Vous l’avez peut-être remarqué, mais ces derniers temps, les vulnérabilités dans les routeurs et autres équipements réseau se multiplient comme des petits pains. Et quand je dis petits pains, je parle plutôt du genre rassis et moisi qui traîne depuis des années dans un placard. C’est le cas de deux failles qui touchent les routeurs D-Link DIR-600 et DIR-605, qui viennent d’être ajoutées par la CISA à son catalogue des vulnérabilités activement exploitées par les pirates malveillants.
La première, CVE-2014-100005, permet à un attaquant de changer la configuration du routeur DIR-600 à distance, sans avoir besoin de se connecter. Comment ? Et bien grâce à une bonne vieille faille CSRF (Cross-Site Request Forgery), cette faille bien connue des années 2000 qui fait toujours des ravages en 2024. Il suffit que l’admin du routeur visite une page web piégée, et hop, l’attaquant peut faire ce qu’il veut de la config !
La deuxième, CVE-2021-40655, est une fuite d’informations dans l’interface web du DIR-605. En forgeant une requête HTTP POST vers la page « /getcfg.php », un petit malin peut récupérer en clair le nom d’utilisateur et le mot de passe de l’administrateur. Ça fait rêver, n’est-ce pas ?
La CISA précise que ces failles sont activement exploitées, mais ne donne pas plus de détails.
Le plus rigolo, c’est que la première faille date de 2014 et concerne un modèle qui n’est plus supporté depuis belle lurette. Donc si vous avez encore un DIR-600 qui traîne, il est plus que temps de le mettre à la retraite et de passer à un modèle plus récent. Pour la deuxième, pas de patch connu à ce jour, donc restez vigilants.
Mais ce n’est pas fini puisque d’autres chercheurs de SSD Secure Disclosure ont aussi trouvé des failles 0-day dans le routeur D-Link DIR-X4860. En combinant un contournement d’authentification et une injection de commande, un attaquant pourrait prendre le contrôle total de l’appareil, avec les privilèges root s’il vous plaît. Bref, le routeur est complètement compromis.
D-Link a été prévenu il y a un mois, mais n’a toujours pas réagi. Les détails techniques sont disponibles sur le blog de SSD, avec même un PoC prêt à l’emploi. La faille touche la version de firmware 1.04b03. Donc, si vous avez ce modèle, vérifiez votre version et espérez que D-Link réagisse rapidement et publie un correctif.
En attendant, la meilleure chose à faire est de garder son routeur à jour, de changer les mots de passe par défaut et de désactiver les fonctions dont on n’a pas besoin, comme l’accès à distance. Et pourquoi pas flasher son vieux routeur avec un firmware alternatif comme OpenWrt ou DD-WRT, qui sont généralement plus sûrs et plus à jour que les firmwares constructeurs ?
Comme vous le savez déjà, la sécurité en ligne est un océan qui subit assez souvent tempêtes et raz-de-marée. Il est donc essentiel de se munir d’outils efficaces pour naviguer en toute tranquillité. C’est là que Surfshark One se distingue, offrant une solution tout-en-un pour protéger votre présence numérique.
À la base reconnu comme l’un des meilleurs VPN sur le marché, Surfshark a élargi son horizon pour inclure une suite complète de sécurité depuis maintenant quelques années. Avec One, vous ne disposez pas seulement de l’option Surfshark VPN, mais d’un éventail complet d’outils pour garder votre vie en ligne le plus safe possible.
Au cœur de Surfshark One se trouve son antivirus, alimenté par le moteur reconnu d’Avira. Cette protection en temps réel garde un œil vigilant sur votre activité en ligne, détectant les virus, les logiciels malveillants et les menaces zero-day. Avec des mises à jour toutes les trois heures, ses définitions restent constamment au taquet pour faire face aux dernières menaces du cyberespace.
Et ça, c’est plutôt appréciable parce qu’en ce moment ça fuse de tous les côtés. Si vous me lisez régulièrement vous avez dû voir passer mes articles sur diverses failles ces dernières semaines. C’était encore le cas il y a quelques jours avec une campagne de malware et de phishing assez énorme qui a touché les utilisateurs de Docker Hub. Sur les 15 millions de dépôts existants, pas moins de 20% étaient contaminés par des logiciels foireux, allant du simple spam au malware (source). Et c’est d’autant plus flippant que cette faille existe depuis …. 2021, je vous laisse imaginer les dégâts au fil des années.
C’est là que Surfshark One va s’avérer assez utile puisqu’il vous empêchera de télécharger « par distraction » (je ménage les égos ^^) un fichier foireux sur votre machine. Il va pour cela utiliser une sorte de zone tampon entre le serveur d’origine et votre ordinateur. Si l’analyse ne lui convient pas, il bloquera simplement le fichier qui n’aura pas eu le temps de vous atteindre. Impossible de télécharger une bouse par inadvertance ou parce que vous faites confiance à un site qui ne le mérite pas.
Mais l’outil ne s’arrête pas là. La suite comprend également un moteur de recherche privé, qui fournit des résultats non biaisés et sans publicités. Contrairement aux grands moteurs de recherche qui pistent vos activités, Surfshark Search respecte votre vie privée en ne collectant pas vos données de recherche. Je ne vous détaille pas la fonction de création d’identité alternative, j’en ai déjà fait un article.
Un autre atout majeur de Surfshark One est son système d’alerte intégré. Ce système surveille en permanence les fuites de données sur Internet et vous avertit dès que vos informations personnelles sont compromises. Que ce soit votre adresse e-mail, vos identifiants de connexion ou vos informations de carte de crédit, il vous informe immédiatement pour que vous puissiez prendre les mesures nécessaires pour protéger vos comptes. Et pour vous empêcher de paniquer, l’outil vous guide sur les actions à entreprendre en priorité.
Ce côté monitoring est vraiment intéressant pour la plupart d’entre vous. Parce que la majorité n’a sans doute pas forcément le temps (ou l’envie) de surveiller l’actu cybersécurité au quotidien. De mon côté ça fait un peu partie de ma veille (et quand je rate un truc important on me le remonte sur Twitch lors de mes émissions), mais si ce n’est pas votre cas vous avez au moins une équipe qui bosse pour vous.
Autre bon point de cette suite c’est sa flexibilité. Disponible sur plusieurs OS et plateformes (Windows, Mac, ordinateur ou smartphone …), elle couvrira toutes vos machines (nombre illimité) et dispose d’une interface ultra simple à maitriser.
En termes de tarification, Surfshark propose une gamme d’options flexibles pour répondre à vos besoins spécifiques. Des abonnements à partir de 3,19 € par mois (TTC) pour un engagement de 26 mois sont disponibles (abonnement 1 an + 3 mois offerts). Avec toujours la possibilité d’essayer la suite avec 30 jours de garantie satisfait ou remboursé.
En résumé, si vous recherchez une solution complète pour sécuriser votre présence en ligne, l’outil offre une réponse robuste et efficace. Avec son antivirus puissant, son moteur de recherche privé et son système d’alerte contre les violations de données, Surfshark One vous donne la tranquillité d’esprit nécessaire pour naviguer en toute sécurité dans le monde numérique d’aujourd’hui. Et si vous voulez encore plus, vous avez l’option One+ qui intègre le service Incogni (dont j’ai aussi parlé de multiples fois).
Vous pensiez que vos secrets étaient en sécurité dans vos images Docker ? Détrompez-vous ! Une étude de l’Université d’Aix-la-Chapelle a révélé que près de 10% des images publiques sur DockerHub contenait des secrets (donc des identifiants, des clés API, des mots de passe, des endpoints sensibles…Etc).
Ça fait froid dans le dos.
On parle de plus de 50 000 clés d’API et d’identifiants accessibles publiquement. Et ce n’est que la partie émergée de l’iceberg puisque les chercheurs de Redhunt Labs ont aussi trouvé plus de 46 000 Dockerfiles exposant des infos sensibles. Bref, c’est la fête du slip côté sécurité !
Mais comment ces secrets se retrouvent-ils à fuiter comme une passoire ? Et bien c’est souvent, c’est à cause d’opérations de fichiers trop permissives, de secrets mis en dur dans les Dockerfiles…etc
Par exemple, beaucoup de tutos et même la doc officielle de Docker suggèrent d’utiliser COPY . . pour copier tout le répertoire courant dans l’image. Sauf que ça inclut aussi les fichiers sensibles comme .env ou l’historique Git. Pas top pour la confidentialité.
Et même si vous supprimez ces fichiers sensibles après le COPY, ils restent présents dans les couches précédentes de l’image. Un attaquant pourra donc toujours y accéder. Merci les layers 🙂
Autre coup classique : mettre directement les secrets dans le Dockerfile ou les passer en argument au build. Là encore, c’est cadeau pour les hackers. Un simple docker history --no-trunc et hop, vos secrets sont à nu.
Heureusement, il existe des solutions pour sécuriser tout ça. Par exemple, les builds multi-stages permettent d’isoler les secrets dans une étape intermédiaire qui ne sera pas conservée dans l’image finale. Et depuis peu, BuildKit propose une option --secret pour injecter les secrets sans les stocker dans l’image, mais attention aux pièges ! Si votre app log le secret qu’elle utilise, il finira quand même dans l’image. Les builds multi-stages restent donc plus safe de ce côté là.
Bref, vous l’aurez compris, la gestion des secrets dans Docker, c’est pas de la tarte mais en suivant les bonnes pratiques, vous pourrez limiter les risques.
Bref, pensez builds multi-stages, utilisez .dockerignore, oubliez les secrets en dur et n’abusez pas des arguments de build. Et surtout, ayez le réflexe d’auditer vos images avec des outils comme TruffleHog. Parce qu’un secret qui fuite, c’est votre réputation qui coule.
C’est vraiment une histoire incroyable que je découvre là… Un groupe de cyber criminels a réussi l’exploit de pirater plus de 400 000 serveurs Linux / FreeBSD / OpenBSD / SunOS / OSX depuis 15 ans, et tout le monde est passé à côté. Et tout cela grâce à un cheval de Troie appelé Ebury qui se planque discrètement dans le système.
Techniquement, Ebury s’infiltre via OpenSSH, le protocole qui permet de se connecter à distance à un serveur et une fois installé, ce parasite ouvre une porte dérobée pour que les pirates puissent entrer et sortir comme dans un moulin. Et le pire, c’est qu’il est super discret : il efface ses traces et se fait passer pour un processus légitime. Un vrai caméléon !
Très contents de mettre la main sur tous ces serveurs, les hackers ont aussi réussi à récupérer les mots de passe chiffrés de plus de 500 utilisateurs. Un trésor de guerre qui leur a permis de craquer la moitié des comptes et de se balader tranquille sur les machines infectées. D’après les experts en sécurité d’Eset, Ebury aurait commencé à sévir dès 2009, en s’attaquant aux serveurs de kernel.org, le sanctuaire du noyau Linux. Puis au fil des années, il s’est propagé un peu partout, en passant par des fournisseurs d’accès, des hébergeurs web, jusqu’à créer un méga botnet de plus de 400 000 zombies. Un peu flippant quand même…
Mais alors pourquoi personne n’a rien vu pendant tout ce temps ?
Eh bien, en 2011 déjà, des petits malins avaient repéré un truc louche et donné l’alerte. Les boss de kernel.org avaient alors promis de mener l’enquête… mais sans jamais donner de nouvelles. Un silence radio qui en dit long sur l’ampleur de la catastrophe !
Le pire dans tout ça, c’est qu’Ebury est toujours actif et continue de contaminer de nouvelles victimes grâce notamment à des failles 0-day dans des outils d’administration, du phishing, des attaques par dictionnaire sur SSH… Bref, l’attirail classique du parfait petit pirate. Sans oublier une méthode bien vicieuse : le gang vole carrément les identifiants d’autres cybercriminels et les utilise pour louer des serveurs et brouiller les pistes.
Ainsi, une fois qu’ils ont mis la main sur un maximum de machines, ils minent de la cryptomonnaie, volent des données bancaires, envoient du spam et redirigent du trafic web pour se faire du blé. La routine du cybercriminel, quoi… Mais rassurez-vous, il y a quand même des trucs à faire pour éviter de se faire piéger comme un bleu.
Déjà, oubliez le mot de passe unique et passez à l’authentification multi-facteurs sur SSH. Ensuite, surveillez vos logs et les connexions douteuses. Et si vous êtes sysadmin, appliquez direct les patchs de sécurité et surveillez régulièrement vos serveurs. Pour vous dire à quel point ces mecs sont doués, réussir à passer inaperçu pendant 15 piges et pirater autant de serveurs, c’est quand même pas rien ! Alors c’est pas une raison pour baisser la garde en touillant votre petit café !
Pour en savoir plus sur Ebury et ses impacts, n’hésitez pas à consulter ce rapport détaillé disponibles en ligne.
Alors, non, ce n’est pas un nouveau personnage dans Fortnite, mais le service de vigilance de l’État contre les ingérences numériques étrangères. Et en ce moment, ils ont du pain sur la planche, notamment en Nouvelle-Calédonie !
D’un côté, y’a la Chine, la Russie et l’Azerbaïdjan qui s’amusent à mettre leur grain de sel dans le débat public calédonien, via des campagnes de désinformation sur les réseaux sociaux. De l’autre, une petite équipe de geeks qui chez Viginum essaie de démêler le vrai du faux dans ce joyeux bordel numérique. Pas facile en effet de faire le tri entre les fake news des trolls russes, les mèmes des fermes à clics azerbaïdjanaises et la propagande des membres du « 50 Cent Party » (ou 五毛党 en chinois).
Dans ce contexte tendu, l’actualité brûlante et le blocage unilatéral de TikTok soulèvent des questions plutôt complexes c’est vrai. D’un côté, le réseau social étant détenu par l’entreprise chinoise ByteDance, il existe un risque réel d’ingérence de la part du gouvernement chinois. Bloquer TikTok pourrait donc être vu comme une mesure de protection de la souveraineté numérique. Mais d’un autre côté, couper l’accès à une application aussi populaire, surtout auprès des jeunes, pourrait être perçu comme une atteinte à la liberté d’expression et renforcer la défiance envers l’État.
De plus, les utilisateurs (et les trolls) finiront simplement par se disperser vers d’autres réseaux sociaux, ce qui rendra la mesure inefficace. Plutôt qu’une censure brutale, je pense qu’une approche plus nuancée, axée sur l’éducation aux médias et la lutte contre la désinformation, aurait été préférable. Mais bon, vu la situation d’urgence, c’est surement trop tard… Il aurait fallu se réveiller avant.
Face à ces défis, Viginium dispose d’un arsenal technique impressionnant. Ils collectent des données sur les réseaux sociaux en analysant notamment les métadonnées afin d’identifier les flux massifs d’informations suspectes venant de l’étranger. Par exemple, si un flot soudain de tweets pro-indépendance en Nouvelle-Calédonie provient de comptes basés à l’étranger, c’est un signal d’alarme pour eux. Notez quand même qu’ils ne se posent pas en arbitre de la vérité : leur rôle est simplement de détecter ces anomalies. Leurs alertes permettent ensuite au gouvernement d’étayer ses décisions.
Mais à quoi bon se donner tant de mal ?
L’enjeu est de taille puisqu’il s’agit ni plus ni moins que de la souveraineté nationale. En effet, des campagnes de désinformation bien orchestrées peuvent déstabiliser le débat public et influencer des résultats critiques, comme lors des référendums d’indépendance en Nouvelle-Calédonie. Le dernier, qui a eu lieu en décembre 2021, avait d’ailleurs fait l’objet d’une surveillance étroite de Viginum pour repérer les activités en ligne suspectes.
Bien qu’équipés de technologies avancées (algorithmes de détection de bots, OSINT…), les experts de Viginum opèrent dans un cadre légal bien défini, garantissant ainsi le respect des libertés individuelles. La législation actuelle encadre strictement leur actions : la collecte des données est soumise à décrets, leur conservation est limitée à six mois, et un comité éthique, présidé par un haut conseiller d’État, veille au respect des règles. Cet équilibre entre efficacité et protection des droits des citoyens est essentiel pour maintenir la confiance envers cette institution de notre cybersécurité nationale.
En fin de compte, Viginum joue un rôle plutôt méconnu mais crucial dans la défense de la souveraineté française face aux ingérences étrangères et je trouvais ça intéressant de vous en parler un peu. Vous trouverez plus d’infos ici.
Google vous connaît bien et il sait que vous adorez votre smartphone Android… Mais il sait aussi que vous êtes ce genre de boulet qui le laisse dans sa poche arrière ou trainer sur une table en terrasse… Heureusement, voici quelques nouvelles fonctionnalités impressionnantes conçues pour vous protéger des voleurs de smartphones.
Premièrement, Android renforce la dissuasion. La protection par réinitialisation d’usine est améliorée pour rendre un téléphone volé inutilisable et invendable sans vos identifiants. Comme chez Apple donc. De plus, il sera possible de vous créer un espace privé caché et verrouillé par un code pour y planquer vos applis sensibles. Et pour modifier les paramètres critiques comme le délai de mise en veille, il faudra s’authentifier. Comme ça, pas touche à vos réglages ! Bref, de quoi faire réfléchir à deux fois les pickpockets !
Ensuite, place à la protection automatique dès que votre téléphone vous fausse compagnie. La fonction Theft Detection Lock utilise l’IA de Google pour détecter si un voleur vous arrache votre précieux des mains et se fait la malle. Si c’est le cas, hop, écran verrouillé direct, même pas le temps de dire ouf ! Et si le voleur essaie de couper la connexion, le Offline Device Lock se déclenche pour protéger vos données.
Enfin, si malgré toutes ces précautions votre téléphone finit quand même par se faire la belle, pas de panique. Vous pourrez le verrouiller à distance en deux clics, juste avec votre numéro, ce qui vous laissera le temps de traquer le fuyard depuis l’outil de localisation de votre appareil et atomiser toutes vos données à distance. Et si le brigand essaie de deviner votre code une fois de trop, bim, écran verrouillé.
Vous l’aurez compris, toutes ces nouveautés de folie débarqueront sur les appareils Android à partir de la version 10 dans le courant de l’année, et certaines seront même exclusives à Android 15. Bref, quand vous vous ferez voler votre téléphone celui-ci sera surement recyclé par le voleur pour ses pièces détachées mais au moins, vos données seront en sécurité. Enfin, j’espère…
Apple et Google, les deux titans du monde mobile, ont décidé de mettre leurs différends de côté pour unir leurs forces en nous dévoilant un nouveau protocole : le « Detecting Unwanted Location Trackers ». Rien que le nom, ça envoie du lourd !
En résumé, c’est un standard commun qui va permettre à iOS et Android de nous alerter quand un traqueur Bluetooth non associé à notre smartphone tente de nous suivre à notre insu. Fini les ex psychopathes un peu trop collants, les parents pervers narcissiques qui jouent les espions et autres individus mal intentionnés ! Notre téléphone nous avertira directement si un de ces traqueurs se faufile dans nos déplacements. C’est une bonne nouvelle non ?
Dès qu’un accessoire Bluetooth compatible avec ce protocole sera détecté près de vous alors qu’il n’est pas associé à votre appareil, vous recevrez une alerte : « Objet détecté se déplaçant avec vous ». Un message un peu flippant, certes, mais au moins c’est clair ! Et en cliquant sur cette alerte, vous pourrez voir l’identifiant du traqueur, lui ordonner de faire du bruit pour le retrouver (ça, c’est la partie marrante 😄), et même le désactiver directement depuis votre téléphone (moins drôle pour le stalker).
Néanmoins, il faut relativiser car recevoir ce genre d’alerte ne signifie pas forcément que quelqu’un cherche volontairement à vous suivre. Cela pourrait très bien être un objet emprunté ou oublié qui porte un traqueur mais dans le doute, mieux vaut vérifier ! La bonne nouvelle, c’est que de nombreux fabricants d’accessoires se sont déjà engagés à rendre leurs futurs produits compatibles avec ce protocole dont Chipolo, eufy Security, Pebblebee et bien d’autres encore. Mais honnêtement, ils n’avaient pas trop le choix s’ils ne voulaient pas se faire boycotter par Apple et Google ! 😅
Cependant, au-delà de la plaisanterie, c’est une avancée significative pour notre vie privée. Avec la multiplication des objets connectés, il est devenu difficile de distinguer les accessoires légitimes de ceux utilisés par des personnes malveillantes donc ce nouveau standard nous offre plus de clarté et nous aide à surveiller qui pourrait tenter de nous espionner !
De plus, pour les paranos comme moi qui dorment avec un bonnet en alu sur la tête (non, je n’ai pas de problèmes psy…), sachez que ce n’est pas le premier système anti-pistage développé par ces GAFAMs. AirTag chez Apple et les autres accessoires du réseau Find My intègrent déjà de nombreuses protections contre les utilisations malveillantes. Mais cette initiative va encore plus loin en fédérant les deux systèmes mobiles leaders du marché et en incitant de nombreux acteurs à adopter ce protocole commun. Avec un peu de chance, dans quelques années, l’utilisation de traqueurs Bluetooth pour suivre quelqu’un à son insu sera obsolète.
D’ici là, un petit conseil : méfiez-vous des gadgets électroniques offerts soi-disant pour « garder un œil sur vos affaires ». C’est peut-être juste une excuse pour vous garder à l’œil, VOUS ! 👀 Et n’oubliez pas de prévenir les autorités si la situation semble vraiment préoccupante, restez vigilant et surveillez bien vos notifications. Peut-être qu’un tracker se cache déjà dans votre sac…
Salut les amis, j’espère que vous profitez bien de ce printemps dégueulasse avant la période trouble de la fin d’année scolaire qui arrive. De mon côté, comme vous l’avez remarqué je charbonne pas mal en ce moment avec un rythme de publication assez poussé. Le site a 20 ans et presque toutes ses dents … la seconde jeunesse n’est pas un mythe. Et je vous teste du coup pas mal d’outils IA variés et éclectiques. L’occasion de rappeler que tout n’est pas (p)rose au pays du prompt.
Récemment je vous ai mis en garde sur les pratiques des applications d’achat de vêtements, les applis destinées aux enfants et même les voitures intelligentes. Vous pensiez que ce serait difficile de faire pire ? Et bien, détrompez-vous, car avec la mode de l’Intelligence artificielle, il semble « normal » de voir naitre des outils destinés à récolter un max d’informations personnelles à notre propos. Surtout si ce sont des extensions qui tournent sur Google Chrome (que vous devriez avoir remplacé par Firefox ou par Brave au minimum depuis 1974).
Si vous touchez à l’IA, vous savez qu’elles sont capables de rendre d’énormes services et de vous faire gagner du temps. Le souci c’est que cela les rend d’autant plus alléchantes à installer et à utiliser. Et leurs concepteurs l’ont bien compris. Les chercheurs d’Incogni ont donc passé au grill plus de 70 extensions Chrome pour voir si le résultat est catastrophique. Ou tout du moins qui s’en sort le moins bien et qui récolte quoi à votre propos.
Et l’état des lieux est … cata. Encore plus que pour les catégories précédemment citées. Ici ce sont pas moins de 70% des apps qui sont problématiques, mais qui en plus sont considérés à risques élevés. Par exemple 100% des extensions dédiées à l’écriture assistée par IA sont concernées (ouch). 60% récoltent vos données personnelles et surtout 44% récupèrent des infos qui peuvent vous identifier directement (adresse mail, téléphone, nom et prénom …). Du pain béni pour les data brokers.
Du côté des permissions demandées, sans surprises, ce sont les extensions de type assistant personnel qui se gavent le plus. Habitudes de surf, historique web, localisation, identifiants de connexions … certaines peuvent même aller jusqu’à injecter du code JavaScript dans les pages que vous utilisez, avec tous les risques que cela comporte. Parmi les apps inspectées, de grands noms comme Grammarly, Quillbot, Jasper ou WebChatGPT. Est-ce que ce sera utilisé à vos dépens ? Qui sait. Si vous voulez creuser les données, c’est par ici.
Bref, l’IA ne déroge pas à la règle habituelle du web : lorsqu’une nouvelle technologie débarque, c’est toujours un peu le far-west. Et pour se protéger un minimum il n’y a pas tant d’outils que ça, d’ou l’utilité d’un service comme Incogni.
En limitant la durée de rétention de données personnelles stockées chez les data brokers, Incogni contribue à renforcer votre confidentialité en ligne et à réduire votre exposition. L’outil ne peut pas empêcher ce genre d’applications de récupérer vos infos (il n’y a que vous qui pouvez le faire en étant très attentif à votre comportement en ligne, en n’installant rien d’inutile, etc.). Par contre il va empêcher les brokers qui achètent ou se procurent votre profil de l’utiliser et le revendre.
Via une interface simple à prendre en main, l’outil de Surfshark va servir d’intermédiaire. Il va analyser sa liste de courtiers sous surveillance (environ 200), voir si vous apparaissez dans leurs bases et si c’est le cas leur envoyer un mail pour demander un retrait. Et relancer sans arrêt jusqu’à ce que le broker effectue la suppression. En plus de voir l’avancée des étapes sur votre compte, vous pouvez aussi connaitre le niveau de dangerosité des différents brokers. Un retour sur mon test personnel est à lire ici.
Il fait aussi du suivit long terme. Donc dès qu’un vilain pas beau vous a effacé, vous savez que c’est pour de bon (s’il tente un coup en scred il sera rappelé à l’ordre). Et savoir qu’il ne fera plus d’argent sur votre dos est toujours une petite satisfaction. Le prix du service reste inchangé, vous pouvez vous abonner pour moins de 94€ TTC/an. Et cela sans risques grâce à la garantie satisfait ou remboursé de 30 jours.
Ah, les joies du Raspberry Pi… On en achète un, puis deux, puis trois… Et avant de s’en rendre compte, on se retrouve avec une armée de petits ordinateurs dispersés aux quatre coins de la maison, du garage et du jardin. Du coup, pas facile de s’y retrouver, surtout quand il faut jongler avec VNC, SSH et autres joyeusetés pour y accéder à distance.
Mais ne vous inquiétez pas, les gens de la Raspberry Pi Foundation ont pensé à tout et viennent de nous pondre Raspberry Pi Connect, un nouvel outil bien pratique pour accéder aux Pi à distance, et ce, depuis n’importe quel navigateur web. Comme ça, plus besoin de se prendre la tête aevec la configuration réseau, des ports à ouvrir et des adresses IP à retenir.
Pour utiliser ce truc, il vous faut d’abord un Raspberry Pi 4, 5 ou 400 équipé d’une version 64 bits de Raspberry Pi OS Bookworm avec l’interface graphique Wayland. Une fois votre Pi à jour, ouvrez un terminal et entrez la commande magique :
sudo apt install rpi-connect
Quelques secondes plus tard, après un petit redémarrage, vous devriez voir apparaître une nouvelle icône dans la barre des tâches, en haut à droite de votre écran. Cliquez dessus, choisissez « Sign in » et suivez les instructions pour associer votre Pi à un compte Raspberry Pi. N’oubliez pas d’activer la double authentification.
Et là, c’est le moment « Waouh » : depuis n’importe quel ordinateur, tablette ou téléphone équipé d’un navigateur web, rendez-vous sur connect.raspberrypi.com, connectez-vous et… tadaa ! Vous voilà en train d’utiliser votre Raspberry Pi à distance, via un accès sécurisé et chiffré à votre bureau.
En fait, quand vous utilisez Raspberry Pi Connect, une connexion pair-à-pair (P2P) est établie entre votre navigateur et votre Pi grâce à la technologie WebRTC (si vous ne connaissez pas, c’est ce qui est utilisé par Zoom, Slack ou Google Meet pour la visio). Le démon rpi-connect installé sur votre Pi se charge alors de négocier la meilleure connexion possible avec le serveur VNC intégré. Comme ça, dans la plupart des cas, une connexion directe est possible, sans passer par les serveurs de Raspberry Pi. Mais si jamais ce n’est pas faisable, pas de stress, le trafic sera alors relayé de manière sécurisée et chiffrée via les serveurs de la Raspberry Pi Foundation, en utilisant le protocole DTLS.
Pour le moment, il n’y a qu’un seul serveur relais, situé au Royaume-Uni, donc cela peut entraîner un peu de latence si vous êtes loin des côtes anglaises. Mais d’autres serveurs sont prévus pour garantir une bonne expérience utilisateur. Et vous pouvez même vérifier si votre connexion est directe ou relayée en passant votre souris sur l’icône de cadenas dans votre navigateur.
L’équipe de Raspberry Pi Connect a bien sûr l’intention de garder le service gratuit pour les utilisateurs, tant qu’une connexion directe est possible, et ce, quel que soit le nombre d’appareils utilisés. Et pour le moment, les connexions relayées sont, elles aussi gratuites, le temps de voir combien de personnes en ont besoin et quelle quantité de bande passante est nécessaire.
Bref, ça tombe à pic, surtout depuis le passage de Raspberry Pi OS à Wayland qui empêchait d’utiliser la fonction d’accès distant intégrée au protocole X11. Avec ce nouvel outil, on retrouve donc ce confort d’utilisation qui a fait la réputation des Pi et en quelques clics, on peut accéder à sa petite merveille et bidouiller tout ce qu’on veut depuis n’importe où.
Tiens, Microsoft nous prépare un nouveau bébé baptisé Zero Trust DNS, ou ZTDNS pour les intimes. Alors c’est quoi encore ce truc ? Eh bien c’est tout simplement un système permettant de sécuriser le DNS sur nos chers Windows.
Pour ceux qui auraient loupé un épisode, le DNS c’est un peu comme l’annuaire téléphonique d’Internet. Il permet de traduire les noms de domaine tout mignons comme korben.info en adresses IP bien moins sexy. Le problème, c’est que jusqu’à présent, le DNS c’était un peu le maillon faible de la sécurité. Les communications n’étaient pas chiffrées, ce qui ouvrait la porte à plein de menaces comme l’espionnage, le détournement de trafic ou même les attaques de type « DNS spoofing« . D’ailleurs, selon une étude de Cisco, plus de 70% des attaques de phishing utilisent des techniques de DNS spoofing pour tromper leurs victimes.
Mais ça, c’était avant ! Avec ZTDNS, Microsoft promet de changer la donne. Déjà, toutes les communications entre les clients Windows et les serveurs DNS seront chiffrées et authentifiées grâce aux protocoles DNS over HTTPS (DoH) ou DNS over TLS (DoT), ce qui devrait rendre la vie plus difficile aux vilains cyber criminels qui voudraient mettre leur nez dans nos petites affaires.
Ensuite, et c’est là que ça devient vraiment intéressant, ZTDNS va permettre aux admins réseau de contrôler finement quels domaines peuvent être résolus par les serveurs DNS. En gros, si un domaine n’est pas sur la liste blanche, et bien le client Windows ne pourra tout simplement pas s’y connecter !
Mais attention, mettre en place un truc pareil, ça ne va pas être une partie de plaisir. Il va falloir bien planifier son coup pour éviter de tout casser, du genre bloquer sans faire exprès l’accès à des services importants ! Mais bon, c’est le prix à payer pour renforcer la sécurité et se rapprocher doucement d’un modèle « Zero Trust » où on ne fait confiance à personne par défaut.
Alors concrètement, comment ça va marcher ?
Eh bien déjà, il faudra que les serveurs DNS supportent les protocoles de chiffrement comme DoH ou DoT. Ça tombe bien, ZTDNS est conçu pour être compatible avec tout ça. Pas besoin de réinventer la roue.
Ensuite, lorsqu’un client Windows aura besoin de résoudre un nom de domaine, il va discuter avec un des fameux serveurs DNS « protecteurs » et si le domaine est autorisé, le serveur lui filera l’adresse IP correspondante. Et hop, le pare-feu Windows sera dynamiquement mis à jour pour autoriser la connexion vers cette IP. Par contre, pour le reste, c’est niet ! Le trafic sera bloqué direct !
Bon après, faut quand même avouer qu’il y aura des trucs qui vont morfler à cause de ZTDNS. Tous les protocoles réseaux un peu exotiques qui n’utilisent pas le DNS, comme le multicast DNS (mDNS) par exemple, ça va être coupé. Pareil pour les partages de fichiers sur le réseau local ou les imprimantes qui utilisent des protocoles de découverte archaïques. Ça risque donc de râler dans les chaumières !
Mais heureusement, les ingénieurs de Microsoft ne sont pas nés de la dernière pluie et ont prévu pas mal de mécanismes pour « mitiger » ces problèmes. Par exemple, on va pouvoir définir des exceptions pour autoriser certaines plages d’adresses IP sans passer par le DNS. Ou encore favoriser des solutions plus modernes et sécurisées, comme l’impression via Universal Print qui passe, lui, gentiment par le DNS.
Un autre truc à prendre en compte, c’est que certaines applications un peu spéciales risquent de ne plus fonctionner du tout avec ZTDNS. Celles qui utilisent des adresses IP codées en dur ou des mécanismes de résolution maison, c’est mort. Mais bon, ce sera l’occasion de faire le ménage et de moderniser tout ça.
Microsoft a d’ailleurs prévu un mode « Audit » qui permet dans un premier temps de voir ce qui serait bloqué par ZTDNS, sans pour autant péter la prod. Comme ça, on peut analyser tranquillement les flux réseau et identifier les applications ou les flux problématiques. C’est un bon moyen d’anticiper les éventuels soucis avant de passer en mode bloquant !
Bon après, faut pas non plus se voiler la face. Même avec ZTDNS, il restera toujours des failles de sécurité potentielles. Les connexions VPN ou SASE/SSE par exemple, qui encapsulent le trafic dans un tunnel chiffré, pourront toujours passer entre les mailles du filet si on n’y prend pas garde. Sans parler des technologies de virtualisation qui court-circuitent carrément la pile réseau de Windows !
Mais bon, rien n’est parfait et il faut bien commencer quelque part… ZTDNS représente déjà une sacrée avancée pour renforcer la sécurité réseau des parcs Windows et avec un peu de rigueur et de persévérance, les admins sys pourront en tirer le meilleur parti.
Pour l’instant, ZTDNS est en preview privée chez Microsoft. On ne sait pas encore exactement quand il débarquera dans nos Home Sweet Home. En attendant, je vous invite à aller jeter un œil à l’article sur le blog Techcommunity qui rentre dans les détails techniques de la bête. C’est dense mais ça vaut le coup de s’y plonger si vous voulez être informé.
Voici une info qui va vous faire voir les VPN sous un autre angle. Bah oui, parce que si vous pensiez que votre petit tunnel chiffré préféré vous mettait à l’abri des regards indiscrets quand vous surfez depuis un réseau public, désolé de casser vos rêves, mais c’est loin d’être le cas !
Une équipe de chercheurs de Leviathan Security a découvert une faille qu’ils ont baptisée TunnelVision qui permet de court-circuiter la protection des VPN à l’aiiise, grâce à une fonctionnalité bien pratique du protocole DHCP, ce bon vieux serviteur qui distribue des adresses IP à tout va.
En gros, quand vous vous connectez à un réseau, votre machine demande gentiment une adresse IP au serveur DHCP local. Jusque là, tout va bien. Sauf que ce protocole a plus d’un tour dans son sac. Il peut notamment pousser des règles de routage sur votre bécane, via une option peu connue appelée « Classless Static Route » ou option 121.
Concrètement, un attaquant qui contrôle le serveur DHCP peut installer des routes par défaut sur votre machine, ce qui lui permet de rediriger tout votre trafic vers sa propre passerelle, même si vous êtes connecté via un VPN ! Et là, c’est le drame, car il peut intercepter toutes vos données en clair. 😱
Bon, rassurez-vous, il y a quand même quelques conditions pour que cette attaque fonctionne :
1. L’attaquant doit avoir un accès physique au réseau local ou être en mesure de compromettre un équipement sur ce réseau.
2. Le client VPN ne doit pas bloquer les sorties de trafic vers les interfaces réseau locales.
Mais quand même, ça fait froid dans le dos, d’autant que cette faille touche potentiellement tous les réseaux, des petits réseaux domestiques aux gros réseaux d’entreprise. Les chercheurs ont d’ailleurs réussi à l’exploiter sur Windows, macOS, iOS, Android, et même sur des distributions Linux.
Heureusement, il existe des parades pour se prémunir contre TunnelVision :
Activer les fonctions de DHCP snooping et d’ARP protection sur les commutateurs réseau pour empêcher l’installation de serveurs DHCP non autorisés.
Configurer des règles de pare-feu strictes pour bloquer le trafic non autorisé.
Utiliser des protocoles de chiffrement comme HTTPS pour sécuriser les ressources internes.
Implémenter une isolation réseau robuste via des fonctionnalités comme les espaces de noms réseau (network namespaces) sous Linux.
Les fournisseurs de VPN ont évidemment aussi un rôle à jouer en documentant publiquement les mesures d’atténuation contre TunnelVision et en avertissant leurs utilisateurs des risques.
Bref, en attendant un éventuel correctif, la prudence reste de mise. Mais en appliquant les bonnes pratiques et en restant vigilants, on peut quand même limiter les dégâts ! Si le sujet vous intéresse et que vous voulez aller plus loin, je vous invite à consulter le papier de recherche complet qui détaille le fonctionnement technique de TunnelVision. C’est un peu ardu, mais ça vaut le coup d’œil pour les plus motivés d’entre vous.
Vous pensez que les méthodes d’authentification modernes comme FIDO2 vous protègent efficacement contre le vol de cookies et les attaques de l’homme du milieu (MITM) ? Détrompez-vous ! Une équipe de chercheurs vient de démontrer qu’il est possible de contourner ces protections en s’emparant des précieux sésames que sont les jetons de session.
Vous vous connectez tranquillement à votre appli préférée, en scannant votre empreinte digitale ou en insérant votre clé de sécurité dernier cri, vous vous sentez en sécurité, comme un petit bébé dans les bras de sa maman ou de son papa, protégé par la magie de FIDO2 (et de son absence de mots de passe).
Sauf que dans l’ombre, un vilain pirate que nous appellerons Vladimitch, a réussi à s’immiscer entre vous et le serveur, tel un cyber-ninja. Et là, c’est le drame : il intercepte le fameux jeton de session qui vous permet de rester connecté sans avoir à retaper vos identifiants à chaque clic. Ni vu ni connu, il peut alors se faire passer pour vous et accéder à votre compte !
Mais comment est-ce possible avec une authentification si robuste ? Eh bien figurez-vous que le problème ne vient pas de FIDO2 en lui-même, mais plutôt de la façon dont les applications gèrent les sessions après la phase d’authentification. Une fois que vous êtes connecté, c’est open bar, et votre jeton se balade joyeusement sur le réseau, sans trop de protection.
Les chercheurs ont mis en lumière cette faille en testant plusieurs implémentations de FIDO2, comme le bac à sable Yubico Playground, le système d’authentification unique (SSO) Entra ID de Microsoft ou encore l’adaptateur PingFederate. Et dans chaque cas, ils ont pu démontrer qu’un attaquant pouvait intercepter et réutiliser un jeton de session valide sans posséder la clé d’authentification FIDO2 associée.
Mais rassurez-vous, tout n’est pas perdu. Il existe une parade pour éviter de se faire dérober son précieux jeton : la « liaison de jeton » (ou token binding pour les anglophones). Concrètement, ça consiste à créer un lien indéfectible entre votre jeton de session et la connexion sécurisée (TLS) que vous utilisez. Comme ça, il devient impossible pour l’attaquant d’utiliser votre jeton sur une autre connexion. Malin !
Le hic, c’est que cette protection est encore peu répandue. Et à part Microsoft qui l’a intégrée sur Edge, les autres navigateurs et applications web traînent des pieds. Google a même fini par jeter l’éponge sur Chrome, faute d’adoption. Pourtant, cela pourrait éviter bien des déboires aux utilisateurs et des migraines aux administrateurs système mais que voulez-vous, entre la sécurité et la facilité, le cœur des développeurs balance !
Bref, restez vigilant car même une sécurisation FIDO2 n’est pas infaillible face à une attaque MITM bien pensée. Microsoft a réagi de son côté en introduisant une fonctionnalité de protection des jetons basée sur les modules de plateforme sécurisée (TPM) dans Windows, une variante de la « liaison de jeton ». Mais pour une adoption massive, il faudra que tous les acteurs jouent le jeu.
En attendant, les experts recommandent aux développeurs d’applications d’exiger la « liaison de jeton » sur les authentifications FIDO2 lorsque c’est possible, de limiter l’usage des jetons OIDC et SAML à une seule fois par authentification réussie, et surtout de bien comprendre les menaces pour concevoir des mécanismes d’authentification adaptés.
Et vous, en tant qu’utilisateur, c’est toujours la même chanson, à savoir, évitez de vous connecter à des hotspots Wi-Fi publics douteux, ne cliquez pas sur les liens louches, et méfiez-vous des plugins de navigateur exotiques.
Bref, un peu de jugeotte, comme toujours… Sur ce, bon développement à tous et may the force (4th) be with you ! (On l’a passé, c’était le 4 mai…)
Si vous ne l’avez pas encore fait, je vous recommande vivement d’activer la double authentification sur tous vos comptes en ligne. C’est hyper important !
Alors évidemment, pour cela vous aurez besoin d’une application 2FA et j’en ai déjà recommandé beaucoup comme Authy, 2FAS, Google Authenticator, celle de Lastpass et j’en passe. Et aujourd’hui, je vous en fait découvrir une nouvelle qui s’appelle très sérieusement Authenticator Pro (mais ça n’a rien à voir avec l’app de Google).
Authenticator Pro est donc une appli de 2FA qui fonctionne sous Android et supporte les algorithmes de hachage SHA1, SHA256 et SHA512, ainsi que les protocoles TOTP (basé sur le temps) et HOTP (basé sur un compteur). Elle gère également les codes Mobile-Otp, Steam et Yandex.
En plus d’être compatible avec la plupart des services et providers, Authenticator Pro vous permet également de sauvegarder vos données de manière sécurisée grâce à un bon chiffrement et les restaurer facilement en cas de changement de téléphone. Comme ça, pas de panique si votre cher smartphone vous laisse tomber.
Y’a un mode sombre pour ceux qui sont de la night et vous pourrez même organiser tous vos codes dans des catégories comme un bon maniaque du rangement. Vous l’aurez compris, Authenticator Pro fonctionne offline et surtout respecte votre vie privée. Niveau permissions, comme je sais que ça vous tient à cœur, sachez le, elle est plutôt du genre discrète : une seule autorisation requise pour fonctionner, c’est tout ! Cela concerne l’accès à la caméra pour flasher les QR codes des comptes à ajouter.
Et pour les plus geeks d’entre vous, l’app est compatible avec Wear OS. Comme ça vous pourrez valider vos connexions directement depuis votre poignet, tel un agent secret.
Cette saleté, baptisée « Dirty Stream« , permet à une app malveillante d’écrire tranquillou dans le répertoire d’une autre app et d’exécuter du code comme bon lui semble.
Mais comment c’est possible ce bazar ?
Eh bien figurez-vous que sous Android, les apps peuvent partager des données entre elles grâce à un système de « fournisseur de contenu ». Jusque là, tout va bien, sauf que certains petits malins ont trouvé le moyen de contourner les contrôles de sécurité en utilisant des « intents personnalisés » mal ficelées.
En clair, une app malveillante envoie un fichier avec un nom ou un chemin trafiqué à une app légitime qui, sans méfiance, l’exécute ou le stocke gentiment dans l’un de ses dossiers critiques. Et paf, l’attaquant peut alors faire mumuse avec les données de l’app cible, voler des infos sensibles comme les identifiants SMB et FTP stockés dans le fichier rmt_i.properties, ou carrément prendre le contrôle de l’app. Bref, c’est le boxon.
Et le pire, c’est que ce genre de boulettes est monnaie courante. Les chercheurs de Microsoft ont épinglé plusieurs apps populaires, comme le gestionnaire de fichiers de Xiaomi (1 milliard d’installations, tout de même) qui utilise un chemin spécifique /files/lib pour sauvegarder les fichiers, ce qui peut être détourné par un attaquant. Autant dire que ça fait un sacré paquet de téléphones exposés.
Heureusement, après avoir prévenu Google et les éditeurs concernés, des correctifs ont été déployés en vitesse. Mais ça la fout mal surtout quand on sait que selon l’équipe de recherche sur la sécurité des applications Android de Google, 20% des apps Android seraient vulnérables à ce type d’attaque. Ouch !
Alors, que faire pour se protéger ?
Et bien commencez par mettre à jour vos apps via le Google Play Store, à vérifier les permissions des app installées et surtout évitez d’installer des appli louches surtout si ça vient d’un store alternatif ou un APK tombé du camion. Et si vous êtes dev Android, il va falloir blinder vos apps en suivant ces bonnes pratiques :
Ignorer le nom retourné par le fournisseur de fichiers distant lors de la mise en cache du contenu reçu
Utiliser des noms générés aléatoirement ou assainir le nom de fichier avant d’écrire un fichier en cache
Vérifier que le fichier en cache se trouve dans un répertoire dédié avant d’effectuer une opération d’écriture
Utiliser File.getCanonicalPath et valider le préfixe de la valeur retournée pour s’assurer que le fichier est au bon endroit
Voilà, vous savez tout pour ne pas vous faire dirty streamer dans les grandes largeurs !
Imaginez… Vous vous pointez tranquillou au bar du coin pour siroter une petite mousse entre potes et là, surprise ! Pendant que vous trinquez gaiement, une borne de reconnaissance faciale vous scanne en douce pour vérifier si vous avez bien l’âge légal, que vous n’êtes pas accro aux machines à sous et encore moins Xavier Dupont de Ligonnès. Sympa l’ambiance, non ?
C’est exactement ce qui se passe depuis quelque temps dans certains bars et clubs en Australie, grâce (ou à cause, c’est selon) de la société Outabox et de ses bornes biométriques magiques. Le hic, c’est qu’un méchant pirate a visiblement réussi à mettre la main sur la base de données des joyeux fêtards, avec au menu les données de reconnaissance faciale, les scans de permis de conduire, les signatures, les infos d’adhésion au club, les adresses, les dates de naissance, les numéros de téléphone et même l’historique d’utilisation des machines à sous pour certains. Bref, de quoi ruiner une réputation en quelques clics !
Selon les informations rapportées par le site web « Have I Been Outaboxed », plus d’un million de personnes auraient été affectées par cette fuite de données. Le site affirme également que ces données sensibles se seraient baladées sur un bête tableau Excel sans protections. Cependant, ces déclaration sont à prendre avec précaution, car leur véracité n’a pas pu être confirmée de manière indépendante.
Les flics australiens sont sur le coup et ont déjà alpagué un individu qui risque de passer un sale quart d’heure mais le mal est fait et des tas de gens risquent de se faire spammer, arnaquer ou subir du chantage s’ils ont eu le malheur de mettre les pieds dans l’un des 19 clubs équipés de ces satanées bornes.
Les experts en sécurité et les défenseurs de la vie privée montent au créneau et dénoncent les dérives de ces technologies de surveillance, surtout quand c’est géré avec les pieds. Ça soulève pas mal de questions : à quel point peut-on faire confiance à des entreprises pour stocker ce genre de données ultra-sensibles ? Est-ce bien raisonnable de balancer sa trombine et ses infos persos à tout va pour pouvoir aller boire un coup ? Qui contrôle vraiment l’usage de ces systèmes ? Les régulateurs ont-ils les moyens de vérifier ce qui se passe derrière les écrans ?
Des initiatives commencent même à émerger pour mieux encadrer le déploiement de la reconnaissance faciale dans l’espace public. Certaines villes ou États l’ont carrément interdit mais dans l’ensemble, c’est encore un peu le Far West et les entreprises font un peu ce qu’elles veulent. Il y a sans doute un équilibre à trouver entre les usages légitimes (sécurité, prévention de la fraude…) et le respect de la vie privée des citoyens.
En attendant, méfiance ! Si vous passez en Australie pour les vacances et que vous voyez une borne louche vous faire de l’œil à l’entrée de votre bar préféré, n’hésitez pas à râler un bon coup pour éviter que ces pratiques se généralisent. Après tout, les données personnelles et la vie privée, c’est précieux et pas question de les brader sur l’autel de la techno-sécurité !
Et si un barman vous demande un selfie, COUP DE BOULE ! lol
Aujourd’hui, on va causer d’un sujet qui tient à cœur de tout le monde : la sécurité et la confidentialité de nos smartphones ! Ernestas Naprys, un journaliste de Cybernews, s’est amusé à comparer les systèmes Android et iOS pour voir lequel était le plus sûr et le résultat ne manque pas de piquant !
Avant de rentrer dans le vif du sujet, petit rappel quand même : nos téléphones ne font pas que nous tenir compagnie la nuit dans le lit… non, non.. ils en profitent aussi pour fureter à gauche et à droite, accédant à nos données et discutant avec des serveurs du monde entier, parfois même jusqu’en Russie !
Bref, notre Sherlock a installé le top 100 des applis iOS et Android sur des téléphones remis à zéro, les a lancé et laissé comater tranquillos pendant 5 jours.
L’objectif ? Tracer chaque petite connexion sortante pour voir à qui elle cause en douce.
Résultat des courses : L’iPhone se révèle être un sacré bavard, engrangeant 3308 requêtes par jour en moyenne, contre 2323 pour son rival Android. Mais attention, le diable se cache dans les détails ! Si iOS papote plus, il le fait principalement avec ses potes de chez Apple (60% du trafic quand même). Android, lui, est beaucoup plus partageur et distribue ses requêtes à tout va, surtout via des applis tierces.
Autre fait marquant, quand il s’agit de taper la discute avec des serveurs situés en Russie ou en Chine, Android est un vrai moulin à paroles ! Là où l’iPhone n’envoie qu’un petit coucou quotidien en terre de Poutine, le robot vert se fend d’un joyeux « Priviet ! » pas moins de 39 fois en 3 jours. Et côté Chine, c’est la même : Android ça y va tranquille tandis qu’iOS lui fait l’impasse complète et n’envoie rien vers l’Empire du Milieu.
Côté applis douteuses niveau confidentialité, là encore, c’est pas la même sauce ! Facebook ? 200 requêtes par jour sur Android, seulement 20 sur iOS. TikTok ? 800 check quotidiens pour le Android, 36 en tout sur 5 jours pour la pomme.
Alors, comment expliquer cet écart de comportement entre les deux systèmes ?
Notre expert avance 2 hypothèses :
Tout d’abord un App Store mieux tenu, avec moins d’applis potentiellement malveillantes ou intrusives, mais également une politique bien plus stricte d’Apple envers les développeurs qui voudraient mettre leur nez dans nos petites affaires.
Bon mais qu’est-ce qu’on fait nous du coup ?
Et bah comme d’hab’, le mieux c’est d’avoir le moins d’applis possibles, et de privilégier celles qui ont pignon sur rue. Évitez de synchroniser tous vos comptes et toutes vos données dans tous les sens, et pensez à faire un petit coup de ménage de temps en temps dans vos applis. Moins y a de bordel, mieux c’est.
Autre chose : privilégiez le bon vieux navigateur web plutôt que les mini-browsers intégrés dans les applis, qui sont de vraies passoires. Voici un petit tuto pour voir par vous-même à qui causent vos applis :
J’sais pas si vous savez, mais dès que vous créez un fichier, il y a plein de données qui se retrouvent dedans, la plupart du temps à votre insu… Et ça fonctionne avec tout : Photos, documents, morceau de musique et j’en passe. Cela s’appelle des Métadonnées, ça n’a rien de nouveau mais c’est bien utile aux pentesteurs et autres experts OSINT pour mener à bien leurs enquêtes.
Évidemment, les mecs ont autre chose à faire et plutôt que d’aller fouiller tout à la main, ils se reposent sur des outils comme celui que je vous présente aujourd’hui et qui s’appelle MetaDetective.
Développé par des passionnés de cybersécurité, MetaDetective est propulsé par Python et contrairement à certains outils qui dépendent d’une myriade de bibliothèques externes, il est plutôt autonome et simple à utiliser. Seul prérequis : avoir exiftool installé sur votre système. Une fois cette étape franchie, vous êtes prêt à plonger dans l’aventure !
L’une des forces de MetaDetective réside surtout dans sa capacité à catégoriser et à présenter les métadonnées de manière intuitive. Fini le casse-tête des données brutes et désorganisées. Que vous analysiez un fichier unique ou un ensemble de documents, MetaDetective vous offre une vue d’ensemble claire et structurée. Chaque information est minutieusement classée, vous permettant de naviguer aisément dans la richesse des données extraites.
L’outil intègre des fonctionnalités avancées de web scraping et là où d’autres se contentent de gratter la surface, MetaDetective, lui, plonge en profondeur, explorant méticuleusement de nombreux sites web pour en extraire les métadonnées les plus pertinentes. Oubliez les restrictions d’IP et les proxy laborieux à des services tiers, puisqu’il va directement se fournir à la source.
Vous pourrez bien évidemment ajuster la profondeur d’exploration, cibler des types de fichiers spécifiques, et même exclure certains termes pour affiner vos résultats. Et grâce à ses options d’exportation flexibles, vous pouvez générer des rapports clairs au format HTML ou texte.
Mais attention, avec un grand pouvoir vient une grande responsabilité. L’utilisation de MetaDetective doit se faire dans le respect des lois et réglementations en vigueur. Cet outil puissant ne doit pas être utilisé à des fins malveillantes ou illégales.
Pour en savoir plus sur MetaDetective et accéder à sa documentation complète, rendez-vous ici.
Aujourd’hui, je vais vous causer d’un truc qui va révolutionner votre façon d’auditer le code : l’extension VSCode weAudit ! C’est développé par les génies de Trail of Bits et c’est vraiment chouette, vous allez voir.
Il s’agit un outil de revue de code collaborative (d’audit quoi…) qui vous permet de prendre des notes et de traquer les bugs directement dans VSCode. Plus besoin de jongler entre 36 outils, weAudit centralise tout
Il est d’ailleurs bourré de fonctionnalités ultra pratiques :
Des signets pour vos trouvailles et vos notes
Un suivi des fichiers audités pour savoir où vous en êtes
De la collaboration pour bosser en équipe sans vous marcher dessus
La création directe d’issues GitHub bien formatées
Comme ça, plus besoin de vous prendre la tête avec des outils externes. Vous pouvez aller jeter un œil au code sur le repo GitHub.
Bon allez, je vous donne un petit exemple pour vous montrer à quel point c’est facile à utiliser. Disons que vous tombez sur un bout de code louche. Hop, vous sélectionnez ce code et vous utilisez le raccourci Cmd+J pour ajouter un signet « Finding ». Ça va surligner le code en rouge et ajouter une note dans la liste des findings. Et si vous voulez ajouter des détails sur le problème, pas de souci ! Cliquez sur le finding, remplissez les champs et même créez direct une issue GitHub.
Ah, les data brokers, ces entreprises mystérieuses dont on entend parler à peine plus souvent que de la météo sur Pluton (jamais en gros). Pourtant, ces entités obscures ont les mains (ou plutôt les serveurs) pleines de données, récoltées dans les plus sombres recoins numériques. J’ai déjà abordé le sujet sur ce site, mais comment opèrent-ils concrètement ? Voyage dans les entrailles du web pour percer le mystère des data brokers et comment lutter avec l’aide d’Incogni.
Qui sont-ils et que font-ils ?
Les data brokers, ce sont un peu les fantômes du cyberespace. On les connait rarement de nom, mais ils traquent nos traces numériques comme des chasseurs de primes à la recherche d’informations. Ils collectent des données de toutes sortes, du registre foncier à notre historique d’achat en passant par nos profils sociaux et nos activités en ligne. Une fois leur butin amassé, ils compilent le tout pour dresser un portrait-robot le plus précis possible et le revendent ou le partagent avec des tiers. Faisant de notre petite personne la cible d’un jeu de piste numérique. Tout ça pour quelques brouzoufs (enfin quelques … parfois ça peut se compter en centaines voire milliers d’euros). Le marché de la data étant en pleine phase d’expansion, ce marché juteux devrait quasiment doubler d’ici la fin de la décennie pour atteindre plus de 450 milliards de $.
Les types de data brokers
Et oui, contrairement à ce que vous pensez peut-être, tous les data brokers ne sont pas tous taillés dans le même moule. Ils offrent une variété de produits aux acheteurs. Cela va des informations financières à votre santé personnelle, en passant par le marketing et la publicité. Voici un petit tour d’horizon des espèces les plus répandues qui peuplent cet écosystème obscur.
Les brokers en recherche de personnes
Vous vous souvenez de ces annuaires téléphoniques épais et lourd comme un parpaing ? Eh bien ce type de broker fait la même chose, mais en version 2.0. Ils vous permettent de fouiller dans les profils d’autres consommateurs, de retrouver d’anciens amis ou de déterrer des secrets bien enfouis. Et pas besoin de sonner à leur porte pour qu’ils vous livrent leurs trouvailles, tout est en ligne et à portée de clic. Sans doute les brokers les plus visibles pour tous. Notamment accessibles sur des sites comme PeekYou, Spokeo ou White Pages. Une sorte de niveau 1 de l’espionnage, la base.
Les courtiers en marketing et publicité
C’est un peu comme la cour de récré pour les marketeurs. Ils segmentent les consommateurs en fonction de leur comportement et de leurs préférences, offrant des cibles sur un plateau d’argent aux annonceurs. Ils peuvent même enrichir nos profils avec des informations supplémentaires pour un ciblage ultra-précis (comme les géolocalisations ou le groupe ethnique). C’est pas cool, mais limite ce sont quasi les moins dangereux de l’histoire.
Les courtiers en informations financières
Si je vous cite des noms comme Experian, Equifax et Transunion il y a de grandes chances que cela ne vous dise rien. Pourtant, imaginez-les comme les trois mousquetaires de la data financière. Ils rassemblent tout ce qui s’y rapporte, que ce soit des rapports de crédit, des historiques de paiement et des informations sur les comptes débiteurs. Leur but ? Vendre les données aux institutions financières afin que celle-ci puisse prendre des décisions. Ils sont régis par diverses lois (notamment en Europe), mais ça ne les empêche pas de jouer les acrobates avec nos données. Un exemple concret ? Si l’on vous refuse un crédit de manière répétitive sans que vous compreniez trop pourquoi, c’est peut-être parce que les banques ont en stock vos précédents comportements et qu’ils n’ont pas assez confiance.
Les brokers en gestion des risques
Ces petits malins détectent les différentes fraudes que vous auriez pu commettre et vérifient les identités des clients en un clin d’œil. Avec des outils sophistiqués, ils peuvent traiter des millions de transactions par heure, gardant un œil vigilant sur nos activités et notre historique. Nos remboursements de crédit, nos salaires, les attestations ou amendes reçues, les découverts et autres agios, etc.
Les courtiers en santé
Ah, la santé, un sujet cher à nos cœurs et à nos portefeuilles. Ces brokers traquent par exemple nos achats de médicaments en vente libre, nos recherches sur les symptômes d’une maladie, nos abonnements à des magazines de santé, l’installation de certaines applications, etc. Ils vendent alors ces informations à des compagnies pharmaceutiques et d’assurance santé, faisant de notre bien-être une marchandise à échanger.
Mais d’où viennent ces données ?
Vous vous demandez peut-être comment ces brokers mettent la main sur nos données. Eh bien, c’est un peu comme un jeu de piste géant, avec des indices cachés dans tous les coins du web, parfois là où l’on ne s’y attend pas (voir mon article sur les différents leaks du milieu de l’automobile).
Les sources gouvernementales
Les gouvernements sont généreux avec nos informations, fournissant des données sur tout, des naissances aux décès en passant par les permis de conduire. Les data brokers se servent à pleines mains dans ce buffet à volonté de données publiques, construisant des profils détaillés sans jamais nous demander notre avis. Et je ne parle même pas de ces derniers mois ou les organismes officiels de notre cher gouvernement sont entrés en mode « grande braderie » (fuites France Travail, Urssaf, etc.). Servez-vous ma bonne dame, 80% de la population française est à portée de clavier, livrée de bon coeur.
Les sources commerciales
Les entreprises aussi sont des donneurs généreux. Elles fournissent des historiques d’achat, des données de garantie et même des informations de carte de fidélité. Et comme un bon ami qui prête sans jamais demander à être remboursé, elles donnent tout ça gracieusement aux data brokers, qui se régalent sans se poser de questions.
Les sources publiquement disponibles
Nos vies numériques (ou tout du moins une partie) sont des sortes de livres ouverts pour les data brokers. Ils parcourent nos profils sociaux, nos messages sur les forums et nos commentaires sur les blogs pour trouver des indices sur nos vies. Des enquêteurs privés, mais avec des algorithmes à la place de loupes. Le point positif c’est qu’au moins sur cet aspect nous avons notre mot à dire. Nous pouvons limiter les informations que nous partageons, utiliser des identités alternatives, sécuriser et chiffre nos échanges, etc.
Le pistage web
Et enfin, il y a le traçage en ligne, la cerise sur le gâteau des data brokers. Avec des cookies et des identifiants publicitaires, ils suivent nos moindres mouvements sur le web, collectant des informations sur nos habitudes de navigation et nos achats en ligne, récupèrent la liste des applications que nous utilisons, etc. Comme si Big Brother avait embauché des paparazzis pour nous suivre partout où nous allons. Mais là encore nous avons une part de responsabilité et nous pouvons agir de manière proactive (navigateur sans traqueurs, VPN …).
C’est déjà trop tard ?
Peut-être, mais cela peut éventuellement changer. Ils sont partout, ils savent tout, et nous, on est là, à ne pas trop savoir quoi faire. Mais nous pouvons décider d’au moins leur donner du fil à retordre. Déjà en faisant attention à ce que nous partageons en ligne, en utilisant les bons outils, etc. Et en faisant appel à un service comme Incogni pour tout ce qui est déjà dans la nature et que l’on ne peut rattraper.
Incogni, le désormais bien connu outil de Surfshark, propose un abonnement pour vous aider à nettoyer les données personnelles des bases de données des courtiers en données et des entreprises qui les stockent. Basé sur des réglementations comme le RGPD en Europe et la CCPA en Californie, Incogni impose aux courtiers en données de supprimer les informations des utilisateurs. Ces données peuvent être des choses comme vos noms, adresses, numéros de téléphone, etc.
Son gros avantage est de tout automatiser. Vous n’avez pas besoin de contacter chaque broker pour lui demander de vous supprimer de sa base de données. Incogni va le faire pour vous et surtout, va s’assurer que le retrait perdure. Un autre aspect intéressant du tableau de bord de l’outil est que vous allez visionner très rapidement les différents niveaux de dangerosité des courtiers. Mais aussi de connaitre le champ d’action de chacun d’entre eux et si vous trainez plutôt du côté des données de santé ou de la publicité.
Concrètement pour voir comment cela se passe, je vous redirige vers mon test Incogni sur une période d’un an. On va dire que le gros du travail se fait sur les 3 premiers mois, et qu’ensuite les récalcitrants finissent pas craquer au fil des relances du service. En ce moment ce dernier est d’ailleurs à moins de 95€ TTC par an, environ 7.8€/mois.
Connexion
