Une faille concernant bash vient d'être dévoilée et concerne de nombreuses distributions comme Debian, RedHat, Centos, SuSE, Ubuntu, Mint et j'en passe. Mac OS X est aussi concerné.

Le nom de l'exploit est CVE-2014-6271 / CVE-2014-7169 ou encore "shell shock".Voyons comment la corriger. » Lire la suite

Je viens à l'instant de recevoir plus d'informations au sujet du ransomware touchant les NAS Synology, ayant le nom de code "SynoLocker". Pour rappel ce malware chiffre vos données et tente de vous extorquer de l'argent pour les déchiffrer.

N'oubliez pas d'appliquer les bonnes pratiques pour sécuriser votre NAS Synology. » Lire la suite

Après le PoC permettant de redémarrer un iPhone à distance,  une nouvelle brèche vient d'être découverte dans la nouvelle version du logiciel propriétaire et fermé d'Apple, iOS7.

Cette faille permet à une personne non autorisée de contourner le verrouillage de l’écran et d’accéder aux données et services sensibles du terminal. Voici une démonstration » Lire la suite

Les découvertes de failles sur Mac OSX se multiplient ces derniers jours. Après la faille sudo s'en est suivie il y a deux jours la faille de la chaine unicode qui fait planter quasiment tous les softs OSX/iOS, dévoilée sur un site russe exploitant une faille webkit (navigateur web de l'iPhone).

Nous vous révélons aujourd'hui comment mettre en œuvre cette dernière qui permet de redémarrer un iphone à distance (et sans crasher son Mac). Ce n'est pas une faille, mais plutôt un trou béant pour la pomme ! » Lire la suite

J'ai été alerté par @pyrou d'une faille liée à la commande sudo sur le système d'expoitation Mac OS, pour ça il suffit d'exploiter une faille vous téléportant en 1970 🙂

Après Linux c'est au tour de Mac OS de permettre à un utilisateur de s'approprier les droits root (super utilisateur). » Lire la suite

Une faille très bête mais très efficace touche le kernel Linux. Elle concerne les kernels compris entre :

• 2.6.37 et la à 3.8.8 (inclus)
• 2.6.32 et 3.8.8 uniquement pour RedHat/CentOS

si une valeur précise est activée dans les options de compilations du noyau : CONFIG_PERF_EVENTS.

Elle permet à un simple utilisateur de devenir root, sans mot de passe bien sûr (peut aussi faire crasher le système).

A la différence des failles généralement découvertes celle-ci est très simple à utiliser, voici comment s'en prémunir. » Lire la suite

Pirater un avion avec un smartphone, est-ce possible ?

La réponse est malheureusement oui... » Lire la suite

Pirate-Moi.com est un projet au nom de domaine aguicheur qui propose aux hackers, pirates, passionnés de la sécurité, experts de se mesurer entre-eux. Le but étant de pirater l'application web utilisée sur le site concours.pirate-moi.com.

Le premier à prouver son hack aux organisateurs du jeu remportera un iPad. » Lire la suite

MàJ: on sait que c'est un adolescent Australien qui est à l'origine de la découverte de cette faille, il ne pensait pas en revanche que son tweet aurait de telles conséquences (source)

Durant quelques heures aujourd'hui nous avons eu le droit à une nouvelle #Twitpocalypse qui a pollué des dizaines de milliers de timeline.

Des dizaines de milliers d'utilisateurs ont été victimes de plusieurs vers se propageant via le réseau social, de façon particulièrement efficace à cause d'une faille XSS. On parle de "ver" par abus de langage, puisqu'il s'agit d'une méthode malveillante qui s'est propagée de façon quasi-autonome (cf. définition). » Lire la suite

L'information n'est pas passée inaperçue cette semaine, c'est le moins que l'on puisse en dire. Google a annoncé avoir reçu des attaques depuis la chine et l'on apprenait il y a quelques jours qu'il s'agissait d'une faille 0-Day concernant Microsoft Internet Explorer. Cette attaque a été baptisée Aurora.

Je vous propose au travers de ce billet un résumé de la situation qui s'éparpille dans un tous les sens sur les sites d'informations. » Lire la suite