Mais j'en suis tellement convaincu : demander aux utilisateurs de changer souvent leur mot de passe et/ou imposer des mots de passe trop complexe est contre-productif en matière de sécurité.
Microsoft a présenté fin mai sa nouvelle fonctionnalité Recall, qui sera disponible sur les PC Copilot+. Elle permet de prendre des captures d’écran en continu et de les analyser directement sur l’ordinateur, afin de créer une “mémoire photographique”. Le géant de l’informatique affirme avoir mis en place des mesures de sécurité, notamment de privilèges administrateur, pour consulter les données Recall. Des chercheurs en cybersécurité ont toutefois pu contourner ces obstacles et accéder aux données comme bon leur semble.
Je vais t'espionner, et tout laisser trainer, mais c'est pour ta sécurité.
Mais quelle boite de merde.
EDIT du 13/06 : A priori Microsoft a fait marche arrière. Mais un peu de copilot, c'est toujours trop.
https://www.ictjournal.ch/articles/2024-06-11/microsoft-retropedale-et-nactivera-pas-recall-par-defaut-udpate?utm_source=substack&utm_medium=email
En attendant qu’un meilleur standard PDF soit créé, il est toujours possible de remplacer le chiffrement natif par un chiffrement externe. Cette solution est plus sûre et efficace mais également plus compliquée à gérer au quotidien.
via Liandri
Supermicro fabrique des serveurs (utilisés notamment pour la compression vidéo) utilisés par Amazon, Apple, des tas d'autres entreprises, et aussi le gouvernement américain (armée, etc.). Les serveurs Supermicro sont conçus aux USA, mais fabriqués en Chine.
Sauf qu'il semble que ces machines aient reçu une microscopique puce chinoise supplémentaire, pas du tout prévue dans les plans d'origine. De la taille d'un grain de riz et conçue pour ressembler à des composants électroniques standards, elle possède sa propre mémoire, capacités réseau et assez de puissance de calcul pour permettre une attaque et compromettre un serveur. Elle a la capacité d'altérer les instructions machine lorsqu'elles sont transférées de la mémoire vers le CPU, et donc d'injecter son propre code, ce qui permet tout et n'importe quoi, comme d'y mettre une backdoor. La puce va aussi régulièrement sur internet chercher des instructions supplémentaires.
Supermicro a plus de 900 clients dans 100 pays.
Waouh.
Dans mon cas, le stress communicatif a fait que j’ai obtenu le mot de passe. Je ne l’ai pas fait volontairement, mais j’ai agi en utilisant une technique bien connue de l’ingénierie sociale : mettre la personne en situation de stress, avoir un ton direct et autoritaire, jouer sur l’autorité, l’urgence. Trouver le levier qui fait que la personne cède. On peut aller loin juste en parole : "tu ne veux pas que j’appelle ton supérieur qui alors va te faire des remontrances..." par exemple.
Lundi matin, environ 145.000 agents de Bercy et d'agences indépendantes ont reçu des e-mails expédiés qui par Jean-Baptiste Poquelin, qui par Thérèse Desqueyroux ou Emma Bovary. Cette dernière les invitait ainsi à gagner des places de cinéma! Le piège a fonctionné pour cette vraie fausse opération de fishing - ou «hameçonnage», sorte d'arnaque à l'e-mail de grande ampleur - organisée par les services de sécurité des systèmes informatiques du ministère des Finances. «Plus de 30.000 personnes ont cliqué sur les liens entre 10 heures et midi lundi matin. C'est beaucoup»
Excellente initiative : mieux vaut, à mon sens, user de la pédagogie que des diapo lénifiantes qui endorment tout le monde... et donc loupent leur objectif de sensibilisation.
Comme dit sur (°m, ça pose aussi la question de la culture générale littéraire des agents de ce ministère... ou alors les gens lisent trop vite et ne font pas attention, ce qui ne serait pas complétement déconnant vu l'avalanche de mails qu'on se prend sur la gueule chaque jour.
On a été averti au boulot il y a une dizaine de jours. Beaucoup d'attaques très virulentes utilisant le même type d’appât (rappel facture par exemple) depuis quelques temps.
Fichtre. Moi qui faisait telleeeeement confiance à ma banque adorée.
via http://sebsauvage.net/links/?DarbMg
Concernant la procédure pour mot de passe oublié, je suis régulièrement effaré par la trop grande simplicité avec laquelle on peut demander un nouveau mot de passe : il suffit de le demander. Dans le pire des cas, il est renvoyé en clair dans un mail. Dans d'autres cas, ce n'est même pas le mail d'inscription qui est demandé, on peut donner celui que l'on veut...
Absolument. Je ne comprendrai jamais cette propension des grandes entreprises, administrations et groupements d'intérêts divers à monter des usines à gaz là où il possible de faire simple. D'ailleurs, il est TOUJOURS possible de faire simple. Faire compliqué, c'est un état d'esprit...
Bref, il ne faudrait utiliser que des clés usb à soi, pour être sûr de ne pas tomber sur une clé "piégée" ?