Au moins une bonne nouvelle dans cette triste histoire : certains sites Internet et logiciels qui mettent en avant le respect de la vie privée se voient ainsi exposés sur le devant de la scène.
C’est le cas de DuckDuckGo qui a explosé le nombre de visiteurs suite à une interview récente avec Bloomberg.
RetroShare continue aussi à gagner du terrain. Il fait notamment parti de la liste des logiciels proposés par l’EFF pour se protéger de PRISM.
Via PCINpact :
Edward Snowden, la personne qui a révélé la façon dont la NSA surveillait les communications téléphoniques américaines, a accordé récemment un interview au South China Morning Post (rappelons que Snowden s’est réfugié à Hong Kong) dans laquelle il révèle que la NSA a piraté de nombreuses backbones chinoises…
La NSA aurait effectué 61.000 attaques de ce type dans des opérations qui ne sont pas sans rappeler les attaques commanditées par le gov chinois (je vous renvoie au tag APT).
De quoi remettre de l’huile sur le feu pour les relations entre ces deux pays.
Sur Full-Disclosure, KingCope a révélé l’existence d’une faille de sécurité dans Plesk quand une certaine configuration est définie.
La faille permet alors de faire exécuter du code PHP (et donc potentiellement des commandes sur le système).
Pour rappel, Plesk est un logiciel de virtualisation très courant chez les hébergeurs web.
Via The Guardian, EFF, le NY Times :
Il y a souvent beaucoup de fantasmes autour de la NSA et ce dont elle est capable. Mais depuis aujourd’hui, la vérité révélée par un article du Guardian fait très mal et pourrait bien mettre fin à l’administration Obama.
Le Guardian a en effet mis la main sur un document de seulement 4 pages qui ordonne à Verizon (l’un des principaux télécom du pays), et sur demande de la Foreign Intelligence Surveillance Court (une cour fédérale US spécialisée dans les mandats de mise sur écoute etc), de retourner tous les jours au FBI et à la NSA la totalité de l’activité journalière des appels téléphoniques sur le territoire US et à destination des USA.
Des scandales avaient déjà précédé celui-ci mais via l’utilisation du secret défense, du Patriot Act, etc, le gouvernement avait jusqu’à présent réussi à dissimuler la vérité de cette surveillance de masse au grand public.
Via le Washington Post et le Huffington Post (fr) :
Dans sa guerre judiciaire contre Apple, la société Samsung a remporté une victoire :
Apple a enfreint des brevets de Samsung en produisant ses anciens produits (les iPhone 4, iPhone 3GS et le iPad 2 3G) et après décision de l’ITC (la Commission américaine du Commerce International), la vente de ces appareils sera interdite d’ici 60 jours sauf véto de Barack Obama himself.
Apple a aussi indiqué qu’il ferait appel sur cette décision.
Difficile de dire quel est exactement la perte pour des produits qui ne sont plus d’actualité…
Vu sur le NY Times :
Après la contrefaçon des iPhone, la contrefaçon des Apple Store, etc, la copie de l’image d’Apple va jusqu’à copier le personnage de Steve Jobs lui même : Lei Jun, le PDG de Xiaomi reprend le look vestimentaire, les positions, la gestuelle…
Ceci est une copie de révolution ! lol
RSnake de WhiteHatSec a pu s’entretenir longuement avec un blackhat qui a décidé de tourner la page sur ses activités illégales.
L’interview retranscrite en 3 parties est intéressante.
Le groupe @AntiLeaks, un groupe faisant de son cheval de bataille la lutte contre les leaks et plus précisément @WikiLeaks a mis hors ligne le site de Russia Today lors de la première du Julian Assange Show.
Ils n’en sont pas à leur premier coup d’essai… mais alors… alors… que fait la police…
MORE: Last time @antileaks group attacked site during premiere of ‘The Julian Assange Show’ on RT #WikiLeaks
— RT (@RT_com) 3 juin 2013
Via HN :
Un lien correspondant à une recherche de code via GitHub montre comment il est très facile de trouver de potentielles failles SQL dans des applis web.
En dépit du fait que le critère de recherche soit très basique et puisse lever de nombreux faux positifs, la recherche se révèle très fructueuse…
Un autre lien posté permet de retrouver des failles XSS (non-stored) et là, pas d’erreurs possibles.
La distribution Linux AttackVector est présenté par son créateur comme étant un mix de Tails et de Kali.
Pas besoin d’être fort en math pour deviner à quel usage elle se destine… Et vous, vous feriez confiance à un système que vous n’avez pas configuré vous même ?