du 05 septembre 2018
Date

Choisir une autre édition

Selon le chercheur en sécurité Yonathan Klijnsma, de RiskIQ, cité par Bleeping Computer, des serveurs web (Apache ou Nginx) mal configurés écoutent une adresse IP sur l'Internet public, plutôt que leur localhost (127.0.0.1).

Cette bourde permettrait donc d'accéder au serveur d'origine sans passer par Tor. Pour le chercheur, cette erreur est « commune ». Sur un tel site, le certificat TLS est à la fois associé au service caché, mais aussi à une adresse IP publique. Il suffit donc de cataloguer ces certificats pour obtenir une base des adresses IP de ces sites.

La solution est simple, selon Yonathan Klijnsma : configurer son serveur web pour limiter l'écoute sur 127.0.0.1. Rien de plus.

Des services cachés Tor identifiables via leur certificat TLS
chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Alors que la cryptomonnaie n'était qu'aux alentours des 4 000 dollars au début de l'année, son cours progresse rapidement depuis avril. Les 8 500 dollars étaient franchis fin mai, et c'est donc la barrière symbolique des 10 000 dollars qui est tombée ces jours-ci.

Sa valeur joue régulièrement au yo-yo : elle était pour rappel descendue sous les 3 000 dollars fin 2018, et s'approchait des 20 000 dollars fin 2017. Dans tous les cas, il est impossible de prévoir ce qui nous attend dans les prochains mois.

Copié dans le presse-papier !

Dans un rapport d'inspection sur le Jet Propulsion Laboratory (JPL) de l'agence spatiale américain, nous apprenons qu'un Raspberry Pi a été utilisé en avril 2018 comme point d'entrée pour une cyberattaque.

Le micro-ordinateur avait été installé sans autorisation ni contrôle de sécurité. Les pirates ont pu rester sur le réseau du JPL pendant dix mois. Ils ont pu récupérer 500 Mo de données dans 23 fichiers. Deux contenaient des informations sur la Réglementation américaine sur le trafic d'armes au niveau international et sur Mars Science Laboratory (dont fait partie le rover Curiosity).

Les attaquants ont également réussi à s'infiltrer dans deux des trois réseaux primaires du JPL. Ce dernier étant relié à de nombreux autres réseaux, dont le DSN (Deep Space Network), des déconnexions temporaires en cascades ont eu lieu pour éviter que la contamination ne se répande.

Copié dans le presse-papier !

Visa rappelle que ses cartes prépayées ne sont pas liées à un compte bancaire, mais bénéficient « de tous les avantages d'une carte de paiement Visa (praticité, facilité d'utilisation, sécurité) ».

Le fabricant de périphériques explique « l'intégration de la solution prépayée Visa dans le portefeuille électronique Razer Pay permet aux utilisateurs d’effectuer des paiements dans les 54 millions de boutiques du réseau Visa ».

Razer et Visa « envisagent de déployer une solution de paiement prépayée identifiée Razer et intégrée à Razer Pay via une mini-application ». Dans un entretien téléphonique avec TechCrunch, Li Meng Lee (responsable de la stratégie chez Razer) ajoute que le lancement d'une carte physique n'est pas n'exclut par la suite.

Le service a vocation à se développer en Asie, avec un premier lancement en Malaisie. Il arrivera ensuite à Singapour.

Copié dans le presse-papier !

Cette brèche a été dévoilée par The Wire Cutter. Le cœur du problème réside dans la fonctionnalité Works with Nest qui permet aux applications tierces de se connecter à la caméra.

Lors d'une remise à zéro, ces liens n'étaient pas réinitialisés. Résultats, l'ancien propriétaire d'une caméra Nest pouvait voir les images provenant du nouveau propriétaire en passant par une application tierce auparavant autorisée.

Google indique avoir déployé automatiquement un correctif. Nos confrères confirment qu'il fonctionne correctement.

Copié dans le presse-papier !

Lancé l’année dernière, le site « NosDemarches.gouv.fr » devient « Monavis.numerique.gouv.fr ». L’observatoire officiel de la qualité des services publics numériques permet pour mémoire de suivre l'avancée et la qualité de la dématérialisation des démarches administratives.

Pour chaque procédure, « il est précisé si elle peut être réalisée complètement en ligne, et si elle respecte 5 critères de qualité clés : support usager de qualité (au moins deux moyens de contact et un accompagnement humain personnalisé), possibilité de s’identifier via FranceConnect, possibilité d’utiliser le service sur un smartphone, disponibilité/temps de réponse, et enfin l’indice de satisfaction usagers ».

Selon ce tableau de bord, 67 % des démarches administratives pouvaient être réalisées sur Internet en mai dernier (le gouvernement ambitionne d’atteindre les 100 % en 2022).

La véritable nouveauté réside dans le lancement d’un bouton « Je donne mon avis », qui permettra à chaque internaute, à la fin d’une démarche, de se prononcer sur son niveau de satisfaction. « Le déploiement commence et va s’intensifier dans les mois à venir pour couvrir les 250 démarches phares de l’État », ont indiqué les pouvoirs publics, vendredi 21 juin, à l’issue du troisième comité interministériel de transformation de l’action publique.

Le gouvernement a par ailleurs annoncé qu’un « plan d’action pour permettre une réponse téléphonique rapide et efficace » serait défini « d’ici la fin de l’année 2019 ». « La possibilité de joindre l’administration par téléphone reste une voie de recours importante pour près d’un tiers des usagers, particulièrement des personnes fragiles » fait valoir l’exécutif.