Comprehensive guide to secure a GNU/Linux server, hardening SSH, activating the firewall, permissions…

Exploit en insérant une balise <div> incomplète dans le CSS d’un mail : on peut arriver à rendre une partie de texte invisible pour le récepteur, puis qui devient visible dès que le récepteur forwarde ou répond au message (car les logiciels comme Thunderbird, Outlook ou GMail ajoutent eux-même un <div>).
Ça donne potentiellement un moyen d’escroquer les gens ou de faire en sorte qu’ils laissent des écrits compromettants.
Bug trouvé en mars 2024, sera probablement colmaté rapidement.

Le TLD .zip existe désormais. Il suffit d’envoyer un message contenant "setup.zip" et les navigateurs en font un lien vers http://setup.zip.
Ensuite, l’attaquant qui a ce domaine a préparé un site web qui ressemble au logiciel unzip, ils ont même raffiné en mettant une fausse popup d’un antivirus qui dit que tout va bien.

Plaidoyer de F-Droid expliquant pourquoi ce n’est pas un problème d’avoir un magasin d’apps de seulement quelques milliers d’entrées.
Car elles sont scrutées en détail et son sûres, et qu’on trouve toujours son bonheur.
A contrario dans le Play Store il y a des millions d’apps mais des arnaques partout.

Employé de Verizon au USA qui avait engagé des Chinois pour réaliser son travail de programmation du boulot.
Financièrement intéressant : il payait 1/5e de son travail et pouvait glander au boulot.
Ça s’est vu quand l’entreprise a vu des connexions VPN depuis la Chine dans les logs.

Page avec des liens vers différents sous-domaines.
Chacun avec une config différente : chiffrement plus sécurisé, moins sécurisé, certificat auto-signé, certificat expiré, HSTS, etc.
But = voir comment mon navigateur réagit et si ça passe, ou sinon voir qu’est-ce qu’il dit comme message d’erreur

Exemples de moyen de créer un piratage ciblé : récupérer des infos personnelles via LinkedIn, trouver le nom du conjoint, leur adresse, etc.
Couplé avec des objets traîtres (clés USB, clavier bluetooth espion).
Et des services d’envoi de faux SMS où on peut forger le numéro de l’expéditeur → on peut alors facilement obtenir la confiance des gens pour qu’ils révèlent des mots de passe, etc. (social engineering)

Pour 75 dollars (2022) on peut acheter un cable USB d’apparence tout à fait ordinaire, qui dispose d’une puce wifi intégrée permettant d’y injecter du trafic data. C’est quasiment indétectable.
Raison de plus pour se méfier des cables et de ne charger qu’avec le sien.

Longue démonstration expliquant pourquoi même s’il y avait des admins incompétents un peu partout on ne pourrait pas créer d’épidémies de virus avec GNU/Linux comme dans le monde Windows.

Bel article didactique montrant l’ampleur des data leaks et extorsions de données.
Comment les GAFAM qui centralisent tout y sont pour beaucoup.
Beaucoup d’entreprises mentent pour rassurer leur clientèle (« il n’y a pas eu de piratage »).

Article très didactique expliquant que c’est normal de recevoir parfois des spams ou du phishing via Signal.
Non, ça ne veut pas dire que Signal a été piraté. Les spammeurs ont eu votre numéro par une autre fuite.
Non, ça ne veut pas dire que Signal ment sur le fait qu’il est sécurisé (c’est précisément car il y a un chiffrement que Signal ne peut pas lire les messages et les filtrer).

Ensemble de conseils, plutôt vers les enfants/ados, pour éviter de tomber victime d’un prédateur en ligne (sextorsion, agression).
Ils ont beaucoup d’autres articles didactiques. Bonne ressource à garder au cas où.

Liste d’apps infestées par un malware qui sniffe les données ou crée des abonnements à des services payants

Bon billet didactique expliquant comment une personne a découvert que sa boîte mail avait été utilisée par un pirate.
Explications sur les moyens de colmater la brèche, p.ex. changer pwd email mais aussi des autres comptes car le pirate qui contrôle l’email aurait pu changer des comptes ailleurs.
Et des conseils d’hygiène numérique pour le grand public.

Excellent tutoriel expliquant la sécurité des mots de passe.
Et comment créer une DB avec des mots de passe et un sel.

Critères de comparaison pour choisir un VPN fiable + quelques exemples de providers

10 exemples réels avec d’énormes fuites de données : vol de données, vente de données personnelles, DDoS, malwares, etc.

Article court et didactique expliquant qu’une backdoor où seul le gentil État écouterait est impossible.

Creepy! Hack personnalisé contre une entreprise en créant du code spécialement lié à leur site.
Les pirates ont réussi à ajouter du code Javascript qui tourne sur une page du site de British Airways.
De ce fait, on est sur un site légitime, en HTTPS et tout, et à l’intérieur il y a du code malveillant qui envoie les données d’un formulaire aux pirates. Impossible à s’en prémunir en tant que simple visiteur.
Par contre, on ne sait pas comment ils ont réussi à injecter ce code, or c’est ça la clé de l’histoire.

Histoire marrante de rançons pour sexe emprisonné. Vraie ceinture de chasteté pour mecs.