Actu du Net

Quand vous entrez un mot de passe sur un formulaire d'authentification, comment savoir que c'est le bon et que vous n'avez pas fait d'erreur ? En général, on balance ses identifiants et on attend de voir si on se mange un message d'erreur. Mais avec l'extension Firefox Unicornpass, tout ça c'est terminé. En effet, une fois installée, cette extension remplit de couleurs, grâce au SHA1 du mot de passe que vous avez tapé, le champ en question. Ainsi, si votre mot de passe est correct, vous reconnaitrez la séquence de couleurs. http://korben.info/wp-content/uploads/2015/11/167906.png Par contre, le jour où vous tapez une mauvaise lettre, les couleurs seront totalement différe…

Voici un nouveau type d'attaque qui utilise à la fois de la stéganographie et une technique nommée Polyglots pour pouvoir lancer un exploit sur un serveur. Baptisée Stegosploit, cette technique imaginée par Saumil Shah consiste à encoder le payload dans une image JPG ou PNG (partie stéganographie), puis à le faire décoder par le navigateur au moment de la lecture de l'image (Polyglots). La technique Polyglots consiste à placer une entête HTML de type Content-Type: text/html dans l'image pour que le navigateur l'interprète comme du HTML / Javascript, exécutant par la même occasion le code malicieux. http://korben.info/wp-content/uploads/2015/11/stegosploit_diagram-650x476.…

Même si la première règle du Fight Club est : "On ne parle pas du Fight Club", je vais briser ce tabou pour vous parler de Rumblr. Rumblr, c'est l'apothéose de la connerie humaine. Vous connaissez sans doute les Tindr et autre Grindr pour trouver "l'amour" ( = du sexe) en 2 clics grâce à votre mobile. Et bien avec Rumblr, vous allez pouvoir trouver des gens au moins aussi abrutis que vous, avec qui vous battre . Je pense que si vous vous reconnaissez dans le clip ci-dessous, c'est que Rumblr est fait pour vous. Évidemment, chaque combat de rue est notifié sur une carte et le public peut venir y assister. http://korben.info/wp-content/uploads/2015/11/56304631792da40716871…

Y'a plein de trucs chiants dans la vie, et scanner des documents en fait partie. Il faut ouvrir le scanner, placer la feuille, fermer le scanner, lancer le scan, patienter, ouvrir le scan, sortir la feuille, replacer une nouvelle feuille et ainsi de suite... Beaucoup trop d'étapes pour un petit résultat. D'ailleurs, j'ai abandonné mon scanner au profit de mon smartphone sur lequel j'ai installé (et acheté) l'application CamScanner. Ça fonctionne très bien et ça fait gagner énormément de temps. Mais pour ceux qui ne peuvent pas se contenter d'un smartphone et qui ont besoin d'un truc un peu plus professionnel, voici un nouveau projet Indiegogo made in China qui devrait vou…

Samy Kamkar est un chercheur en sécurité de talent qui a mis au point un keyloggeur capable d'intercepter tout ce qu'une personne tape sur un clavier Microsoft sans fil (signal radio proprio sur 2,4 GHz pas chiffré ou avec un truc antérieur à l'AES). Avec de l'Arduino, planqué dans un chargeur USB qui se branche sur une prise de courant et qui peut continuer à charger vraiment des trucs, ce keyloggeur baptisé KeySweeper, enregistre chaque touche appuyée sur le clavier et enregistre tout ça dans sa mémoire ou peut envoyer ça directement en ligne si on lui ajoute un composant GSM. Une interface web permet alors de consulter les écrits de la personne espionnée. http://korben…

En 2009, je vous parlais déjà de hacking végétal... Ce n'est pas quelque chose de nouveau et ça peut faire du bien à votre petit corps tout mou. L'idée est simple : Installer chez vous, les plantes les plus à même de filtrer toutes les saloperies qu'il y a dans l'air ambiant. Car vous ne le savez peut être pas, mais tous les meubles, les peintures, les objets...etc. que vous avez chez-vous libèrent à plus ou moins grosses doses, des produits toxiques. Certaines laques, peintures et vernis contiennent du trichloréthylène qui peut provoquer, entre autres, des maux de tête, certains plastiques ou colles contiennent du benzène ce qui peut irriter vos yeux, et si vous fumez, t…

Si vous avez encore une vieille tablette HP TouchPad qui traine dans un coin, levez-les bras bien haut (sauf si vous avez oublié le déo ce matin) car une joyeuse bande de développeurs indépendants ont porté Android 6.0 alias Marshmallow sur la bête. Lancé en février 2011, le HP Touchpad tournait sous WebOS et a connu un flop jusqu'à ce que HP décide d'en arrêter la production et les revende pour une bouchée de pain. Je dois d'ailleurs avoir encore le mien dans un carton. Depuis, WebOS a évolué en 2 projets distincts : Enyo et Open webOS. Mais la plupart des bidouilleurs ont basculé sur des versions d'Android adaptées à cette tablette. En ce qui concerne Marshmallow, une a…

Il y a quelques temps j'ai fait un screencast sur Youtube, où je présentais comment cracker un mot de passe windows avec Offline Empty Password Registry Editor. Valable pour la série, windows XP/Vista et 7. Depuis, la vidéo tourne bien et Romain, lecteur du blog, m'a contacté pour me dire que le soft était maintenant compatible windows 10. Du coup, pour tous ceux qui ont la mémoire qui flanche au moment de rentrer leurs mdp, je vous propose un petit flashback. Vous pouvez utiliser l'astuce que je présente pour réinitialiser un mot de passe windows, récupérer des droits administrateur et bien plus, mais je ne vous spoil pas la suite. J'avais réalisé l'opération sous window…

Si vous voulez vous balader un peu autour de chez vous, mais que vous êtes limité par le temps, je vous invite à essayer Oalley. Ce service lancé par Dan, lecteur du site, permet de visualiser sur une carte, le périmètre que vous pouvez atteindre en une durée donnée. Par exemple, si je pars de chez moi, je peux visualiser jusqu'où je peux aller en 1h de voiture, ou 30 min de vélo. Ça fonctionne aussi avec les transports en commun ou à pied et c'est bien pratique. Comme vous pouvez le voir, en voiture, si je suis les grands axes autoroutiers, je peux aller beaucoup plus loin... Normal, ça prend en compte la vitesse sur les différents types de route. http://korben.info/wp-c…

Si vous utilisez un téléphone Android, dont vous n'avez pas fait de mise à jour depuis un moment, avez-vous conscience du nombre de failles de sécurité qui s'y trouvent ? On les retrouve souvent sur des versions OEM de constructeurs ou d'opérateurs, qui ne sont pas mis à jour, ce qui laisse les clients vulnérables. Pour en avoir le coeur net, NowSecure a mis en ligne une application open source baptisée Android VTS qui scanne votre téléphone Android à la recherche des failles suivantes : CVE-2011 1149 / PSNueter / Ashmem ExploitCVE-2013-6282 / put/get_userCVE-2014-3153 / Futex bug / TowelrootCVE-2014-3847 / WeakSauceCVE-2014-4943 / L2TPCVE-2015-1528 / GraphicsBufferOverfl…

Si vous ouvrez beaucoup d'onglets et que vous voulez sous Firefox et que voulez gagner un peu de place à l'écran ou tout simplement les masquer pour éviter que des yeux trop curieux puissent voir les sites que vous consultez, j'ai ce qu'il vous faut. Ça s'appelle Hide Tabbar et c'est une extension qui automatiquement ou avec un raccourci clavier de votre choix, permet de masquer la barre des onglets. http://korben.info/wp-content/uploads/2015/11/capture-de--cran-2015-11-05-14.18.41.png Ça peut servir ! Vous pouvez programmer ça automatiquement avec un petit délai, déclencher l'apparition de la barre lorsque vous créez un nouvel onglet...etc http://korben.info/wp-content/u…

ProtonMail, le service d'email chiffré et sécurisé développé par les chercheurs du CERN en Suisse, subit depuis le 3 novembre, une attaque DDoS d'une extrême violence. Comme le site est toujours offline, l'équipe de ProtonMail a mis en place un petit WordPress à l'arrache pour expliquer ce qui se passe. http://korben.info/wp-content/uploads/2015/11/capture-de--cran-2015-11-05-09.50.17-650x338.png En gros, l'attaque DDoS est tellement massive et longue que d'autres serveurs (hébergeant des banques ou d'autres sociétés tech) situés dans le même data center Suisse, sont tombés. Et les équipes de ProtonMail ne peuvent rien faire pour le moment, pour bloquer cette attaque. Ils…

Tout le monde en a parlé, donc je me suis dit que j'allais y jeter un oeil quand même... Après la mise à mort d'un des clones de PopcornTime (le "vrai" est toujours dispo ici contrairement à ce que disent tous les médias), une autre application du nom de Stremio a fait son apparition. L'interface est plus moche que celle de Popcorn (c'est mon avis), mais Stremio propose en plus des films en streaming (via BitTorrent), des séries, des chaines YouTube et des chaines de TV. http://korben.info/wp-content/uploads/2015/11/capture-de--cran-2015-11-04-17.48.10-650x433.png Pour cette dernière fonctionnalité, Stremio pompe les flux du site Filmon. J'apprends par la même occasion l'…

Une petite news rapide pour vous signaler que la version 42 de Firefox est sortie… Hormis les corrections de bugs et les optimisations, cette nouvelle mouture intègre maintenant une protection contre le pistage en ligne (un genre de Ghostery sauce Mozilla) lorsque vous passez en mode navigation privée, ainsi que de nouveaux outils notamment pour travailler sur vos animations HTML5, dans la Developer Edition. Mais si je vous parle de Firefox 42, c’est surtout pour vous signaler qu’une version 64 bits pour Windows est ENFIN disponible pour de vrai autrement qu’en beta ! On n’y croyait plus ! Si vous voulez télécharger cette version en 64 bits ou autre, tout est là. Youpi ! …

Si vous utilisez l’outil Keepass pour garder au chaud vos données personnelles et vos mots de passe, sachez qu’il existe maintenant un outil baptisé KeeFarce qui est capable d’exporter toutes les informations du fameux gestionnaire de mot de passe. KeeFarce fonctionne uniquement si l’utilisateur a déjà déverrouillé son accès à Keepass et nécessite d’être lancé sur la machine en local, mais si ces conditions sont réunies, il suffit d’un clic pour lancer l’injection DLL et exporter les noms d’utilisateur, les mots de passe, les notes, les URLs…etc. dans un petit fichier CSV. Cet outil mis au point par le chercheur en sécurité Denis Andzakovic fonctionne avec les dernières v…

Vous aimez les Legos ? Et bien, ça tombe à pic puisque vous allez pouvoir transformer n'importe quelle image en assemblage de briques. Prenons par exemple, ce parfait inconnu dont j'ai téléchargé la photo sur le net car je l'ai trouvé époustouflant de beauté. http://korben.info/wp-content/uploads/2015/11/manuel-dorne-korben-650x433.jpg En le passant dans la moulinette Legofy (un script python), voici ce qu'on obtient... http://korben.info/wp-content/uploads/2015/11/manulego-650x411.jpg Sympa non ? C'est de l'art abstrait, de quoi se faire quelques jolies Å“uvres maison (ou fond d'écran même si je crois que le script réduit la taille de l'image d'origine). Pour tester Lego…

Vous vous souvenez de http://korben.info/ip ? Même si la géoloc n'est toujours pas au point (j'ai pas encore eu le temps de m'en occuper), vous êtes nombreux à m'avoir écrit parce que vous ne compreniez pas comment faisait mon script pour trouver votre véritable adresse IP même lorsque vous êtes derrière votre VPN préféré. La réponse est simple : la faille WebRTC. Vous avez, bien sûr, la possibilité de tester la fiabilité de votre VPN à ce sujet, et ensuite bloquer totalement WebRTC (Chrome et Firefox) pour éviter les fuites, mais vous pouvez aussi filtrer chacune de ces fuites au cas par cas grâce à l'extension Firefox Statutory. Statutory met en attente chaque connexion…

Yop ! J'suis de retour de Calpe en Espagne où pendant 15 jours j'ai profité de la plage, de la paella, du soleil (ouiiii !) et des glaces artisanales. C'était le pied :-) Je ne peux pas dire que je me suis détendu parce que bon, les vacances avec 2 jeunes enfants, ce n'est pas vraiment des vacances, mais j'ai quand même bien pris l'air ;-) Évidemment, après 15 jours de coupure (j'avais programmé presque tous les articles que vous avez lu ces derniers jours), j'ai une tonne de sujets en stock dont j'ai hâte de vous parler. Bref au boulot ! Et vous, ça roule ? En attendant de vous lire, bon courage à tous pour la semaine ! Cet article merveilleux et sans aucun égal intit…

Si vous êtes utilisateur de Dropbox et que vous voulez collecter des fichiers de la part de vos amis, de vos clients, de vos élèves, de votre famille et j'en passe, sachez que le service de stockage américain a mis en place une nouvelle fonctionnalité baptisée "Demandes de fichiers". Ça tombe bien, c'était justement une grosse demande de leurs utilisateurs, qui jusqu'à présent était comblée par des services comme Balloon. Pour mettre en place un dépôt pour collecter les photos d'un événement, les devoirs à rendre, les photos de famille ou les notes de frais de vos collaborateurs, il suffit de vous rendre ici. Créez ensuite votre dépôt, http://korben.info/wp-content/upload…

Si vous souhaitez profiter de toutes les vidéos YouTube en plein écran dans un véritable player comme VLC (ou autre) sans aucune nuisance, pas la peine de souscrire à l'offre Youtube Red à 10 $ par mois. Il suffit tout simplement d'installer l'utilitaire yturl comme ceci : pip install -U yturl Et d'appeler n'importe quelle url YouTube dans votre lecteur préféré comme ceci (moi j'utilise vlc) : vlc "$(yturl 'https://www.youtube.com/watch?v=aKflhTrRh2k')" Simple non ? Ça peut être pratique si vous cherchez un moyen rapide de regarder une vidéo YouTube sur un petit ordi sans avoir à la télécharger ou à lancer un navigateur. Vous trouverez les sources et la doc de Yturl ici…

Si ça vous intéresse, les petits gars de chez Tor viennent de rendre publique la nouvelle beta de Tor Messenger. Basée sur Instantbird de Mozilla, cette application cross plateforme permet de faire de la messagerie instantanée via Tor. De nombreux réseaux sont disponibles comme XMPP (Jabber), IRC, Google Talk, Facebook Chat, Twitter, Yahoo...etc. http://korben.info/wp-content/uploads/2015/10/capture-decran-2015-10-29-22.20.01.png Ainsi, vous serez capables de communiquer avec vos contacts sans changer leurs habitudes pour peu que ces derniers aient un client qui supporte OTR, tout en masquant la route empruntée par vos paquets (et donc en masquant leur origine, donc vot…

Apple propose sur la nouvelle version de son Apple TV, un économiseur d'écran qui affiche des vues aériennes animées de villes comme New York, Hong Kong, Paris, San Francisco...etc. absolument magnifiques. Aucune raison de ne pas non plus en profiter sur votre Mac ! Et c'est pourquoi le développeur John Coates a mis en ligne un fork de cet économiseur d'écran destiné aux Mac tournant sur Mavericks ou supérieur. Voici ce que ça donne... Pour l'installer, rien de pus simple. Vous le téléchargez, vous cliquez dessus et vous le sélectionnez ensuite dans les paramètres d'économiseur d'écran. http://korben.info/wp-content/uploads/2015/10/capture-decran-2015-10-29-21.46.09-65…

Si vous voulez savoir exactement de quoi il en retourne concernant la connexion SSL / TLS des sites que vous visitez, il existe une extension Firefox baptisée SSleuth qui vous permet d'obtenir une note sur 10, de la qualité de la connexion HTTPS. http://korben.info/wp-content/uploads/2015/10/capture-decran-2015-10-29-09.36.38.png Vous saurez par qui c'est signé, la version de TLS utilisée, le cipher en place, si la connexion respecte le PFS (Perfect Forward Secrecy) et quels sont les appels HTTP encore présents sur la page. En ce qui me concerne, tout est prêt de mon côté pour le passage en full HTTPS, mais si ça mixe encore avec un peu de HTTP, c'est à cause de certains …

Si avec vos collaborateurs, vous utilisez Slack pour partager toute votre stratégie d'entreprise et que vous cherchez une solution autohébergée pour éviter que vos petits secrets ne soient hébergés ailleurs que chez vous, voici Mattermost. Mattermost est un clone de Slack, open source, sous licence MIT, qui permet d'éviter de s'enfermer dans un modèle SaaS. Basé sur Docker, cet outil est compatible avec Slack donc la transition de vos utilisateurs pourra se faire en douceur. De plus l'install se fait les doigts dans le nez. http://korben.info/wp-content/uploads/2015/10/20150715_mm_desktop2.jpg Comme Slack, Mattermost permet d'échanger des messages, des fichiers, de gérer …

J'ai déjà abordé plusieurs fois le thème des disques virtuels en RAM, et la première fois c'était en 2008. L'idée c'est de créer un faux disque dur qui stocke vos fichiers en RAM (mémoire volatile) afin de soulager un peu le disque dur. Aucun intérêt pour y mettre des documents, par contre, pour y mettre du cache navigateur, c'est top ! Et ce matin, je reçois un petit mail de Kevin, fidèle lecteur de Korben.info, qui me propose un petit tuto pour faire ça sous Windows avec Chrome et Firefox. Ça tombe bien, je ne l'avais pas encore fait :-) Voici ce que Kevin m'écrit : Tu n'es pas sans savoir que la mémoire ram est presque 1000 fois plus rapide en écriture/lecture et en t…