Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Gestionnaires de mot de passe sous Android – Attention à la fuite…

Si vous utilisez un gestionnaire de mot de passe de type Lastpass, SecureSafe, RoboForm et d’autres, il y a un truc sur lequel j’aimerai attirer votre attention.

Lorsque vous utilisez un logiciel client de ce genre sous Android, celui propose généralement de remplir automatiquement les champs login et mot de passe de vos sites web ET de vos applications. Si ce n’est pas le cas, ce qu’on fait tous en général, c’est d’aller dans le gestionnaire de mot de passe, copier le mot de passe et le coller dans le champ qui va bien.

Dans les 2 cas, grave erreur ! Car il est très simple pour une application tierce tournant sur votre téléphone, d’intercepter le contenu du presse papier. Évidemment, et contrairement aux versions desktop, il n’y a pas d’API sous Android et les navigateurs mobiles pour permettre de passer des mots de passe de manière sécurisée. Les développeurs de ces gestionnaires de mot de passe mobile ont donc dû trouver un moyen détourné de transmettre ce login et ce mot de passe et cela se fait via le presse papier.

Voici la liste des applications testées par les chercheurs qui soulèvent ce problème :

tests

Il faut que vous ayez bien conscience de ça avant d’utiliser de tels logiciels. N’importe quelle app vérolée installée sur votre smartphone peut récupérer ces identifiants et les transmettre dans votre dos à d’affreux criminels. Pour démontrer cette possibilité, le développeur Xbao a mis au point un soft baptisé ClipCaster qui intercepte tout simplement le contenu de votre presse papier (et donc vos logins et vos mots de passe). Il s’agit d’un proof of concept pour montrer que ça fonctionne…

clipcaster

Les chercheurs en sécurité qui soulèvent ce problème proposent 2 solutions pour arranger ça. La première consiste à modifier le presse-papier d’Android afin de le segmenter et le sécuriser pour que seules les applications autorisées puissent accéder à son contenu. La seconde possibilité passe par un soft de clavier qui pourrait communiquer avec les gestionnaires de mot de passe via une API et transmettre le mot de passe en toute sécurité aux sites et aux applications. Je pense que Swiftkey a un coup à jouer sur ce créneau. Voici comment ça se passerait en théorie :

usb

Mais attention, rien de tout cela n’existe pour le grand public… Donc ce que je vous recommande si vous utilisez un gestionnaire de mot de passe sous Android, c’est d’afficher en clair votre mot de passe, de le mémoriser et d’aller le retaper vous-même dans le bon champ. Bref, d’utiliser votre mémoire comme d’un presse papier ;-)Autrement, choisissez bien votre gestionnaire de mot de passe, car certains ne sont pas sérieux lorsqu’ils communiquent avec les serveurs (dans le cas de mots de passe stockés dans le cloud). Si la TLS (couche de chiffrement) n’est pas correctement implémentée, il est possible via une attaque Man In The Middle (MITM) d’intercepter votre identifiant principal (login+pass) pour déverrouiller cette base de mots de passe. C’est le cas par exemple de RoboForm et SecureSafe qui échouent lors de la vérification des certificats TLS, laissant la porte ouverte aux interceptions MITM. Par contre sur LastPass, les chercheurs n’ont pas réussi à pratiquer d’attaque MITM, car la vérification des certificats TLS se fait bien.Maintenant vous savez…

Merci à Nicola pour le partage.



LNAV – Un visualisateur de fichiers de logs libre et pratique

LNAV (Logfile Navigator) est un outil dispo pour Linux et macOS qui permet de visualiser et de parcourir des fichiers de logs de manière agréable et efficace.
En plus de la coloration syntaxique, de la prise en charge de formats de logs standards (Syslog, CUPS, dpkg, sudo, strace…etc), LNAV est aussi capable de décompresser à la volée des logs zippés (ou gzippés ou bzippés) mais aussi de rassembler (merge) des logs segmentés pour en faciliter la visualisation.

Lire la suite



Une faille de sécurité dans les processeurs risque de diminuer jusqu’à 30% les performances des machines

La grosse news d’hier, ce n’était pas Logan Paul filmant un pendu au Japon, mais plutôt ce gros « problème » qui touche l’ensemble des processeurs Intel fabriqués durant ces 10 dernières années. Le problème est en réalité 2 failles de sécurité très importantes qui permettent à n’importe quel programme malicieux d’accéder en lecture à la mémoire utilisée par le kernel (le noyau de l’OS et ses modules interagissant avec le hardware).

Lire la suite



Bandwidth Hero – Surfez compressé pour économiser de la bande passante

Si vous êtes un peu juste en bande passante et que vous voulez accélérer un peu les choses, je vous propose aujourd’hui de jeter un œil à Bandwidth Hero.

Il s’agit d’une extension open source pour Chrome et Firefox qui fonctionne de concert avec un serveur proxy. Ce serveur proxy récupère chaque image que votre navigateur demande, la compresse au format WebP/JPEG en basse résolution et vous la renvoie ensuite directement.

Lire la suite