public marks

PUBLIC MARKS from decembre with tag security

2017

SECURITY / DEMOCRATIE - YesWeHack - ONG, logiciels libres & hackers - Quand l'union fait la force ! - Korben

depuis que YesWeHack existe, notre team de choc a à cœur de défendre les biens communs que sont la neutralité du net, la liberté de la presse et le logiciel libre. Ces 3 piliers sont des alliés indéfectibles de la société civile, mais aussi des ONG qui se battent chaque jour pour défendre nos droits Humains. C'est pourquoi depuis sa création, YesWeHack aide les ONG et les organisations à but non lucratif à mieux se sécuriser. Pour cela nous accompagnons bénévolement les ONG et les projets libres dans la mise en place de leur programme de Bug Bounty et nous ne facturons aucune commission lors du versement des récompenses. En 2017, notre communauté d'experts en sécurité a eu le plaisir, via notre plateforme BountyFactory.io, d'aider à la sécurisation de 3 beaux projets. Le premier c'est celui de l'OCCRP lancé en juin 2017, qui a mis à disposition son outil de data visualisation : vis.occrp.org L'OCCRP ça ne vous dit peut-être rien, mais ils ont été au coeur des Panama Papers, des Paradises Papers et de bien d'autres révélations de ce type. En tant qu'organisme d'investigation, ils se doivent de sécuriser au mieux leurs sources et leurs journalistes et c'est tout naturellement qu'ils sont venus vers le Bug Bounty.

Laboratory, a Firefox extension to generate CSP headers - YouTube

Laboratory, a Firefox extension to generate CSP headersLaboratory is an experimental Firefox extension that helps you generate a proper Content Security Policy (CSP) header for your website. Simply start recording, browse your site, and enjoy the CSP header that it produces.

SCAM - Quand une intelligence artificielle est créée pour troller les mails d’arnaque

(via)
L’entreprise de cybersécurité Netsafe a développé un bot informatique conçu pour répondre aux arnaques par mailSi vous souhaitez troller l’auteur de ce courriel réclamant de l’argent depuis le Nigéria ou ce mail à l’orthographe douteuse avec logo de la CAF, il faut transférer le message à me@rescam.org.L’intelligence artificielle prend le relais et bombarde le « scammeur » de questions. L’entreprise indique sur son site ne pas inclure le mail de la personne qui l’a contactée pour faire tourner en bourrique l’arnaqueur. Pour ne pas être démasqué, le bot varie dans son temps de réponse, laisse parfois passer plusieurs jours, et se permet même des fautes grammaticales histoire d’être crédible : « Nous vous enverrons même une retranscription des conversations que Re : scam a eu avec le scammer - elles sont parfois assez drôles ! », décrit Netsafe. Sinon, il est aussi possible (quoique les deux ne soient pas incompatibles) de signaler un mail frauduleux sur une plate-forme du gouvernement, disponible ici. La Commission nationale de l’informatique et des libertés aussi sa page de signalement, sur www.signal-spam.fr.

VIDEO - SECURITY APPLE - HACK - How Bkav tricked iPhone X's Face ID with a mask - YouTube

Woa, as you see, I have successfully unlocked the iPhone X with the mask. This iPhone is mine, clearly I can easily unlock it with my face. In conclusion, Face ID on this iPhone X is not as secure as Apple has announced.

FIR 57 - CSP - Mozilla a silencieusement déployé la fonctionnalité First Party Isolation empruntée à Tor, pour endiguer le profilage des régies publicitaires

by 1 other (via)
Le 21 novembre 2017, par Stéphane le calme, Chroniqueur Actualités Firefox a embarqué silencieusement une autre fonctionnalité empruntée au navigateur Tor dans sa version 55 qui a été déployée en août dernier : First Party Isolation (FPI). FPI fonctionne en séparant les cookies par domaine. Ceci est important, car la plupart des annonceurs en ligne déposent un cookie sur l'ordinateur de l'utilisateur pour chaque site visité par l'utilisateur puis ils chargent une annonce. Lorsque FPI est activé, l'outil de suivi des annonces ne peut pas voir tous les cookies qu'il a déposés sur le PC de cet utilisateur, mais seulement le cookie créé pour le domaine que l'utilisateur est en train de consulter. Cela forcera l'outil de suivi des annonces à créer un nouveau profil d'utilisateur pour chaque site visité par l'utilisateur et l'annonceur ne pourra pas agréger ces cookies et l'historique de navigation de l'internaute en un seul gros profil. Cette fonctionnalité était déjà déployée dans le navigateur Tor et avait le nom de Cross-Origin Identifier Unlinkability. Sur la page du projet Tor, il est expliqué que « L'exigence de conception du Cross-Origin Identifier Unlinkability est satisfaite par l'isolement de première instance de toutes les sources d'identificateur de navigateur. L'isolement de première instance signifie que toutes les sources d'identificateur et de l'état du navigateur sont limités (isolés) en utilisant le domaine de la barre d'URL. Cette portée est réalisée en combinaison avec toute portée tierce supplémentaire. Lorsque l'isolation de première instance est utilisée avec un stockage d'identificateur explicite qui a déjà une portée tierce contrainte (tels que les cookies et le stockage DOM), cette approche est appelée “double-keying”. « L'avantage de cette approche ne vient pas seulement sous la forme d'une liaison réduite, mais aussi en termes d'interface utilisateur simplifiée. Si tous les états et toutes les autorisations du navigateur sont associés à l'origine de la barre d'URL, les six ou sept différentes interfaces utilisateur de confidentialité qui régissent ces identifiants et autorisations peuvent devenir une seule interface utilisateur. Par exemple, une fenêtre qui répertorie l'origine de la barre d'URL pour quel état du navigateur existe, éventuellement avec une option de menu contextuel permettant d'accéder à des types d'état ou d'autorisations spécifiques. »

FIR - ABOUT:CONFIG - Overview of Firefox's about:config security and privacy preferences | gHacks Technology News

- dom.allow_scripts_to_close_windows Defines whether scripts can close windows in the browser. True: Scripts may close any window. False: Scripts may only close windows opened by scripts. (default) - dom.disable_image_src_set Determines whether JavaScript is allowed to manipulate images displayed in the browser. True: Scripts are allowed to change images. False: Scripts are not allowed (default) _ dom.event.clipboardevents.enabled Determines whether websites are allowed to access clipboard contents (check out: Block websites from reading or modifying Clipboard contents in Firefox for additional information). True: Websites may read or modify clipboard events. (default) False: Blocks access. - dom.event.contextmenu.enabled Determines whether websites are allowed to block access to the right-click context menu. True: Websites may manipulate the context menu. (default) False: Web pages won't be allowed to manipulate or block the context menu. - dom.popup_allowed_events Defines the JavaScript events that are allowed to create popup windows. change click dblclick mouseup reset submit touchend - Determines if location aware browsing is enabled. True: Location Aware browsing is enabled. (default) False: The feature is disabled which means that you won't get prompts on websites using it. - geo.wifi.uri The data provider used to power Firefox's geolocation feature. (Check out how to switch to a Mozilla operated service) https://www.googleapis.com/geolocation/v1/geolocate?key=%GOOGLE_API_KEY% - network.http.referer.XOriginPolicy Defines when to set the referrer (the page a visit originated from). 0: Never send it. 1: only send if the base domain matches. 2: only send if hosts match. - plugin.state.flash The default state of the Flash plugin. See How to make sure Firefox plugins never activate again for more information. 0: turns off the Flash plugin in Firefox. 1: sets the Flash plugin to ask to activate. 2: enables the Flash plugin.

FIR - ADDON USERSTYELS - Forum reply about Stylus Permissions Required and Privacy - Stylus :: add0n.com

(via)
Forum reply about Stylus Permissions Required and Privacy (by NarcolepticInsomniac): Responding to this almost seems silly, since OP is clearly delusional, but I might as well clarify so that no one else is confused by this FUD. Stylus needs to monitor, and have the ability to modify all pages in order to detect which URLs have applicable styles, and then inject those stylesheets. If you had any clue what you were talking about, you'd recognize that pretty broad permissions are required for such functionality. The real issue is that these same permissions which are required for basic functionality can also be abused by adding telemetry or other garbage. The majority of extensions include some low level basic analytics for development purposes, and many go much further than that, collecting your complete browsing history with personally identifying info to create profiles. These profiles can then be bought and sold for targeted advertising purposes. That's what happened to Stylish when it was sold to an analytics company, and one of the main reasons we created Stylus was to rectify this abuse of permissions granted by users who trusted the previous dev. Stylus collects nothing. Period. Not even low level analytics for install counts or to help in development regarding which features warrant more attention. This is a pain in the ass for development, but also very important for instilling trust within our user-base. The code is completely open source, so anyone can review it. With many users actively involved in maintaining and improving it, rest assured that nothing sketchy can make its way into the actual code. I think it might be worth adding an explanation for each permission in README. Not that it will convince the most suspicious users by itself, but then again they can simply use WireShark or Fiddler to see what Stylus network communications are (answer: only style update checks when the corresponding option is enabled).

FIR 57> - CSP - ABOUT CONFIG - How to enable Firefox WebExtensions on Mozilla websites - Mozilla Firefox 57 - privacy.resistFingerprinting.block_mozAddonManager - TRUE - - FORUM HardWare.fr

How to enable Firefox WebExtensions on Mozilla websites (in https://www.ghacks.net/2017/10/27/how-to-enable-firefox-webextensions-on-mozilla-websites/): - Load about:config in the Firefox web browser. - You can run a search for just to make sure it does not exist: privacy.resistFingerprinting.block_mozAddonManager. It does not in the most recent Firefox Nightly builds at the time of writing. - Right-click in the part of the window that lists the preferences, and select New > Boolean from the context menu. - Name the new Boolean value: privacy.resistFingerprinting.block_mozAddonManager. - Set its value to true.

VIRUS - PATCH - Comment bloquer le ransomware Petya / NotPetya ? – Tech2Tech | News, Astuces, Tutos, Vidéos autour de l'informatique

(via)
La Solution vient cette fois d’un chercheur chez Cybereason, société de sécurité. Comme pour Wannacry, les chercheurs en sécu ont tout de suite imaginé la présence d’un killswitch. Cette fois, la découverte est que le ransomware cherche en local le fichier « perfc » et qu’il abandonne son processus de chiffrement si ce fichier est déjà présent sur le disque. Il suffit donc de créer un fichier du nom « perfc », en lecture seule, dans le dossier C:Windows Il s’agit évidemment là d’une « vaccination« .

FIR - ABOUT:CONFIG - REMOVE - No More Passwords over HTTP, Please! | Tanvi Vyas

(via)
This only toggles in the address bar: - Go to "about:config" - set `security.insecure_password.ui.enabled` to false. For the inline floaters Security Nag: - Go to "about:config" - Set "security.insecure_field_warning.contextual.enabled" to false

KORBEN - HACKING - Le scanner d'Iris du Samsung Galaxy S8 déjoué avec une simple photo - Korben

En effet, les hackers du CCC (Chaos Computer Club) ont réussi à déjouer la reconnaissance de l'iris avec un appareil photo, une imprimante et une lentille de contact. Comme la caméra du Galaxy scanne l'iris en infrarouge, les hackers du CCC ont pris la photo en activant le mode infrarouge de leur appareil photo. Puis ils ont imprimé en taille réelle l'oeil de la personne (sur une imprimante Samsung, pour le plaisir du lol), ont positionné une lentille de contact sur la feuille pour lui donner un peu de relief et roule ma poule. Le Galaxy S8 reconnait alors instantanément l'iris pris en photo et déverrouille le téléphone, donnant ainsi accès à l'intégralité du contenu présent dans le téléphone.

Télécharger File Access Monitor - 01net.com - Telecharger.com

(via)
logiciel permettant de surveiller l'accès à vos fichiers. L'utilitaire propose en effet de conserver un historique complet des personnes qui accèdent, lisent, ouvrent, éditent ou manipulent les documents de votre ordinateur.

2016

WIN10 - TOOL - SECURITYand PRIVACY - Blackbird - Un outil pour récupérer des performances, de la vie privée et de la sécurité sous Windows - Korben

Blackbird va désactiver pour vous des choses comme OneDrive, Cortana, Bing, le fameux Wifi Sense, et bien sûr tout ce qui envoie des données à Microsoft. Il va aussi désactiver le partage des mises à jour en P2P, les services Xbox Live, les pubs dans le menu Démarrer, les popups de mise à jour reloues, boucher quelques failles qui permettent la fuite de données via Edge et Defender et même supprimer les identifiants uniques qui permettent de différencier votre installation Windows d'un autre. Au-delà de la vie privée et de la sécurité, il va aussi appliquer quelques tweaks pour que votre connexion réseau soit encore plus rapide.

WEB - Texte intégral — Guide d'autodéfense numérique : Tome 2 — en ligne

(via)
expliquer dans quelle mesure l'utilisation d'ordinateurs pouvait constituer une menace pour nos intimités dans le monde numérique, notamment par rapport aux données qu'on leur confie.

2015

VIRUS - ALERTE (may 2015) - Infostealer.Rombertik - Symantec

The Trojan may arrive on the computer through spam emails. When the Trojan is executed, it creates the following files: %UserProfile%Application Data[RANDOM CHARACTERS][RANDOM CHARACTERS].exe %UserProfile%Application Data[RANDOM CHARACTERS][RANDOM CHARACTERS].bat The Trojan then creates the following file so that it runs every time Windows starts: %SystemDrive%Documents and SettingsAll UsersStart MenuProgramsStartup[RANDOM CHARACTERS].vbs Next, the Trojan connects to the following remote location: www.centozos.org.in/don1/gate.php The Trojan may then perform the following actions: Overwrite the Master Boot Record Encrypt files that don't include the .dll, .exe, .vxd, and .drv file extensions Inject code into web browsers in order to steal sensitive information Disable the SPDY protocol on web browsers to make them less secure

JAVASCRIPT - jsunpack - a generic JavaScript unpacker

The Extracted URLs lists, (2 files) for instance, indicates how many decodings or other files were created when trying to decode JavaScript. If this column shows (1 files) it means that there were no decodings and that a static scanner would be just as effective at detecting content. However, if there are more than one file, a decoding likely occurred, and jsunpack can match against additional content. A malicious URL with only (1 files) is less likely to be malicious because attackers commonly hide their content when delivering exploits or other malicious content. The Extracted URLs displays files grouped by URL, so the originally file that triggered the rule and all of the other files are all connected to another. It is more common that the attacker will try to hide content and create 2 or more decodings. Jsunpack was originally designed to handle complicated cases of decoding where there were 5 stages of decoding, although such cases are rare, generally the more decoding levels (and therefore files), the more likely the attacker is trying to hide something of value. Thanks for using jsunpack!

PRIVACY TOOL - BrowserLeaks.com — Web Browser Security Checklist for Identity Theft Protection

It's all about Web Browser Fingerprinting. Here you will find the gallery of web browser security testing tools, that tell you what exactly personal identity data may be leaked without any permissions when you surf the Internet.

2014

NSA ANT catalog - Wikipedia [cf NSA Playset by Michael Ossman]

The NSA ANT catalog is a 48-page classified document listing technology available to the United States National Security Agency (NSA) Tailored Access Operations (TAO) by the ANT division[who?] to aid in cyber surveillance. Most devices are described as already operational

LOG - PC Decrapifier Wipes Unwanted Junk | The PC Decrapifier

utilitaire de désinstallation très pratique qui vous permet de débarrasser votre ordinateur des programmes obsolètes ou intégrés d'office lors de l'achat d'un nouvel ordinateur, en quelques clics. En effet, il vous suffit de désigner les applications à désinstaller, dans la liste générée, et de lancer le processus. Pour davantage de sécurité, PC Decrapifier propose de créer un point de restauration .

FIR XPI - DEV - Force CORS Firefox Extension

a very simple extension for Firefox that adds the Cross Origin Resource Sharing (CORS) Access-Control- HTTP headers to all responses before they're processed by the browser. This essentially disables the browser's same origin policy and allows cross domain calls even if the web server does not support CORS. The default setting adds the following headers to every response:

GM COOKIE - Cookie Injection Using Greasemonkey | Views From The Hill

(via)
To use with Wireshark. The CookieInjector userscript simplifies this process, by allowing the user to copy-paste the cookie portion of the dump and have the cookies from the dump automatically created on the currently viewed web page. Updated Cookie Injector Script available on Userscripts.org

FLASH - SECURITY - Bypassing JavaScript Filters – the Flash way

(via)
This paper relies on the fact that a huge number of web surfers have installed Macromedia Flash plugin/ActiveX control, for an attacker to launch a Cross-site scripting attack. We will not go into a lot of detail in describing Cross-site scripting attacks in general;

img.bi, really secure image hosting (OpenSource) : Hébergez et protégez vos images en ligne « Korben

by 1 other
Hébergez et protégez vos images en ligne Si vous cherchez un service web qui vous permet de stocker des images en ligne de manière rapide et sécurisée, j'ai ce qu'il vous faut. Ça s'appelle Img.bi et ça chiffre tout simplement le contenu que vous lui envoyez exactement comme le ferait un Zerobin ou un MyCryptoChat, c'est-à-dire côté serveur avant l'envoi. La clé est contenue dans l'URL, ce qui veut dire que seules les personnes qui ont le lien peuvent voir l'image chiffrée en AES-256 bits. Sur le serveur, cette image est chiffrée. Un autre truc très sympa avec Img.bi, c'est qu'en plus des liens classiques web, il propose des liens accessibles via TOR ou i2p.