Mise à jour de la base de données, veuillez patienter...

David Levin, chercheur en sécurité et CTO de Vanguard Cybersecurity a fait, ce qu'on appelle, une erreur de débutant. En analysant, sans autorisation, le site où les gens peuvent voter pour le prochain chef du Comtée de Lee dans le sud ouest de la Floride, il est tombé sur une jolie faille SQL.

Ne pas avoir l'autorisation comme dans le cadre d'un audit ou d'un bug bounty, c'est donc sa première erreur.

Évidemment, grâce à un outil (Havij) permettant d'automatiser tout ça, il a pu récupérer les noms d'utilisateurs et les mots de passe des employés du bureau des élections.

Pomper la base et récupérer des identifiants, c'est sa seconde erreur... 

Pour être certain d'avoir des ennuis, il a ensuite utilisé certains de ces comptes pour voir à quelles autre genre de données il pouvait accéder.

Utiliser ces mêmes identifiants, paf, troisième erreur !

Pensez-vous qu'il aurait prévenu les officiels du Comté de Lee ? Que nenni ! Il a informé Dan Sinclair, l'un des candidats à ces élections et ils ont eu la bonne idée de faire cette vidéo explicative, montrant ô combien c'est simple d'ouvrir en deux le site des élections.

Et c'est seulement après ça qu'il a averti les responsables du site.

Se faire mousser publiquement et ridiculiser une instance officielle qui a tous les arguments pour contre attaquer... Quatrième et grave erreur !

Alors évidemment, ce site est une passoire, la base n'est pas sécurisée, les mots sont en clair... Bref, c'est de la pure négligence surtout pour un truc qui est censé gérer quelque chose d'aussi important que des élections. Mais ça n'excuse pas ses méthodes assez étrange pour un "pro".

Après que la police ait émis un mandat d'arrêt contre lui, il s'est rendu de lui-même aux autorités et relâché quelques heures plus tard après avoir fait ce joli mugshot et versé 15 000 dollars de caution. Il attend maintenant son procès (vidéo des officiels du Comté de Lee).

Des cas comme ça, j'en vois tous les jours. Sur les forums, dans la presse et même dans ma boite mail. Il arrive régulièrement de trouver des failles sur un site. C'est normal. Mais à ce moment, il convient d'adopter la bonne posture pour éviter les ennuis.

Voici d'abord ce qu'il ne faut pas faire (sauf si vous êtes un black hat et que c'est votre business bien sûr ;-))) :

• Exploiter la faille et sortir des données
• Donner publiquement des informations sur cette faille
• Vendre la faille au marché noir

Si vous êtes bien intentionné, votre premier réflexe sera peut-être de contacter le webmaster ou l'un des responsables de la société. ATTENTION ! J'ai déjà vu des gens bien intentionné se prendre un procès parce qu'il ont justement trouvé une faille (sans rien exploiter derrière) et qui l'ont en quelque sorte "avoué" naïvement. C'est donc un risque qui existe. Ne réclamez jamais rien en échange non plus. Si vous demandez de l'argent, du matos, un job...etc. pour vous récompenser d'une faille trouvée, cela peut être pris pour une tentative d'extorsion.

Si vraiment vous ne voulez prendre aucun risque, voici les 3 possibilités :

• Vous passez votre chemin. L'entreprise n'aura jamais connaissance du problème et celui-ci sera surement exploité plus tard par quelqu'un qui ne sera pas forcement aussi bien intentionné que vous.
• Vous contactez une instance officielle comme l'ANSSI qui pourra peut-être vous aider.
• Vous contactez l'ami Zataz via son protocole d'alerte.
• Ou vous pouvez vérifier si l'entreprise en question dispose d'un programme de Bug Bounty bien cadré. Pour cela, vous pouvez faire une petite recherche sur Firebounty. C'est le seul moyen pour vous de gagner quelque chose en découvrant une faille de sécurité.

Si vous êtes une société, ce que je peux vous recommander, c'est d'être sympa avec les gens qui vous remonte des failles, et cela même si vous n'avez pas encore de programme de Bug Bounty pour anticiper les risques et corriger votre site avant que le bad buzz du siècle ne vous touche. Ne portez pas plainte s'il n'y a pas eu de nuisance... Au contraire, remerciez la personne et corrigez au plus vite.

Dans le cas de David Levin, ce qui est assez troublant, c'est que le mec se décrit comme un professionnel alors qu'il commet toutes ces erreurs. Il a clairement tendu le bâton pour se faire battre et à mon avis, l'élément déclencheur, c'est la vidéo qu'il a réalisée pour se faire de la pub. Je n’ai rien contre ça, mais le risque qu'il a pris, était à l'évidence trop élevé.

Dommage :-(

Source

Cet article merveilleux et sans aucun égal intitulé : Les erreurs d’un professionnel du pentest ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Voici un soft pour les utilisateurs de Mac que j'ai trouvé bien pratique puisqu'il permet de redimensionner et positionner n'importe quelle fenêtre d'application à l'endroit de votre choix en un clic.

Cet outil s'appelle Spectacle, est open source (mais copyrightée) et une fois installée, vous propose le menu suivant :

A vous ensuite de vous placer sur la fenêtre que vous voulez bouger, puis d'aller dans ce menu et de choisir ce qui vous va le mieux. Ainsi, vous pouvez agencer votre bureau (et bureaux virtuels) comme bon vous semble sans vous prendre la tête. Notez qu'il y a des raccourcis clavier pour chacune des possibilités donc à vous de les mémoriser, et ça sera encore plus rapide !

Pratique !

Cet article merveilleux et sans aucun égal intitulé : Spectacle – Agencez votre bureau OSX en mode feignasse ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Si vous utilisez Firefox et que vous ouvrez genre 1 million d'onglets à chaque fois, et qu'au bout d'un moment, ça fait ramer votre ordinateur, voici une extension parfaitement I-N-D-I-S-P-E-N-S-A-B-L-E.

Son nom ? Auto Unload Tab.

Bon rien qu'avec le nom, vous avez surement deviné ce qu'elle fait mais je vais quand même vous présenter rapidement quelques unes de ses fonctionnalités.

Auto Unload Tab permet de configurer une durée au bout de laquelle l'onglet sera "déchargé" (c'est à dire vidé de son contenu et la mémoire libérée). Je vous rassure, si vous recliquez sur l'onglet, le site sur lequel vous étiez se rechargera sans souci.

Vous pouvez aussi programmer une durée pour que l'onglet soit carrément fermé, mettre des sites en liste blanche si vous ne voulez pas les décharger, agir uniquement au-delà d'un certain poids en MB, vider un onglet avec un clic milieu...etc.,etc.

Il y a vraiment un tas d'options sympas qui vous donneront toute la souplesse nécessaire pour que cela ne vous énerve pas dans votre surf quotidien.

A tester !

Cet article merveilleux et sans aucun égal intitulé : Auto Unload Tab – Pour économiser la mémoire de Firefox ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Alors ce pont de l'Ascension, c'était bien ? Ah vous non plus, vous n'avez pas fait le pont ? Alors si vous avez trainé sur mon Twitter, vous avez surement remarqué que le 26 mai prochain, il allait se passer quelque chose d'énooooorme !

Non, non, pas Mercure qui repasse devant le soleil, ni une inversion de pôles. J'ai mieux : Le 26 mai prochain, toute l'équipe de BountyFactory débarque à l'Ecole42 pour le Bug Bounty Day !

Au programme de ce B-Day (On sait aussi faire de bons jeux de mots chez YWH) :

Vous l'aurez compris en voyant les confs, cette après-midi est donc clairement orientée décideurs, RSSI, DSI, experts en sécurité...etc qui s'intéressent à la sécurité et au bug bounty. Toute l'équipe et moi-même serons présents pour vous rencontrer, répondre à vos questions et évidemment partager un bon moment avec vous.

Pour demander une invitation, remplissez simplement le formulaire qui se trouve en bas de ce site.

A très vite !

Cet article merveilleux et sans aucun égal intitulé : 26 mai 2016 – Ne manquez pas le B-Day ! ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Reposant sur le réseau Bittorrent et plus particulièrement sur la techno DHT (Basé sur une idée d'extension du protocole permettant le support des flux RSS), PeerTweet est un clone de Twitter entièrement décentralisé.

Pour chaque utilisateur, il génère un hash unique (l'équivalent de votre nom d'utilisateur) et une clé privée qui vous permet d'envoyer des messages ou de réaliser différentes actions sous ce nom (ce hash) unique.

Ainsi, vous pouvez suivre d'autres personnes qui vous auraient envoyée leur hash et bien sûr poster, retweeter, mettre en favoris des messages... Exactement comme sur Twitter. Le plus beau là-dedans, c'est que c'est impossible à censurer.

Alors bien sûr comme c'est du P2P, c'est lent à cause du manque de monde et l'application est encore un peu basique. Mais l'idée est bonne. Je doute que PeerTweet soit adopté massivement. Toutefois, le jour où Twitter disparait ou se fait censure pour une raison ou une autre, PeerTweet peut être la solution.

Les sources de PeerTweet sont sur Github et vous pouvez trouver des binaires pour Windows et OSX ici.

Cet article merveilleux et sans aucun égal intitulé : PeerTweet – Un clone de Twitter reposant sur Bittorrent ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.