Envie de développer l’application web de vos rêves, mais pas certain que tel ou tel navigateur supporte ce que vous voulez y intégrer ?
Pas de panique ! Foncez sur « What Web Can Do Today » pour connaitre les capacités techniques des API HTML5 offertes par votre navigateur (desktop ou mobile). Ainsi vous saurez si vous pouvez exploiter dans votre application de la capture vidéo, du mode offline, du support NFC, de la géoloc…etc.
Et surtout en cliquant sur les éléments qui vous intéressent, vous saurez comment l’implémenter, vous pourrez tester la fonctionnalité et surtout vous aurez accès à des graphs vous indiquant les parts de marché des navigateurs offrant telle ou telle possibilité :
L’objectif étant bien sûr de bien peser le pour et le contre avant de faire des choix techniques pour vos applications web
Hacking Éthique: Apprenez à étudier les logiciels malveillants
Keyloggers et chevaux de troie vous font faire des mauvais rêves ? Et si vous appreniez à vous en protéger ?
Avec ce cours en ligne, vous apprendrez comment les logiciels malveillants – aussi appelés malwares ou virus – fonctionnent pour vous en défendre. Vous verrez en détails quels sont les symptômes qui révèlent que vous avez été infecté. Un focus spécial sera fait sur la relation entre malwares et système d’exploitation Windows pour comprendre comment un malware peut persister. Vous découvrirez les secrets de l’analyse forensique pour aller plus loin que ce bon vieil antivirus. Et enfin, vous pousserez l’analyse des malwares grâce à un laboratoire de tests.
Bref, tout pour une analyse forensique et une analyse des malwares pour comprendre leur fonctionnement et s’en protéger
Les vulns, c’est comme le PAIC Citron. Quand y’en a plus, y’en a encore.
La preuve avec ce problème qui touche les ordinateurs portables équipés d’Intel AMT (Intel’s Active Management Technology), une solution que vous avez peut-être sur votre machine qui permet de faire du monitoring et de la maintenance à distance. Un attaquant peut via un accès physique à l’ordinateur, le booter ou le rebooter tout en appuyant sur le jeu de touche CTRL+P pour accéder au MEBx (Intel Management Engine BIOS Extension) à l’aide du mot de passe par défaut « admin » (AH AH AH), changer ensuite ce mot de passe et activer l’accès à distance sans utilisateur. Cette méthode permet de déjouer les mots de passe BIOS, chiffrements Bitlocker et autres codes PIN mis en place par les admins.
Cela permet ensuite au cybercriminel d’accéder à l’ordinateur via le réseau local (ou à distance via un mécanisme de rebonds sur un serveur tiers) sans avoir besoin d’un mot de passe de session.
Alors oui, il faut un accès physique à la machine, mais sa rapidité d’exécution (reboot, CTRL-P, check check reboot, soit environ 30 sec.) en fait une attaque à prendre au sérieux. Il suffit que vous ayez le dos tourné quelques minutes pour que l’accès à distance soit activé à votre insu. Dans un cadre professionnel, cela peut aussi offrir à un cybercriminel, un accès de choix au réseau privé une entreprise via le VPN en place sur la machine piratée.
Ce sont les chercheurs de F-Secure qui sont tombés sur ce problème. Voici d’ailleurs une explication et démonstration de l’attaque :
Intel a pas mal communiqué sur le problème auprès des fabricants de PC en leur demandant d’exiger le mot de passe BIOS pour accéder à Intel AMT, mais malheureusement, ces recommandations sont encore trop peu suivies. Si vous êtes une société, mettez un mot de passe costaud sur AMT et si vous le pouvez désactivez la fonctionnalité. Si un mot de passe est déjà en place et que ce n’est pas « admin », considérez la machine comme hautement suspecte.
Et si vous êtes un utilisateur avec un ordinateur équipe d’AMT, rapprochez vous de votre service informatique, ou si c’est votre propre machine, mettez vous aussi un mot de passe costaud à AMT et désactivez-le. Et surtout, ne laissez jamais votre ordinateur sans surveillance dans un lieu public. J’en vois tous les mois qui font ça, notamment dans le train…
Hacking Éthique: Apprenez à étudier les logiciels malveillants
Keyloggers et chevaux de troie vous font faire des mauvais rêves ? Et si vous appreniez à vous en protéger ?
Avec ce cours en ligne, vous apprendrez comment les logiciels malveillants – aussi appelés malwares ou virus – fonctionnent pour vous en défendre. Vous verrez en détails quels sont les symptômes qui révèlent que vous avez été infecté. Un focus spécial sera fait sur la relation entre malwares et système d’exploitation Windows pour comprendre comment un malware peut persister. Vous découvrirez les secrets de l’analyse forensique pour aller plus loin que ce bon vieil antivirus. Et enfin, vous pousserez l’analyse des malwares grâce à un laboratoire de tests.
Bref, tout pour une analyse forensique et une analyse des malwares pour comprendre leur fonctionnement et s’en protéger
Microsoft a enfin implémenté du chiffrement de bout en bout (end-to-end) dans sa messagerie instantanée Skype. Et histoire de faire taire d’éventuels détracteurs, ils ont fait faire le travail par Open Whisper Systems qui n’est autre que la société à l’origine de la messagerie chiffrée Signal (et du protocole qui va avec).
Actuellement en beta test pour une poignée de personne, cette option baptisée « Conversations privées » fonctionne uniquement pour les échanges entre 2 utilisateurs max et permet de sécuriser les messages textes, les fichiers transmis, ainsi que les appels audios. Pour les appels vidéos, il faudra attendre encore un peu, ce qui peut s’expliquer techniquement.
Une conversation privée initiée sur un appareil A pourra être poursuivie sur un appareil B mais sans que les messages ou fichiers envoyés précédemment ne soient visibles (Heureusement, hein…).
Il était temps pour Microsoft de prendre ce virage du chiffrement, car quoiqu’en dise le FBI qui estime que le chiffrement est diabolique, c’est maintenant un gage de qualité et les utilisateurs sont très sensibles à cela (merci Snowden !).
Donc si Microsoft veut que Skype conserve ses 300 millions d’utilisateurs et reste l’une des premières messageries instantanées utilisées dans le monde, il n’y avait pas d’autres choix que de passer au chiffrement de bout en bout.
Bref, un bon point pour MS qui j’espère continuera dans cette voie et élargira son chiffrement à l’ensemble des échanges (multiples et vidéos). Hâte que cette fonctionnalité sorte de beta qu’on puisse tester tout ça !
Hacking Éthique: Apprenez à étudier les logiciels malveillants
Keyloggers et chevaux de troie vous font faire des mauvais rêves ? Et si vous appreniez à vous en protéger ?
Avec ce cours en ligne, vous apprendrez comment les logiciels malveillants – aussi appelés malwares ou virus – fonctionnent pour vous en défendre. Vous verrez en détails quels sont les symptômes qui révèlent que vous avez été infecté. Un focus spécial sera fait sur la relation entre malwares et système d’exploitation Windows pour comprendre comment un malware peut persister. Vous découvrirez les secrets de l’analyse forensique pour aller plus loin que ce bon vieil antivirus. Et enfin, vous pousserez l’analyse des malwares grâce à un laboratoire de tests.
Bref, tout pour une analyse forensique et une analyse des malwares pour comprendre leur fonctionnement et s’en protéger
Un des vecteurs d’attaque sur la faille Spectre, c’est bien évidemment le navigateur. En effet, un JS malicieux chargé depuis ce dernier pourrait compromettre la sécurité de vos données en exploitant cette vulnérabilité tristement célèbre.
Alors la question du jour c’est : Mon navigateur est-il sensible à une exploitation de la vulnérabilité Spectre ?
Pour le savoir, rendez-vous sur Spectre Check, un outil en ligne mis au point par le lab Xuanwu de Tencent, et cliquez sur le bouton « Click to check ».
Les dernières versions de Chrome Canary, Firefox et Edge semblent patchées mais les autres n’ont pas encore sauté le pas.
Voici la liste complète des navigateurs vulnérables ou non, au moment de la rédaction de cet article :