Il y a quelques mois, Google et Yahoo! mettait à jour leurs services afin d’apporter plus de sécurité notamment pour protéger les données utilisateurs contre l’espionnage de la NSA.

De son côté, Microsoft vient d’annoncer avoir amélioré le chiffrement utilisé sur ses services Cloud notamment le service de stockage de données en ligne OneDrive, et, la messagerie avec Outlook.com. Cela permettra de se protéger contre les cybercriminels, les mauvais acteurs et les regards indiscrets…

Matt Thomlinson, de chez Microsoft, a détaillé les points améliorés au sein d’un article publié sur le blog Microsoft.

L’engagement de Microsoft

En Décembre dernier, Microsoft avait promis de protéger les données de ses utilisateurs contre l’espionnage du gouvernement en améliorant le chiffrement sur ses services. L’objectif était de renforcer la protection légale des données de ses consommateurs et améliorer la transparence du code logiciel afin de rassurer les consommateurs eux-mêmes que le produit ne contient pas de backdoors.

L’annonce de Microsoft montre que l’entreprise a tenu ses engagements.

Le Perfect Forward Secrecy (PFS) en place !

OneDrive et Outlook.com supportent désormais le PFS afin d’améliorer considérablement la fiabilité du chiffrement pour l’envoi et la réception des mails entre les fournisseurs d’e-mails.

Le Perfect Forward Secrecy est une méthode de chiffrement qui utilise une clé de chiffrement générée aléatoirement pour chaque connexion par session. De plus, ces clés sont totalement indépendantes les unes des autres. Le fait de déchiffrer une clé donnera uniquement l’accès aux informations de cette session.

Il est à noter que le PFS protège uniquement les connexions entre le serveur d’Outlook.com et les autres services de messageries, et non la connexion entre l’utilisateur final et le serveur d’Outlook.com.

… Le TLS utilisé également !

En plus du PFS, les communications pour transporter les mails entrants et sortants du service Outlook.com sont chiffrées avec du TLS lors de communication avec d’autres serveurs mails qui supportent aussi le TLS. L’écoute des communications devient donc beaucoup plus compliquée.

Microsoft annonce avoir travaillé avec plusieurs autres fournisseurs de services de messagerie afin de s’assurer que les communications soient chiffrées. Un travail qui aura demandé six mois d’après Matt Thomlinson, qui précise que Microsoft a travaillé avec “avec plusieurs fournisseurs internationaux tout au long de notre mise en œuvre, comme, Deutsche Telekom, Yandex et Mail.Ru afin de tester et de s’assurer que les mails restés chiffrés à destination et en provenance de chaque service d’e-mail”.

Ouverture d’un “Transparency Center”

Le premier “Transparency Center” de Microsoft a ouvert ses portes au campus de Microsoft à Redmond. Il a pour objectif de permettre aux gouvernements de participer à l’analyse des codes sources de Microsoft afin de confirmer qu’ils ne contiennent pas de backdoors, et, aussi pour assurer l’intégrité des logiciels. Microsoft prévoit d’ouvrir d’autres centres de ce type dans plusieurs régions du monde.

Source

I. Présentation

Depuis la version 6 d’ownCloud, une application corbeille est apparue. Lorsqu’elle est activée, l’ensemble des fichiers supprimés se retrouvent placés dans la corbeille de l’utilisateur, pendant une durée déterminée dans la configuration de l’application.

Nous allons voir dans ce tutoriel, comment fonctionne la corbeille et comment la paramétrer.

II. Utilisation du disque

Afin d’éviter une utilisation trop importante de l’espace disque disponible sur le disque, l’application n’utilisera pas plus de 50% de l’espace disponible. Si la limite est dépassée, ownCloud supprime les fichiers dans la corbeille les plus anciens afin de toujours respecter ce seuil de 50%.

III. Conservation des données

Par défaut, les données supprimées restent 30 jours dans la corbeille avant d’être définitivement supprimées. Pour modifier cette valeur, il faut ajouter la directive « trashbin_retention_obligation » dans le fichier « config.php » d’ownCloud. Ce fichier se trouve dans :

/var/www/owncloud/config/config.php

On ajoutera ensuite la ligne suivante (exemple pour conserver 183 jours) à la suite des autres options :

'trashbin_retention_obligation' => 183,

IV. Stockage des données supprimées

L’ensemble des données supprimées sont déplacées vers la corbeille propre à chaque utilisateur, elle se trouve dans :

~/data//files_trashbin/files

Il est possible de supprimer définitivement un fichier en le supprimant de la corbeille, ceci via l’interface de gestion d’ownCloud. Il suffit d’aller dans « Fichiers », « Fichiers supprimés » puis de cliquer sur la croix correspondante au fichier à supprimer définitivement.

Deux semaines après la découverte d’un bug touchant ses téléphones, la marque Wiko a publié un correctif. Pour rappel, lorsque l’on envoyait par message le signe “=” le téléphone redémarrait instantanément.

Peuvent télécharger le correctif les possesseurs de Wiko Peax2, Ozzy, Iggy, Rainbow Stairway, Darkside, Barry, Cink Five, Darkmoon, Darkfull, Darknight. Pour le Cink Slim 2, cela ne devrait tarder.

Par ailleurs, cette mise à jour permet également de régler automatiquement les paramètres de l’opérateur. Wiko précise qu’il n’y a « plus besoin d’activer l’itinérance des données (ou « roaming ») pour rétablir la connexion sur le nouveau réseau, si votre opérateur a récemment changé de réseau ».

Source

ProtonMail, un service de chiffrement de messagerie bout en bout, développé par les chercheurs du MIT, CERN et Harvard, qui ont déjà reçu 275 000 dollars sur leur compte PayPal lors de la campagne de financement participatif (crowdfunding), étaient ravis de pouvoir lancer la version Beta du service mais juste avant le lancement PayPal a décidé de bloquer leur compte sans aucun avertissement.

Andy Yen, le co-fondateur de ProtonMail indique : “Pour le moment, ce n’est pas possible pour ProtonMail de recevoir ou d’envoyer des fonds via PayPal” et que “Aucune tentative a été effectuée par PayPal pour nous contacter avant de bloquer notre compte“.

Concernant le service en lui-même, il a pour objectif de sécuriser la messagerie en chiffrant les données directement dans le navigateur avant de les envoyer au serveur, ce qui signifie que seulement des données chiffrées sont stockées sur le serveur de messagerie.

Encore un coup des Américains !

ProtonMail est basé en Suisse, de sorte qu’il n’aura pas à se conformer aux exigences des tribunaux Américains pour fournir des données sur ses utilisateurs. Cependant, un représentant Américain de PayPal indique qu’il n’était pas sûr que ProtonMail soit légal et leur demande l’approbation du gouvernement pour permettre le chiffrement des mails.

Les nouvelles règles PayPal pour le crowdfunding

Il y a quelques mois PayPal a mis à jour sa politique pour les projets crowdfunding, qui utilise PayPal comme option de paiement sur des plateformes telles que Kickstarter et Indiegogo.

D’après ces nouvelles règles, PayPal peut demander aux auteurs du projet de fournir des informations pour prouver leur identité, et, ils doivent indiquer comment l’argent de la campagne est utilisé.

ProtonMail vs NSA

La surveillance sur Internet est omniprésente notamment avec les nombreuses affaires autour de la NSA, le service offert par ProtonMail permet d’empêcher cette surveillance au niveau des mails grâce au chiffrement.

Au niveau de l’implémentation, ProtonMail utilise le chiffrement AES, RSA ainsi qu’OpenPGP. Il y a un même une fonction d’auto-destruction dans le service de messagerie qui assure que vos e-mails soient accessibles qu’une période de temps limitée.

ProtonMail reste en financement participatif, mais il accepte seulement le paiement via carte de crédit et Bitcoin à cause du blocage de PayPal.

Source

Une vulnérabilité d’exécution de code à distance a été découverte dans le plug-in Disqus pour WordPress, un service de commentaire et de discussion. Ce plug-in est utilisé par environ 1,3 millions de sites WordPress, ce qui en fait un des plug-ins les plus populaires.

L’équipe sécurité de la société Sucuri a découverte cette vulnérabilité critique en analysant le parser JSON personnalisé du plug-in Disqus, et, les membres de l’équipe ont trouvés que la fonction de parsing pouvait autoriser quelqu’un à exécuter des commandes sur le serveur en utilisant la fonction PHP eval() qui était codée de façon non sécurisée.

Qui est vulnérable ?

Vous êtes concernés si vous utilisez :

- PHP version 5.1.6 ou plus ancien
- WordPress 3.1.4 ou plus ancien
- Plug-in Disqus 2.75 ou plus ancien

Comment exploiter cette faille ?

Pour une exploitation réussie, le hacker peut envoyer son propre payload, par exemple {${phpinfo()}} comme un commentaire que l’on enverra sur la page cible, et, ensuite il suffit d’ouvrir l’adresse de synchronisation de commentaire en ciblant l’ID de l’article cible afin de tirer profit de la vulnérabilité.

http://somesite.com/?cf_action=sync_comments&post_id=TARGET_POST_ID

Comment corriger la vulnérabilité ?

Il est fortement recommandé de mettre à jour WordPress, d’utiliser une version de PHP aussi récente que possible et de mettre à jour Disqus vers la version 2.76.

Source