Actu du Net

Sur YesWeHack, on a lancé un blog, mais en attendant qu'il soit aussi lu que le mien, je vais quand même continuer de m'exprimer sur ce sujet qui m'est cher : le Bug Bounty. Il ne vous aura pas échappé dans l'actualité récente, que l'Europe a validé un budget de 1,9 million d'euros la semaine dernière pour étendre le programme d'audit des logiciels Libres et Open Source alias EU-FOSSA. C'est cool, surtout que dans ce budget est prévue une part pour le Bug Bounty. Et ça on le doit à Marietje Schaake du groupe Alliance des démocrates et des libéraux pour l'Europe. My proposal to fund a bug bounty program was adopted! Rewardeding researchers when spotting a software vuln…

Facebook n'est pas uniquement chronophage ou un puits sans fond où les gens balancent leurs données personnelles. Non, c'est aussi un formidable vecteur d'attaques de phishing. Comme Facebook ne contrôle pas les posts sponsorisés qu'il affiche dans les timelines de ses internautes, il est très facile pour un escroc de payer quelques euros pour pousser sa campagne de phishing. Par exemple, aujourd'hui, moi j'avais ça : http://korben.info/wp-content/uploads/2016/12/screenshot-2016-12-07-16.22.24.jpg A première vue, un article poussé en avant qui propose un article sur Gentside.com parlant de l'iPhone 7. Je vois bien que c'est un post sponso, mais ça ne me gène pas, et je c…

En général quand on perd de la donnée sur un disque ou une carte SD, il y a toujours un soft comme Recuva, TestDisk ou SafeCopy pour nous aider à récupérer des trucs. Mais quand le cas est vraiment désespéré, en particulier avec une carte micro SD, il est possible avec un peu de doigté d'aller directement se brancher sur sa mémoire NAND, contournant ainsi de potentiels éléments défaillants. La première étape consiste donc à exposer la mémoire à l'aide de papier de verre et d'eau, puis à établir les points de connexion sur la mémoire, en suivant le schéma du constructeur (ce qui n'est pas toujours simple à trouver, ça dépend des marques). Erkin de HDD Recovery Services …

Disponible sous iOS et Windows (PC et smartphone), Moji Maker est une application bien sympathique qui va vous permettre de créer vos propres petits emoji. http://korben.info/wp-content/uploads/2016/12/mojiwin.jpeg Vous choisissez une base, vous y ajouter des yeux, une bouches, des accessoires...etc, vous ajustez le sens et la position de chaque éléments et hop, vous pouvez ajouter ce nouvel emoji à votre clavier. http://korben.info/wp-content/uploads/2016/12/moji.png Génial pour faire passer de nouveaux messages à vos amis, et compléter la grande collection déjà présente dans nos OS modernes. A télécharger ici pour iOS et ici pour Windows. Cet article merveilleux et sans…

Attention, si vous utilisez Tor avec le navigateur Firefox (Le fameux Tor Browser). Un admin du service de mail Sigaint a publié sur la mailing list de Tor, un exploit utilisé activement en ce moment, qui permet d'exécuter du code malicieux sur un Windows. L'exploit composé d'un fichier HTML et d'un fichier CSS permet d'obtenir un accès direct à kernel32.dll grâce à une vulnérabilité dans la gestion de la mémoire de Firefox. Cela peut permettre de faire fuiter l'identité réelle d'utilisateurs de Tor. http://korben.info/wp-content/uploads/2016/11/tortalk.jpg L'exploit découvert envoyait des infos vers une machine OVH qui est actuellement hors service. La dernière fois qu'…

Ce week end, je vous ai expliqué comment balancer vos backups automatiquement sur Amazon S3, mais si voulez faire certaines choses manuellement, il existe l'outil parfait pour ça : S3cmd. S3cmd, c'est tout simplement une interface en ligne de commande pour piloter son Amazon S3. Pour l'installer (ubuntu / debian), faites (sinon, les binaires sont là) : sudo apt-get s3cmd Ensuite, il faut le configurer : s3cmd --configure Suivez les instructions. En gros, vous avez besoin de votre clé d'accès et de votre clé secrète S3. Pour savoir comment les récupérer, je vous invite à lire la partie sur IAM dans ce tuto. http://korben.info/wp-content/uploads/2016/11/s3config.jpg Le pr…

Voici un service original qui m'a été remonté par Guillaume. Cela s'appelle Dply et ça permet en quelques secondes et gratuitement, d'avoir un serveur virtuel (VPS) pour tester votre code ou vos applications. Les VPS ont la config suivante : 1 CPU, 512 MB de RAM et 20 GB de SSD. Pour avoir votre instance, il suffit de se connecter avec son compte Github et d'utiliser la clé SSH de celui-ci. Niveau OS, vous pouvez avoir sur le serveur, les distribs suivantes : CentOS 6CentOS 7Debian 7Debian 8Fedora 23Fedora 24Ubuntu 14.04Ubuntu 16.04Mumble Voice server sur UbuntuAlors je disais que c'était gratuit, mais pour être plus précis, c'est gratuit pendant 2h. Au-delà, il faudra p…

Dans la vie, y'a 2 choses vraiment importantes. 1/ L'amour2/ Faire des sauvegardesAlors on va voir aujourd'hui comment mettre en place une sauvegarde d'un Linux avec upload vers Amazon S3 (mais vous pourrez aussi faire de l'upload vers FTP ou un autre serveur via SSH). Et pour cela, on va utiliser Backup Manager. Le site officiel a disparu, mais les sources sont sur Github et apparemment toujours maintenues. Vous allez voir c'est très simple. http://korben.info/wp-content/uploads/2016/11/tksm.gif Placez vous dans votre répertoire home cd ~ Et clonez le dépôt git git clone https://github.com/sukria/Backup-Manager.git Placez vous dedans cd Backup-Manager et installez …

Si entre les différentes annonces du Black Friday il vous reste encore un peu de temps pour coder, je vous propose de réviser vos gammes sur NodeJS avec François-Guillaume Ribreau et Julien Breux, développeurs chez iAdvize. Une conférence mise en place avec eux pour un RJTalk, évènement dédié aux developpeurs que j'organise depuis cette année. Respectivement Fullstack Hacker et Software Architect à Nantes, François-Guillaume Ribreau et Julien Breux ont beaucoup à dire à propos de leurs découvertes sur l'industrialisation de projets NodeJS. Je vous laisse en compagnie des deux artistes Cet article merveilleux et sans aucun égal intitulé : Structurer ma première applicati…

Les machines à voter c'est l'avenir ! Surtout, car ça permet de truquer une élection beaucoup facilement qu'en cachant des bulletins de vote dans ses chaussettes . Tenez par exemple, aux États-Unis pour l'élection de Trump, certaines machines utilisées lors de l'élection de Tump, sont des machines à voter de type Sequoia AVC Edge. Elles sont présentes dans 13 états américains. Et c'est intéressant, car les chercheurs en sécurité de Cylance se sont penchés sur celle-là. En quelques étapes simples et sans droits particuliers, ils ont été capables de rediriger n'importe quel vote d'un candidat à un autre (genre, vous votez pour Hillary et ça incrémente le score de Trump), d…

J'ai eu besoin d'installer sur le Discourse, le support des balises BBCode que vous connaissez bien si vous pratiquez un peu les forums. Seulement, nativement ce n'est pas supporté. Mais Discourse sur son Github, propose tout un tas de plugins qui permettent d'étendre les fonctionnalités de la plateforme et parmi ceux-là, on y trouve le plugin vbulletin-bbcode. Je vais donc en profiter pour faire un petit tuto expliquant comme installer un plugin sous Discourse. Vous allez voir c'est très simple. Connectez vous à votre serveur et éditez le fichier de config app.yml qui se trouve logiquement dans /var/discourse/containers/ Recherchez y la section hooks suivante : http://ko…

Il est assez rare de voir sortir un nouvel OS. En général, ce sont plutôt de nouvelles distribs Linux adaptées pour certains matos IoT, routeurs, smartphones et box en tout genre. Donc quand Kaspersky, le célèbre éditeur d'antivirus annonce son système d'exploitation, c'est un véritable événement. Et ne croyez pas qu'ils se lancent sur ce créneau sur un coup de tête... non, non, cela fait quand même 14 ans que les mecs bossent dessus. Plutôt que de se reposer sur Linux ou BSD, ils l'ont donc développé from scratch, c'est-à-dire à partir de zéro. Sa spécialité ? La sécurité. Kaspersky OS fonctionne sur un principe de micro kernel. Cela signifie qu'il peut être personnalisé…

Si vous vous intéressez à la cyber sécurité, j'aimerai vous indiquer la sortie d'un livre blanc de la FEVAD, à ce sujet, ce jeudi matin. La FEVAD pour ceux qui ne connaitraient pas, c'est la Fédération du e-commerce et de la vente à distance dont l'objet est d'accompagner le développement éthique et durable du commerce électronique et de la vente à distance en France. Ce livre blanc dont le titre est "Maitriser les risques, sensibiliser sur les enjeux" est un tour d'horizon des typologies d'attaques, des tendances et des risques que rencontrent les e-commerçants, avec pas mal de témoignages et toute une section sur les solutions pour lutter contre ces risques et renforcer…

Hello tout le monde, Je tiens tout de suite à vous dire que la semaine sera assez pauvre en articles, car je cumule 2 choses que j'adore : Un gros déplacement à Paris de plusieurs jours et une grosse fatigue due à une souche de virus inconnu et virulent élevé et ramené par mes minimois qui les collectionnent avec plus d'assiduité que les pokemons. Depuis quelques jours, je teste aussi un nouveau format de diffusion vidéo live sur Periscope. Rien d'aussi sérieux que la matinale de mes amis de NowTechTV, mais j'ai fait un démontage live de NAS totalement improvisé, des interviews lors d'un événement B2B, et un genre de Q&A en marchant dans les rues de Paris. Et j'avou…

Dans ma quête infinie d'un clavier tactile, magique à souhait, cette semaine je vous parle de Geekey. Pour le reste la fine équipe débarque avec: Les apps: Nuzzel (iOS, Android, Web / Gratuit) Geekey (iOS / 0,99€) Rome Total War iPad ((iPad / 9,99€) Osmo Mobile (340€) Appload c'est dans la bonne humeur et même avec une rage de dent, un rhume ou une grippe, avec : Les animateurs sont Jérôme Keinborg (@JeromeKeinborg), Cédric Bonnet (@CedricBonnet), Korben (@Korben) et Patrick Beja (@NotPatrick). Le générique est de Daniel Beja (@misterdanielb). Sa musique libre de droit est sur MusicInCloud.fr. La mise en ligne est assurée par Florent Berthelot (@Aeden_). have fun …

Il y a quelques jours, je me suis mis en tête d'installer Gitlab sur mon vieux NAS Synology DS710+, et c'est vraiment très simple. Il suffit d'installer le paquet Docker et le paquet Gitlab via l'interface de Synology. http://korben.info/wp-content/uploads/2016/11/screenshot-2016-11-17-17.49.28-650x353.jpg http://korben.info/wp-content/uploads/2016/11/screenshot-2016-11-16-15.49.33-650x370.jpg Rien de difficile... Seulement, voilà... Gitlab, ça bouffe pas mal de ressources et sur mon vieux Synology avec 1 GB de RAM, ça ne fonctionne pas du tout et tout ce que j'obtiens c'est cette formidable erreur : http://korben.info/wp-content/uploads/2016/11/screenshot-2016-11-16-15.4…

La dernière fois, je vous avais expliqué comment choisir un bon mot de passe pour votre WordPress. Et bien cette semaine, on continue et cette fois je vais vous parler de la zone d'administration. Tout le monde le sait, pour accéder à un tableau de bord WordPress, il suffit de se rendre sur l'URL /wp-admin/. Vous tomberez alors sur un formulaire d'authentification vous demandant un mot de passe et un login. Sur cette page, un éventuel attaquant pourrait jouer au jeu des devinettes. Par exemple, s'il essaye de se logger avec un identifiant incorrect, il tombera sur ce message d'erreur : http://korben.info/wp-content/uploads/2016/11/screenshot-2016-11-17-16.51.01.jpg "Nom …

Je lisais un article à la dernière fois sur tous les nouveaux radars qu'on va voir apparaitre aux bords de nos routes français en 2017 et l'un d'entre eux a retenu un peu plus mon attention. Il s'agit du MESTA FUSION. Développé par la société française Morpho, ce super radar au nom de robot venu du futur pour tous nous exterminer, est capable de relever plusieurs infractions en même temps. Si vous grillez un feu rouge, en excès de vitesse, tout en dépassant sur une ligne blanche et qu'en plus vous ne respectez pas la distance de sécurité avec le véhicule devant vous, tout en tournant à gauche ou à droite alors que c'est interdit, vous serez bon pour 5 infractions d'un co…

Ça vous dirait de prendre des cours de guitare ? Ça tombe bien, car les copains de MyMusicTeacher que j'ai eu le plaisir de croiser à Metz il y a quelques semaines m'ont proposé de vous offrir des abonnements à leur plateforme. Pour ceux qui ne connaitraient pas encore MyMusicTeacher, il s'agit d'une application multi OS (PC, Mac, iOS, Android) qui vous permet d'apprendre "vraiment" la guitare, à la manière d'un jeu vidéo. L'utilisateur accède à un parcours d'apprentissage en plusieurs étapes, soit plus de 2600 cours et exercices disséminés sur 15 chapitres. Au début de l'apprentissage, ce sont de simples vidéos de cours en HD filmées avec 3 caméras pour avoir différents…

Besoin de partager rapidement une capture écran ? Ne cherchez plus, Snaggy est là. http://korben.info/wp-content/uploads/2016/11/screenshot-2016-11-14-11.38.20-650x465.jpg Ce site vous indique clairement en fonction de votre OS, comme faire une capture écran qui sera placée dans le presse-papier, puis d'un simple "coller" directement sur Snaggy, vous générera une URL pointant vers votre image. URL que vous pourrez partager ensuite sur vos réseaux. Sous macOS, les raccourcis sont : Shift + Ctrl + Cmd + 3 pour capturer tout l'écran. Et Shift + Ctrl + Cmd +Â 4 pour capturer une zone. Et pour capture une fenêtre c'est Shift + Ctrl + Cmd +Â 4 puis barre espace. Et sous Windows…

Pour la seconde fois en 2 ans, le réseau de sites pour adultes, Friend Finder a vu sa base utilisateur s'envoler dans la nature. Au total, ce sont plus de 400 millions de comptes qui sont tombés dans les mains du site LeakedSource, contre 3,5 millions en mai 2015. À cause d'une faille de type LFI (Local File Inclusion) présente dans un module sur les serveurs de production, le pirate connu sous les pseudos de Revolver / 1x0123, a pu extraire les données utilisateurs des sites suivants, appartenant au réseau Friend Finder : Adultfriendfinder.com339,774,493 users"World's largest sex & swinger community"Cams.com62,668,630 users"Where adults meet models for sex chat live …

Vous connaissez sans doute tous IFTTT, le service californien qui permet de connecter ensemble différents services et de réaliser des tas de scénarios cool. Du genre : http://korben.info/wp-content/uploads/2016/11/ifttt-650x270.png Il m'arrive de m'en servir et beaucoup d'objets connectés disposent aussi de plugins IFTT, ce qui est vraiment pratique. Mais si vous êtes un libriste convaincu et que ce service en ligne ne vous satisfait pas, il existe une alternative libre baptisée Trigger Happy, à héberger vous-même, qui comblera sûrement ce manque à l'intérieur de vous et qui surtout vous évitera de donner vos accès à un service tiers hébergé aux US. Encore assez jeune, H…

Lorsqu'elle a été annoncée, j'ai commandé la Nintendo Classic Mini pour tester et pour jouer avec mon grand... Et je viens de la recevoir. Voici donc mes premiers retours. Déjà ce que je peux vous dire c'est qu'elle est jolie. Les finitions sont belles, et bien qu'elle soit super légère, elle ne fait pas toc du tout. Les finitions sont très belles et on dirait un boitier Raspberry Pi ;-). http://korben.info/wp-content/uploads/2016/11/2016-11-12-10.48.50.jpg http://korben.info/wp-content/uploads/2016/11/2016-11-12-10.48.59.jpg D'ailleurs, dans le salon, ça en fait un petit objet de déco sympa. http://korben.info/wp-content/uploads/2016/11/2016-11-12-10.53.39.jpg Bon, je v…

Au même titre que Aria2 et Axel, Hget est un accélérateur de téléchargement pour linux, en ligne de commande. Disponible sous Github, hget est encore en développement mais permet de multiplier les connexions lorsque vous téléchargez un fichier. Pour l'installer, entrez les lignes de commande suivantes (oui c'est du Go) : go get -d github.com/huydx/hgetcd $GOPATH/src/github.com/huydx/hgetmake clean installUne fois en place, vous pouvez lancer un téléchargement comme ceci, pour télécharger un fichier (URL), avec x connexions (-n) et sans ignorer les certificats TLS (-skip-tls): hget URL -n 3 -skip-tls false http://korben.info/wp-content/uploads/2016/11/68747470733a2f2f692…

Après la découverte du décret nécessaire à la mise en place du fichier TES qui va regrouper les données personnelles et biométriques de pas loin de 60 millions de français (je ne compte pas les mineurs de moins de 12 ans) et suite au tsunami de critiques qu'il s'est pris en pleine face, Bernard Cazeneuve riposte. D'après lui, tout le travail sur TES a été mené de manière transparente, annoncé aux ministres concernées (dont apparemment Axelle Lemaire ne faisait pas partie) et au Premier ministre, Manuel Valls. D'ailleurs c'était qui les ministres concernés ? Il explique aussi dans une lettre adressée au CNN (Conseil National du Numérique) qu'il y aura des gardes fous légis…