Le spellcheck avancé de Chrome envoi les mots de passes lorsqu'on les rentre dans des formulaires.
Un tool qui exploite des faiblesses dans les API graphQL pour faire du bruteforce de credentials notamment.
A tester sur vos endpoints pour vérifier la sécurité de ceux-ci
Une attaque assez élaborée qui cible les utilisateurs de Microsoft Teams.
La cible doit d'abord installer un programme malveillant sur son PC qui va ensuite scanner les logs des conversations et réagir à des commandes envoyées via des GIF.
Ensuite des informations peuvent être exfiltrées à travers les pare-feu d'entreprise car elles ressembleront à du traffic légitime en provenance de Microsoft.
Une tentative de fishing avec un faux courrier qui ressemble à un avis de recommandé La Poste!
Un site qu'il faut ouvrir depuis une application pour savoir si le navigateur intégré à l'application injecte du javascript pour espionner le comportement de l'utilisateur pendant qu'il navigue.
TikTok sont vraiment les pires car ils enregistrent toutes les touches clavier et empêchent d'utiliser le navigateur natif du téléphone.
Les applications de Meta (Facebook, Instagram, Messenger) analysent votre comportement sur le site web via les cliques.
Un chercheur en sécurité a réussi à obtenir un accès route sur le matériel de son récepteur Starlink.
Il a réalisé l'exploit en rajoutant un module physique branché directement dans les circuits imprimés!
Retour d'expérience de Cloudflare qui a été ciblé par un fishing très sophistiqué.
La page de fishing demandait également les codes TOTP reçu par SMS et les transmettaient en temps réel à l'attaquant pour lui permettre de se loguer.
L'attaque n'a pas fonctionné car les employés de Cloudflare ont une clé d'authentification Yubikey physique.
C'est aussi ce qu'utilise Google pour ses employés, ils n'ont plus de fishing réussi depuis.
J'en ait personnellement une pour accéder à mes comptes Kraken.
Plusieurs méthodes pour attaquer un fichier .zip ayant été chiffré.
Le format obsolète ZipCrypto, utilisé par Windows, est le plus vulnérable à cause d'une attaque fonctionnant même pour des mots de passes forts.
Pour un chiffrement AES classique on en revient à un crack avec John The Ripper ou Hashcat
Le NIST a choisi les algorithmes de cryptographie à clé publique que l'on pourra utiliser dans un monde post-quantique !
Ces algorithmes ont été selectionné suite à un concours organisé depuis 2016 par les USA.
C'est ce qui avait été fait pour le chiffrement symétrique AES (Advanced Encryption Standard), c'est l'algorithme Rijndael qui avait gagné le concours en 2001.
Ce sera donc:
C'est ensuite un chiffrement AES classique qui devrait être utilisé pour les données, comme c'est le cas aujourd'hui.
C'est une grande nouvelle car lorsque les calculateurs quantiques seront disponibles, ils mettront à mal la cryptographie à clé publique actuelle sur laquelle repose tous nos échanges.
Notamment via l'algorithme de Shor qui permet de factoriser en nombre en produit de facteurs premiers et donc de casser les crypto-systèmes basé sur RSA mais aussi les plus modernes utilisant ECDSA.
Maintenant que le NIST a choisi, il se passera très certainement plusieurs années avant que ces algorithmes ne soient mis en place pour nos échanges de clés.
Pour les plus curieux, une implémentation a déjà été faite par Cloudflare en Golang: Circl
Decathlon à organisé un live bug bounty, cela s'apparente à une compétition type hackaton mais dont le but est de trouver des failles de sécurité.
A priori cela a porté ses fruits car entre autre une RCE (Remote Code Execution, une faille parmi les plus critique) et une injection SQL ont été découvertes.
La cible était la plate-forme e-commerce réalisée avec Prestashop.
Un gars qui a fait du reverse engineering sur son coffre électronique, il a trouvé une faille pour ouvrir n'importe quel coffre de la marque
Les suites du hack de Github via le OAuth de Heroku: NPM a aussi été touché.
Une raison de plus pour éviter d'utiliser OAuth entre tous vos sites, plus vous l'utilisez et plus vous êtes vulnérable.
Perso j'utilise très rarement celle de Github et fait régulièrement le ménage mais je n'utilise jamais celle de Google par exemple.
Une analyse de la sécurité de Fuschia, le nouvel OS développé par Google pour utiliser sur les smartphones, tablettes et autres objets connectés.
La vulnérabilité consiste à créer un lien symbolique à l'emplacement du virus juste après avoir été scanné par l'antivirus mais avant la suppression.
Ce lien symbolique peut cible des fichiers de l'antivirus lui même et donc amener l'antivirus à s'auto supprimer
Le bluetooth low energy (BLE) est vulnérable à des attaques consistants à rejouer des paquets interceptés.
Cela peut être par exemple des paquets d'authentification à un site internet, sa voiture, un dispositif domotique, etc.
Stackoverflow a subit différentes attaques DDOS et ils expliquent leurs techniques pour mitiger ces attaques
Un type de supply chain attack peu répandu mais particulièrement difficile à détecter si correctement réalisé.
Créer un compilateur avec une backdoor capable de répliquer cette backdoor dans les programmes compilés
Un cours sur la sécurité en Javascript par un des core contributeurs de Node.js.
La première partie est axée Javascript frontend
Les supply chains attack visant NPM sont de plus en plus courantes.
Cette fois c'est les paquets du namespace Azure qui étaient visés
Les consortium FIDO et W3C avec les GAFAM poussent pour remplacer les mots de passes par une authentification via le smartphone pour lutter contre le phishing.