Madmainmail
Shared posts
BREACH : Une nouvelle technique pirate pour déchiffrer des données HTTPS en 30 secondes !
La sécurité WordPress en infographie
Cartes SIM : Faille de sécurité importante, 750 millions d’utilisateur en danger
OVH : Intrusion et piratage massif des données des clients européens
AT&T brevète une technologie permettant de tracer le téléchargement illicite
Android vs iOS : êtes-vous plus espionné sur l’un que sur l’autre ?
Les forums d’Ubuntu piratés
Ubuntuforums.org qui accueille les forums officiels de Canonical au sujet d'Ubuntu viennent de se faire pirater par un certain Sputn1k_
Résultat, le site est en maintenance et les pseudo, mots de passe (chiffrés ou hashés) et adresses emails se retrouvent dans la nature. 1,8 millions de comptes quand même...
Canonical recommande à tous ses users de changer leur mot de passe s'il est identique sur d'autres sites (par exemple pour votre boite mail).
Heureusement, les autres services de Canonical comme Ubuntu One et Launchpad n'ont pas été visités.
True DTC
Si vous avez utilisé un jour dans votre vie l'application TrueCaller sur mobile qui permet de connaitre l'identité associée à un n° de téléphone, même quand la personne ne figure pas dans votre carnet d'adresses, et bien vous allez sauter au plafond puisque toutes leurs bases (7 au total) ont été piratées par des hackers se revendiquant du groupe Syrian Electronic Army.
Nom, prénom, numéro de téléphone, mais aussi autorisation d'accès à votre compte Twitter, Facebook...etc. Les pirates ont accès à des millions de profils, ce qui représente pas moins de 450 GB. La faille a pu être exploitée grâce à la négligence de l'équipe de TrueCaller qui n'a pas mis à jour son WordPress et qui s'est donc fait poutrer ses bases dont le mot de passe était QUAND MÊME : Google123.
Hé ouais ! Des champions !
Bon, pour vos infos perso, c'est mort, vous pouvez vous assoir dessus. Par contre, pour vos comptes Twitter, Facebook ou autre, pensez à révoquer l'accès à l'application TrueCaller.
Voici encore la preuve une fois de plus qu'il faut toujours considérer comme public les données que vous confiez à un tiers sur le net.
Télécharger Windows XP Pro légalement et gratuitement chez Microsoft
Nous allons installer une machine virtuelle avec Windows XP et Internet Explorer 6 en utilisant le logiciel gratuit de virtualisation VirtualBox.
Voici les différentes étapes à suivre:
- aller sur la page de téléchargement des machines virtuelles: http://www.modern.ie/en-us/virtualization-tools#downloads
- dans le menu de la page "Select Desired Testing OS" : sélectionner "Windows".
- dans le menu "Select Virtualization Platform": sélectionner "VirtualBox on Windows".
- ensuite dans le cadre "IE6 - XP", cliquer sur le fichier image "WindowsVirtualBox.exe" pour le télécharger sur votre ordinateur:
- dé-zipper le fichier IE6.WinXP.For.WindowsVirtualBox.exe dans un dossier de votre choix afin de l'importer sur VirtualBox.
- lancer VirtualBox et cliquer sur "Importer une application virtuelle" dans le menu "Fichier" et sélectionner le fichier "IE6.WinXP.For.WindowsVirtualBox.ova". Le format OVA signifie Open Virtualization Format Archive.
- l'assistant va importer la machine virtuelle et vous affichez la configuration matérielle.
- à la fin de l'importation, la nouvelle machine virtuelle doit apparaitre dans la liste des systèmes virtuelles.
- il reste plus qu'à cliquer sur le bouton démarrer pour avoir Windows XP.
Un client SSH dans Chrome
Si vous utilisez Chrome et surtout un Chromebook, et que vous avez besoin d'un shell, il existe une extension nommée Secure Shell, qui est compatible Xterm et qui permet de se connecter en SSH depuis le navigateur.
Développée par Google, cette application utilise le Native Client et ne nécessite pas de proxy externe.
Ça n'a pas vraiment d'intérêt au quotidien mais dans certains cas, ça peut dépanner.
3 mots pour indiquer n’importe quel endroit sur la planète
Partant du principe que des coordonnées GPS ne sont pas quelque chose de facile à retenir, à écrire et à transmettre, une startup londonienne a eu l'excellente idée de découper le monde en zone de 3 mètres sur 3 et d'attribuer à chacune de ces zones, 3 mots du dictionnaire
Par exemple, l'endroit où j'habite serait indiqué par les mots "hamster.duke.civil". C'est con, mais ça fonctionne !
Ce sont plus de 10 000 mots qui sont listés, et c'est clair que fixer un rendez-vous à once.beeline.capers par SMS est plus simple que de dire rendez-vous au 48.882317,2.337588.
Le site s'appelle what3words.com et espère pouvoir vendre des mots uniques (OneWord) à des marques, pour se financer. A 1,5 $ le mot pendant 1 an, ils n'ont pas fini de ramer.... Je doute que ça aille plus loin que ça, mais l'idée n’est vraiment pas con !
En tout cas, je me suis offert le OneWord Korben, pour le délire J'espère que François ne m'en voudra pas trop. #megalo
Hollywood veut assécher les finances des sites pirates
La MPAA est convaincue que la lutte contre le piratage ne peut être menée efficacement sans le concours d'une pléthore d'intermédiaires. Aussi l'association souhaite-t-elle mobiliser les entreprises impliquées dans la publicité en ligne, afin de couper les ressources financières des sites accusés de piratage.
[Lire la suite]Tortilla – Un outil capable de router tout le trafic TCP/IP et DNS d’une machine Windows via TOR
Tor est une invention formidable (Et Jacob Appelbaum mériterait bien un prix Nobel tiens...) et qui pourtant, sous Windows est mal exploité. En effet, à part le Tor Bundle (Tor + Firefox), qui permet de surfer de manière anonymisée, il n'existe rien d'autre. Dès qu'on sort d'un navigateur ou d'un logiciel qui supporte nativement les proxys Socks ou HTTP, il n'est plus possible d'utiliser Tor. Il n'est pas possible non plus d'utiliser Flash par exemple puisque ce dernier est un plugin étranger au navigateur...
Autre exemple, les chercheurs qui analysent les malwares sous Windows se retrouvent vite dépourvus et leur IP peut rapidement se retrouver aux mains des pirates.
Il est bien sûr possible de rerouter tout le trafic d'une machine pour le passer via Tor mais uniquement si on est sous GNU/Linux. Sous Windows ce n'est pas possible à moins d'utiliser une passerelle matérielle externe (et fonctionnant sous GNU/Linux) qui sera capable de faire transiter via Tor, tout le trafic sortant de vos ordinateurs. Mais vous vous en doutez, ça demande un peu plus de boulot.
C'est pourquoi, Jason Geffner a mis au point un outil qui va permettre de faire transiter par TOR, de manière sécurisée, anonyme et transparente, tout le trafic TCP/IP et DNS d'une machine. C'est un peu l'outil qu'il manquait depuis un petit moment !
Baptisé Tortilla, cet outil open source sera présenté lors de la Black Hat 2013 et mis en ligne rapidement derrière. On n'a pas de détail technique, mais je suppose que cela créera une interface réseau virtuelle qui exploite Tor et via laquelle, toutes les connexions transiteront, et cela peu importe les outils que vous utilisez.
Hâte de tester ça ! Je pense que ça va changer la vie de pas mal de monde.
Attention, crier sur du matos trop fragile, peut lui faire peur
Brendan Gregg (Sun) a mis en ligne une vidéo il y a quelques années, dans laquelle on le voit mesurer les performances d'une baie de disques dur. Et à chaque fois que le monsieur pousse un cri sauvage, les performances de ces mêmes disques durs sont affectées.
Il faut savoir que le bruit se propage dans l'air à travers une onde sonore qui peut alors faire vibrer les plateaux d'un disque dur.
Alors quand c'est Brendan qui hurle, ça passe encore. Mais quand c'est une alarme incendie de 130 dB qui se déclenche, ça peut faire pas mal de dégâts. C'est que relate le blog de Cedexis :
Il y a quelques semaines dans un data center français, un technicien de maintenance a déclenché involontairement le système d’extinction incendie dans une salle. Un client du data center présent dans cette salle disposait de nombreux équipements (baies de stockage) de dernière génération fournie par un unique constructeur avec des disques durs visiblement trop fins et trop fragiles.
En effet, le bruit généré par le système d’extinction d’incendie a rendu hors service tous les disques de toutes les baies… et les données stockées sur ces disques irrécupérables.
Ça fait mal ! On a beau être en RAID, si tous les disques morflent en même temps, ça ne va pas servir à grand-chose.
Bref, la prochaine fois que vous organiserez une Rave Party dans votre appart, pensez à déconnecter vos disques durs
Microsoft intègre les imprimantes 3D dans Windows 8.1
Microsoft est très optimiste sur les chances de l'impression 3D de devenir un outil grand public, et le fait savoir. Le géant de Redmond, qui estime que "l'impression 3D pourrait aider à faire éclore une Renaissance de la fabrication", a ajouté le support en natif des imprimantes 3D dans le prochain Windows 8.1.
[Lire la suite]L’un des leaders du ciblage marketing va ouvrir sa base au public
Acxiom est une société américaine spécialisée dans le marketing, qui propose à ses clients des bases d'informations sur les consommateurs (vous, eux, moi. ). Ces bases contiennent par exemple les centres d'intérêt, les numéros de téléphone, l'email, les habitudes de consommation, les détails de santé, la religion, etc, etc.., de millions de gens.
Cela permet de mieux cibler le message marketing à adresser à certaines populations. Par exemple, en France, Acxiom a ciblé 22 millions de foyers qualifiés sur des critères sociodémographiques et comportementaux et dispose d'une base de 15 millions d'adresses email (qualifiées) de Français. Et le plus beau là dedans, c'est que toutes ces données sont mises à jour en temps réel.
Un rêve pour les marketeux. Un cauchemar pour les défenseurs de la vie privée.
Peu de gens le savent, mais il est tout à fait possible de demander par courrier à Acxiom, le détail des informations que la société dispose sur vous. L'année dernière, il n'y a eu que 16 personnes qui ont fait cette démarche. Mais ce qui est plutôt curieux, c'est que Acxiom va mettre en place un outil à destination du public, qui va permettre à chacun de consulter les infos de son profil. On ne sait pas encore si ce sera gratuit pour le particulier ou s'il devra payer un petit quelque chose. On ne sait pas non plus si lorsqu'il se rendra sur ce site, on demandera à la personne désireuse d'en savoir plus, des informations personnelles complémentaires (pour soi-disant justifier son identité) ni même si son IP sera relevée.
Ce qu'on ne sait pas encore par contre, c'est s'il sera aussi possible de demander la suppression de son profil dans leur base (ou de pirater cette base ^^). Pour Acxiom, c'est surtout un bon coup marketing et un moyen de jouer la transparence pour éviter les foudres de la FTC. (Agence gouvernementale américaine qui défend les droits des consommateurs et surveille la concurrence)
Je pense qu'aller à la pêche aux infos chez Acxiom sera quand même un bon moyen éducatif de se former sur les traces que nous laissons en ligne. Par contre, ne vous y trompez pas, vous êtes déjà probablement dans ces bases depuis longtemps, et Ghostery n'empêche pas les moyens détournés de vous cibler. Encore mieux, Ghostery vend aussi les infos qu'il collecte sur vous à d'autres sociétés à des fins de marketing.
Un spray pour rendre étanche tous vos gadgets
Un bon investissement que j'ai fait ces derniers mois, c'est sans doute cet iPod nano 100% étanche qui me permet d'écouter ma musique et mes podcasts à la piscine et sous l'eau. Ça fonctionne très bien et c'est plutôt cool de nager en musique.
Mais je me suis toujours demandé quel produit les mecs utilisaient pour produire ce miracle... Et bien la réponse se présente sous la forme d'un spray baptisé NeverWet qui pour 20$ environ vous permet de rendre totalement imperméable à l'humidité, n'importe quelle surface.
Je pense qu'au niveau chimique, ça doit être un peu violent et qu'il ne vaut mieux ne pas en boire, mais la vidéo de démonstration est assez impressionnante :
Génial pour imperméabiliser vos gadgets. Par contre, je ne pense pas qu'on peut trouver ça en vente en France, mais je me trompe peut-être.
Des polices contre l’espionnage
Pour combattre, les outils de reconnaissance automatisée de caractères employés par les gouvernements et les pirates pour agréger de l'information, Sang Mun, fraichement diplômée de l’École de Design de Rhode Island a mis au point une série de polices que ces systèmes ne peuvent reconnaitre.
Il l'a baptisé ZXX, du même nom que la classification utilisée par les archivistes de la Bibliothèque du Congré américain pour désigner un livre qui ne contient pas de contenu linguistique. En tout c'est 6 déclinaisons (Sans, Bold, Camo, False, Noise, et Xed) que vous pouvez télécharger ici et utiliser afin de tromper les outils d'analyse.
La démarche est clairement politique et artistique et ne remplacera jamais un bon chiffrement, mais c'est d'après lui un moyen intelligent de combattre la société de surveillance tout en la dénonçant.
La France n'arrive pas à avoir des informations sur le noyau Windows
Un ancien agent de la DGSE, expert de la sécurité informatique de l'Etat, indique que la France n'arrive pas à contraindre Microsoft à livrer certaines informations sur le noyau Windows.
[Lire la suite]En cas de chiffrement, le vol de données privées peut rester secret
La Commission Européenne a confirmé lundi que seuls les FAI devaient communiquer aux internautes les éventuelles fuites de données personnelles dont ils seraient responsables. Et encore, uniquement si ces données n'ont fait l'objet d'aucun chiffrement.
[Lire la suite]Free offre ses Femtocells 3G à insérer dans la Freebox Révolution
Très attendues, les femtocells de Free sont enfin disponibles. L'opérateur, qui y voit la possibilité d'étendre considérablement sa couverture 3G, a décidé d'offrir aux abonnés Freebox Révolutions ces boîtiers qui permettent d'installer chez soi un relais 3G de faible portée.
[Lire la suite]