phpBB en maintenance suite à une attaque

Le site de phpBB est en maintenance forcée suite à une attaque 0-day.

Maintenance

We are sorry to report that we have been attacked through a 0-day-exploit in our PHPList installation (responsible for the mailing list about new releases). phpBB.com will remain unavailable while we work to recover. No vulnerabilities have been found in the phpBB software itself.

You can download phpBB here: http://www.ohloh.net/p/phpbb

You can get support at the temporary support forums or on IRC:
chat.freenode.net #phpbb

A more detailed explanation about the incident.

Press Contact: If you need to get in contact with the management, please email phpbb_press (at) marshalrusty (dot) com.

– the phpBB team

Pas moins de 20 000 mots de passe ont ainsi été subtilisés et partagés. Comme souvent, une analyse sur la complexité des mots de passe a été faite :

• 16% sont des prénoms : Joshua
• 14% sont des suites de touches : 123456
• 5% sont des références culturelles : musique
• 4% de dérivés du mot password : passw0rd
• …

Source : Dark Reading

Chiffrement en ROT13

Qui n’a pas déjà essayé de dissimuler une chaîne de caractères en la codant afin que seul le destinataire, possesseur de la clé de déchiffrage, puisse le lire ? Il y a de nombreuses solutions mais je voudrais vous présenter le chiffrement en ROT13 disponible en PHP via la fonction str_rot13(). Côté fonctionnement, cette méthode de chiffrement de données va simplement décaler les lettres contenues dans la chaîne de caractères par celles se trouvant 13 places plus loin dans l’alphabet.

echo str_rot13(‘TiChou’);

echo str_rot13(str_rot13(‘TiChou’));

La première ligne renverra GvPubh alors que la seconde reverra bien TiChou. En effet, l’alphabet contenant 26 caractères, appliquer deux fois la fonction à une chaîne de caratère renvoie la chaîne elle-même. A noter que les chiffres n’étant pas présents dans l’alphabet, ils seront tout simplement ignorés.

echo str_rot13(‘TiChou13’);

On a bien GvPubh13.

Cette méthode de chiffrement n’étant pas bien compliquée, elle peut raidement être cassée. Veillez donc à ne pas l’utiliser pour des données sensibles ou pourquoi pas la combiner à une autre afin de la renforcer.

Seesmic : Désormais intégré à l’application Twhirl

Ca bouge pour Seesmic, comme annoncé sur le blog de Loic Le Meur. Le service de videoblogging s’intègre désormais à part entière dans la nouvelle version de son application Twhirl estampillée 0.9 et initialement dédiée à Twitter. En effet, alors que les utilisateurs ne pouvaient jusqu’à présent que visualiser les vidéos à travers le logiciel, ils peuvent désormais également les enregistrer.

Pour finir avec quelques chiffres, Twhirl représente 150 000 utilisateurs actifs, soit actuellement trois fois plus que Seesmic qui enregistre pourtant pas moins de 10 000 inscriptions par jour. Rien que ça !

OpenID : Facebook étonne en rejoignant la fondation

Alors qu’il y a peu de temps Paypal rejoignait la fondation OpenID, c’est désormais au tour de Facebook d’intégrer l’équipe. Réaction très étonnant du réseau social sachant qu’il a d’ores et déjà développé et mis en ligne sa propre technologie d’authentification décentralisée : Facebook Connect. J’avoue ne pas trop comprendre l’intérêt mais tant que ça profite à l’OpenID, tant mieux.

Source : GNT

Deezer prend du plomb dans l’aile, inscription obligatoire

Qu’arrive-t-il à Deezer qui, dans une volonté de marche pour l’évolution comme précisé sur son site, rend non seulement obligatoire les inscriptions pour écouter de la musique mais bloque désormais un grand nombre de chansons. Autant dire que certains se retrouvent avec des playlists bien trouées. Ce n’est sûrement pas le nouveau player qui va faire passer la pilule auprès des utilisateurs du service d’écoute de musique en streaming.

Vous devez avoir un compte pour écouter de la musique.

Voilà une nouvelle politique qui risque bien de nuire à la plateforme…