Actualités

Levent Kayan vient de publier un bulletin d’alerte accompagné d’une capture d’écran et d’une série séquence vidéo sous Linux, Windows 7 et XP explicites en diable. L’attaque semble reposer sur une absence de validation dans un champ de saisie de numéro de téléphone, qui autoriserait l’insertion d’un JavaScript. L’injection n’est possible que si le correspondant […]

Franchement, les temps étaient préférables, lorsque les BlackHats étaient de véritables truands, malhonnêtes, ingénieux. D’accord, tout n’était pas « noir ». Il faillait aussi compter sur les gris, les barbouzes, et les fameuses trappes de la NSA côtoyaient, dans le panthéon de la cyber-violence, les «Faces », « Whales », « I Love You », […]

/GS, Sehop, Aslr, DEP, SafeSEH, Emet… ces sigles barbares désignent une série de techniques décrites dans un très récent mémorandum publié par Microsoft et intitulé « Mitigating Software Vulnerabilities ». Ce n’est pas, loin de là, un ouvrage technique (il ne compte que 25 pages) mais plus exactement une sorte de « pense bête » […]

Le haut de page du site du THC (The Hacker’s Choice) débute avec 10 liens pointant sur 10 articles de la presse technique et généraliste annonçant « le Hack du réseau de téléphones cellulaires Vodaphone ». Une intrusion rendue possible grâce à l’exploitation de failles de sécurité (principalement des erreurs d’intégration) dans les femtocell vendues […]

48 heures après l’annonce de Fortinet et l’officialisation de la découverte d’une branche Android de Zeus, plusieurs experts nous livrent le fruit de leurs cogitations, analyses et explications. In French et toujours avec une clarté remarquable, la mise au point de Fabien Perigaud sur le blog du Cert Lexsi. Nettement moins technique et bien plus […]

Une contribution détaillée du chercheur Moritz Naumann sur la liste Full Disclosure fait état d’une double faille (risques de déni de service et d’attaque en cross-site-scripting) affectant certains routeurs diffusés par la branche Allemande du FAI Alice. La chose n’a strictement rien d’exceptionnel, et ne mériterait aucune remarque en temps normal. Sauf que cette fois, […]

Nettement moins « glamour » que le bug Bluetooth, l’« Update Rollup 4 for Exchange Server 2007 SP3 » corrige 20 trous de sécurité. Ces mises à jour typiquement serveur passent généralement inaperçues car elles sont surveillées de très près par les administrateurs, avec d’autant plus d’attention que les serveurs de messagerie sont d’une importance […]

Le « patch Tuesday » Microsoft le plus dense jamais publié vient de sortir. Comme annoncé, 22 failles dans 4 rustines dont une purement applicative (une faille dans Visio) , et deux autres menaçant le noyau Windows ( 11-056 et 11-054), toutes deux qualifiées d’importantes. Mais celle qui décroche la première place (avec le titre […]

Encore un coup d’éclat de la campagne AntiSec, désormais pilotée par les Anonymous : un lot de fichiers, dont près de 90 000 emails émis par des militaires US, ont été offerts en téléchargement sur Pirate Bay. La fuite a pour origine les serveurs de Booz Allen Hamilton (BAH), un sous-traitant civil travaillant pour le […]

Bref, le billet de Fortinet. Bref, mais éloquent : Zitmo (Zeus In The Mobile), après avoir frappé les smartphones sous Symbian, Blackberry et Windows Mobile, s’attaque à la base Android. Zeus est la preuve (s’il en fallait une) qu’il est vain de donner une absolue confiance aux systèmes d’authentification à deux facteurs. Ce malware est […]