Si vous voulez monter le cran de la sécurité de votre compte Google, sachez que ces derniers proposent depuis quelques jours un Programme de Protection Avancé que vous pouvez activer pour n'importe lequel de vos comptes Google.

L'idée derrière le Programme de Protection Avancé, c'est de sécuriser ceux qui le souhaitent, d'éventuelles attaques ciblées. Cela veut dire que si un attaquant sait tout de vous, qu'il connait votre mot de passe, que vous êtes suffisamment distrait pour tomber dans un phishing ciblé, que vous avez un trojan sur votre ordinateur qui permet à l'attaquant de prendre le contrôle de votre machine, qu'en plus celui-ci récupère tous vos SMS via la faille SS7, et que vous êtes dans les cibles à hacker d'organismes gouvernementaux (hors US j'entends, on parle quand même de Google là) ou de la Mafia, et bien vous serez quand même protégé.

C'est pas dingue ça ? Alors évidemment, comme je l'ai déjà expliqué par le passé, plus la sécurité est importante, plus on perd en confort et c'est parfaitement normal. Mais pour les lanceurs d'alertes, les journalistes, les enquêteurs ou les sociétés qui ont des informations vitales à protéger, ça peut-être une bonne idée d'activer cette option.

Pour enclencher ce Programme Avancé de Protection, vous aurez besoin de Chrome et de 2 clés physiques U2F qui offre de la double authentification hardware, ce qui évite que des codes de validation soient transmis par SMS ou emails.

Google vous donne les références à acheter. La première clé est Bluetooth (Feitian Multipass FIDO) et utilisé comme clé principale pour votre smartphone, tablette ou ordinateur. Et la seconde est une clé USB type Yubico FIDO U2F en backup qui sera utilisable uniquement avec un ordinateur.

Maintenant que propose concrètement ce Programme Avancé de Protection ?

Et bien, une double authentification U2F avec les clés de sécurité décrites ci-dessus + un accès contrôlé au partage et aux données auxquels les applications tierces associées à votre compte ont l'habitude d'accéder. Et si un attaquant essaye de lancer une procédure de récupération de compte perdu, Google a prévu différentes étapes supplémentaires de validation de votre identité pour empêcher tout accès frauduleux.

Ceinture, bretelle, parachute... Je pense que pour cracker ce genre de process, l'étape du dessus c'est de kidnapper la cible. Et je ne suis pas certain que le kidnapping soit reconnu dans la grille CVS du Bug Bounty de Google.

Bref, si ça vous intéresse, tous les détails sont ici.

Source

Cet article merveilleux et sans aucun égal intitulé : Google lance son Programme de Protection Avancé pour sécuriser en mode barbare les comptes de ses utilisateurs ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Si vous utilisez Chrome, vous avez sans doute remarqué depuis quelque temps l'apparition d'un petit haut-parleur dans les onglets diffusant du son.

Ainsi, en faisant un clic droit sur l'onglet et en cliquant sur "Couper le son de l'onglet", vous interdisez que de la musique s'échappe de telle ou telle page sans votre consentement. Ce qui peut être pratique si vous êtes dans un environnement de boulot nécessitant de la discrétion.

Mais avec la dernière release de Chrome Canary, vous pouvez aller encore plus loin et établir des règles par site. En faisant un clic sur la partie gauche du champ d'URL (le petit cadenas), vous verrez quelques infos sur le site et en bas un bouton "Paramètres du site". Cliquez dessus.

Et là vous aurez accès à toute une liste de choses qu'il est possible d'activer ou de désactiver pour le site en question. Par exemple pour le son, si je sélectionne "Bloquer", à chaque fois que j'ouvrirai une page vers YouTube, plus aucun son ne sortira du player jusqu'à ce que je choisisse de le débloquer.

C'est pratique si certains sites que vous aimez bien abusent de pubs autoplay qui viennent hurler dans vos oreilles sans prévenir.

source

Cet article merveilleux et sans aucun égal intitulé : Comment couper le son d’un site de manière permanente ? (Chrome Canary) ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Si vous comptiez sur votre iPhone et sa sécurité pour mettre à l'abri vos photos personnelles, c'est raté ! Une nouvelle méthode de contournement du verrouillage de l'iPhone permet d'accéder aux photos contenues sur l'appareil lorsque celui-ci est verrouillé.

Pour y parvenir, il faut appeler l'iPhone, puis à partir de ce dernier, refuser l'appel avec un SMS personnalisé dans lequel vous mettrez des emojis, puis demander à Siri d'ouvrir les paramètres (ce qu'elle refusera) puis refaire un appel, retourner dans l'envoi de message personnalisé et là, bim, vous aurez accès aux fonctionnalités Digital Touch et donc accès aux photos.

Admirez le travail :

J'imagine que Apple réglera le bug à la prochaine MAJ. En attendant, tenez bien votre iPhone éloigné des curieux.

Source

Cet article merveilleux et sans aucun égal intitulé : Comment voir les photos d’un iPhone verrouillé ? ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

J'étais en voiture toute la journée et j'apprends en arrivant que des chercheurs de l'université néerlandophone belge à Louvain ont publié un papier sur une faille dans le protocole WPA2 qui rend possible le déchiffrement des trames, l'interception du trafic réseau, ainsi que l'injection de paquets forgés pour l'occasion. Un attaquant pourrait intercepter des identifiants de connexion (si vous ne passez pas par du HTTPS), insérer des malwares ou de nouveaux contenus dans les sites sur lesquels vous surfez...etc.

Leur exploit baptisé KRACK pour Key Reinstallation Attack, exploite une vulnérabilité située au niveau du handshake (poignée de main) entre un routeur et les appareils qui s'y connectent.

Voici une démonstration de l'attaque qui porte sur un smartphone Android. L'attaquant est capable de déchiffrer toutes les données transmises par l'appareil de la victime :

Pour être parfaitement clair avec vous, cette vulnérabilité est présente dans la majorité si ce n'est l'intégralité des implémentations WPA2. Tous les réseaux wifi protégés avec du WPA2 sont donc faillibles et il n'y a qu'une chose à faire : Mettre à jour vos appareils (smartphones, ordinateurs, objets connectés) et vos routeurs le plus rapidement possible. Les constructeurs sont informés et ont déjà commencé à publier des patchs.

Abandonner WPA2 n'est pas la solution et ne repassez surtout pas au WEP, hein ;-))). Il faut juste faire les mises à jour ou changer de matériel si aucune mise à jour n'est proposée. Puis sinon, l'Ethernet c'est très bien aussi ;-))) .

Tous les détails sont ici.

Source

Cet article merveilleux et sans aucun égal intitulé : WPA2 cracké. C’est l’heure de mettre à jour ! ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Dans le dernier changelog de iOS 11.0.3, Apple prévient ses clients de manière subtile, qu'il ne faut pas faire réparer leur téléphone par quelqu'un qui n'est pas Apple.

Je dis subtil, car une précédente mise à jour a provoqué un bug qui a empêché certains écrans non officiels de fonctionner au niveau tactile sur certains iPhone 6S. Des iPhone parfaitement fonctionnels se sont donc retrouvés briqués du jour au lendemain.

Mais Apple est magnanime et a corrigé le problème dans iOS 11.0.3 en expliquant ceci :

"Addresses an issue where touch input was unresponsive on some iPhone 6S displays because they were not serviced with genuine Apple parts," the update reads. "Note: Non-genuine replacement displays may have compromised visual quality and may fail to work correctly. Apple-certified screen repairs are performed by trusted experts who use genuine Apple parts. See support.apple.com for more information."

Mais le message est passé : "Nous sommes maitres de votre téléphone, merci de le faire réparer dans les centres agréés Apple avec du matériel officiel"

Eh oui, même si ici, cela semble involontaire, Apple peut tout à fait pousser des mises à jour qui vont briquer les iPhone réparés avec du made in pas cher, non agréé Apple. Puis repousser une mise à jour qui remettra en état de marche ces mêmes iPhone. Ou pas.

Source

Cet article merveilleux et sans aucun égal intitulé : Apple peut bricker des iPhones réparés avec du matériel non agréé Apple ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.