Suivez moi sur Twitter

Rejoignez moi sur Facebook

Suivez le flux RSS

Des fois, je me demande quelles conséquences pourraient avoir une grosse faille de sécurité s’il n’y avait pas des développeurs pour s’en apercevoir à temps. Yvo Schaap, un jeune développeur hollandais de 24 ans, vient en effet de découvrir en utilisant différentes API qu’une importante faille de sécurité menaçait à la fois Facebook et MySpace. Ce manquement permet en effet tout simplement aux hackers de récupérer toutes les données de votre compte (incluant vous photos, coordonnées, messages personnes, et j’en passe) sans même que vous puissiez vous en apercevoir. « Mais comment cela peut-il m’arriver », me direz-vous ? Et bien tout simplement en utilisant le cookie de connexion automatique et en visualisant un élément en flash (ce qui est bien plus courant que vous le pensez, croyez-moi). Il semblerait même que le simple fait de voir afficher un élément dans la timeline suffise à rendre vos données exploitables, ce qui rend presque indéniable votre vulnérabilité. Dès que la faille a été officialisée, le site américain TechCrunch a contacté Facebook et a obtenu pour réponse : « La sécurité vis-à-vis de notre utilisateurs est une priorité et nous travaillons avec le chercheur qui a identifié la faille pour la réparer. Nous n’avons pas reçu de report selon lequel cette faille aurait déjà été exploitée ». Le problème majeur est que, selon Yvo Schaap, l’exploitation de cette faille ne laisse pas la moindre trace, et vos données sont peut-être déjà toutes stockées bien précieusement par des personnes malveillantes. Il semblerait au moment où j’écris cet article que MySpace ait déjà réglé le problème et que Facebook en soit proche, ce qui est plutôt rassurant. Reste maintenant à attendre afin de connaître les conséquences de cette faille, avec comme petit réconfort l’idée que si des données avaient été volées ces derniers temps, il y a de grandes chances pour qu’elles eussent déjà été exploitées. Plus de peur que de mal donc, mais ce n’est pas la première fois que Facebook et MySpace se laissent surprendre par ce genre de menaces, preuve qu’il y a peut-être un travail supplémentaire à apporter en termes de sécurité.

Si vous possédez un réseau wifi protégé par une clé WPA, sachez que deux chercheurs Japonais ont trouvé un moyen de la craquer en 60 secondes (bien entendu, pour une clé WEP, c’est encore plus rapide). La technique, qui sera officiellement présentée lors d’une conférence le 25 septembre prochain à Hiroshima, concerne en réalité le protocole TKIP qui lui est associé dans certains cas. Toshihiro Ohigashi et Masakatu Morii proposent actuellement un dossier de 12 pages dans lequel il est expliqué que via ce protocole, les paquets sont récupérables, puis falsifiables. Pour vous protéger, il est donc plus prudent de chiffrer sa clé WPA en AES et non en TKIP, juste au cas où. Je vous rappelle qu’avec la mise en application de la loi Hadopi, vous serez bientôt responsable si un hacker craque votre réseau. Si vous souhaitez lire le rapport des deux chercheurs, le PDF est ici.

Accéder à l’article original sur Clubic

Comme le précise Le Figaro ce matin, le réseau social Twitter s’est effondré avant-hier à cause d’une attaque par déni de service (DDoS), attaque à laquelle les autres réseaux tels que Facebook ont très bien résisté grâce à des systèmes d’anticipation et de détection des ordinateurs zombi qui réalisent le déni. Ce dont on ne parle pas assez à mon goût, c’est qu’un déni de service ne coûte que quelques dizaines d’euros, et de nombreuses offres sont d’ailleurs directement accessibles depuis les moteurs de recherche. A partir de là, tout le monde est capable d’engager ce genre de procédures à l’égard de Twitter, surtout depuis que l’on connait sa fragilité en termes de sécurité. Il est donc indispensable que Twitter s’engage à renforcer au plus vite sa sécurité, d’autant plus que le réseau social devient petit à petit un acteur mondial de la lutte pour les causes géopolitiques (Iran, Géorgie).

Accéder au site du réseau social Twitter

Plusieurs éditeurs de sécurité ont indiqué cette semaine que les logiciels Flash Player, Adobe Reader et Acrobat pourraient être victimes d’une faille. Cette information est prise très au sérieux, puisque plus de 90% des ordinateurs reliés à internet possèdent le composant Adobe à l’heure d’aujourd’hui. L’information a été révélée à travers une alerte publiée mercredi sur le site d’Adobe, qui emploie actuellement les grands moyens pour parvenir à la résolution de cette faille, notamment grâce à de nouvelles mises à jour disponibles fin juillet et courant août.

Accéder à l’alerte officielle de Adobe