Blog Informatique

Faille Hadopi : Orange répond à mes questions

Sécurité   16 réactions »
A ce point ?PassableIntéressantYeahExcellent! (3 vote(s), 4,33/ 5)
Loading...

La faille dans le logiciel de sécurisation d'Orange n'est pas passée inaperçue sur la toile. Trois jours plus tard, j'interroge Orange qui a bien souhaité me répondre au sujet cette affaire.

Voici l'échange que j'ai eu avec le Community Manager Orange France. » Lire la suite

HADOPI : une étrange découverte chez Orange

Sécurité   11 réactions »
A ce point ?PassableIntéressantYeahExcellent! (2 vote(s), 4,50/ 5)
Loading...

C'est Olivier Laurelli (plus connu sous @bluetouff et à qui nous souhaitons un bon retour dans la blogosphère IT après avoir été victime d'une attaque DDoS) avec @fo0_ qui a eu l'idée d'analyser les échanges avec le logiciel de "sécurisation" proposé par Orange.

Ils n'ont pas été déçus par leurs découvertes.

Edit 2 : Orange répond à mes questions sur ce sujet sensible

Edit 1 : je vous invite à lire la suite chez PCI avec la code source brut de l'exécutable qui montre d'autres nouveautés... toujours aussi surprenantes !

» Lire la suite

Se prémunir contre les menaces de l’attaque 0-day Aurora

Sécurité   5 réactions »
A ce point ?PassableIntéressantYeahExcellent! (Votez !)
Loading...

L'information n'est pas passée inaperçue cette semaine, c'est le moins que l'on puisse en dire. Google a annoncé avoir reçu des attaques depuis la chine et l'on apprenait il y a quelques jours qu'il s'agissait d'une faille 0-Day concernant Microsoft Internet Explorer. Cette attaque a été baptisée Aurora.

Je vous propose au travers de ce billet un résumé de la situation qui s'éparpille dans un tous les sens sur les sites d'informations. » Lire la suite

Une faille XSS sur Apple.com non corrigée

Internet   4 réactions »
A ce point ?PassableIntéressantYeahExcellent! (1 vote(s), 5,00/ 5)
Loading...

Une faille XSS est présente depuis hier déjà sur le site d'Apple. Ce billet n'a d'autre but que celui d'encourager les développeurs à corriger cette brèche.

Voici ce que l'on peut y voir en modifiant simplement certains paramètres GET de l'URL :

faille-xss-apple

» Lire la suite

Google,Microsoft, Apple, Yahoo […] victimes d’un DNS spamming

Sécurité   Une réaction »
A ce point ?PassableIntéressantYeahExcellent! (Votez !)
Loading...

google-dns-spoofing

[Mise à jour] Comme l'explique MagicalTux, employer le mot "dns spamming" n'est pas exact. Il s'agit plus exactement d'une manipulation au niveau des Glue Records : c'est à dire du serveur de nom dont votre registrar peut vous autoriser la modification.

Il semblerait que certains serveurs soient victime d'un DNS Spamming influant sur le WHOIS de très nombreux sites tels que Amazon, Youtube, eBay, CNN, Apple, Microsoft, Yahoo ou encore Facebook.

Voici ce que retourne le WHOIS de Apple.com :

» Lire la suite

Une faille DoS qui plante Firefox 3.0.6

Sécurité   2 réactions »
A ce point ?PassableIntéressantYeahExcellent! (1 vote(s), 2,00/ 5)
Loading...

Une possibilité de crash de Firefox (version 3.0.6 incluse) vient d'être révélée.

Le code source concerne la balise "BODY onload" :

Ce qui provoque :

» Lire la suite

Exploit de DoS touchant IE 6, 7 et 8

Système   6 réactions »
A ce point ?PassableIntéressantYeahExcellent! (Votez !)
Loading...

Un déni de service vient d'être découvert au sein du navigateur de Microsoft, Internet Explorer. Les versions touchées par cette exploit sont : Internet Explorer 6, 7 et 8 beta 2 (sera corrigé dans la 8.0 rc1).

Le principe est relativement simple : on demande à IE de lire le contenu d'un pointeur vide au chargement de la page (cliquez ici pour essayer) :

Rien d'alarmant toutefois puisque IE considère le code comme potentiellement dangereux :

M'enfin c'est tout de même pas rassurant de voir que de tels exploits soit encore d'actualité dans les versions 7 et 8 d'Intenet Explorer (IE 6 encore je veux bien...).

On se souvient par ailleurs du fameux site de crash IE 😉

Télécharger Firefox

Evaluez le niveau de sécurité de votre système

Système   3 réactions »
A ce point ?PassableIntéressantYeahExcellent! (Votez !)
Loading...

Le site de référence en matière de sécurité Secunia propose d'analyser la sécurité de votre système Windows grâce à son utilitaire gratuit Personal Software Inspector (PSI) :

» Lire la suite

Pensez à mettre à jour votre WordPress 2.6.3

Sécurité   4 réactions »
A ce point ?PassableIntéressantYeahExcellent! (Votez !)
Loading...

Une faille dans la version WordPress 2.6.3 vient d'être découverte. Elle ne concerne uniquement les serveurs Apache 2.x virtuels basés sur IP.

Je fais ce billet également pour vous dire que l'on passe de la version 2.6.3 à la 2.6.5 et qu'il n'existera jamais de 2.6.4 tout simplement à cause du fait que des rumeurs avaient circulées sur cette version... Pour éviter toute confusion l'équipe de développement de WP a préférer sauter cette version 2.6.4.

La version française n'étant encore pas disponible sur WordPress-fr (elle le sera peut-être à l'heure ou vous lisez ce billet), vous pouvez soit télécharger uniquement les fichiers modifiés (pas de perte de la langue française), soit re-télécharger la version anglaise complète en version 2.6.5.

Personnellement j'ai seulement mis à jour les fichiers patchés (ce que je fais à chaque fois d'ailleurs pour éviter de perdre certaines personnalisations dans le code source).

Voici la note officielle :

WordPress 2.6.5 is immediately available and fixes one security problem and three bugs. We recommend everyone upgrade to this release.

The security issue is an XSS exploit discovered by Jeremias Reith that fortunately only affects IP-based virtual servers running on Apache 2.x. If you are interested only in the security fix, copy wp-includes/feed.php and wp-includes/version.php from the 2.6.5 release package.

2.6.5 contains three other small fixes in addition to the XSS fix. The first prevents accidentally saving post meta information to a revision. The second prevents XML-RPC from fetching incorrect post types. The third adds some user ID sanitization during bulk delete requests. For a list of changed files, consult the full changeset between 2.6.3 and 2.6.5.

Note that we are skipping version 2.6.4 and jumping from 2.6.3 to 2.6.5 to avoid confusion with a fake 2.6.4 release that made the rounds. There is not and never will be a version 2.6.4.

WordPress-fr
WordPress (officiel)

Failles Google Chrome

Système   5 réactions »
A ce point ?PassableIntéressantYeahExcellent! (Votez !)
Loading...

Le navigateur de Google reste en version bêta, trop de gens ont tendance à l'oublier ! Surement à cause du fait que trop de sites internet s'affichent en version bêta (et Google est loin d'être le dernier dans ce domaine !).

C'est donc tombé, 2 failles DoS (Denial of Service) pour Google Chrome. » Lire la suite