Via Gizmodo :

Des chercheurs de l’Université de Newcastle ont présenté lors d’une conférence en Arizona une vulnérabilités touchant des cartes de paiement sans contact.
Ils sont parvenus à facturer une somme importante (999,999.99$) alors que la limite mise en place sur la carte est de 20£…

L’astuce pour que ça fonctionne c’est de faire facturer dans une devise étrangère et les barrières tombent…

,

En analysant le firmware récent d’un routeur D-Link, le bloggeur /dev/ttyS0 a mit la main sur le code utilisé pour générer les clés WPS.

Or il s’avère que cette génération se base sur l’adresse MAC du routeur… récupérable via un sniff Wifi tout de qu’il y a de plus basique…

,

Via BBC :

Le réseau informatique de la Maison Blanche a été pénétré et plus particulièrement le réseau des conseillers proches du président (le Bureau exécutif).

Il s’agit vraisemblablement d’une attaque de haut niveau détectée il y a quelques semaines. La nature des informations volées ainsi que l’identité (même probable) des assaillants n’a pas été révélée.

Le FBI et sur la NSA enquêtent sur cette affaire.

, , , , ,

Finalement une news concernant Aush0k le leader auto-proclamé de LulzSec (lol).

Les juges se sont finalement rendu compte qu’il n’avait pas de réel rapport avec LulzSec et il sera seulement assigné à résidence pour 15 mois… A l’avenir il va sans doute tourner 1000 fois sa langue dans sa bouche avant de sortir une connerie :D

, ,

Via HN :

Un hacker de FutureSouth a découvert (archive faite ici) que des serveurs de Yahoo! ont été compromis par des hackers exploitant en masse la faille Shellshock.

D’après le retour de Yahoo! les serveurs eux même ne sont pas vulnérables à Shellshock en revanche les attaquants se sont servis des serveurs de Yahoo! pour scanner cette faille sur le web…

,

Le réseau IRC Freenode a indiqué avoir découvert une intrusion sur l’un de ses serveurs. Il invite les utilisateurs à changer leurs mots de passe.

,

Via F-Secure :

Une “innovation” Microsoft… et si on oubliait tous les principes de sécurité ?

, ,

Parmi tous les notations de protocoles supportées par les URLs on en trouve des peu utilisées comme tel:// qui permet de lancer un appel téléphonique.

La RFC indique bien sûr que lorsque l’utilisateur clique sur un lien avec ce protocole une demande de confirmation soit affichée.
Seulement chez Apple ils n’ont pas du lire la RFC… Le click sur un tel lien provoque directement le lancement de l’appel téléphonique.

Avec un peu d’astuce html ou javascript on peut imaginer provoquer un déni de service téléphonique ou l’appel de numéros surtaxés…

, ,

Via HN :

Boum ! Le site allemand Netzpolitik.org a publié un article dans lequel il est révélé qu’un ou des pirates se sont introduits dans un serveur de Gamma International, la boîte qui vent le malware FinFisher.

L’intrusion aurait eu lieu via le site finsupport.finfisher.com actuellement offline.

40Go de données internes ont été leakées, mises à disposition via torrent. On y trouve des manuels, documentations… et même le code source d’une appli baptisée FinFly.
On peut trouver le code java décompilé sur ce GitHub.

Trop tard pour les nominations aux Pwnies ?

, ,

Vie TheRegister, NYTimes, LesEchos :

La boîte de sécu Hold Security basée au Milwaukee affirme avoir mis la main sur le pactole d’une bande de hackers russes : 1.2 milliards de mots de passe volés qui proviendraient de plus de 420.000 sites vulnérables (généralement à des injections SQL).
La nature de ces sites n’a pas été révélés mais il s’agirait de n’importe quel type de site… les pirates ont sans doute tapé au hazard et ont dû s’aider d’un botnet. Du coup est-ce que ces données ont une véritable valeur pour du black-market (il y a t-il quelques sites d’importance dans le lot) ?

Ce ne serait pas la première fois que des robots cherchent via les moteurs de recherche des sites potentiellement vulnérables à des SQL injections.
Réel danger ou tout simplement un gros buzz pour une boîte de sécu dont on n’avait jamais entendu parler auparavant ?

,