Skip to main content
KAIZER ONION

Iphone 3G S

Lors de la grande messe d’Apple le 8 juin dernier, présenté par Phil Schiller, tous les fans étaient présents sur le net. Il aura fallu attendre plus d’une heure pour obtenir les informations croustillantes à  propos du nouvel Iphone 3G S et de son nouveau firmware. On aura eu droit à  un petit bilan sur l’iPhone et l’AppStore avec ses 50,000 applications hébergées, 40 millions d’appareils vendus et 1 milliards de téléchargements !

iphone-3g-s

Puis on attaque le vif du sujet, à  savoir le nouveau firmware 3.0 qui compte plus de 100 nouvelles fonctions. Voici un résumé des fonctions/applications présentées lors de la keynote :

  • le copier / coller
  • support du MMS mais pas chez tous les opérateurs
  • Spotlight pour la recherche sur votre iPhone
  • le contrôle parental est amélioré sur l’iPhone OS 3.0
  • Tethering vous permet de partager votre connexion internet de l’iPhone avec votre ordinateur (comme le fait déjà  pdanet)
  • le javascript (pour les sites web) marchera 3 fois plus vite sur le nouveau firmware; Autofill retient vos identifiants de connexions pour les sites web que vous utilisez (moyen en cas de vol ou perte…)
  • fonctionnalité ‘find my iPhone’ de MobileMe qui permet de localiser puis récupérer votre iPhone perdu
  • votre iPhone peut émettre un son même en mode silence si vous envoyé un message de perte à  celui-ci
  • support de la connectivité P2P. Peut être l’arrivé des jeux multi-joueurs en ligne ?

Peter-Frans Pauwels nous a présenté TomTom sur iPhone. Un point qui était très attendu. La démo de TomTom montre la pertinence du système de navigation et des algorithmes de trajet grâce au système de bousole intégré dans le nouvel iPhone 3G S.

Une application que j’ai trouvé sympa plus pour le côté clinquant que pour le côté pratique, car on ne peut pas dire que ce soit réellement pratique de pouvoir ouvrir sa voiture avec son iphone. Cependant, c’est la classe … Plus sérieusement, je demande à  voir comment fonctionne l’application car on peut imaginer des scénarios moins rigolo en terme de sécurité.

La nouvelle version du firmware (3.0) sera disponible le 17 juin gratuitement pour iPhone et 9,95$ pour iPod Touch.

Concernant le nouvel iPhone 3G S, on apprends que le S veut dire Speed car il serait 2 à  3 fois plus rapide. Cette nouvelle brique intègre une caméra de 3 Mégapixel autofocus svp !!! Avec le “tap-to-focus, vous pourrez double-cliquer sur un endroit de la photo pour zoomer. La démo de macro avec iPhone 3G S a été assez bluffant.
Une autre fonctionnalité intéressante, c’est le contrôle vocal et numérotation vocale. Une amélioration de la batterie permet d’obtenir une autonomie de 5 à  10heures. Apple joue la carte verte en n’enlevant l’Arsenic dans l’écran.

D’un point de vue financier, on aura deux variante pour l’iPhone 3G S, un 16Go pour 199$ et un 32Go pour 299$. L’iPhone 3G sera commercialisé uniquement en 8Go pour 99$.

iphone-3gs

Donc maintenant, je pense que vous avez assez d’information il ne reste plus qu’à  attendre le 19 juin, jour de la sortie du nouveau iPhone 3G S.

Fire at the QA department

La semaine dernière a été riche en événements. Alors que Microsoft sortait sa nouvelle version d’Internet Explorer (version 8), à  Vancouver la CanSecWest fêtait sa dixième édition.

Le fil conducteur entre ces deux événements s’appelle Nils, un jeune étudiant Allemand. Il a réussi à  mettre à  mal la sécurité des trois navigateurs web les plus utilisés (dont Internet Explorer 8), et ceci sur une machine à  jour.

Continue reading

The War Fruits

C’est la guerre des fruits … Blackberry vs Apple … Les équipes de marketing de Blackberry ne manquent pas d’imagination. Auteur de la première vidéo, blackberry attaque fort avec une vidéo choc … Je vous laisse regarder le massacre …

La pomme contre attaque …

Session lockpicking

Lock picking (crochetage en Français) est l’art d’ouvrir une serrure en l’analysant et la manipulant avec des outils de crochetage, et ceci sans la clef d’origine. Bien que le crochetage peut être associé à  des intentions criminelles, c’est une compétence essentielle pour un serrurier.

La plupart des serrures peuvent être rapidement et facilement ouverte en utilisant des outils commun tel un trombone, un morceau de scie, etc …

Certaines personnes ont comme hobby le lockpicking, car ils trouvent qu’il apporte une satisfaction et est une façon agréable de passer le temps, il a aussi une valeur de hack.

Personnellement, j’ai découvert le lockpicking en tant que sport lors de la DefCon 16 et depuis je le pratique de temps à  autre les weekends. Plus petit, je m’amusais déjà  à  ouvrir la serrure de ma tirelire, je me suis attaqué aussi à  la porte d’entrée de mes parents après avoir regardé MacGyver ouvrir une porte avec un couteau suisse … Maintenant je sais que ce n’est pas possible … 🙂

Cependant j’ai réussi à  ouvrir une serrure de porte d’entrée traditionnelle en utilisant la méthode du racking. Le racking est une méthode qui demande moins de dextérité mais qui fonctionne bien sur les serrures bas de gamme. Le principe est simple, l’outil en dent de scie doit faire un glissement rapide sur tous les pins, à  maintes reprises, afin de faire rebondir les pins jusqu’à  ce qu’elles atteignent la ligne de cisaillement.

Voici une petite démonstration sur un cadenas standard.

Sources:

http://en.wikipedia.org/wiki/Lockpicking

http://www.lysator.liu.se/mit-guide/MITLockGuide.pdf

http://www.lockpickshop.com/MPXS-14.html

Iptables reminder

Je suis toujours à  la recherche des bonnes commandes iptables, alors j’en profite pour me faire un petit pense bête :

Lister les règles :

# iptables -nvL –line-numbers

Sauvegarder votre config :

# service iptables save

Sortir votre conf en fichier texte :

# iptables save

Insérer une règle à  la position 12 par exemple:

# iptables -I RH-Firewall-l-INPUT 12 -p tcp -m state –state NEW -m tcp –dport 7804 -j ACCEPT

Restaurer une conf :

# iptables-restore your_config_file

Limiter le temps entre deux connections de la même adresse IP :

# iptables -A INPUT -p tcp -i eth0 -m state –state NEW –dport 22 -m recent –update –seconds 15 -j DROP
# iptables -A INPUT -p tcp -i eth0 -m state –state NEW –dport 22 -m recent –set -j ACCEPT

Satellite Hacking for Fun and Profit by Adam Laurie

Adam Laurie fait à  nouveau le buzz avec sa présentation “Satellite Hacking for Fun and Profit” à  la BlackHat Briefing à  Washington. On se souvient  de sa brillante intervention sur les puces RFID au hack.lu où il nous avait montré avec quelle facilité on pouvait lire, clôner et éditer les données de son passeport biométrique. Cette fois, c’est aux satellites qu’il s’attaque. Vous me direz “on a pas attendu sur lui pour avoir Canal SAT ou TPS gratuit”. De plus, avec les réseaux de key sharing qui prolifèrent sur la toile et leurs abonnements parfois plus chers que l’officiel. Passons …
Adam a démontré lors de la conférence, qu’il est possible d’écouter les communications de satellites grâce à  l’interface réseau de votre Dreambox. Pour les néophytes, la Dreambox est ni plus ni moins qu’un démodulateur tournant sous linux. Il vous suffit de lancer un sniffer réseau comme WireShark sur votre pc portable, de le connecter à  votre dreambox et c’est parti ! Une parabole de 1 mètre motorisé suffit pour scanner les différentes fréquences.

blackhat-2008-04-22

Les chercheurs Jim Geovedi, Raditya Iryandi, et Anthony Zboralski avaient déjà  exposé les mêmes failles ici (PDF), mais leur méthode nécessite une parabole de 2 à  4 mètres. Ce qui rend leur étude plus difficile à  vérifier contrairement à  celle d’Adam.

Adam a developpé un script qui permet de scanner différentes fréquences et d’identifier certains types de contenus, y compris le trafic basé sur TCP, UDP ou SMTP. Ce qui devient intéressant, c’est d’apprendre le type de données qui transite sur ces fréquences…

Pico Bello

Waterproof

Elle a tout d’une grande… Je pense que c ‘est un slogan qui lui colle au chrome … Cette petite clé USB de 31.3 mm de long est tout simplement une merveille. Pour ma part, je l’ai choisi en chrome avec 8 Gb, mais il existe plusieurs variantes disponible sur le site de Super Talent.

Voici les caractéristiques techniques :

Super Talent Pico C

Twitter, la F1 de l’internet

Il n’est plus nécessaire de présenter Twitter. Pour les personnes qui auraient passé un an sur la banquise sans internet, Twitter (qui signifie gazouiller) est un outil de microblogging qui permet à  l’utilisateur de signaler à  ses contacts “ce qu’il est en train de faire”. Basé sur le principe du SMS, twitter vous permet d’écrire 140 caractères et de suivre les tweets de vos contacts partout dans le monde. En effet, que vous ayez un iPhone (twinkle), un smartphone avec Windows Mobile (PockeTwit) ou que vous soyez au bureau avec firefox (TwitterFox), tous les moyens sont bons pour recevoir les “tweets” (les messages).

Son utilisation est très simple et c’est ce qui plait. L’information n’a jamais été aussi rapide qu’avec twitter. Par exemple, lors du dernier crash d’avion à  New York, la première photo du sauvetage a été publiée sur internet via Twitter par Janis Krums :

http://twitpic.com/135xa – There’s a plane in the Hudson. I’m on the ferry going to pick up the people. Crazy.

Que ce soit le geek ou le Président des Etats-Unis, tout le monde l’utilise. Ce qui fait de Twitter une mine d’or en terme d’information. Forcément, cela créé de nouvelle tendance, en autre la veille stratégique anonyme. Journalistes, espions industriels se sont jetés sur cet nouvel outil pour récupérer les informations le plus rapidement possible. Je ne serais pas étonné de voir des offres de conseil sur Twitter dans les années voire mois à  venir.

Comme chaque technologie qui fait le buzz, Twitter a été soumis au scanner de vulnérabilités de ses utilisateurs. Il n’aura pas fallu longtemps pour s’apercevoir que Twitter n’intègre aucune des meilleures pratiques en termes de sécurité. Lors de la dernière DefCon 16 à  Las Vegas, le “Wall of Sheep” était rempli de login Twitter. Si les trois développeurs de Twitter ont trouvé un super concept en Avril 2006, ils n’ont certainement pas pensé à  le sécuriser. Il faut dire que l’application a été pliée en deux semaines grâce au framework RubyOnRails. L’architecture du Logiciel est faite de telle manière que la communication avec l’API est autorisée uniquement sur la base du nom d’utilisateur et du mot de passe (qui bien entendu sont transmis en clair sur la toile).

De plus, Twitter ne nécessite pas d’avoir une adresse email valide lors de l’enregistrement d’un nouveau compte, même si un doesnotexist@email.com est utilisé, l’utilisateur est toujours enregistré et est autorisé à  utiliser Twitter. La facilité de créer un compte sur Twitter a donné la naissance a un outil de spam. Commercialisé depuis peu, Tweettornado permet de créer autant de compte utilisateurs que vous souhaitez et permet d’ajouter un nombre illimité d’adeptes(Followers). Combiné à  sa capacité à  mettre à  jour automatiquement tous les comptes par des faux serveurs proxy avec un message identique, cela en fait le parfait outil de spam.

Espérons que pour cette nouvelle année Twitter mise sur la sécurité.