OCOREDO

8.9K posts

OCOREDO banner
OCOREDO

OCOREDO

@ocoredo

Digital World (Cybersecu, AI, Cloud...) / Print-Video-Event / Entre #Bzh et Paris / Mes tweets n'engagent que moi

Courbevoie, France เข้าร่วม Mayıs 2009
4.7K กำลังติดตาม3.4K ผู้ติดตาม
OCOREDO รีทวีตแล้ว
Pavel Durov
Pavel Durov@durov·
The “age verification app” the EU wants to impose on the world got hacked in 2 minutes. Step 1: Present a “privacy-respecting” but hackable solution. Step 2: Get hacked (you are here). Step 3: Remove privacy to "fix" it. Result: a surveillance tool sold as “privacy-respecting”.
English
466
7.2K
25.2K
612.1K
OCOREDO รีทวีตแล้ว
SaxX ¯\_(ツ)_/¯
SaxX ¯\_(ツ)_/¯@_SaxX_·
🚨🔴 Ça vire au pugilat cette histoire de Pass Numérique piraté avant même sa sortie ! 🤯😬 La vérification d'âge est compromise certainement pour le 1er septembre 2026... Paul Moore, expert en cybersecurité, a dans sa lancée créée une extension pour Chrome qui dit que vous avez la majorité numérique, contourne la vérification d'âge et donne accès au réseau social... Je sens que ça va bcp faire couler d'encre encore !
Paul Moore - Security Consultant @Paul_Reviews

Bypassing #EU #AgeVerification using their own infrastructure. I've ported the Android app logic to a Chrome extension - stripping out the pesky step of handing over biometric data which they can leak... and pass verification instantly. Step 1: Install the extension Step 2: Register an identity (just once) Step 3: Continue using the web as normal The extension detects the QR code, generates a cryptographically identical payload and tells the verifier I'm over 18, which it "fully trusts". This isn't a bug... it's a fundamental design flaw they can't solve without irrevocably tying a key to you personally; which then allows tracking/monitoring. Of course, I could skip the enrolment process entirely and hard-code the credentials into the extension... and the verifier would never know.

Français
30
665
1.7K
112.5K
OCOREDO รีทวีตแล้ว
Paul Moore - Security Consultant 
Paul Moore - Security Consultant @Paul_Reviews·
Hacking the #EU #AgeVerification app in under 2 minutes. During setup, the app asks you to create a PIN. After entry, the app *encrypts* it and saves it in the shared_prefs directory. 1. It shouldn't be encrypted at all - that's a really poor design. 2. It's not cryptographically tied to the vault which contains the identity data. So, an attacker can simply remove the PinEnc/PinIV values from the shared_prefs file and restart the app. After choosing a different PIN, the app presents credentials created under the old profile and let's the attacker present them as valid. Other issues: 1. Rate limiting is an incrementing number in the same config file. Just reset it to 0 and keep trying. 2. "UseBiometricAuth" is a boolean, also in the same file. Set it to false and it just skips that step. Seriously @vonderleyen - this product will be the catalyst for an enormous breach at some point. It's just a matter of time.
Paul Moore - Security Consultant @Paul_Reviews

.@vonderleyen "The European #AgeVerification app is technically ready. It respects the highest privacy standards in the world. It's open-source, so anyone can check the code..." I did. It didn't take long to find what looks like a serious #privacy issue. The app goes to great lengths to protect the AV data AFTER collection (is_over_18: true is AES-GCM'd); it does so pretty well. But, the source image used to collect that data is written to disk without encryption and not deleted correctly. For NFC biometric data: It pulls DG2 and writes a lossless PNG to the filesystem. It's only deleted on success. If it fails for any reason (user clicks back, scan fails & retries, app crashes etc), the full biometric image remains on the device in cache. This is protected with CE keys at the Android level, but the app makes no attempt to encrypt/protect them. For selfie pictures: Different scenario. These images are written to external storage in lossless PNG format, but they're never deleted. Not a cache... long-term storage. These are protected with DE keys at the Android level, but again, the app makes no attempt to encrypt/protect them. This is akin to taking a picture of your passport/government ID using the camera app and keeping it just in case. You can encrypt data taken from it until you're blue in the face... leaving the original image on disk is crazy & unnecessary. From a #GDPR standpoint: Biometric data collected is special category data. If there's no lawful basis to retain it after processing, that's potentially a material breach. youtube.com/watch?v=4VRRri…

English
668
6.2K
24.7K
3.3M
OCOREDO รีทวีตแล้ว
Seb
Seb@seblatombe·
« Il y a d’autres Pegasus dans nos téléphones. On a un énorme problème de cybersurveillance mondiale, et peu de gens protègent réellement les citoyens. » Pegasus : plongée au cœur d’un scandale d’espionnage mondial sans précédent, impliquant 50 000 numéros ciblés, des gouvernements et services de renseignement, du Maroc à Israël. Interview de Laurent Richard : enquête hors norme, surveillance déjouée, chefs d’État visés, dont Emmanuel Macron.
Français
12
290
487
21.5K
OCOREDO รีทวีตแล้ว
SaxX ¯\_(ツ)_/¯
SaxX ¯\_(ツ)_/¯@_SaxX_·
🚨🔴CYBERALERT 🇫🇷FRANCE🔴 | 💣 Cyberattaque BERCY : le fichier FICOBA piraté... 1,2M de comptes bancaires consultés et copiés par un cybercriminel... ⤵️ Voici une nouvelle déflagration ! Bercy communique sur un piratage hors-norme après qu'un cybercriminel ait eu accès à l'un des fichiers les plus sensibles de l'administration fiscale française... le fichier FICOBA, le FIchier national des COmptes BAncaires. Le ministère de l'Économie fait état de 1,2 million de comptes bancaires consultés depuis la fin du mois de janvier. Là encore, un fonctionnaire s'est fait piégé et ses identifiants ont été usurpés... la faute à PAS DE MFA... Pour rappel, on parle de l'ensemble des comptes bancaires ouverts dans les établissements bancaires français et qui contient des données sensibles comme : 👉🏾 les coordonnées bancaires (RIB/IBAN) 👉🏾 l'identité du titulaire 👉🏾 l'adresse postale 👉🏾 l'identifiant fiscal de l'usager Autre info, depuis quelques jours, les applications pour les pros de la DGFIP comme ficoba, ficovie, cadastre, étaient inaccessibles... Ce qui se passe actuellement dans le numérique en FRANCE est grave. On a l'impression d'être une passoire... Après la cyberattaque du Ministère de l'intérieur en décembre, cette nouvelle cyberattaque va faire bcp parler... Cybèrement vôtre, SaxX ¯\_(ツ)_/¯
SaxX ¯\_(ツ)_/¯ tweet media
Français
168
1.7K
2.6K
397.8K
OCOREDO รีทวีตแล้ว
Ainsi va le monde
Ainsi va le monde@HenriWeill·
La mère de Charles Waithaka, jeune kenyan à la recherche d'un avenir meilleur s'est retrouvé combattre en Ukraine pour la Russie. Victime de recruteurs sans scrupules, il a été tué. Son corps n'a pas été retrouvé. ainsi-va-le-monde.blogspot.com @Emdupuy @TKouilou @ocoredo
Ainsi va le monde tweet media
Français
1
1
2
91
OCOREDO รีทวีตแล้ว
Souveraine Tech
Souveraine Tech@SouveraineTech·
Un outil permettant de suivre plus de trois milliards d'utilisateurs de @WhatsApp et @signalapp a été rendu public. Il suffit aux pirates de connaître le numéro de téléphone pour déterminer quand les utilisateurs rentrent chez eux, quand ils utilisent activement leur téléphone, quand ils se couchent ou quand ils sont hors ligne. Ils peuvent également vider les batteries et épuiser les limites de données sans que les utilisateurs ne s'en aperçoivent. cybernews.com/security/whats…
Souveraine Tech tweet media
Français
21
458
939
131.2K
OCOREDO
OCOREDO@ocoredo·
💥 #𝐂𝐲𝐛𝐞𝐫𝐬𝐞́𝐜𝐮𝐫𝐢𝐭𝐞́ 𝐞𝐭 #𝐈𝐀 : 𝐃𝐫 𝐉𝐞𝐜𝐤𝐲𝐥𝐥 𝐨𝐮 𝐌𝐫 𝐇𝐲𝐝𝐞 ? 📆 Afterwork @MondeInformatiq 𝟭𝟯 𝗻𝗼𝘃, 18h30, Paris 8 🎙️ O. Ligneul , Directeur Cybersécu, EDF Général P. Perrot, Gendarmerie Nationale @_SaxX_ Hacker Ethique 👉themas.lemondeinformatique.fr/landing-page/c…
Français
0
0
0
93

ค้นพบ

@vonderleyen @CSDHI @VincentCrouzet4 @DESElisabeth @FuscoAir @MareuilEditions @O2LaLiberation @LegionEtrangere