Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Envie de développer l’application web de vos rêves, mais pas certain que tel ou tel navigateur supporte ce que vous voulez y intégrer ?

Pas de panique ! Foncez sur « What Web Can Do Today » pour connaitre les capacités techniques des API HTML5 offertes par votre navigateur (desktop ou mobile). Ainsi vous saurez si vous pouvez exploiter dans votre application de la capture vidéo, du mode offline, du support NFC, de la géoloc…etc.

Et surtout en cliquant sur les éléments qui vous intéressent, vous saurez comment l’implémenter, vous pourrez tester la fonctionnalité et surtout vous aurez accès à des graphs vous indiquant les parts de marché des navigateurs offrant telle ou telle possibilité :

L’objectif étant bien sûr de bien peser le pour et le contre avant de faire des choix techniques pour vos applications web

What Web Can Do Today

Et pour finir, n’oubliez pas que la roadmap du W3C concernant le mobile est dispo ici.


Les vulns, c’est comme le PAIC Citron. Quand y’en a plus, y’en a encore.

La preuve avec ce problème qui touche les ordinateurs portables équipés d’Intel AMT (Intel’s Active Management Technology), une solution que vous avez peut-être sur votre machine qui permet de faire du monitoring et de la maintenance à distance. Un attaquant peut via un accès physique à l’ordinateur, le booter ou le rebooter tout en appuyant sur le jeu de touche CTRL+P pour accéder au MEBx (Intel Management Engine BIOS Extension) à l’aide du mot de passe par défaut « admin » (AH AH AH), changer ensuite ce mot de passe et activer l’accès à distance sans utilisateur. Cette méthode permet de déjouer les mots de passe BIOS, chiffrements Bitlocker et autres codes PIN mis en place par les admins.

Cela permet ensuite au cybercriminel d’accéder à l’ordinateur via le réseau local (ou à distance via un mécanisme de rebonds sur un serveur tiers) sans avoir besoin d’un mot de passe de session.

Alors oui, il faut un accès physique à la machine, mais sa rapidité d’exécution (reboot, CTRL-P, check check reboot, soit environ 30 sec.) en fait une attaque à prendre au sérieux. Il suffit que vous ayez le dos tourné quelques minutes pour que l’accès à distance soit activé à votre insu. Dans un cadre professionnel, cela peut aussi offrir à un cybercriminel, un accès de choix au réseau privé une entreprise via le VPN en place sur la machine piratée.

Ce sont les chercheurs de F-Secure qui sont tombés sur ce problème. Voici d’ailleurs une explication et démonstration de l’attaque :

Intel a pas mal communiqué sur le problème auprès des fabricants de PC en leur demandant d’exiger le mot de passe BIOS pour accéder à Intel AMT, mais malheureusement, ces recommandations sont encore trop peu suivies. Si vous êtes une société, mettez un mot de passe costaud sur AMT et si vous le pouvez désactivez la fonctionnalité. Si un mot de passe est déjà en place et que ce n’est pas « admin », considérez la machine comme hautement suspecte.

Et si vous êtes un utilisateur avec un ordinateur équipe d’AMT, rapprochez vous de votre service informatique, ou si c’est votre propre machine, mettez vous aussi un mot de passe costaud à AMT et désactivez-le. Et surtout, ne laissez jamais votre ordinateur sans surveillance dans un lieu public. J’en vois tous les mois qui font ça, notamment dans le train…

Source


À découvrir

Mieux vaut tard que jamais !

Microsoft a enfin implémenté du chiffrement de bout en bout (end-to-end) dans sa messagerie instantanée Skype. Et histoire de faire taire d’éventuels détracteurs, ils ont fait faire le travail par Open Whisper Systems qui n’est autre que la société à l’origine de la messagerie chiffrée Signal (et du protocole qui va avec).

Actuellement en beta test pour une poignée de personne, cette option baptisée « Conversations privées » fonctionne uniquement pour les échanges entre 2 utilisateurs max et permet de sécuriser les messages textes, les fichiers transmis, ainsi que les appels audios. Pour les appels vidéos, il faudra attendre encore un peu, ce qui peut s’expliquer techniquement.

Skype end-to-end encryption

Une conversation privée initiée sur un appareil A pourra être poursuivie sur un appareil B mais sans que les messages ou fichiers envoyés précédemment ne soient visibles (Heureusement, hein…).

Il était temps pour Microsoft de prendre ce virage du chiffrement, car quoiqu’en dise le FBI qui estime que le chiffrement est diabolique, c’est maintenant un gage de qualité et les utilisateurs sont très sensibles à cela (merci Snowden !).

Donc si Microsoft veut que Skype conserve ses 300 millions d’utilisateurs et reste l’une des premières messageries instantanées utilisées dans le monde, il n’y avait pas d’autres choix que de passer au chiffrement de bout en bout.

Bref, un bon point pour MS qui j’espère continuera dans cette voie et élargira son chiffrement à l’ensemble des échanges (multiples et vidéos). Hâte que cette fonctionnalité sorte de beta qu’on puisse tester tout ça !


Un des vecteurs d’attaque sur la faille Spectre, c’est bien évidemment le navigateur. En effet, un JS malicieux chargé depuis ce dernier pourrait compromettre la sécurité de vos données en exploitant cette vulnérabilité tristement célèbre.

Alors la question du jour c’est : Mon navigateur est-il sensible à une exploitation de la vulnérabilité Spectre ?

Pour le savoir, rendez-vous sur Spectre Check, un outil en ligne mis au point par le lab Xuanwu de Tencent, et cliquez sur le bouton « Click to check ».

Les dernières versions de Chrome Canary, Firefox et Edge semblent patchées mais les autres n’ont pas encore sauté le pas.

spectre vulnerability check

Voici la liste complète des navigateurs vulnérables ou non, au moment de la rédaction de cet article :

  • Firefox — non vulnérable
  • Firefox ESR — non vulnérable
  • Internet Explorer 11 — non vulnérable
  • Microsoft Edge — non vulnérable
  • Pale Moon — non vulnérable
  • Waterfox — non vulnérable
  • Chromium (latest) — non vulnérable
  • Google Chrome Canary — non vulnérable
  • Google Chrome Stable — vulnerable
  • Opera Stable — vulnerable
  • Vivaldi Stable — vulnerable

Concernant les 3 derniers, si vous activez l’option de Strict Site Isolation comme expliquée ici, cela réglera le problème.

À suivre, car des améliorations seront prochainement apportées à cet outil.

Source


Mes gazouillis

GhostTeam Adware can Steal Facebook Credentials #kbn blog.trendmicro.com/trendlabs-secu…
In Security & Life, Busy Is Not a Badge of Honor #kbn darkreading.com/vulnerabilitie…