Je fais toujours une différence entre pro et perso, et il faut faire en fonction de l'analyse de risque. Au niveau pro, bien évidemment les documents sont dans une armoire forte.
En perso, il n'y a à peu près aucune chance qu'une personne vienne spécifiquement chez moi récupérer ma liste de mots de passe, et le cambrioleur susceptible de viser ma maison n'aura aucune compétence en informatique (sinon, il ne serait pas en train de me cambrioler).
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)
<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant
Ca me parait hallucinant comme quantité... y a que du texte, vous croyez ?!
Bon les backups des pass... on les imagine chiffrés, "bien sûr".
Euh non, c'est ridicule et vraiment chiant. J'ai envie de dire, ils ont pas autre chose à faire ? (non je sais, ils sont payés pour ça)
Il faut que l'utilisateur soit assez con pour utiliser un site sensible (ET mal protégé) à l'intérieur d'un autre, rester pendant 3 putain d'heures sans rien bouger ni scroller, en supposant que le nom d'utilisateur non seulement soit affiché mais en plus toujours au même endroit. Tout ça pour juste leaker potentiellement le nom d'utilisateur. Et pour ce cas absolument improbable, tous les OS vont nous niquer les performances et la batterie, et nous faire attendre une génération de GPUs pour restaurer en partie la performance. Ce qui viendra, influence d'Apple oblige, avec un rachat de la machine entière. Sincèrement faut arrêter ces conneries, c'est juste un ego trip pour justifier les subventions pour les white hats, et ça m'arrangerait beaucoup si ça devait pas influencer absolument tout le monde :/
Le truc, c'est que ça peut tourner en arrière-plan pendant que l'utilisateur regarde une vidéo en plein écran, ou tout simplement qu'il n'est pas devant sa machine mais que son navigateur est resté ouvert.
Et surtout, ce n'est qu'une démo d'un nouveau vecteur d'attaque ; rien ne dit qu'en creusant davantage, il n'est pas possible d'arriver à quelque chose de beaucoup plus dangereux en pratique (exemples : RowHammer ou Spectre. Si tu lis la description théorique, ça a l'air tellement tordu que c'était facile de croire que "y'a aucun risque réel". Et pourtant...)
L'autre problème à ne pas chercher les failles, c'est que quand un white hat en trouve une, il est tout-à-fait possible qu'un black hat l'ait trouvée avant et s'en serve sans que tu le saches. Ça s'est déjà vu avec des failles de navigateurs utilisées pour tracker les gens (par des boîtes de pub, par des gouvernements pas très démocratiques, et par des malfaiteurs pour faire des attaques ciblées).
—
Zeroblog —
« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » —
Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » —
GT TurboComment ils les ont détecté si vite ces 0-days d'ailleurs ?
flanker Le 01/10/2023 à 10:35Edité par flanker le 01/10/2023 à 11:32 Il me semble que c'est en fait plus ou moins la même faille (dans libwebp), mais patchée par Apple dans ses OS et par Google dans Chrome, laissant les autres libwebp à découvert.
Brunni > Je ne sais pas si elles ont réellement été détectées rapidement, en fait.
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)
<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant
erreur de ma part, je voulais dire que leur détection n'a pas forcément été rapide.
J'imagine que le processus complet est (c'est qu'Amnesty International avait fait en 2021 sur Pegasus) :
- les équipes de l'espiogiciel trouvent la faille et l'utilisent dans leur piège,
- des chercheurs se rendent compte qu'un téléphone a un comportement bizarre et se rendent compte qu'il a été piégé,
- ils fouillent encore et comprennent le processus d'infection (du genre, recevoir un SMS bizarre),
- ils fouillent encore et comprennent la faille utilisée.
On ne connaît pas le délai entre la découverte et la première utilisation peut être long, et je ne crois pas qu'on connaisse le délai entre la première utilisation et la détection.
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)
<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant
Certaines personnes sont spécialisé dans le fuzzing, et tu peux trouver des failles assez rapidement avec les bons outils
Proud to be CAKE©®™
GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.
Si une base de code est écrite (code source + définitions de build) de telle sorte qu'elle se prête bien au fuzzing, ne prête pas trop attention à la validation des entrées (au-delà de certaines vérifs de checksums, qu'il faut parfois débrayer pour un fuzzing efficace), et n'a pas encore subi beaucoup de travail de fuzzing, en effet, on peut trouver rapidement a minima du déni de service avec AFL++ ou honggfuzz pour du code C/C++ en particulier, ou d'autres fuzzers que je ne connais pas pour d'autres langages. Les fuzzers non générationnels plus anciens qui n'instrumentent pas le code source, comme le bon vieux zzuf, et n'ont jamais atteint le niveau de popularité d'AFL en particulier, sont moins efficaces. Tous ces outils sont tout à fait accessibles aux non-spécialistes du fuzzing, même s'il faut comprendre un peu ce qu'on fait.
Un truc bien est le fuzzing coopératif avec ces fuzzers à instrumentation et coverage feedback, que les instances travaillent sur le même binaire ou pas. Fuzzer en parallèle, de façon coopérative, des implémentations différentes de décodeurs pour les mêmes formats peut augmenter la couverture plus rapidement que les autres méthodes.
C'est nettement plus difficile de fuzzer des protocoles réseau complexes nécessitant requête-réponse dans une base de code qui valide déjà pas mal ses entrées.
La beauté d'android: pas de MaJ pour les driver GPU. (et c'est un vrai probleme pour pas mal d'autre choses)
Et a vrai dire, a peu prêt toutes les boites de GPU ont leur lot d'exploit.
Proud to be CAKE©®™
GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.
" 
)
"
)
: 