Vue normale

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
À partir d’avant-hierBlogmotion

Triangulation : le malware iPhone et macOS

✇Blogmotion
Par : Mr Xhark
1 février 2024 à 08:00

Sylvqin revient sur le malware nommé Triangulation. Un malware qui a poutré iPhone et MacOS grâce à une faille 0day dans iMessage.

Et oui, la sécurité par l'obscurité est loin d'être la meilleure approche, une preuve de plus s'il en fallait une. J'ai trouvé la technique du triangle assez... inattendue pour savoir sur quel modèle d'iPhone le script tourne.

Encore une belle enquête de Sylvqin avec l'apparition bien appréciée de Mathis Hammel qui rentre dans le détail technique.

Vous n'aimez pas le RSS : abonnez-vous par email 📥
Vous devriez me suivre sur Twitter : @xhark

Article original écrit par Mr Xhark publié sur Blogmotion le 01/02/2024 | 2 commentaires |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Triangulation : le malware iPhone et macOS provient de : on Blogmotion.

Certificats HTTPS : comment vérifier la chaine ⛓️

✇Blogmotion
Par : Mr Xhark
23 janvier 2024 à 14:05

L'installation d'un certificat HTTPS sur votre site web est une opération de routine mais qui peut réserver quelques surprises. On parle ici des certificats payants achetés sur une autorité tierce. Let's Encrypt étant un cas un peu à part je ne l'évoquerai pas ici.

Vous devez installer non seulement le certificat de votre site, mais aussi un ou plusieurs certificats intermédiaires, aussi appelés chaine de certificats. Si cette chaine est incorrecte vous risquez de provoquer des erreurs de certificat dans les navigateurs, et le visiteur fermera l'onglet.

Tous les navigateurs ne fonctionnent pas de la même façon, Firefox dispose par exemple de son propre magasin de certificats. Et c'est une bonne chose que de ne pas dépendre du business de Microsoft pour cela.

Une chaine de certificats, kezako ?

Avant d'aller plus loin il est essentiel de comprendre de quoi on parle.

Une chaîne de sécurité, également appelée chaîne de certificats, est une hiérarchie de certificats numériques utilisée pour les connexions sécurisées (certificat X509 ou HTTPS par abus de langage quand on parle d'un site web).

Root CA (Autorité de Certification Racine) : c'est l'autorité de certification principale qui émet des certificats de confiance. Il s'agit du point de départ de la chaîne de certificats. Les navigateurs et systèmes d'exploitation ont préinstallé les certificats de ces autorités racines pour établir une confiance de base (cf business de Microsoft plus haut).

SubCA (Autorité de Certification Intermédiaire/subordonnée) : ces autorités intermédiaires sont situées entre la racine et le certificat de serveur. Elles sont utilisées pour déléguer la tâche de délivrance de certificats aux entités finales, telles que les serveurs web. Les certificats de ces autorités intermédiaires sont signés par l'autorité racine (rootCA).

Certificat (SSL/TLS) : il est émis par une autorité intermédiaire (subCA) et est utilisé par un serveur pour prouver son identité aux utilisateurs. Ce certificat contient la clé publique du serveur et est signé par la clé privée de l'autorité intermédiaire (lien mathématique).

Lorsqu'un utilisateur visite un site web sécurisé, le navigateur vérifie la validité du certificat en remontant la chaîne jusqu'à l'autorité racine. Si la vérification réussit, la connexion est considérée comme sécurisée, assurant ainsi l'authenticité du site et le chiffrement des données échangées.

Erreur : "votre connexion n'est pas privée"

Ou encore :

"risque probable pour votre sécurité : firefox a détecté une menace de sécurité potentielle et n'a pas poursuivi vers..." avec Firefox.

Une chaîne de certificat mal configurée peut fonctionner dans certains navigateurs mais pas dans d'autres. Par exemple : le site fonctionne sur desktop mais pas sur mobile. De plus, lorsque vous renouvelez votre certificat, il se peut que vous deviez installer de nouveaux certificats intermédiaires.

Pour vérifier que le certificat est correctement installé tout le monde utilise Qualys ou équivalent. C'est très pratique mais un peu long et parfois un peu indigeste si vous voulez simplement vérifier votre chaine de certificat.

whatsmychaincert.com

C'est pourquoi j'utilise le site whatsmychaincert.com, aussi simple qu'utile : il indique si votre chaine est valide ou non.

Si votre chaine n'est pas valable il vous indique quelle chaîne vous devriez servir et vous aide à configurer votre serveur : Apache, nginx, postfix, stunnel etc. Soit en collant le certificat (publique, ne mettez pas ici votre clé privée!), soit directement depuis l'URL du site.

Il vous propose ensuite de télécharger la chaine que vous n'aurez plus qu'à utiliser ce fichier sur votre serveur :

Conclusion

Ce site m'est très utile au quotidien. En effet il n'est pas rare d'avoir aucune erreur sur un navigateur desktop mais des erreurs sur mobile, que ce soit dans une application, via une API ou un outil (wget, cURL).

Je le trouve fiable et s'il me dit que tout est OK alors le problème est ailleurs que dans le chaine de certificat / certificat.

➡ whatsmychaincert.com

Vous n'aimez pas le RSS : abonnez-vous par email 📥
Vous devriez me suivre sur Twitter : @xhark

Article original écrit par Mr Xhark publié sur Blogmotion le 23/01/2024 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Certificats HTTPS : comment vérifier la chaine ⛓️ provient de : on Blogmotion.

Comment les DRM des DVD sont tombés (HDCP, AACS)

✇Blogmotion
Par : Mr Xhark
15 octobre 2023 à 08:00

Retour sur l'histoire des protections embarquées sur le DVD : HDCP et AACS pour les intimes.

Avec l'origine de cette fameuse image composée de plusieurs couleurs 😁

Vous n'aimez pas le RSS : abonnez-vous par email 📥
Vous devriez me suivre sur Twitter : @xhark

Article original écrit par Mr Xhark publié sur Blogmotion le 15/10/2023 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Comment les DRM des DVD sont tombés (HDCP, AACS) provient de : on Blogmotion.

Contrôler un PC avec une invitation Outlook (CVE 2023-23397)

✇Blogmotion
Par : Mr Xhark
8 septembre 2023 à 08:00

Voilà qui devrait rappeler des souvenirs à ceux qui ont connu le ver I Love You ♥

Waked propose une démo de l'exploitation de la vulnérabilité Outlook CVE 2023-23397. Une exploitation originale qui permet de faire récupérer le condensat Net-NTLMv2 de l'utilisateur à cause d'une notification wav qui pointe vers un partage SMB (format UNC) :

Ici il est important d'avoir les mises à jour côté client (Outlook, donc pack Office) ET côté serveur (Exchange). Microsoft a publié un script permettant de savoir si un serveur exchange a été compromis.

Le correctif a d'ailleurs été contourné quelques semaines plus tard, il a du faire l'objet d'un nouveau patch 😝

 

Vous n'aimez pas le RSS : abonnez-vous par email 📥
Vous devriez me suivre sur Twitter : @xhark

Article original écrit par Mr Xhark publié sur Blogmotion le 08/09/2023 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Contrôler un PC avec une invitation Outlook (CVE 2023-23397) provient de : on Blogmotion.

Comment bruteforcer KeePass 💣(et s’en protéger)

✇Blogmotion
Par : Mr Xhark
25 août 2023 à 18:47

Hamza Kondah propose de temps en temps des webinaires via les réseaux sociaux. Hier il proposait un webinaire sur la sécurité de KeePass avec une démo de bruteforce mais aussi quelques conseils sur les options de sécurité à activer :

Le bureau sécurisé est une des options que j'active systématiquement et en premier lieu. Elle devrait d'ailleurs est active by design car elle n'a aucune incidence sur l'expérience utilisateur (même en bureau à distance tout fonctionne bien).

En revanche j'ai augmenté le nombre d'itération de ma base car j'étais toujours sur le paramètre de base, qui est ridiculement bas.

Vous pouvez également utiliser un fichier comme clé, dans ce cas le bruteforce sera impossible... attention à ne jamais modifier ce fichier et à bien le sauvegarder, sans donner d'indice sur le fait qu'il s'agit d'une clé pour déverrouiller votre base 😉

Enfin, mettez à jour KeePass (et ses plugins) dès qu'une mise à jour est disponible, il y a régulièrement des CVE qui sortent dont certaines sont critiques.

Merci Hamza 👍

Vous n'aimez pas le RSS : abonnez-vous par email 📥
Vous devriez me suivre sur Twitter : @xhark

Article original écrit par Mr Xhark publié sur Blogmotion le 25/08/2023 | Un commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Comment bruteforcer KeePass 💣(et s’en protéger) provient de : on Blogmotion.

OpenCVE (saucs) revient avec une v2

✇Blogmotion
Par : Mr Xhark
5 août 2023 à 08:00

J'ai découvert l'outil OpenCVE il y a quelques années, il s'appelait encore saucs, parce que la boite dans laquelle je travaillais ne voulait pas souscrire d'abonnement à service de suivi des vulnérabilités. Gratuit et français, que demander de plus ?

L(outil était sympa, mais un peu basique. Quand une nouvelle faille sortait je recevais une notification par email, et cela me facilitait la tâche. Mais les notifications étaient parfois nombreuses, dès qu'une virgule changeait rebelote un nouvel email.

J'ai donc hâte de voir la sortie de OpenCVE v2, merci à @ncrocfer

Vous n'aimez pas le RSS : abonnez-vous par email 📥
Vous devriez me suivre sur Twitter : @xhark

Article original écrit par Mr Xhark publié sur Blogmotion le 05/08/2023 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article OpenCVE (saucs) revient avec une v2 provient de : on Blogmotion.

[enquête] D’où viennent ces faux SMS ?

✇Blogmotion
Par : Mr Xhark
2 juin 2023 à 08:00

Une belle enquête de Micode qui a cherché à savoir qui se cachait derrière ces faux SMS Ameli, Colis, Netflix, etc

La vidéo dure 1h mais le sujet est abordé en long et en large, ça se regarde très bien !

Mon conseil pour éviter de donner des informations confidentielles à quelqu'un qui se fait passer pour votre banque au téléphone : demandez lui de lister les 3 derniers mouvements de votre compte et les montants associés, ainsi qu'un numéro de téléphone pour le rappeler. S'il refuse, raccrochez. Avec les fuites de données il peut avoir un nombre de données personnelles considérables sur vous, cela n'authentifie en rien son identité (même s'il connait certains chiffres de votre CB). Vous pouvez aussi lui demander de vous envoyer un message dans votre espace personnel bancaire, un escroc ne pourra pas le faire.

Dans tous les cas une banque ne vous demandera jamais de confirmer quoi que ce soit pour bloquer votre compte, votre simple accord par téléphone suffit. J'ai déjà eu le cas avec Boursorama qui m'a appelé car un paiement leur semblait suspect. J'ai confirmé que j'en étais bien à l'origine et ils ont débloqué ce paiement qu'ils avaient mis en attente.

Enfin, signalez au 33700 tout spam / phishing que vous recevez, c'est entièrement gratuit il vous suffit de leur transmettre le contenu du message, puis vous devrez répondre à quelques questions par SMS (numéro expéditeur, date, heure, etc).

Vous n'aimez pas le RSS : abonnez-vous par email 📥
Vous devriez me suivre sur Twitter : @xhark

Article original écrit par Mr Xhark publié sur Blogmotion le 02/06/2023 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article [enquête] D’où viennent ces faux SMS ? provient de : on Blogmotion.
❌
❌