ANSSI, la sentinelle chargée de la protection numérique de l'administration française, publie un rapport pour briser les clichés du secteur.
Si vous avez reçu une notification d'alerte le 22 mars 2024, c'est normal : vous avez participé à un test technique pour la mise en place d'un nouveau système destiné à prévenir la population en cas de grave danger.
Une équipe de hackers éthiques français a remporté un concours de piratage de Tesla pour la deuxième fois. Ces compétitions visent à sécuriser les véhicules, avant que des pirates malveillants s'attaquent sérieusement aux voitures connectées.
Connexion