Voici une vidéo, réalisée par l’American Museum of National History, que je trouve particulièrement impressionnante, et qui donne sujet à réflexion. Au final, que représente-t-on dans l’univers?
Pas grand chose visiblement, et de temps en temps c’est bien de se le rappeler. Je vous invite à regarder cette vidéo et j’attends vos impressions à chaud.
Source : American Museum of Natural History
Noà«l avant l’heure vous me direz, c’est un peu près ça. Disons que pour des besoins professionnels (purement professionnel) je me suis fais plaisir :). Après un peu moins d’une semaine d’utilisation, je pense l’avoir assez utilisé pour vous donner mon point de vue sur le nouveau produit phare d’Apple : La Magic Mouse.
Commençons par le packaging, l’emballage est simple et épuré à l’image d’Apple. Le look de la souris est beaucoup plus sexy que l’ancien galet. Dénudé de tout bouton, ergonomiquement, on pourrait se poser des questions en la voyant pour la première fois. Mais ne vous fiez pas aux apparences, cette souris Bluetooth est parfaitement ergonomique avec sa technologie au laser. Elle laisse une impression de solidité qui faisait défaut à sa prédécesseure.
Quelles sont les nouveautés de cette souris ?
C’est la première souris à utiliser la technologie multi-touch. Ce détail n’est pas anodin car on retrouve les sensations de l’iPhone et du trackpad des Mac Book qui utilisent aussi cette technologie.
Ce qui vous permet de faire défiler votre écran horizontalement ou verticalement en reproduisant ces mouvements sur le multi-touch. Vous pouvez également réaliser des mouvements circulaire sans pour autant influancer le pointeur de la souris. Si ces mouvements vous facilite la vie lorsque vous naviguer sur une page web, ils sont aussi utilisable sur Finder, dans vos mails ou encore dans l’Aperçu. La fonction de zoom n’a pas changé, elle s’obtient en maintenant la touche CTRL enfoncée et en glissant le doigt de bas en haut sur la surface de la souris.
Personnellement je ne regrette pas mon achat, au contraire je vous le conseille.
Si vous souhaitez l’offrir pour noà«l, vous la trouverez sur l’apple store au prix de 69 euros.
Le mythique jeu de la Team 17 est disponible depuis quelque temps sur votre célèbre et indispensable iPhone. Depuis le weekend dernier, la version 2.0 est disponible à partir de iTunes pour 3.99 euros. Cette dernière version apporte ce qui manquait au mode multijoueur, la possibilité de jouer en réseau via le bluetooth, fini de se passer l’iphone maintenant chaque joueur peut jouer avec son propre iPhone. En ces temps de grippe, c’est une fonctionnalité qui trouve son intérêt.
Il est désormais possible de vanter vos scores obtenu sur Twitter et Facebook.
Vous avez la possibilité de vous repasser en boucle vos meilleures attaques avec la fonction replay. Vous pouvez également parcourir la liste d’écoute afin de choisir la musique que vous souhaitez écouter, cependant elles sont toutes plus ennuyeuses les unes que les autres. Vous pouvez toujours vous rabattre sur votre liste d’écoute et jouer en même temps.
Un petit plus pour les possesseurs d’iPhone 3Gs, vous pouvez obtenir des décors en 3D, ainsi que d’autres améliorations graphiques.
Pour la petite histoire, J’ai connu ce jeu en 2003, j’étais encore étudiant et je joué sur pocket pc lors des pauses café. Alors cela me rends un peu nostalgique. En tout cas, si vous voulez passer un peu de bon temps je vous le conseille.
Une fois encore, Google a fait fort !! Avec l’annonce sur leur blog de leur nouveau service : Google Public DNS.
Le but de ce nouveau bébé est d’oeuvrer en tant que serveur DNS ouvert pour tout le monde. Pour l’utiliser, rien de plus simple, changez les valeurs de vos serveurs DNS par celle ci :
Mais quel est l’intérêt de Google dans tout ça ?
Officiellement leur argumentaire se base sur la sécurité des serveurs DNS actuels avec comme référence les dernières attaques connu (cf. le fameux bug DNS). D’un autre coté, Google souhaite que l’Internet passe à la vitesse supérieur, d’ou l’intérêt de leurs serveurs DNS avec des temps de réponses inférieurs aux autres. Personnellement, je n’ai pas noté de changement au niveau de la vitesse, et coté sécurité tous les principaux serveurs DNS ont été mis à jour. Par contre, si Google arrivent à convaincre le monde d’utiliser leurs serveurs DNS, ils obtiendront une véritable mine d’or avec les informations récoltées.
En même temps, quand on regarde les services proposés par Google, on se rends compte qu’ils ont déjà une grande partie de nos informations entre le moteur de recherche (google.fr), les mails (gmail.com), les documents en ligne (docs.google.com), le chat (gtalk.com) et maintenant les serveurs DNS.
Je suis partisan de ne pas mettre tous les oeufs dans le même panier. Et vous, vous en pensez quoi ?
L’échéance approche pour les intérêts de fin d’année, et comme chaque année tout le monde est impatient de recevoir les intérêts bien mérités après une longue année d’épargne. Sauf que cette année, la récolte va être bien maigre. Si vous êtes possesseur d’un des produits suivants, le reste de ce billet peut vous intéresser :
J’ai fait une recherche sur la fluctuation des taux d’intérêts et je me suis aperçu que depuis 1986 ils n’ont fait que chuter lentement, excepté en 2007 où il y a une hausse spectaculaire (un peu trop d’ailleurs) pour en arriver aujourd’hui à des taux qui touchent quasiment le plancher.
Pour mieux comprendre ce qui vous attends sur vos relevés début janvier, voici une représentation graphique des taux d’intérêts de cinq produits bancaires.
| Date d’application |
Livret A
|
LEP
|
LEE
|
CEL
|
PEL
|
Avis Officiel |
|---|---|---|---|---|---|---|
| 16 mai 1986 |
4.50
|
5.50
|
3.00
|
2.75
|
6.00
|
JO 15/5/1986 |
| 7 février 1994 |
4.50
|
5.50
|
3.00
|
2.75
|
5.25
|
JO 5/2/1994 |
| 16 février 1994 |
4.50
|
5.50
|
3.00
|
2.25
|
5.25
|
JO 5/2/1994 |
| 1 mars 1996 |
3.50
|
4.75
|
3.00
|
2.25
|
5.25
|
JO 28/2/1996 |
| 1 mars 1996 |
3.50
|
4.75
|
2.50
|
2.25
|
5.25
|
JO 15/3/1996 |
| 23 janvier 1997 |
3.50
|
4.75
|
2.50
|
2.25
|
4.25
|
JO 21/1/1997 |
| 9 juin 1998 |
3.50
|
4.75
|
2.50
|
2.25
|
4.00
|
JO 7/6/1998 |
| 16 juin 1998 |
3.00
|
4.75
|
2.25
|
2.00
|
4.00
|
JO 7/6/1998 |
| 26 juillet 1999 |
3.00
|
4.75
|
2.25
|
2.00
|
3.60
|
JO 24/7/1999 |
| 1 août 1999 |
2.25
|
4.00
|
1.50
|
1.50
|
3.60
|
JO 24/7/1999 |
| 15 janvier 2000 |
2.25
|
4.00
|
1.50
|
1.50
|
3.60
|
JO 30/6/2000 |
| 1 juillet 2000 |
3.00
|
4.25
|
2.25
|
2.00
|
4.50
|
JO 30/6/2000 |
| 1 août 2003 |
2.25
|
4.25
|
1.50
|
1.50
|
2.50
|
JO 30/7/2003 |
| 1 août 2004 |
2.25
|
3.25
|
1.50
|
1.50
|
2.50
|
JO 31/7/2004 |
| 1 août 2005 |
2.00
|
3.00
|
1.50
|
1.25
|
2.50
|
JO 23/7/2005 |
| 1 février 2006 |
2.25
|
3.25
|
1.50
|
1.50
|
2.50
|
JO 28/1/2006 |
| 1 août 2006 |
2.75
|
3.75
|
2.00
|
1.75
|
2.50
|
JO 28/7/2006 |
| 1 août 2007 |
3.00
|
4.00
|
2.25
|
2.00
|
2.50
|
JO 28/7/2007 |
| 1 février 2008 |
3.50
|
4.25
|
2.50
|
2.25
|
2.50
|
JO 31/1/2008 |
| 1 août 2008 |
4.00
|
4.50
|
3.00
|
2.75
|
2.50
|
JO 30/7/2008 |
| 1 février 2009 |
2.50
|
3.00
|
1.75
|
1.75
|
2.50
|
JO 30/1/2009 |
| 1 mai 2009 |
1.75
|
2.25
|
1.25
|
1.25
|
2.50
|
JO 29/4/2009 |
| 1 août 2009 |
1.25
|
1.75
|
0.75
|
0.75
|
2.50
|
JO 28/7/2009 |
| 1 août 2010 |
1.75
|
2.25
|
1.25
|
1.25
|
2.50
|
JO 24/7/2010 |
| 1 février 2011 |
2.00
|
1.75
|
0.75
|
0.75
|
2.50
|
JO 26/1/2011 |
| 1 août 2011 |
2.25
|
2.75
|
1.50
|
1.50
|
2.50
|
JO 28/7/2011 |
Mis à jour le 24/11/2012
Dernier jour de la conférence, on commence par Zane Lackey et Luis Miras de iSEC Partners qui nous présentent comment peut on prendre le contrôle d’un GSM à distance en utilisant les SMS. Le principe est simple, on envoie une notification à une personne pour un changement de paramètre, la personne accepte les nouveaux paramètres et vous obtenez toutes les informations que vous voulez. Techniquement c’est en modifiant le payload du SMS qu’ils arrivent à insérer du code malicieux. Ils nous ont fait une petite démo live assez cool. Vous trouverez les slides de leur présentation ici. (ils avaient déjà fait leur show à la Black Hat cet été).
A croire que la journée était dédiée aux GSM, car le talk suivant présenté par Karsten Nohl, nous expliquait comment il était facile de décrypter l’encryption des communications GSM. Dans un premier temps, la méthode dite active consiste à proposer au téléphone un relai avec un très bon signal afin de le forcer à se connecter dessus (nécessite de la proximité). Une fois connecté, toutes les communications du téléphone peuvent être écoutées. La seconde méthode dite passive, n’est pas encore au point face à l’encryption A5/1. Le principe est similaire à du brute force à l’aide de rainbows tables. D’ailleurs si vous souhaitez les aider dans leurs travaux, vous pouvez toujours proposer vos services en contactant Karsten Nohl. Ils possédent une mailing list pour rester au courant de leur progession et aussi un site web qui donne un peu plus d’explications sur leur recherche.
Le talk suivant présenté par Thorsten Schröder de Remote-Exploit.org portait sur l’écoute des communications de clavier Bluetooth. La présentation était très intéressant, notamment on y apprends que les claviers Bluetooth de Microsoft sont composés de puces AES qui leurs permettraient d’assurer une meilleure sécurité de la communication mais ils continuent d’utiliser une méthode basée sur des contrôles XOR. Il nous démontre, à l’aide d’un petit émetteur Bluetooth fait maison, comment il arrive envoyer une série de commandes sur un récepteur Bluetooth Microsoft. Vous trouverez en ligne la démo ainsi que des explications sur la méthode utilisée.
Le dernier talk de la matinée présenté par deux italiens a définitivement clôturé les présentations intéressantes (du moins pour ma part). En effet, l’après midi n’était pas aussi intéressante en termes de sujet (les sujets abordés m’intéressais moins). Revenons à la présentation des italiens, qui reprenait en grande partie les travaux de Zane et Luis mais d’une manière différente. Ils ont montré comment ils arrivent à changer à distance, via un SMS, l’APN du téléphone cible. Une fois l’APN changé (un APN proxy), ils arrivent à voir toutes les trames HTTP et HTTPS du client. Le téléphone cible n’a plus aucun secret pour eux. Assez terrifiant …
La conférence DeepSec édition 2009 s’est clôturée sur une soirée au Metalab ou tout le monde étaient conviés. C’était l’occasion pour lancer quelques lightening talk (des présentations de courte durée). Le sujet principal était le recensement des pirateries effectués durant la conférence à l’hôtel :
Pour les personnes qui auraient jailbreakés leur iPhone et installés OpenSSH, je vous invite fortement à suivre ce petit tuto.
Actuellement sur la toile tourne un ver qui impacte tous les iPhones jailbreakés qui ont installé openSSH. En effet, il utilise le mot de passe par défaut (alpine) du compte root pour se connecter à votre iPhone via SSH et changer votre fond d’écran. A l’origine le ver a été conçu par un australien de 21 ans pour sensibiliser les utilisateurs à la gravité de la faille de sécurité, mais depuis le ver a été repris et ne se contente plus de changer votre fond d’écran, il vous vole la liste de vos contacts, vos mails, vos SMS et tout autre donnée disponible. Pour éviter d’avoir sa liste de contacts sur le web, je vous recommande de changer le mot de passe du compte root et de bloquer l’accès à SSH pour l’utilisateur mobile. D’un point de vue sécurité, l’idéal serait de bloquer l’accès direct au compte root et de créer un compte utilisateur autorisé à se connecter au serveur SSH.
Dans un premier temps, changez le mot de passe du compte root en utilisant le terminal ou par SSH:
Ensuite, éditez le fichier de configuration de votre serveur SSH afin de bloquer l’accès au serveur pour le compte mobile :
Allez à la fin du document avec la commande “: $”, passez en mode édition avec “: i” puis insérez la ligne suivante :
Sauvegardez avec la commande “: wq”.
Et voilà le tour est joué, votre iPhone est maintenant sécurisé.
Le workshop s’est terminé hier soir, et j’avoue que je n’étais plus motivé pour écrire un billet. La soirée a été calme, mise à part une petite visite du Marché de Noà«l ou nous avons mangé un sandwich à la raclette et quelques photos prisent de nuit, nous sommes rapidement retourné à l’hôtel.
Pour en revenir au Workshop, la dernière journée a été très intéressante, nous avons pu nous exercer sur différentes vulnérabilités comme les failles XSS/XSRF, les injections SQL ou encore les manipulations JSON. Nous avons vu également comment décompiler du Flash et comment obtenir le code source d’application réalisée avec Silverlight. Pendant une bonne partie de la journée les deux sites Web (un site de commerce de DVDs et une application bancaire) mis à disposition ont subi toutes les attaques possibles. Nous avons fait la connaissance du Framework BeEF qui s’est révélé très utile pour concrétiser des attaques de type XSS.
Entre temps, en discutant avec d’autres personnes, nous avons obtenu la connexion internet de l’hôtel pour 1 euros en exploitant un champ caché ;). D’autres se sont amusés à capturer les trames TCP des caméras de surveillance isolées sur un réseau sans fil sans protection.
Aujourd’hui, c’était la première journée de conférence. Il y a deux salles soit deux sessions simultanées. Comme d’habitude, il faut bien choisir son talk sous peine de subir 50 minutes de …
Je ne sais pas si j’ai bien choisi mes talks ou si tous les speakers étaient bon (à quelques exceptions près…) mais je n’ai pas été déçu par la qualité des speakers.
La première session que j’ai suivi fut le Top 10 des problèmes de sécurité dont les développeurs ne se doutent pas. Présenté par Neelay S. Shah de chez Foundstone, la présentation était accès sur des attaques dont la plus part nécessite un accès à la machine. Petite anomalie, la présentation contenait 9 et pas 10 attaques (j’en ai peut être raté une, faut dire qu’il était 10h… non faut pas le dire). Voici la liste que j’ai recensé peut être que quelqu’un me dira si j’en ai oublié :
Dans l’ensemble la présentation était bien mais loin d’être la meilleure.
Le speech suivant était présenté par Saumil Shah qui travaille pour net-square dont il est le fondateur. Sa présentation, intitulé Ownage 2.0, portait sur les différentes menaces du Web 2.0. Très humoristique, on sent qu’il est à l’aise avec l’auditoire. Il commence à introduire son speech par l’évolution des applications web, qui en résumé sont de plus en plus complexe avec des utilisateurs de moins en moins informés. Il avait un joli slide pour montrer que les attaques prennent de plus en plus la route du port 80. Il nous démontre avec facilité comment nous pouvons être vulnérable avec des fichiers PDF (installation d’une barre d’outil dans le navigateur à l’ouverture du PDF).
Felix Gröbert nous présente son Proof of Concept d’une attaque basé sur un smart card reader de classe 1 utilisé par une application bancaire de la CommerzBank. La technique utilisée repose sur la condition d’utiliser une vieille version de FireFox (1.5).
Cloud Services – still too cloudy for take off? est l’intitulé de la présentation de Kurt Kammerer. Il travaille pour Regify. Il explique les comportements des différents acteurs d’un service informatique par rapport aux coûts et aux projets. Le sujet me semble pas coller avec la sécurité mais bon sa présentation illustrée de photos comique a provoqué plus d’une question. La dernière image de sa présentation que je garde à l’esprit c’est la photo d’un renard avec une cicatrice qui représente l’IT manager, un chien enragé qui représente le CEO et un chien de race Husky avec le regard vide représentant le CFO. Voici l’image de son dernier slide qui résume bien sa présentation.
Get Your head out of the clouds : Security in software-plus-services
Ce talk était digne d’un commercial. John Walton de chez Microsoft nous a présenté les différents services revendu par Microsoft et surtout leurs intérêts. Un peu trop de marketing pour moi … mais bon il en faut pour tous les Gàœ ;).
Pendant la pause, nous avons profité du stand de Lockpicking pour s’exercer un peu. J’ai enfin pu m’essayer au bumping. Pour information, le bumping est une technique de lockpicking qui permet d’ouvrir des serrures en frappant la clé.
Morgan Mayhem connu sous le pseudonyme headhntr nous a présenté les vulnérabilités de mac OSX (The Kingdom of the blind: OSX Incident Response). Cet américain, qui travaille pour Google dans leur bureau de Zurich, est venu sur l’estrade avec des airs de Jack Sparrow. Pendant sa présentation, une bière à la main, il a sensibilisé les personnes aux risques d’utilisation de Mac OSX. Il a surtout cassé le mythe en montrant les différents malware développé pour OSX.
Le dernier talk que j’ai suivi était sur les risques de Twitter. Ben Fenstein nous a montré les différents risque que comporte Twitter en commençant par les failles XSS jusqu’au Bot C&C. Présentation intéressante.
Je suis actuellement à la conférence Autrichienne DeepSec à Vienne. Elle se déroule sur quatre jours dont les deux premiers jours sont dédiés aux Workshops. C’est ma première édition et je dois dire que je ne suis pas déçu. D’une part le cadre est fort agréable (la conférence s’est établie dans l’hôtel The Imperial Riding School Vienna), et d’autre part notre première journée c’est agréablement bien passée.
Concernant les Workshops, ce n’est pas moins de huit training qui sont proposés. Pour ma part j’ai suivi le workshop Web 2.0 Security – Advanced Attacks and Defense présenté par Vimal Patel & Prashant Thakar (Blueinfy Solutions Pvt. Ltd.). Les deux indiens connaissent bien le sujet et leur présentation est rodée. Les travaux pratiques sur le protocole AMF pour les applications Flex sont prometteurs, nous verront ça demain. Pour le reste, la plus part du temps, le contenu a pris des airs de refrain, mais la soirée fut très original.
Après une petit heure de piscine, nous avons été manger la célèbre Wiener Shnitzel dans un petit restaurant du centre. Accompagné d’un des organisateurs de la conférence, nous avons eu droit a une visite guidé quelque peu spéciale. En effet, nous nous sommes rendu dans le quartier 21 ou se loge une organisation connu sous le nom de quintessenz qui lutte pour la restauration des droits civils en termes d’informatique.
Ils décernent chaque 25 Octobre des Big Brother Awards à chaque organisation, société qui ne respectent pas les droits civils et la vie privée des gens. Autant vous le dire tout de suite ce sont des passionnés qui ne comptent pas leurs heures.
Autre endroit, autre style, nous nous sommes rendu dans un Hackerspaces. Nous avons eu le droit à un petit tour du propriétaire et surtout à une démonstration de la découpeuse au Laser. Ce lieu appelé le club-metalab, regorge d’appareil fait maison. Que ce soit un mur de verre illuminé programmable via une interface web, ou encore une mallette contenant trois hot spot wifi disséqués et inter connectés, ce ne sont pas les idées qui manquent. Les installations ont un style un peu underground assumé. Chaque personne que nous avons croisé avait une bouteille de Club-Mate à la main, un breuvage qui apparemment les maintiens en éveille. Notre petit groupe de visiteur nocturne était bien content de rentrer après cette escapade.
Voici un petit montage de mes vidéos filmées à l’aide de ma caméra GoPro Helmet. Le montage a été entièrement réalisé avec iMovie. Je ferai un billet plus tard sur mon adaptation à mon nouvel environnement Mac. En attendant je vous laisse profiter du montage. Vos commentaires me seront utiles pour mes prochains montages. Merci.