Sécurité: Les infrastructures américaines seront visées par des pirates

SAN FRANCISCO - Les États-Unis vont subir des attaques informatiques visant à endommager leurs grandes infrastructures, comme celle subie par le réseau électrique ukrainien en décembre, a averti mardi le patron de l'agence de renseignement américaine NSA, l'amiral Michael Rogers.
«La seule question est quand, et non pas si» les États-Unis seront visés par un «comportement destructeur contre des infrastructures clef», semblable à ce qu'il s'est passé en Ukraine fin 2015, a indiqué l'amiral Rogers en Californie lors d'une convention sur la sécurité sur internet.
Le réseau électrique de l'Ukraine a subi le 23 décembre une cyberattaque qui a plongé plusieurs heures dans le noir une grande partie de la région d'Ivano-Frankivsk (ouest).
Cette attaque «très élaborée» visait à la fois à «mettre par terre le réseau» électrique mais aussi à «ralentir le processus de rétablissement du courant», en anticipant les solutions pouvant être apportées par la société d'électricité, a expliqué le chef militaire.
«Il y a sept semaines, c'était l'Ukraine. Mais ce n'est pas la dernière fois que nous allons voir ça, et ça m'inquiète», a-t-il dit.
L'amiral Rogers est à la fois le patron de la NSA et le commandant du cyber-commandement militaire américain, une force qui disposera bientôt de 6000 soldats spécialisés dans la guerre informatique, pour défendre les réseaux américains mais aussi pour attaquer les réseaux des adversaires.
L'administration Obama propose d'augmenter de 15,5 % le budget de la guerre informatique dans le budget de la défense 2017, à 6,7 milliards de dollars, soit un peu plus de 1 % du budget total de la défense américaine.


Source.:

Vos comptes ont-ils été piratés?

Il y a une façon facile et rapide de vérifier si des données de vos comptes de courrier électronique ont été dérobées par des pirates informatiques: le site haveibeenpwned.com.
Le site fait de plus en plus parler de lui dans l'actualité comme une ressource indispensable pour les experts en sécurité informatique. Il révélait récemment que les données de 65 millions de comptes d'utilisateurs du site de microblogage Tumblr obtenues par un piratage étaient marchandées sur le web.
Il tire son nom de l'argot internet, «Have I Been Pwned?» se traduisant par «Ai-je été [NDLR: comprendre "piégé"]?»
Haveibeenpwned.com obtient et archive les données de failles de sécurité rendues publiques (évidemment, de nombreuses attaques informatiques restent dans l'ombre). Il s'agit généralement des adresses courriel de comptes dont les mots de passe ont été volés par des pirates informatiques.
À ce jour, le site web répertorie plus de 970 millions de comptes atteints par des pirates informatiques, qui ont attaqué différents sites, dont les cas les plus récents et médiatisés de LinkedIn et MySpace. À eux seuls, les données volées à ces deux sites touchent plus de 520 millions de comptes.
Pour savoir si vous faites partie des victimes de ces pirates informatiques, c'est simple: entrez une adresse courriel ou un nom d'utilisateur dans la barre de recherche du site et cliquez sur «pwned?».

Si vous avez été ciblé dans une faille considérée comme sensible (sites pornos ou de rencontre comme Ashley Madison), ces données ne seront toutefois pas accessibles par une recherche publique.

Changez votre mot de passe!

Votre adresse figure parmi les comptes répertoriés par haveibeenpwned.com? Le site web vous informera du type d'informations obtenues par des pirates informatiques (nom d'utilisateur, mots de passe et/ou autres) et pourra aussi vous suggérer une marche à suivre.
À retenir: si, par exemple, votre compte LinkedIn a été piraté, cela ne signifie pas que votre compte courriel qui y est lié est en danger. Toutefois, si vos mots de passe sont les mêmes pour tous vos comptes, il pourrait être bien avisé de les modifier.

Source.:

Nouveau Bluetooth: portée doublée et rapidité quadruplée

La prochaine version du système Bluetooth sera bientôt présentée officiellement, mais les grands axes du système sans fil standardisé sont déjà connus.
Bluetooth 5 sera bientôt parmi nous et devrait représenter une considérable mise à jour technique par rapport à son prédecesseur. En plus d'une portée plus conséquente et d'une vitesse largement augmentée, ses besoins en énergie devraient être moins importants.
Par ailleurs, Mark Powell, le directeur général de Bluetooth Special Interest Group, a également laissé entendre que le système proposera davantage de services.
Un service de balise pourrait par exemple permettre aux employés de se rendre plus facilement dans les grands bâtiments et ses alentours. L'annonce sera faite officiellement à Londres le 16 juin prochain. La nouvelle version du système a été mise au point par des techniciens d'Apple, d'Intel ou encore de Microsoft.
Le nom de Bluetooth 5 a été choisi pour faciliter le marketing et son acceptation par les utilisateurs. Il devrait selon le groupe rendre «les habitations plus intelligentes et plus connectées» avec des objets électroniques qui communiquent encore plus entre eux.

Source.:

Poème: Un diamant en héritage

Diamant Divin !
On porte tous un diamant brut en soi
Il nous anime,il est notre lien avec le Divin
Ce diamant ne vous appartient pas
Il est votre âme

Venu du néant , vous êtes le porteur
Ce diamant est éternel,et ne peut retourner a sa source
Il est la et prend toute l'espace
Car vous l'avez attirer par votre amour

Si tu pleure de joie ,c'est qu'il est la
Il vous entoure de sa lumière
Il est pur et sans péché
Il n'attend que vous l'acceptiez

Vous n'avez pas le choix ,il est la
Il vous guidera dans son chemin
Pourquoi moi ?
Parce que ça ne peut que se passer dans le monde du vivant

Si quelqu'un est appelé par le Divin
Son diamant vous reviendra ici-maintenant
Il sera votre héritage,dans le réel
Car sorti du corps,il suit sa voix vers la lumière
Vous êtes Lumière,et l'attirer par votre amour gravitationnelle
Et par votre Amour vous attirez ces petits diamants


Le Divin sait reconnaître un diamant pur
Il le prend pour le donner a ses enfants 
Afin qu'ils deviennent lumineux comme lui
C'est votre héritage ,c'est votre diamant Divin

Alors,vous serez toujours de plus en plus près de lui
Simplement en l'acceptant dans votre corps,dans votre âme
Il vous dira: "Homme de peu de Foi,vous m'avez oublier,mais j'étais la"

Mais surtout n'oubliez pas :
Vous n'êtes pas la personne que vous pensez
Vous n'êtes pas la personne que vous avez été
ni celle que vous serez !

Vous êtes le porteur d'une partie d'un Diamant pur
Et c'est a partir de la que vous deviendrez autre chose qu'un personne
Vous serez plus planétaire,plus spirituel,vous serez lumière.

Si tu t'es pardonné comme je me suis pardonné
Je n'ai pas besoin de te le dire
Je n'ai pas besoin de te toucher,de te voir
Tu es le pardon, et tu es pardonné

A ce moment , tu pourras être en Paix
Tu es la Paix !
Allez, brille de ta Lumière,tu prend toute la place
Car tu me nourri, tu es la Vie !





Source.: T30

Firefox: Le Multiprocessus de Firefox 48 marquera enfin le premier pas vers Electrolysis

 

Applications

Le projet Electrolysis vise à isoler plusieurs processus dans Firefox pour augmenter ses performances et sa sécurité. Un travail en cours depuis plusieurs années, mais seulement disponible dans le canal Developer. Firefox 48 marquera un premier vrai pas de cette technologie vers le grand public.

Electrolysis est presque considéré comme une arlésienne par les aficionados de Firefox : évoquée depuis des années, la technologie n’a jamais été diffusée auprès des utilisateurs. Son absence se fait d’autant plus remarquer que le navigateur est actuellement le seul à garder une structure monolithique, dans laquelle un seul processus s’occupe de l’ensemble des opérations. Chrome et Edge, par exemple, isolent chaque onglet dans un processus séparé.

Un travail de longue haleine

Cette approche multiprocessus a principalement deux avantages et un défaut. D’abord, elle augmente la sécurité générale en interdisant certaines opérations par les sites. Chaque onglet ayant son propre espace mémoire isolé, certains mécanismes deviennent impossibles à exploiter. Sous réserve bien entendu qu’une faille ne permette pas de contourner cette isolation. Ensuite, les processus multiples tirent mieux parti des cœurs d’exécution du processeur. Le plantage d’un onglet ne doit pas entrainer le reste du navigateur dans la chute. Cependant, l’ensemble se fait au détriment de la consommation de mémoire vive, qui augmente mécaniquement.
Mais Firefox a été conçu comme un programme monolithique. Changer de telles fondations casse logiquement le fonctionnement profond du navigateur. Voilà pourquoi Mozilla a pris son temps jusqu’à présent. Electrolysis, baptisé E10S, peut néanmoins se tester depuis plusieurs mois dans l’édition Developer de Firefox, dans lequel il est activé par défaut. Il n’était auparavant disponible que dans une branche séparée de développement, accessible uniquement depuis le serveur FTP de l’éditeur.

Electrolysis chez 1 % des utilisateurs avec Firefox 48

Firefox 48 est la première version à propulser véritablement E10S vers les utilisateurs, la bêta venant tout juste de paraître. Le développeur Asa Dotzler explique dans un billet de blog qu’il s’agira dans tous les cas d’un lancement en deux temps. Firefox 48 n’activera en effet Electrolysis que pour 1 % de la population. Selon Dotzler, cela permettra à Mozilla de doubler le nombre d’utilisateurs qui se serviront d’Electrolysis (en comptant les testeurs habituels).
La suite dépendra des remontées : « Si nous rencontrons des problèmes, nous pouvons ralentir la diffusion, la mettre en pause ou même désactiver E10S pour ceux qui l’ont eu » avertit Asa Dotzler. Cet avertissement souligne un certain inconnu pour Mozilla. L’éditeur sait qu’Electrolysis peut entrainer des problèmes, parmi lesquels des chutes de performances dans certains cas, et surtout une cassure de la compatibilité avec des extensions.
Le développeur confirme en tout cas qu’E10S est certainement le plus gros changement effectué dans Firefox depuis les débuts du navigateur. Idéalement, si tout se passe bien pendant l’utilisation de Firefox 48 (surtout à l’arrivée de la version finale), c’est la mouture 49 qui marquera la généralisation de la technologie. On rappellera en outre que la version finale de Firefox 47 est disponible depuis peu.

Source.:

Firefox: Le blocage du contenu mixte (le HTTPS)

(Redirigé depuis How does content that isn't secure affect my safety?)

Firefox vous protège des attaques en bloquant le contenu potentiellement malveillant et non sécurisé des pages web qui sont censées être sûres. Poursuivez la lecture pour en apprendre plus sur le contenu mixte et savoir quand Firefox l'a bloqué.

Qu'est-ce que le contenu mixte ?

HTTP est un protocole de transmission des informations d'un serveur web vers votre navigateur. HTTP n'est pas sécurisé, donc quand vous naviguez sur une page via HTTP, votre connexion est ouverte aux écoutes et aux attaques. La plupart des sites utilisent HTTP parce que les informations qui y circulent ne sont pas sensibles et n'ont donc pas besoin d'être sécurisées.
Quand vous naviguez sur une page dont le serveur est pleinement HTTPS, comme c'est le cas pour votre banque, vous verrez une icône de cadenas verts dans la barre d'adrese (consultez l'article Comment puis-je savoir si ma connexion vers un site web est sécurisée ? pour les détails). Cela signifie que votre connexion est authentifiée et chiffrée, par conséquent, protégée des écoutes et des attaques de l'homme du milieu.
Cependant, si la page HTTPS inclut des données HTTP, la portion HTTP peut être lue ou modifiée par des pirates, même si la page principale est sur un serveur HTTPS. Quand une page HTTPS a des données HTTP, on appelle cela du contenu « mixte ». La page n'est qu'en partie chiffrée et même si elle semble être sécurisée, elle ne l'est pas.

Note : Pour plus d'informations sur le contenu mixte (actif et passif), visitez cet article de blog en anglais.

Quels sont les risques des contenus mixtes ?

Un pirate peut remplacer les données HTTP de la page afin de voler vos identifiants, s'emparer de votre compte, acquérir des données sensibles vous concernant, modifier le contenu de la page ou tenter d'installer des logiciels malveillants sur votre ordinateur.

Comment puis-je savoir qu'une page contient du contenu mixte ?

Vérifiez si l'icône ci-contre est présente dans votre barre d'adresse pour déterminer si la page contient du contenu mixte.

Pas de contenu mixte : sûr

•  : vous verrez un cadenas vert lorsque vous êtes sur une page entièrement sécurisée qui ne tente pas de charger des éléments non sécurisés.

Contenu mixte bloqué : sûr

•  : vous verrez un cadenas vert avec un triangle d'avertissement gris lorsque Firefox a bloqué les éléments non sécurisés sur cette page. Cela signifie que la page est désormais sûre. Cliquez sur l'icône pour afficher le centre de contrôle et obtenir plus de détails de sécurité sur la page.

Contenu mixte pas bloqué : pas sûr

•  : si vous voyez un cadenas barré en rouge, c'est que Firefox ne bloque pas les éléments non sécurisés, que cette page est vulnérable aux écoutes et aux attaques, et que vos données personnelles à partir du site peuvent vous être volées. Vous ne devriez pas voir cette icône, sauf si vous avez débloqué le contenu mixte en suivant les instructions de la section suivante.

•  : un cadenas gris avec un triangle orange indique que Firefox ne bloque pas le contenu passif non sécurisé. Les pirates peuvent être capables de manipuler des parties de la page, par exemple en affichant du contenu falsifié ou inapproprié, mais ils ne devraient pas pouvoir voler vos données personnelles à partir du site.

Débloquer le contenu mixte

Débloquer les éléments non sécurisés n'est pas recommandé, mais cela peut être fait si nécessaire :

1. Cliquez sur l'icône en forme de cadenas dans la barre d'adresse.
2. Cliquez sur la flèche dans le centre de contrôle :

   

3. Cliquez sur Désactiver la protection pour l'instant.

   

Pour activer la protection, suivez les étapes précédentes et cliquez sur Activer la protection

Avertissement : débloquer le contenu mixte peut vous rendre vulnérable aux attaques.

Développeurs : si votre site web provoque des erreurs de sécurité en raison de contenus non sûrs, consultez cet article de MDN : Régler le problème du contenu mixte dans un site web.

* SSL Checker online :  https://www.jitbit.com/sslcheck/#

Régler le problème du contenu mixte dans un site web

À partir de Firefox 23, Firefox bloque par défaut le contenu mixte actif. Ce que font également Internet Explorer (depuis la version 9) et Chrome.
Cette page vous explique à quoi vous devez être attentif en tant que développeur web.

Votre site web risque d'être  cassé

Si votre site web propose des pages HTTPS, tous les contenus mixtes actifs proposés via HTTP sur ces pages seront bloqués par défaut. Par conséquent, votre site web apparaîtra cassé aux utilisateurs (si les iframes ou les plugins ne se chargent pas, etc.). Les contenus mixtes passifs seont affichés par défaut, mais les utilisateurs peuvent choisir l'option de bloquer également ce type de contenus.

Remarque : comme les contenus mixtes sont déjà bloqués par Chrome et Internet Explorer, si votre site fonctionne avec ces deux navigateurs, il y a de grandes chances qu'il fonctionne également avec Firefox avec le blocage du contenu mixte.

Dans tous les cas, le meilleur moyen de savoir si quelque chose est cassé avec Firefox c'est de télécharger la dernière version Developer Edition (anciennement Aurora), d'ouvrir diverses pages de votre site web en activant la console web (activez-la à partir des messages de sécurité) et de regarder si elle signale des problèmes de contenus mixtes. Vous pouvez aussi utiliser un sytème d'analyse en ligne comme SSL-check qui parcourt tout votre site web de façon récursive et détecte les liens vers du contenu non sûr. Si aucune alerte à du contenu mixte n'apparaît, votre site web est en bonne santé : bravo et continuez à produire des sites web de bonne qualité !

Comment régler le problème

Le meilleur moyen d'éviter le blocage du contenu mixte c'est de proposer l'intégralité de vos contenus via le protocole HTTPS au lieu d'HTTP.
Pour votre propre domaine, diffusez tous les contenus en HTTPS et modifiez vos liens. Il arrive souvent que la version HTTPS du contenu existe déjà et qu'il suffise d'ajouter un « s » au lien : http:// devient https://.
Pour un autre domaine, utilisez la version HTTPS si elle est disponible. Si ce n'est pas le cas, vous pouvez essayer de contacter l'administrateur du domaine et lui demander de rendre ses contenus disponibles via HTTPS.

Source.: