L'actualité infosec de la semaine - 7ème numéro (1er mai au 8 mai)
Un enfant de 10 ans touche un bounty de 10 000 dollars
Jani, c'est le nom de cet enfant de 10ans qui à, cette semaine, découvert une importante faille de sécurité dans le reseau social Instagram, lui permettant de supprimer n'importe quelle publication. La presse Finlandaise est aussitôt avertie, et le petit garçon touche la somme de 10. 000 dollars via la plateforme BugBounty de Facebook, ce qui fait de lui le plus jeune White Hat récompensé à ce jour.
- http://hackademics.fr/showthread.php...10-000-dollars
- http://www.undernews.fr/reseau-secur...0-dollars.html
Une grave vulnérabilité dans SSL
SSL est le service utilisé couramment aujourd'hui pour crypté nos données bancaires. Cette semaine, OPenSSL a sortit un patch permettant de corriger 6 vulnérabilités, notamment un bug qui affaiblit le cryptage des données, et un second qui permet d’exécuter du code malicieux sur un serveur Web. Les administrateurs sont invités à faire ces mises à jour des que possible.
- http://hackademics.fr/showthread.php...it%E9-dans-SSL
- http://thehackernews.com/2016/05/ope...erability.html
L'auteur du malware Gozi condamné à payer près de 7 millions de dollars
Vous ne vous souvenez pas de Gozi ? Ce malware sophistiqué, découvert pour la première fois en 2007, ciblait les banques et formait également un botnet de machines infectées. Nikita Vladimirovich Kuzmin, est le russe qui se cachait derrière tout ça. Il avait été emprisonné en 2011, et à cette semaine du payer la somme de 7 millions de dollars, après avoir vendu son malware. Tout en assénant la peine, les procureurs ont insisté sur le fait que l'ampleur des dégâts infligés par le malware sont bien plus importants que ce que l'on pense encore actuellement.
Ransomware VS Centrale Hydro Électrique
Si vous nous suivez fréquemment, vous le savez probablement, c'est la folie du ransomware pour le moment. Ils s'attaquent à tout. Des hôpitaux, des objets connectés. Bref, tout ce qui peut être connecté au web. Cette semaine, c'est au tour d'une centrale hydro-éléctrique d'y passer. le scénario est courant: un employé ouvre un email piégé, et, en un rien de temps, la centrale se retrouve paralysée. Cette dernière est actuellement en collaboration avec le FBI afin de bloquer l'attaque.
- http://hackademics.fr/showthread.php...o-%C9lectrique
- http://www.undernews.fr/malwares-vir...lectrique.html
Blacklistez le démarchage téléphonique
Bloctel, c'est le nom de cette nouvelle liste mise en place par le gouvernement et ouverte à tous permettant des le 1er juin de tirez une croix sur le démarchage téléphonique. Cette astuce est gratuite et valable 3ans, mais renouvelable sans limite ! Pensez-y, cela pourrait bien vous permettre de vivre un peu plus tranquillement !
- http://hackademics.fr/showthread.php...E9l%E9phonique
- http://www.undernews.fr/telephonie-p...ebut-juin.html
LibertyReserve - Le fondateur condamné à 20 ans de prison
Pour ceux qui ne le savent pas , LibertyReserve était la banque offshore la plus importante du BlackMarket de 2005 à 2013. Arthur Budovsky, fondateur de la banque a été condamné vendredi à 20 ans de prison aux États-Unis pour blanchiment d'argent (plus de 8 milliards de dollars) de 5,5 millions d’utilisateurs, parmi eux, des trafiquants de drogue, d'organes, d'armes, d'humain, des escrocs des pornographes, j'en passe et des meilleurs. Il a également du renoncer à 122 millions de dollars et à payer une amende de 500 000 dollars.
272,3 millions de comptes mails piratés
C'est 272,3 millions de comptes mail avec identifiants et mots de passe qui sont actuellement en vente sur le DarkNet, et ce pour la somme de... 1€ ! Parmi ces comptes, on peut retrouver des comptes Gmail, Microsoft et Yahoo et Mail.ru. C'est un pirate se cachant sous le pseudonyme de "Collector" qui met en vente cette semaine ces nombreux comptes, qui proviendraient du site PwnedList, piraté une semaine plus tôt. Cependant, il semble qu’il n’y a rien à craindre pour les utilisateurs. Un grand nombre de ces 1,17 milliards de comptes sont des doubles et seuls 272 millions d’enregistrements étaient uniques.
WhatsApp - Bloquage de 72 heures au Brésil
C'est suite à un refus de coopération avec la justice locale que WhatsApp c'est retrouvé bloqué pendant 72 heures au Brésil. L’application intègre depuis peu un système de chiffrement, et une bande de narcotrafiquant Brésilienne se srait servie de WhatsApp pour communiquer. C'est un juge brésilien, de la ville de Lagarto qui ordonne le blocage de WhatsApp auprès des FAIs du pays (TIM, Oi, Vivo, Claro et Nextel). Ces derniers se sont retrouvés dans l'obligation d'accepter afin d’éviter une amende de 127000 euros par jour. Rappelons quand même que WhatsApp est utilisé par près de 100 millions de personnes au Brésil (installé sur 90% des smartphones). Le blocage à pris fin après seulement 24 heures, WhatsApp présentant un nouveau recours accepté par le tribunal du Sergipe alors que le premier avait échoué.
Lavabit - Le code source dévoilé en ligne
Tout le monde connait Lavabit, le service webwail chiffré qu'utilisait Edward Snowden. Lavabit avait fermé après que la justice américaine ai fait pression sur Ladar Levison, le développeur de Lavabit, afin d'obtenir les clés de chiffrement de son service. Bonne nouvelle donc, les codes sources de Lavabits sont disponibles sur GitHub sous licence GPL. Vous pourrez ainsi télécharger le daemon serveur Magma qui permet de gérer le chiffrement côté serveur, ainsi que les protocoles SMTP, POP, IMAP et HTTP (avec son interface JSON-RPC pour le webmail).
Snowden - Un film prévu pour 2016
Snowden, c'est le nom du film d'Oliver Stone qui raconte l'histoire du lanceur d'alerte Edward Snowden, incarné par Joseph Gordon-Levitt. Le film est prévu le 2 novembre de cette année en France, mais le 4 mai aux Philipines. C'est l'occase de faire le point sur une affaire qui n'a pas fini de faire parler d'elle.
By Bioshock, Anonyme77 & _47