sebsauvage.net

Ce site n'est pas le site officiel.
C'est un blog automatisé qui réplique les articles automatiquement

This Is the Code the FBI Used to Wiretap the World

Friday 8 July 2022 at 09:23

hahah c'est trop drôle: Pendant des anneés, le FBI a monté une entreprise bidon qui vend des téléphones sécurisés "Anom". Que les criminels de 300 organisations se sont empressés d'acheter. Et le FBI pouvait en fait lire tous les échanges.
Le site Motherboard a réussi à se procurer le code source. C'était basé sur XMPP, et tous les messages étaient envoyés en copie à un compte caché. Et sans grande surprise une grande portion de code provient de code piqué à des Logiciels Libres. Motherboard pense également qu'un certain nombre de développeurs ont travaillé sans le savoir sur cette application.

Corollaire: Si une société vous vend un truc "hyper sécurisé" mais sans vous montrer les sources, elle peut très bien vous mentir. En matière de sécurité, on peut *peut pas* faire confiance à des logiciels à sources fermés.
(Permalink)

Source: https://www.vice.com/en/article/v7veg8/anom-app-source-code-operation-trojan-shield-an0m


Canada’s Federal Police Have Been Using Powerful Malware To Snoop On People’s Communications | Techdirt

Friday 8 July 2022 at 09:13

Oh ben tiens, encore une police qui admet qu'ils ont utilisé de manière illégale un spyware sur des smartphones.
(Permalink)

Source: https://www.techdirt.com/2022/07/07/canadas-federal-police-have-been-using-powerful-malware-to-snoop-on-peoples-communications/


Facebook et Instagram risquent de ne plus fonctionner normalement en Europe - Numerama

Friday 8 July 2022 at 09:10

« Un nouveau cadre européen pourrait exiger que Facebook cesse d’envoyer des données européennes aux Etats-Unis. En conséquence, l’accès à Facebook et Instagram pourrait être diminué, voire interrompu. »
hahahahah 😄 😄 😄 😄 😈 😈 😈
(Traduction : Facebook/Meta/Instragram est incapable de fonctionner en respectant votre vie privée.)
(Permalink)

Source: https://www.numerama.com/tech/1032762-facebook-et-instagram-risquent-de-ne-plus-fonctionner-normalement-en-europe.html


Vagrant Cascadian : « Just learned that #GitHub makes account names available 90 days after the account is deleted. » - FLOSS.social

Friday 8 July 2022 at 08:58

Sachez-le: Si un compte GitHub est supprimé, n'importe qui peut se ré-inscrire avec le nom du compte au bout de 90 jours.
Et comme tout un tas d'installations, de dépendances et de mises à jour automatiques se basent directement sur des URL GitHub (qui contiennent le nom du compte), cela permettrait de faire entrer des malwares un peu partout.
Certes ce n'est pas tous les jours qu'un développeur supprime son compte GitHub, mais attendez-vous à des problèmes de sécurité liés à cette politique dans les années à venir.

Notez que le problème de réattribution des comptes n'est pas nouveau: À l'époque où YahooMail a perdu beaucoup d'utilisateurs, des pseudos ont été libérés par Yahoo, permettant à de petits malins de reprendre ces adresses email... et demander la réinitialisation du mot de passe sur tout un tas d'autres sites, menant à un piratage en masse compte sur divers sites.
(Permalink)

Source: https://floss.social/users/vagrantc/statuses/108602869548729967


NPM supply-chain attack impacts hundreds of websites and apps

Friday 8 July 2022 at 08:56

Typosquatting des noms de packages npm : Une faute de frappe dans vos dépendances, et votre système est entièrement piratés sans que vous vous en rendiez compte.
(Permalink)

Source: https://www.bleepingcomputer.com/news/security/npm-supply-chain-attack-impacts-hundreds-of-websites-and-apps/


« Cloud de confiance » : le député Philippe Latombe attaque le projet de Google et Thales (S3ns) auprès de la Cnil et de l'Anssi

Friday 8 July 2022 at 08:55

Good
(Permalink)

Source: https://www.latribune.fr/technos-medias/internet/cloud-de-confiance-le-depute-philippe-latombe-attaque-le-projet-de-google-et-thales-s3ns-aupres-de-la-cnil-et-de-l-anssi-924750.html


Microsoft To Ban Commercial Open Source from App Store - Conservancy Blog - Software Freedom Conservancy

Friday 8 July 2022 at 08:39

Je pense que pour le coup, l'intention de Microsoft ici n'était pas mauvaise. Ce qui ne change malheureusement rien au résultat. J'explique :

Dans son Windows Store, Microsoft vient de changer le contrat: Ils stipulent qu'il sera interdit de vendre des Logiciels Libres qui sont disponibles ailleurs gratuitement.
Tout le monde gueule, mais je comprend la volonté de Microsoft : Depuis une éternité (et même hors du WindowsStore), il y a plein de salopards qui repackagent des Logiciels Libres gratuits qu'ils n'ont pas créés pour les revendre. C'est vraiment dégueulasse et c'est profiter du travail des autres. Donc en soit, ce changement de politique, c'est bien.

Mais d'un autre côté, la nouvelle politique interdit aussi aux vrais auteurs des logiciels de vendre leurs logiciels sur le WindowsStore, coupant ainsi une source de soutient des projets Libres. Et là c'est nettement plus problématique.
Microsoft va sans doute revoir sa copie.

EDIT: La suite : https://www.nextinpact.com/lebrief/69677/microsoft-store-champ-libre-pour-lopen-source
(Permalink)

Source: https://sfconservancy.org/blog/2022/jul/07/microsoft-bans-commerical-open-source-in-app-store/


Microsoft rolls back decision to block Office macros by default

Friday 8 July 2022 at 08:32

Les macros (notamment les macros VBA) dans les documents Microsoft Office ont toujours été à la source d'un nombre incalculable de problèmes de sécurité. Il faut dire que mettre du code exécutable dans des fichiers de données, c'est pas la meilleure idée du monde.
Récemment Microsoft avait décidé de désactiver enfin cette F.B.I. (Fausse Bonne Idée), sauf que bien entendu des centaines de milliers d'entreprise utilisent massivement cette horreur de VBA pour tout un tas de tâches. Microsoft s'est donc vu contraint de réactiver les macros.

Donc pour résumer, les entreprises - ayant développé à l'arrache des macros VBA dans tous les sens au lieu d'investir dans un développement sérieux - se retrouvent dépendre d'une fonctionnalité Microsoft qui les met en danger permanent.  Bien joué.
(Permalink)

Source: https://www.bleepingcomputer.com/news/microsoft/microsoft-rolls-back-decision-to-block-office-macros-by-default/


Ghostscript : PDFI

Friday 8 July 2022 at 08:29

Ghostscript a changé son interpréteur PDF.
Et là j'apprend que l'ancien interpéteur PDF de Ghostscript était écrit... en Postscript 😱
Je n'ose pas imaginer l'horreur.
(Permalink)

Source: https://ghostscript.com/blog/pdfi.html


Online programming IDEs can be used to launch remote cyberattacks

Thursday 7 July 2022 at 16:57

Je me demandais aussi quand ils commenceraient à attaquer les IDE, vu que ces environnements passent leur temps à télécharger, compiler et exécuter du code. Bah voilà...
Le tout branché sur des GitHub ou des dépôts npm vérolés, ça va être rigolo.
Pourquoi se cantonner à attaquer les déploiements quand on peut s'attaquer directement au développement ?
(Permalink)

Source: https://www.bleepingcomputer.com/news/security/online-programming-ides-can-be-used-to-launch-remote-cyberattacks/