Un petit billet pour vous parler de mes coups de coeur du moment.
[Musique]
Je ne sais pas si c’est le fait que l’on entende en boucle sur toutes les ondes radio le dernier album de -M- (Mister Mystère), mais en tout cas je ne peux plus m’en passer. Comme à son habitude son album est soigné avec des sons qui lui sont propres. -M- c’est avant un univers unique ou notre chanteur guitariste arrive à joindre des paroles travaillées avec des mélodies cosmiques qui nous emménent pour un aller simple sur la planète -M-. Même si l’album complet est bien, je dois avouer que j’ai quand même une préférence pour la chanson “Amssétou” avec ces rythmes africains qui nous font voyager. L’album date du 7 septembre 2009, il a été écris en collaboration avec son père (Louis Chedid).
[Cinéma]
Concernant la rubrique cinéma, non je ne vais pas vous annoncer que j’adore Twilight 3 … Désolé mesdames. Mais je souhaite plutôt souligner la sortie de Toy Story 3 qui me semble avoir réussi avec succès son troisième et dernier volet. On retrouve la célébre bande de jouets présent dans les opus précèdent quelques années après lorsque Andy s’apprête à partir à l’université … On notera l’évolution technique par rapport aux images du premier opus. A voir …
Vous venez d’acheter un iMac ou un MacBook pro, et vous ne savez pas comment faire pour verrouiller votre station lorsque vous vous absentez. Eh bien, j’étais dans le même cas que vous. Voici un tuto qui vous explique comment créer avec Automator un service pour verrouiller votre Mac.
Première étape créer un service :
1. Ouvrez Automator avec spotlight
2. Choisissez le template service
3. Sélectionnez dans utilities la tâche Run Shell Script
4. Faire un drag and drop de la tâche sur la partie de droite
5. Mettez la valeur à none dans Service receives selected
6. copiez/collez le bout de script suivant dans le champ:
7. Enregistrez votre service et fermez Automator
8. Ouvrez les préférences systèmes
9. Cliquez sur clavier puis choisissez les raccourcis clavier
10. Sélectionnez services, vous devez retrouver votre service précédemment enregistré
11. Choisissez votre raccourci clavier pour faire appel à votre service
Vous pouvez bénéficier de votre service afin de verrouiller votre mac lorsque vous vous absentez.
Voici une petite vidéo qui reprends les explications ci-dessus.
Avez vous également était confronté ce cas de figure, lorsque quelqu’un vous ramène un disque dur et vous demande de lui récupérer ses données ? C’est toujours ennuyant de devoir démonter la moitié de votre PC ou de son boîtier externe de disque dur …
Il existe une solution beaucoup plus simple et rapide, c’est d’utiliser la docking pour disque dur proposé par Storage Depot. Ce produit a été réalisé dans le but d’accéder à vos données, enregistrées sur vos disques durs, de la manière la plus simple.
Je possède la version USB SATA (Storage Depot SI-7908) qui est vraiment très simple d’utilisation, vous connectez la docking en câble USB à votre ordinateur, puis vous insérez le disque dur dans la docking et le tour est joué. Votre disque dur est monté par votre système d’exploitation comme une clé USB.
Petit inconvénient (je trouve), c’est que la docking nécessite une alimentation secteur, j’aurais préférais une auto-alimentation par le port USB comme on peut le voir sur certains boîtiers externes.
L’avantage, par contre, ce que la docking accepte autant les disques durs 3.5″ que les 2.5″ SATA. Il existe un modèle différent pour les disques IDE. La base de la docking étant assez large, elle permet d’obtenir une grande stabilité une fois le disque dur inséré. Vous n’aurez pas à avoir le stress d’une éventuelle chute de votre disque dur. Un seul voyant est utilisé pour vous informer lorsque votre disque est connecté (couleur bleu) et qu’il est en activité (couleur rouge).
Cette docking est un outil précieux pour quiconque qui a besoin d’un accès facile à ces diques durs SATA de rechange, que ce soit du 2.5″ ou du 3.5″.
Pour rappel, prenez vos précautions contre l’électricité statique lorsque vous manipulez vos disques durs.
Voilà , ça c’est fait √. Après de longs mois de réflexion, et surtout à quelques jours de l’expiration de mon contrat, je me suis finalement décidé à changer de type d’hébergement pour mon blog. Jusqu’à présent, j’utilisais l’offre mutualisé illimité de online.net. L’offre comprends un nom de domaine et un hébergement de 10Go pour un trafic illimité. Bien que l’offre soit intéressante, le fait que le serveur soit mutualisé impacte sérieusement les performances de distribution. En effet, si par malheur chance deux ou trois personnes se connectés en simultané, l’impact était direct, le site devenait indisponible. C’est ce qui ma motivé à franchir le pas, de plus, mon offre arrivait à expiration donc c’était le bon créneau. Pour info, voici un récapitulatif des trois offres proposé par Online en ce qui concerne les serveurs mutualisés.
Content du service et support fournit par Online (très bon support), je me suis naturellement tourné vers leur offre de serveur dédié afin de prendre mon envol pour la liberté. Résultat des courses, j’ai un serveur ubuntu 10.04 à jour sécurisé par mes soins, et surtout un gain indiscutable de performance. Depuis hier, mon serveur dédié est complétement opérationnel et je pense que vous avez remarqué la différence. Concernant l’offre, j’ai choisi la dedibox V3 qui offre un processeur Nano de 1.6Ghz pour 2 Go de RAM et 160 Go de disque. Le plus important, c’est que le serveur a une connexion giga.
Ce changement va me permettre de développer de nouveau projet que j’avais en tête depuis quelques temps, je ne vous en dit pas plus pour le moment, mais restez connecté car ca va bouger.
Je serais fortement intéressé par vos retour d’expérience concernant les performances du blog. à‰galement si vous rencontrez des difficultés d’affichage ou autre, n’hésitez pas de laisser un commentaire ou de me contacter par mail.
Pour ceux qui me suivent sur Twitter ce n’est pas une surprise, pour les autres, je vais essayer de vous emmener au pays du roi lion à travers le récit de notre voyage de noces. Ce voyage aura été sans aucun doute notre périple le plus dépaysant. Bien entendu quelques préparatifs s’imposaient. Nous avons commencé par faire une petite visite à l’hôpital Legouest afin de se mettre à jour avec les différents vaccins (Fièvre jaune, Hépatite A). Contrainte supplémentaire : un traitement contre le paludisme pendant toute la durée du séjour et sept jours après. Ensuite, c’est bien beau d’aller faire un safari mais si on a rien pour prendre des photos c’est pas terrible. Par chance, on nous avait prêté un zoom optique canon 70-200 F4 L USM monté sur mon boîtier EOS 350D et également une paire de jumelle 9×50 qui s’est avérée très utile. Mais comparé à certains on était très peu équipé …
Parfois anodine et peu connu des internautes, ces failles permettent bien souvent d’accéder à des données personnels de l’utilisateur dans des scenario aboutis. Pour autant cette vulnérabilité n’est pas récente, c’est là que le paradoxe prends son sens.
Mais qu’est ce que le XSS ?
Le XSS, de l’anglais cross site scripting, consiste à injecter et faire interpréter ou mieux, faire exécuter du code non attendu à un navigateur web. De cette définition, on peut en déduire que l’attaque ne se situe pas du côté du serveur mais plus plutôt du côté client, en d’autres termes une action du client final est nécessaire. Donc nous avons un aspect ingénierie sociale. De plus, ce genre d’attaque ne se limite pas à un langage. Tout langage reconnu par votre navigateur peut être exploité. C’est pourquoi les failles XSS sont souvent basées sur de l’HTML et du Javascript. Pour finir la première partie de sensibilisation, la vulnérabilité XSS figurait à la première place du top ten de l’OWASP en 2007. En 2010 il occupe la seconde place.
Prenons un exemple concret, vous recevez un mail de votre banque qui vous indique que de nouveaux documents sont disponibles à partir de votre compte et ils vous donnent un lien pour accéder aux ressources. En tant qu’utilisateur vous ne fait pas attention à l’url caché derrière le nom du lien et vous cliquez pour accéder à vos documents. A ce moment précis le mal est fait ! Vous ne vous êtes rendu compte de rien du tout mais votre requête à été intercepté par un autre site qui a volé vos identifiant de votre banque. Vous n’avez rien remarqué car vous avez été redirigé. Ce scenario semble sortir tout droit d’un James Bond, malheureusement, il est bien plus probable qu’un des scénarios de James Bond. Bien entendu, il y a quelques conditions. Ce scénario considère que le site de votre banque contient un champ vulnérable aux attaques XSS, que l’attaquant connaisse votre adresse mail, et qu’il ait un serveur distant ou il pourra stocker vos identifiants de connexion. Il est considéré également pour acquis que vos identifiants soit stockés dans un cookie. Vous me direz que cela fait beaucoup de conditions, même si la dernière est peu répandu (surtout pour un site bancaire) les autres conditions sont facilement réalisables.
Voici une schématisation du scénario énoncé.
Alors comment fonctionne concrètement cross site scripting, et bien la syntaxe la plus connue est l’exécution dans un champ non validé du code suivant :
Il a pour but une fois interprété par votre navigateur, d’afficher la pop up suivante :
C’est exemple est souvent utilisé comme PoC (Proof of Concept). Mais il existe beaucoup plus de combinaison possible. Ce billet n’a pas pour vocation de faire une liste exhaustive des éléments à parser dans vos champs. Il existe de très bonnes sources si vous cherchez ce genre d’information, comme par exemple le site ha.ckers.org. Cependant il faut comprendre que ce genre d’attaque est bien plus dangereuse pour l’utilisateur final que pour les serveurs. Grâce à l’utilisation de champ ou de paramètre non validé, il est possible également de ré-écrire une page web (via l’API DOM). Je vous invite à lire l’article de Pierre Gardenat qui a été publié récemment dans le magazine français MISC (édition Mai/Juin 2010). L’article est très bien détaillé. Je me suis permis de reprendre son titre que j’aime beaucoup. J’espère qu’il ne m’en voudra pas.
Quelques jours après sa sortie officiel, et surtout depuis que mon site est à nouveau disponible, je vous livre mes impressions concernant le nouveau IOS 4.0 d’Apple. Pour commencer, la mise à jour s’est passé particulièrement bien (de 3.1.3 vers 4.0). Toute fois je n’ai pas encore jailbreaké la nouvelle version de mon iPhone même si cela est possible depuis plus d’un mois (eh oui ils ont jailbreaké la nouvelle version d’Apple avant sa sortie). Pour ceux qui désire jailbreaké leur iPhone avec l’IOS 4.0 vous pouvez utiliser redsnow 0.9.5 qui fonctionne très bien. Une bonne nouvelle pour les possesseurs d’iPhone 3G ils pourront également bénéficier de la fonction multitâche après le jailbreak.
Justement revenons à l’origine de ce billet, mes impressions sur les nouvelles fonctionnalités de l’IOS 4.0. Le gros changement est bien entendu l’utilisation multi tâche qui permet maintenant de basculer d’une appli à une autre sans perdre le cours de celle-ci. On peut également soulager les ressources de l’iPhone en fermant les applications non utilisées. Il suffit d’appuyer deux fois sur le bouton home pour obtenir le menu multi tâche. Si vous désirez fermer une application, restez appuyé quelques secondes sur l’icône de l’application pour pouvoir la fermer.
Multitask IOS 4
Autre grande nouveauté, la possibilité de classer ses applications par thème dans des dossiers. Fini d’avoir 5 ou 6 pages d’applications. Maintenant vous pouvez facilement regrouper toutes vos applications favoris en un même repertoire. Pour ce faire, rien de plus de simple il suffit de rester sur l’application choisie quelques secondes puis de la déplacer sur une autre application pour créer un repertoire. C’est quand même bien plus pratique et surtout plus propre. Une amélioration appréciable si vous testez beaucoup d’applications.
Sur la liste des nouvelles fonctionnalités, j’ai noté la présence d’un zoom numérique qui a pour avantage d’être présent, malheureusement c’est l’unique point positif que je lui ai trouvé. Cela reste un zoom numérique avec un qualité médiocre. Peut être que sur l’iPhone 5 il y aura un véritable zoom optique ou pas …
Petit détail également, sur l’iPod maintenant la présentation de vos albums a un peu été modifié. Vous obtiendrez des informations supplémentaires comme la date de sortie, ou la durée de la chanson. C’est aussi plus agréable à lire du fait de l’alternance de couleur (même pour un daltonien comme moi).
Côté performance, sur un iPhone 3GS il n’y a pas de souci par contre sur un 3G je vous déconseille de l’installer. Optez plutôt pour un iPhone 4G. D’ailleurs c’est promis, dès que j’ai le mien je poste une photo.
Et vous, vous l’avez trouvé comment ?
Et voilà , un billet qui achève une semaine de vacances à la découverte de Karukera, l’île aux belles eaux (à comprendre belles eaux douces). Bon OK, cela fait quelques temps maintenant que je suis parti, mais faute de temps je n’ai pas voulu pu écrire ce billet.
A chaque fois que je fais une démonstration en sortant mes keyloggers, les gens sont toujours étonnés. Malheureusement, c’est la dure réalité de la vie, les keyloggers sont une véritable menace pour les sociétés et les individus. Leur unique but est d’enregistrer toutes les touches saisies sur le clavier par l’utilisateur et de les rendre disponible à l’attaquant.
Il existe deux classes de keylogger, les versions matérielles et logicielles. La version matérielle est vraiment très simple à mettre en place. On peut imaginer différents scenarios, il suffit d’avoir accès physiquement à la machine pendant quelques secondes. Vous allez me dire que cela fonctionne uniquement avec les versions filaires, mais malheureusement non ! Il existe aussi des versions de keylogger capable d’intercepter les informations envoyées en bluetooth. Il est difficile pour un utilisateur de remarquer ce genre d’intervention.
La version logiciel
Souvent les fonctionnalités offerte par ce genre de keylogger sont plus diversifiées car ils permettent d’une part d’obtenir tout ce que vous tapez sur votre clavier mais également de savoir quels logiciels vous utilisez. De plus, ils permettent de capturer vos flux audio et vidéo. L’inconvénient de ce genre de keylogger c’est qu’il commence à enregistrer seulement une fois votre système d’exploitation démarré. Ce qui vous empêche d’obtenir les mots de passe BIOS, ou encore les mots de passe d’encryption de disque dur. Ce genre de keylogger est facilement détectable si vous avez un antivirus digne de ce nom. Pour information les force jaune, force bleu et force rouge détectent facilement ce genre de logiciel (à comprendre Symantec, Checkpoint et McAfee).
La version matériel
Cela ressemble la plus part du temps à un clé USB, cela se branche entre votre clavier et votre ordinateur. Il existe des modèles PS2 et USB. La marque la plus reconnu dans le domaine est Key Ghost. Personnellement, j’ai la version KeyGhost SX 512 Ko et KeyGhost USB. Ce qu’il faut savoir, c’est qu’il n’existe actuellement aucun logiciel de sécurité capable de faire de la prévention de keylogger sur le port PS2. Donc si vous utilisez encore des claviers PS2 je vous conseille vivement de changer de clavier. En ce qui concerne les claviers USB, lorsque vous le connectez, votre clavier fait une entrée dans votre base de registre avec un HID qui est propre à votre clavier. Si maintenant vous connectez un hub USB et ensuite votre clavier, vous allez voir que cette valeur va changer. C’est précisement sur ce paramètre que les logiciels de sécurité se basent afin de faire la prévention. Vous comprendrez que ce système à ces limitations car si vous changez de clavier, le logiciel va penser que vous avez un keylogger de connecté. Cependant la manière de faire la plus sûre. Vous aurez compris que ce genre de keylogger a un grand avantage (ou inconvénient tout dépend comment l’on se place) car ils permettent de capturer à n’importe quel moment les touches saisies sur votre clavier. Et ceci indépendamment de votre système d’exploitation. Il existe également des keyloggers matérielles pour les ordinateurs portables, allez jeter un coup d’oeil sur le site web de www.keycarbon.com, c’est assez impressionnant.
Avec l’arrivée en masse des claviers bluetooth, il était normal de voir débarquer les keyloggers bluetooth. Avec ce genre de keylogger vous êtes capable de capturer des informations jusqu’à 300 mètres de distance. A ce sujet j’ai assisté à une présentation de ce genre d’attaque pendant la conférence DeepSec à Vienne. L’équipe remote-exploit nous présenté leur projet KeyKeriki. Pour rappel, il nous montré avec quel facilité ils étaient capable d’envoyer des informations à un récepteur bluetooth de marque Microsoft.
Ce week end se déroulera l’édition 2010 de Earth Hour. Pour rappel, ce mouvement, créé en 2007 par les associations écologistes de l’Alliance pour la Planète, a réussi à mobiliser plus de trois millions de foyers en France. Les villes dans le monde éteignent leurs monuments les plus emblématiques (la tour Effeil, le golden bridge à San Francisco, le collisée à Rome, etc …). Au total on dénombre 35 pays qui ont joué le jeu et ainsi transformant cet évènement en un symbole de l’engagement de tous contre le péril climatique.
L’année précèdente, j’avais déjà écrit un billet sur le sujet, malheureusement j’avais été assez déçu de constater que la commune de Thionville n’avait pas participé à l’évènement. Il semblerait que cette année Thionville soit de la partie, à en croire leur site web.
Alors je vous invite tous à jouer le jeu Samedi 27 Mars 2010 à 20h30. Eteignez vos lumières … Et ne vous inquiétez pas pour le courant d’appel que cela va générer lorsque tout le monde va rallumer la lumière. Au pire vous resterez quelques minutes de plus dans le noir, mais au moins vous aurez fait un geste pour votre planète 😉
