Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !
[Brève] Les dangers du typosquatting, désormais sur les “packets manager”
Après les risques liés à une faute de frappe lorsqu’il s’agit de taper le nom de votre site préféré dans la barre d’adresse, il faut désormais aussi faire attention à ne pas se tromper pour installer des bibliothèques avec votre gestionnaire de paquets. En effet, il est possible de créer un projet avec un nom très similaire à un paquet connu, un utilisateur peu attentif pourrait donc installer sans s’en rendre compte la version malveillante du paquet souhaité. (ex: sudo pip install reqeusts au lieu de sudo pip install requests).
Source :
http://incolumitas.com/2016/06/08/typosquatting-package-managers/
[Brève] Twitter nie la fuite de 32 millions identifiants
Source :
https://blog.twitter.com/2014/keeping-your-twitter-account-safe
[Brève] Keepass et les mises à jour en HTTP(S)
La semaine dernière, nous vous avions parlé des critiques que subissait le fameux logiciel de gestion de mots de passe. En réponse, le développeur principal du projet a décidé de modifier le fonctionnement des mises à jour en passant celles-ci en HTTPS et en ajoutant une signature sur le fichier contenant le numéro de la dernière version disponible.
Source :
http://keepass.info/help/kb/sec_issues.html#updsig
[Brève] La fin des exploits sur la pile?
Intel a dévoilé cette semaine un nouveau mécanisme de sécurité qui pourrait signer la fin des ROP (Return-oriented programming) et JOP (jump-oriented programming). La technique consiste simplement en une shadow stack sur laquelle les adresses de retour sont aussi stockées, ainsi lorsque le processeur atteint une return instruction il va alors vérifier que l’adresse présente sur la stack correspond bien à celle dans la shadow stack.
Source :
http://www.theregister.co.uk/2016/06/10/intel_control_flow_enforcement/
[Brève] Une exécution de code arbitraire dans le lecteur PDF de Google Chrome
Source :
http://www.theregister.co.uk/2016/06/09/chromes_pdf_reader_has_arbitrary_code_execution_flaw/
[Brève] Pourquoi vous ne devriez pas partager de liens sur Messenger
Des chercheurs de Checkpoint ont découvert que les liens partagés au travers de Facebook Messenger peuvent être accédés au travers de l’API proposée par Facebook.
Source :
https://medium.com/@intideceukelaire/why-you-shouldnt-share-links-on-facebook-f317ba4aa58b#.cah8w6w8v
[Brève] Le ransomware Jigsaw contient désormais un chat en ligne pour aider ses victimes
Payer la rançon n’a jamais été aussi simple !
Source :
http://www.darkreading.com/attacks-breaches/ransomware-now-comes-with-live-chat-support/d/d-id/1325879
[Brève] LetsEncrypt fuite 8000 adresses mails par erreur
L’autorité de certification notamment connue pour ses certificats SSL/TLS gratuits a déclaré avoir dévoilé accidentellement un peu moins de 8000 adresses à cause d’un bug dans son système d’envoi automatique de mail.
Source :
https://community.letsencrypt.org/t/email-address-disclosures-preliminary-report-june-11-2016/16867
[Brève] Bitdefender démontre qu’il est possible d’intercepter des flux TLS au niveau de l’hyperviseur
Source :
https://www.helpnetsecurity.com/2016/06/10/telescope-technique/
[Brève] Mozilla va financer des audits pour des projets open source
La fondation Mozilla a annoncé avoir mis en place un fond dédié pour aider des projets open source à se débarrasser des vulnérabilités présentent dans leur code. Le montant alloué est dans un premier temps de $500 000, 3 projets (PCRE, libjpeg-turb et phpMyAdmin) ont déjà eu la possibilité de participer à cette offre qui aurait déjà permis de corriger 43 vulnérabilités.
Source :
https://www.helpnetsecurity.com/2016/06/10/mozilla-will-fund-code-audits/
[Brève] Lava, un système pour injecter des bugs dans votre code
Ou comment tester les auditeurs ?
Source :
http://moyix.blogspot.fr/2016/06/how-to-add-a-million-bugs-to-a-program.html