Infos - Souscription

09 75 18 80 51

faille

Accueil > Categorie > faille

[Brève] Twitter demande le changement des mots de passe suite à la découverte d'un bug

Logo Twitter

Twitter a découvert une faille dans sa gestion des mots de passe. En effet, lorsque l'on crée ou se connecte à un compte sur Twitter, le service procède à un chiffrement du mot de passe. Le serveur enregistre ou compare le mot de passe chiffré dans sa base de données. Mais le formulaire soumis est enregistré dans un log interne avec les identifiants et les mots de passe en clair. La faille concerne donc les utilisateurs qui se sont connectés via la page web de connexion de Twitter.

Faille du WPA 2 : les mises à jour commencent à venir

Logo de la faille KRACK

La publication d'une série de failles, KRACK, dans le protocole de sécurité WPA 2 des réseaux WiFi a ébranlé les contructeurs et les éditeurs de logiciels autour du WiFi. Elle exploite parfaitement les guides de la sécurisation du WPA 2. Si elle touche particulièrement les appareils clients du WiFi (ordinateurs, smartphones, objets connectés,...), elle nécessite également une adaptation du côté des points d'accès WiFi (routeur WiFi, point d'accès WiFi,...).

[Brève] Attention aux numéros gardés par Facebook

Illustration avec un ordinateur portable sur les genoux

Depuis quelques années, Facebook permet de lier le numéro de téléphone au compte. Ce dernier permet autant de s'authentifier pour les comptes que d'utiliser la double-authentification.

[Brève] Google dévoile une faille de Windows 10

Dans la sécurité informatique, la gestion d'une faille dans un logiciel ou un site internet respecte certains protocoles : à la découverte de la faille, il faut signaler cette dernière à l'éditeur et lui fournir les détails pour la création d'un correctif. Pendant le développement du correctif, le découvreur garde les détails de la faille secrets. Une fois le correctif finalisé et déployé, il peut alors dévoiler la faille et recevoir une contribution en passant par les Bug Bounty.

[Brève] Une faille dans les exécutables générés par WinRAR

Des chercheurs de Vulnerability Labs ont découvert un moyen d'infection en utilisant WinRAR. Le logiciel de compression permet de créer des archives compressées exécutables, qui décompresse le contenu sans avoir à télécharger un logiciel de décompression. WinRAR propose une fonctionnalité lors de la génération qui permet d'afficher du texte lors de l'utilisation de l'archive.

[Brève] Android victime d'un MMS

Des chercheurs de Zimperium ont découvert une faille dans le traitement des MMS par Android. La faille se repose sur la librairie Stagefright d'Android qui permet de précharger les pièces jointes des MMS (images, son et vidéo). Grâce à un fichier bien préparé, la librairie exécute un programme contenu dans le fichier attaché. L'utilisateur ne peut pas intervenir car cela se passe dans les entrailles d'Android. Stagefright est une librairie de la partie open-source d'Android, AOSP. Cette faille est présente depuis Android 2.2 (Froyo), soit près de 95% des appareils utilisant Android.

[Brève] Une faille dans Mail d'iOS

Un consultant IT d'Ernst&Young a découvert une faille dans le client Mail d'iOS. Il permet une injection HTML directement dans le message. Ainsi, grâce au HTML 5 et CSS, il est possible de préparer des attaques de phishing et ainsi récupérer les comptes Apple ID (iCloud/iTunes Store/Apple Store/AppStore).

[Brève] FREAK le SSL

Des chercheurs du Michigan et de l'INRA ont découvert une faille dans le protocole de sécurité SSL, surnommée FREAK (Factoring RSA Export Keys). Elle permet de récupérer les clés de chiffrement lors des premiers échanges et de pouvoir les casser.

[Brève] Un mauvais paramétrage ouvre une base de données d'un FAI

Des étudiants de l'Université de Sarre ont découvert une faille dans les bases de données MongoDB. Traditionnellement, les failles concernent un trou laissé par l'éditeur, mais cette faille est la faute des administrateurs de la base de données. Ces derniers ont volontairement supprimé une protection fournie par MongoDB. Les étudiants ont pu accéder à plus de 40 000 bases de données en France et en Allemagne. Les étudiants ont alerté le CERT-FR, le Computer Emergency Response Team de l'Etat français.