Voilà deux ans que l' OWASP à publié son Top 10 des failles. Selon un cabinet de sécurité web basé aux Etats Unis (www.veracode.com)80% des applications Web contiendraient une faille de ce fameux Top10 OWASP disponible ici > http://owasptop10.googlecode.com/files/OWASP%20Top%2010%20-%202010%20French.pdf Amis développeurs vous avez maintenant de la lecture pour les jours de pluie :)

l’Espace Niemeyer siège historique du Parti Communiste recevra la 3ème édition du Hackito Ergo Sum. D' envergure internationale cette édition recevra des acteurs de la scène du Hacking mondiale le tout en anglais. Nous attendons forcément les sujets abordés depuis la fin 2011, l' actu du hacking mondiale 2012 en quelque sorte. Vous pouviez suivre en direct sur ce site l' édition 2012.

J- 1 mois et 23 jours avant le premier tour de la prochaine élection présidentielle, le 22 avril 2012. Ce moment crucial dans la vie de la 5 ème république agite forcément le monde numérique. Souvenez vous des arrestations avant l' élection 2007, de nombreux *défaceurs bleu, blanc, rouge (*pirates de sites web) ont été "calmés" afin de mieux protéger le net français. Neutraliser, neutralité, net... alors 2012 sera comment ?

L' opération internationale menée contre Megaupload le site de partage de fichier en ligne prive ses utilisateurs payants de leurs précieuses données (cv,photos,vidéos de vacances..) Le FBI ne fait pas le distinguo entre fichiers légaux ou non il coupe l' accès tout simplement à la manière des pirates qui peut après dans la journée mèneront une contre attaque de niveau international via le réseau anonymous. Certains vous parlerons de l' echec des lois anti-piratage Hadopi, Sopa sont morts ?? La solution : Ne plus centraliser nos données sur ces groOOOOOs sites ( facebook,flickr,youtube...) DÉCENTRALISER !!! La fermeture de Megaupload "résonne comme un vibrant appel à l'utilisation de protocoles pair à pair décentralisés pour le partage sans but de profit entre individus. Il nous faut urgemment réformer un droit d'auteur malade devenu nuisible à l'architecture même de l'Internet libre".Jérémie Zimmermann, porte-parole de La Quadrature du Net, "La vraie solution est de reconnaître un droit bien circonscrit au partage hors marché entre individus, et de mettre en place de nouveaux mécanismes de financement pour une économie culturelle qui soit compatible avec ce partage", déclare Philippe Aigrain, co-fondateur de La Quadrature du Net.

L'ancien premier ministre britannique Tony Blair a été victime d'une attaque de hackers. De nombreuses informations personnelles et potentiellement sensibles lui ont ainsi été dérobées: Les pirates se sont emparés de son carnet d'adresses entendez par là, tous ses contacts avec leurs informations personnelles (nom, tel, mail) et doutez vous que ces derniers ne sont pas que ses jardiniers et chauffeurs. Le groupe Team Poison affirme être parvenu à accéder au serveur mail de l'ancien premier ministre britannique "via un exploit privé" en décembre dernier. Dans le document publié hier sur Pastebin, les hackers affirment "avoir toujours accès au serveur mail". D'après le compte Twitter de Team Poison (géré par un hacker baptisé "Trick"), le motif du piratage semble lié aux positions britanique concernant la guerre en Irak. Récemment interviewé à FoxNews.com ils se présentaient comme des rivaux de Lulz Security le groupe responsable des piratages Sony, fbi ...

LulzSec publie sur son Twitter une liste de 62 000 identifiants et mots de passe d’internautes du monde entier... il y a de ça 21h ils déclarent @LulzSec : Mediafire removed our passwords twice - once at 7.5K downloads, once at 30K downloads. So we decided to put them here: adresse du lien. Désormais un répondeur téléphonique est ouvert par le groupe de Hackers afin que des anonymes leur suggèrent des cibles à attaquer. On peut donc assister maintenant à des Tango Down ce qui me rappel un certain J3st3r... @Lulzsec:LulzSec The Lulz Boat Tango down - tribalwars.net - and all of their login servers are toast. By request of an anonymous caller. La guerre avec /b est déclarée à voir leur tweet où ils présentent cette vidéo comme la meilleur...

Après les rumeurs de guerre entre anonymous et LulzSec les partis concernés ont tous démantis via leur compte Twitter (organe de presse public unique des deux groupes)... Voici une déclaration reprise sur le compte Twitter LulzSec : Rt YourAnonNews Anonymous par LulzSec : We are NOT at war with @LulzSec #MediaFags... Tout est dit dans le hashtag... A suivre

Les manifestants numériques font de plus en plus mal à leurs cibles. Qu' ils soient politiques, ou tenancier de grosses boites aux méthodes à débattre et surtout pour se mouiller un peu plus ceux qui osent s' y frotter s' y piquent (dixit L' affaire Sony).. Le monde numérique change et ce n' est pas l' Eg8 qui y changera grand chose .. internet n' a jamais été aux mains des puissants, comment leur faire comprendre... La sécurité web à un prix et toute les entreprises ne peuvent pas se mettre à la page... Tout ceci n' est que la face cachée de la #worldrevolution car les interactions entre le monde virtuel et le monde réel n' ont jamais été aussi omniprésentes : (révolutions 2011 monde arabe puis Espagne ..., Wikileaks 2011,Collectif anonymous, lulzsecu ....) Toutes ces affaires ont eu et auront des impacts sur le monde réel, même les moins geeks d' entre vous auront entendu parler des ces apéros géants dont l' appel été lancé ia un certain réseau social. Le monde change et vous ?

La campagne pour les élections présidentielles est lancée :

Marine Lepen Hacked, le site de la nouvelle représentante du parti (fn)et donc futur candidate aux élections. Le message en arabe : “Le site a été hacké en réponse à la considération que vous avez pour la femme musulmane en France. Qui êtes-vous pour parler de la femme musulmane pure et chaste ? Aujourd’hui ton site a été hacké. Le jour où tu prendras le siège du gouvernement, tous les serveurs français seront coupés.” La page d' accueil du site ayant été " remplacée" jeudi 27/04/2011 par deux fois puis redirigé vers wikipédia rubrique racisme ce qui reste une modification car le code reste présent sur la page index. En plein campagne de communication, on dira que celle du web n' est pas gagnée. Désormais le site pointe vers le site du parti, on peut facilement en déduire que le problème n' est pas résolu :/ pourquoi sinon avoir redirigé le site vers les serveurs du fn en date du 28/04/2011 ??? En réponse à cette hacktion, le secrétaire général du parti, S.Briois, a indiqué au JDD.fr que le Front national porterait plainte contre X … Bonne chance donc car vu que le "manifestant" est basé en algérie ou dans un pays voisin, la plainte ne risque pas d' être exploitée de l' autre côté de la Méditerranée ...

Les évènements récents (#lybia,#Egypt...) qui viennent d' agiter le web, le monde annoncent l' avènement du web social dit 2.0, il en suivra donc sa fin...

Nous sommes tous des geeks :

Nous dépendons de plus en plus des services de blogs offerts par le web social (affaire Skyrock). Centraliser ces informations est potentiellement dangereux. Il est plus facile de viser une grosse cible qu'une multitude de systèmes ( cf: attaques visant Wordpress). Que deviendrait votre jeune voisine accro à son Facebook et votre collègue sans son Twitter et vous sans votre Wordpress ???

Silence on Hack :

Comme vous pouvez le constater le site est (off), nous ne proposons plus de services, nous tentons de continuer à alimenter le blog et de répondre aux questions posées. Le fait bien sur de ne plus se positionner sur un marché, nous permet de prendre de la distance et également de continuer la recherche et même de l' approfondir.

Selon un rapport très sèrieux diffusé par nos amis outre atlantique, les attaques sont en pleine croissance, jusque là rien de bien nouveau mais en regardant les chiffres en appréhende mieux la question. Voici donc les chiffres officieux des sites compromis par année :
Janvier 2008 : 18.562 attaques
Janvier 2009 : 37.968 attaques
Janvier 2010 : 53.921 attaques

Le gros des attaques proviennent de Turquie. Je tiens à mettre particulièrement en garde les webmasters sous Joomla utilisant la template : beez, un hacker est en train d' utiliser une faille présente sur cette template ... conseil donc renommer vos dossiers templates la prochaine fois ;)

Le célèbre antivirus gratuit sort sa v6.0 ... elle fait suite à la version 5.0.
Avec la version gratuite d'avast! 6.0, nous avons ajouté des fonctionnalités qui n'étaient jusqu'à présent pas disponibles dans des antivirus grand public. Une fois de plus, AVAST Software est en mesure de fournir aux internautes un antivirus gratuit qui dépasse de loin la protection offerte par les logiciels payants déclare Vince Steckler, PDG d'AVAST Software. En cette période de crise économique le pari du gratuit, surtout si on est meilleur que les payants .... sera sans doute payant pour le futur d' Avast Soft ...
Télécharger gratuitement Avast 6.0
Petit rappel : securite-web.fr est totalement indépendant ...

La page d' accueil du site francophone bonjourqatar piratée par des Hacktivistes pro Kadhafi ... Les ip attaquantes viennent de... Lybie ... l' enragé a donc lâché ses pirates ... A suivre ...

Les mini-pré-requis pour débuter en sécurité des serveurs et sites web :

2) Vous avez Apache,PHP and MySQL (lamp ou wamp)sans doute phpMyAdmin...
Pour bien débuter il faut commencer par ouvrir un éditeur de texte(notepad++,...) et éditer le fichier de configuration (php.ini) :

• safe_mode = On (sécurité des fichiers)
• expose_php = Off (cache la version de php)
• register_globals = Off (contrôle la présence des variables)
• max_execution_time = 30; Maximum execution time of each script, in seconds (anti ddos)
• memory_limit = 8M (protection de la mémoire)
• magic_quotes_gpc = On (gestion des caractères ' et ")
• sql.safe_mode = On (protection du sql)
• allow_url_fopen = Off (interdit l’inclusion de fichiers distant)
• log_errors = Off (Interdit l'écriture des erreurs dans un fichier de log)

... Magic_quotes Disparaîtra dans 5.3 et en suivant ... Safe mode est de plus en plus en débat et risque de disparaître également...

Nous avons déjà dans ce blog évoqué les différences entre les chapeliers blancs et les noirs ...

En étudiant les motivations dans les deux cas nous tenterons de comprendre ...
Voici donc un florilège des principales motivations:
Argent:
On aurait à tord tendance à penser que le chapeau noir gagne facilement de l' argent de ses méfaits. La vérité est est plus nuancée car à moins de travailler pour un syndicat du crime vous aurait plus vite faite d' entendre frapper à votre porte des e_flics que de détourner des fonds via des comptes off-shore...
La conclusion parait toute faite; Il semble évidemment plus intelligent sur le long terme de choisir le piratage à la sauce blanche.
En effet dans un cas vous risquez prison et ou amendes dans l' autre un salaire...
A suivre ...

Si votre société est connectée au web vous serez piraté !!!

En vous aidant dans la compréhension de la méthodologie pirate, dans la découverte de vulnérabilités, en vous préparant à ces attaques, en créant un plan de gestion des incidents. Comment anticiper, comprendre répondre et gérer ces attaques ?? qui en est à l' origine et pourquoi ?

Le vieil adage dit :

• C'est toujours le cordonnier le plus mal chaussé

Et bien j' ai frôlé la même situation il y a peu. Depuis un an un ami développeur et moi-même sont sont un web-concept. Ici ni Wordpress, Joomla ou autre Cms mais un site réalisé sur mesure avec un back office. Une fois le site lancé je pratique donc un pentest qui ne révèle aucune faille. Au fil du temps des nouveaux modules utiles au site sont développés. Sur et confiant sur les protocoles de dev php de mon collègue je ne me soucie plus de la sécurité mais voila un jour, environ 6 mois après le lancement des nouveaux modules je lance un nouveau Pentest qui mettra à jour des failles Xss partout et ce dés l' index du site.
La conclusion est qu' une veille constante est nécessaire sur nos sites comme sur nos serveurs si on veut éviter de petits comme de grands désagréments.

Grosse faille très vilaine découverte par Rick Regan, le développeur déclare que cette valeur (2.2250738585072011e-308) est le "plus grand nombre dénormalisé à double précision et à virgule flottante".
Pourquoi cette valeur affecte les machines Windows comme Linux avec la version 5.2 et 5.3 de PHP ???
Pour l' instant affaire à suivre donc car aucune solution existe...

Le 18/01/2011 Microsoft lance gratuitement et en anglais un outil permettant d' observer les changements avant et après l' installation d' un nouveau programme. En béta pour le moment il fonctionne sous Windows 7, Windows Vista, Windows Server 2008 R1 et Windows Server 2008. Le principe est simple il capture avant / après et enregistre le tout dans un fichier .cab analysable par la suite. En téléchargement donc sur le site du fabricant.

Et voilà c' est fait !
2011 voit Facebook et autres réseaux sociaux défendre la liberté d’expression.
En effet lors des évènements que viennent de connaitre le peuple tunisien, ces sites ont permis la diffusion et donc l' organisation des citoyens. En effet des vidéos, textes et photos relatant les faits commis par les milices de Ben Ali après sa fuite ont pu ainsi être diffusés et ce malgré le blocage de l' internet tunisien.
Le blocage ou plutôt les blocages intempestifs font suite à la guerre numérique menée entre les hackers tunisiens et son gouvernement. L' ATI ( Agence tunisienne d'Internet ) aurait injecter un code JavaScript à chaque connexion provenant d'un internaute Tunisien avec pour finalité la récupération login et le mot de passe des utilisateurs Tunisiens de Facebook, Gmail ...
Affaire à suivre donc.

L' indépendance de securite-web.fr vis à vis des fabricants nous procure une liberté totale. Se réstreindre à tel ou tel " outil " serait le début de la fin d' un pentester.

Lire la suite de : Indépendance

La cyber-guerre et ses combats se produisent presque quotidiennement. Beaucoup pensent que le ver Stuxnet est un parfait exemple d'une attaque à motivation politique, il a sans doute créé par une équipe financée par un état. Le ver incroyablement avancé, cible très principalement les installations de fabrication iranienne d' uranium dans le seul but de perturber le processus d' enrichissement de ce dernier. Les Gouvernements, les infrastructures et les services financiers devront donc intensifier les mesures de sécurité afin de mieux gérer les prochaines attaques des pirates du web.