C'est un tournant dans la lutte contre le streaming illégal, notamment dans le domaine sportif : les fournisseurs d’accès Internet sont désormais tenus de bloquer les sites diffusant illicitement des matchs de football de la Liga espagnole, selon une décision judiciaire.

Il est vivement conseillé de vérifier si votre navigateur est à jour avec la version la plus récente.

Hacker un mot de passe est parfois un jeu d’enfant.

Dans un mouvement significatif pour renforcer la protection de la vie privée, Apple et Google ont annoncé ce lundi que les utilisateurs d’iPhone et d’Android recevront bientôt des alertes lorsqu’un appareil Bluetooth inconnu semble être utilisé pour les traquer. Cette fonctionnalité devrait être déployée dans les prochaines mises à jour logicielles des deux géants de ... Lire plus

L'article Apple et Google s’accordent sur un standard pour alerter les utilisateurs victimes de traquage par des appareils Bluetooth inconnus est apparu en premier sur Fredzone.

Promis, je ne suis pas voyant, mais j'avais prévenu qu'une opération se préparait contre le forum BreachForum. Au moins un administrateur arrêté ? Le site ainsi que le compte Telegram ont été saisis....

Grosse panique sur la blockchain Ethereum ! Alors qu’on pensait la technologie des registres distribués imparable, voilà qu’elle se fait braquer en un clin d’œil par deux petits génies de l’informatique. Anton et James Peraire-Bueno, deux frérots qui ont étudié au MIT, une des facs les plus prestigieuses des States, ont mis au point un plan diabolique pour s’enrichir sur le réseau Ethereum.

Les frangins ont bien travaillé et ont réussi à exploiter une vulnérabilité dans le protocole mev-boost, qui permet aux validateurs de vendre leur espace de bloc à un marché ouvert d’acteurs spécialisés appelés « builders ». En se faisant passer pour des validateurs légitimes, les frères ont pu accéder au contenu des blocs avant leur publication et en extraire des transactions lucratives !

Résultat des courses : 20 millions de dollars de cryptos qui s’envolent en quelques secondes chrono. Un casse éclair daté du 3 avril 2023, qui en laisse plus d’un sur le carreau et qui pourrait bien faire trembler tout l’écosystème. C’est que la confiance, c’est la base des échanges sur ces réseaux !

Mais attention, les frères Peraire-Bueno sont loin d’être des enfants de chœur. Pour planquer leur magot, ces petits malins ont tout prévu : des sociétés-écrans, des comptes dans tous les sens et même un plan d’attaque en règle pour brouiller les pistes. Sauf que c’était sans compter sur les fins limiers du fisc américain, qui ont flairé l’embrouille et décortiqué tout le stratagème. Parce que bon, faire des recherches sur Google pour savoir comment blanchir du pognon, c’est un peu cramé comme technique… Bref, les frangins risquent maintenant 20 ans à l’ombre pour chaque chef d’accusation. Pas sûr que ça valait le coup !

Mais au-delà de l’histoire rocambolesque, c’est toute la sécurité des blockchains qui est remise en question. Si même le sacro-saint Ethereum peut se faire dépouiller en deux temps trois mouvements, où va-t-on ? Les experts s’écharpent déjà sur les forums pour savoir si c’est un bug isolé ou une faille béante dans le système de « proposer-builder separation » (PBS) utilisé par mev-boost.

Heureusement, la communauté Ethereum réagit rapidement. Un patch a été déployé dès le 3 avril pour colmater la brèche exploitée par les frères Peraire-Bueno. D’autres vulnérabilités potentielles ont aussi été identifiées et des contre-mesures mises en place, comme l’ajout d’un délai limite pour empêcher les validateurs malveillants de demander un bloc trop tard.

Mais bon, il reste encore du boulot alors on espère que les développeurs, chercheurs en sécurité, opérateurs de relais mev-boost… travailleront main dans la main pour renforcer le protocole mev-boost et les futures implémentations de PBS.

Pour en savoir plus sur les détails de cette affaire, vous pouvez consulter l’annonce du Department of Justice et l’acte d’accusation officiel. Et pour aller plus loin, jetez un oeil au dépôt GitHub de mev-boost et aux discussions de la communauté autour de cet incident.

Lors de sa conférence annuelle Google I/O, Google a annoncé le lancement prochain d’un nouveau service de détection des malwares sur Android. Baptisé “Google Play Protect’s live threat detection service”, ce système exploite la puissance de l’IA embarquée pour analyser en temps réel le comportement des applications. Cette initiative audacieuse offrant aux utilisateurs une protection ... Lire plus

L'article Google déclare la guerre aux malwares Android avec un service de détection des menaces basé sur l’IA ! est apparu en premier sur Fredzone.

INFO ZATAZ - Une arnaque sur Instagram invite les créateurs de contenus à recevoir 200€ pour l'utilisation d'une de leurs photos. Explication du piège....

Le général-major Michel Van Strythem, à la tête du nouveau Cyber Command de l'armée belge, a récemment révélé dans une interview accordée au journal De Morgen les nombreuses menaces insidieuses qui se cachent derrière nos écrans de smartphone....

L'intelligence artificielle (IA) a révolutionné de nombreux domaines, de la médecine à la finance, en passant par le commerce en ligne. Cependant, l'une des applications les plus cruciales et les plus débattues de l'IA est la cybersécurité. Interview avec un expert INTEL....

Une récente décision de justice a mis en lumière les circonstances ayant permis à des cybercriminels de dérober et de mettre en vente les informations personnelles dizaines de milliers de demandeurs d’emploi français....

Plus de 300 millions de logs et 11 millions de photos auraient été copiés du site russe Search4Faces par un hacker malveillant....

La capitale finlandaise, Helsinki, fait face à une crise majeure de cybersécurité après une attaque informatique de grande envergure survenue le 30 avril dernier....

En 2024 mars, des pirates informatiques nord-coréens ont utilisé le mélangeur de crypto-monnaie Tornado Cash pour blanchir 147,5 millions de dollars volés sur la bourse HTX....

Une banque clandestine stoppée par les autorités chinoises. Elle avait permis d'écouler près de 2 milliards de dollars !...

Mardi dernier, les autorités fédérales ont appréhendé deux frères, Anton Peraire-Bueno et James Peraire-Bueno. La raison ? Ces derniers sont impliqués dans un vol de cryptomonnaies sans précédent d’une valeur d’environ 25 millions de dollars ! Les frères, qui ont étudié les mathématiques et l’informatique au MIT, auraient utilisé leurs connaissances avancées pour manipuler l’intégrité ... Lire plus

L'article Ces 2 frères ont dérobé une somme record de 25 millions de dollars en cryptomonnaies ! est apparu en premier sur Fredzone.

Vous débarquez dans votre laverie automatique préférée, les bras chargés de linge sale, et là, magie magie, grâce à une petite bidouille bien sentie, vous pouvez lancer une lessive gratuite, sans débourser un centime. C’est le rêve, non ? Eh bien, figurez-vous que c’est exactement ce qu’ont réussi à faire des étudiants un peu hackers sur les bords.

Alexander Sherbrooke et Iakov Taranenko, 2 petits génies de l’université de Santa Cruz, ont découvert une faille de sécurité dans le système des laveries connectées de CSC ServiceWorks. Je vous parle quand même d’un réseau de plus d’un million de machines à laver installées un peu partout dans le monde, des campus universitaires aux hôtels en passant par les résidences. Bref, un sacré parc de machines qui tournent à plein régime.

Pour y arriver, ils ont bidouillél’API utilisée par l’appli mobile CSC Go. Pour ceux qui ne sont pas familiers avec le jargon technique, une API c’est un truc qui permet à des applis et des appareils de communiquer entre eux au travers du réseau. Dans le cas présent, l’appli CSC Go permet aux utilisateurs de recharger leur compte, de payer et de lancer un cycle de lavage sur une machine proche. Cependant, les serveurs de CSC ne vérifiaient pas correctement qui avait le droit de faire quoi. N’importe qui peut entrer et faire ce qu’il veut. Et c’est exactement ce qu’ont fait nos deux compères.

En analysant le trafic réseau pendant qu’ils utilisaient l’appli CSC Go, Alexander et Iakov ont réussi à court-circuiter les contrôles de sécurité pour envoyer des commandes directement aux serveurs de CSC. Résultat des courses : ils ont pu modifier leur solde, ajouter des millions de dollars virtuels pour le budget lessive, et même localiser et interagir avec toutes les machines du réseau CSC ServiceWorks.

Bien sûr, avoir la lessive gratuite, c’est cool. Mais Alexander et Iakov ont surtout voulu montrer les dangers d’avoir des appareils connectés à Internet sans une sécurité au top. Le pire dans l’histoire, c’est qu’ils ont prévenu CSC ServiceWorks de la faille à plusieurs reprises depuis janvier, mais la société n’a jamais répondu. Pourtant, un simple petit formulaire de contact pour signaler les problèmes de sécurité, ça ne coûte pas bien cher et ça peut éviter de gros dégâts… J’espère juste que ces derniers ne préparent pas une action en justice…

Évidemment, bidouiller des machines à laver pour avoir des lessives gratuites, ce n’est pas l’attaque du siècle mais cela montre qu’il y a encore du boulot côté sécurité pour tous ces objets connectés. Alors pour se protéger de telles vulnérabilités, il est crucial de sécuriser les API en effectuant la vérification des commandes côté serveur plutôt que côté client et en utilisant des tokens d’authentification sécurisés.

En attendant, si vous croisez Alexander et Iakov sur leur campus, vous pouvez leur donner vos slips sales, ils savent y faire pour vous les rendre plus blanc que blanc. ^^

Source

YggTorrent, le célèbre site de torrent français, vient de passer en mode privé. Vous vous demandez sûrement pourquoi ? Je vous explique ça tout de suite !

Figurez-vous que notre cher Ygg, comme on l’appelle affectueusement dans le milieu (non), subissait une pression de plus en plus forte ces derniers temps. Entre les blocages de noms de domaine ordonnés par la justice et les demandes incessantes de retrait de la part des ayants droit, l’équipe du site n’avait plus une minute à elle !

C’est que ce site n’est pas un simple index de torrents comme les autres. C’est une vraie communauté avec son propre tracker dédié et tout le tralala. Un concept devenu aussi rare qu’un Commodore 64 en état de marche!

Forcément, avec des millions de visiteurs chaque mois, Ygg ne pouvait pas passer inaperçu bien longtemps. Hollywood et les majors l’ont rapidement mis dans leur collimateur, le classant parmi les sites de piratage les plus « notoires ». Sympa comme titre honorifique, non ?

Bref, face à cette pression grandissante, les admins ont donc décidé de prendre une mesure radicale : passer le site en mode privé. Exit la page d’accueil publique, désormais il faut un compte pour accéder au Saint Graal ! L’idée derrière ce changement, c’est d’échapper un peu à la surveillance constante des ayants droit et des autorités, tout en mettant en place une politique de retrait plus réactive pour les contenus signalés. Une manière de faire profil bas, en somme, même si ça me semble un peu dérisoire vu l’ampleur du site.

Cela dit, Ygg n’entend pas pour autant céder à toutes les demandes abusives. Les fausses réclamations de droits d’auteur, très fréquentes, continueront d’être ignorées et seules les requêtes légitimes seront traitées. Mais derrière cette décision se cache aussi le constat de l’inefficacité des blocages face au piratage. Pour la team, empêcher l’accès à un site web ne va pas inciter les gens à payer pour des contenus qu’ils ne peuvent pas se permettre.

C’est triste à dire, mais pour beaucoup, le choix est simple : c’est télécharger ou ne pas consommer de divertissement / culture du tout car l’accès à tout ça a un prix, et tout le monde n’a pas les moyens de se l’offrir.

Pour l’instant, seuls les 6 millions d’utilisateurs enregistrés sur le site peuvent encore y accéder et les inscriptions devraient rouvrir prochainement par cooptation. En attendant, YggTorrent espère que ce passage en privé lui accordera un peu de répit. Un éternel jeu du chat et de la souris dans lequel aucun vainqueur ne peut être désigné à moins d’un changement de règles profond…

Source