Actualités

Le lendemain du 14 juillet, tous les navigateurs –ou presque- tombent dans le même trou. Les téléphones prétendument intelligents sont également frappés par cette faille pouvant conduire à une attaque en déni de service. Il ne semble pas que cette faille, liée à un langage d’automatisation (EcmaScript), puisse être directement exploitable à distance autrement que […]

C’est la fête à l’iPhone qui, à l’instar de toute plateforme devenue populaire, devient immanquablement la coqueluche de tous les hackers, les blancs comme les noirs. La Black Hat de Vegas fut l’occasion de voir publié un exploit visant la gestion des SMS sur la plateforme Apple. Cette découverte est signée Mulliner et Charlie Miller, […]

L’événement de juillet, c’était, comme chaque année, la BlackHat et son poisson-pilote, la DefCon. Les transparents, enregistrements audio et vidéo de la BH sont disponibles en téléchargement sur le site de la BH. Les archives de la 17ème DefCon sont également récupérables sous forme d’image de CD. Les organisateurs précisent que le contenu de ce […]

..brouilles. Depuis le temps que les Cassandres de l’Antivirus nous le promettent, il fallait bien qu’un jour l’on commence à voir fleurir quelques Poc visant la téléphonie mobile et qui sorte du cadre étroit de l’exploit Javascript. Le plus épique des TéléPocs est signé Charles Miller. Un hack visant l’iPhone et provoquant un simple déni […]

Nos éminents confrères de Misc annoncent la sortie de leur tout dernier numéro ( quarante quatrième ) dont une grande partie est consacré aux écoutes des rayonnements électromagnétiques émis par les équipements informatiques (écoutes Tempest). Longtemps laissé aux oubliettes de la recherche sécurité, sous le chapitre « réservé aux barbouzes » et « laisses tomber, […]

Triste nouvelle pour le monde de la sécurité : Milw0rm, le principal site d’information publiant PoC et exploits « connus », vient de fermer. Le gestionnaire du site, /str0ke, avoue ne plus avoir assez de temps pour accomplir ce travail de titan. Il reste à espérer qu’une équipe motivée saura prendre la relève. Le travail […]

Un contrôle ActiveX vidéo provoque (sans le moindre conditionnel, l’exploit est utilisé « dans la nature ») l’ouverture d’un accès propice à l’injection d’un code exécutable à distance. Le Technet a lancé une alerte dès lundi, accompagnée de quelques mesures de contournement dont le paramétrage d’un killbit ActiveX. XP SP2 et 20à3 Server sont fortement […]

Cadeau empoisonné que les adresses IP réattribuées à divers hébergeurs après la fermeture du très mafieux « Russian Business Network » et de McColo. Pierre Caron du Cert Lexsi nous apprend qu’une adresse située dans ces « blocs IP » frappés d’infamie a très peu de chances de retrouver sa blancheur virginale, même après avoir […]

Il y a les véritables bugs qui affectent Twitter et ses services périphériques, il y a les remarques fort désobligeantes de Matthieu Suiche qui ose laisser entendre qu’un mot de passe de 4 lettres ou chiffres ne serait pas suffisant pour protéger un accès (ce qui rappelle étrangement certains propos sur la sécurité de Bluetooth), […]

Barnaby Jack sera interdit de conférence lors de la prochaine Black Hat 2009, annonce Juniper dans un communiqué de presse laconique. Le gourou sécurité avait initialement prévu une conférence intitulée « Jackpotting Automated Teller Machines » (faire Jackpot avec un DAB). « Faire de telles révélations avant que les fournisseurs de distributeurs aient pu corriger les failles […]