May
16
A suivre sur LinuxJournal : le premier article sur le sujet.
Un second doit être sont apparition prochainement.
May
07
Il semble que Apple ait quelques difficultés quand il s’agit de gérer les mots de passe de ses utilisateurs… et ce n’est pas la première fois…
Cette fois c’est le système de chiffrement FileVault qui est mis en cause. Oubli de messages de debug de la part d’un développeur ou boulot d’un stagiaire ? :p
Dans tous les cas, les mots de passe des utilisateurs du système se retrouvent en clair dans un des fichiers de log qui nécessite tout de même de faire partie du groupe admin pour être lu.
Ce qui est ballot ce qu’un utilisateur avait averti de ce problème sur le forum d’Apple il y a 3 mois… et aucun retour de la pomme. On se croirait chez Oracle :p
Apr
28
Après presque 3 ans sans nouvelles, voici une nouvelle version d’Ophcrack :
It adds the support of the soon to be released XP flash and Vista eight XL tables. On Windows it also adds the support of dumping the hashes through samdump2 live using NTFS low-level access to the locked files.
A new LiveCD will follow soon hopefully. Stay tuned!
Mar
02
Via l’annonce de BackTrack 5 R2 :
Un tuto a été créé sur le wiki de BackTrack qui indique comment mettre en place un cluster MPI pour casser en parallèle des mots de passe avec John The Ripper.
Dec
23
… et moi et moi et moi.
Via TheHackerNews :
Le très populaire China Software Developer Network a été piraté et les comptes utilisateurs ont fuités.
Environ 6 millions de comptes se retrouvent exposés et sont téléchargeables via une archive RAR de 105Mo.
La liste des 100 pass les plus utilisés a été publié sur github.
Dec
15
Via Exploit-DB :
Ce document PDF explique la structure du fichier NTDS.DIT (dans lequel sont stockées toutes les données de l’active directory et en particulier les mots de passe) ainsi que les algorithmes de chiffrement utilisés pour protéger ces données (et comment il est possible de les déchiffrer).
Nov
29
Présenté dans le dernier numéro de ClubHack, Ravan est un outil de cassage de hashs (md5, sha1…) distribué qui se base sur les web-workers Javascript.
Nov
08
Utile ? Ce petit site permet de partager une information via une URL utilisable une seule fois (avant destruction).
Nov
04
Via Elreg et Krebs On Security :
Comme peu après l’épisode LulzSec, un nouveau site permet de savoir si un compte à votre nom d’utilisateur ou email a été pwné : pwnedlist.com.
Comme le site ne donne pas plus d’infos sur les comptes pwnés (par mesure de sécurité) en dehors de la réponse YES ou NO, difficile de savoir lequel de ses comptes est pwné en cas de YES…
Oct
13