Skip to main content
KAIZER ONION

Mac App Store = Kickback

Hier est sortie le Mac App Store… Quésako ?

En fait Apple a remodelé l’idée d’iTunes pour la distribution des applications sur iPhone, iPad et iTouch pour l’appliquer sur les applications Mac. Ce qui a donné naissance au Mac App Store. Normalement vous avez reçu une demande de mise à  jour (version 10.6.6 de Mac OS X) qui intégre la fameuse application App Store.

Icon App Store

Pour son ouverture, la boutique apporte 1000 applications, dont la suite iLife 11′ (iPhoto, iMovie et GarageBand) pour la modique somme de 11,99€ l’unité, ou encore la suite iWork (Pages, Keynote et Numbers) pour 15,99 € l’unité.

Mac App Store

L’ironie du sort, c’est que l’application est à  peine sortie que le groupe Hackulous (bien connu pour avoir ouvert App Store avec Installous) a trouvé une vulnérabilité permettant de télécharger gratuitement toutes les applications. Le projet se nomme Kickback et devrait être disponible prochainement. La Team Hackulous attend de voir des produits tel que Final Cut disponible sur le Mac App Store pour distribuer Kickback.

Hackulous

En attendant, je vous invite à  télécharger Twitter pour Mac, il est vraiment sympa et en plus il est gratuit. Profitez en pour suivre @kaizeronion

Twitter

Airport Express : diffuseur d’ambiance

Un peu avant le Black Friday j’ai craqué pour un petit Airport Express. Oui je sais pourquoi ne pas avoir attendu le Black Friday, tout simplement car j’étais pressé de l’avoir et je me suis dit qu’avec les commandes du Black Friday les délais de livraison se rallongeraient. En même temps, je n’ai rien perdu car il n’y avait pas de Black Friday à  Luxembourg et la remise sur le site français n’était pas intéressante sur l’Airport Express.

Alors pourquoi acheter un Airport Express lorsqu’on a déjà  un Airport Extreme?

Pour plusieurs raisons, la première, tout simplement pour étendre son réseau Wifi car l’Airport Express peut servir de répétiteur. C’est très utile si vous habitez dans une grande maison ou un château …

Airport utility


La seconde raison (celle qui m’a fait acheter ce petit gadget), c’est que l’airport express permet de diffuser la musique de votre bibliothèque iTunes en streaming avec AirPlay. Vous pouvez avoir autant d’airport express que vous le souhaitez et les gérer à  partir de votre iTunes. Vous controllez le volume sonore de chaque Airport Express très simplement.

Choix de l'airport express
multiple speakers

L’airport Express en soit est composé d’une interface Ethernet Gigabit ainsi que d’une sortie optique qui fait aussi office de prise jack. Il ne prends pas de place, par conséquent il se cache assez bien … De plus vous pouvez inter-changer le type de connecteur électrique (comme sur tous les boitiers d’alimentation Apple).

airport express


Une fois votre Airport Express en place, il ne vous manque plus que l’application Remote qui s’installe aussi bien sur iPhone, iPod ou iPad. Grâce à  cette application vous controllez votre playlist à  distance sans bouger de votre canapé. Seul condition, il faut que votre MacBook ou iMac (l’endroit ou vous avez votre iTunes) soit allumé.

RemoteRemote

MacBook Air 11″ : La découverte

Ben voilà , j’ai reçu le dernier joyaux d’Apple le MacBook Air version 11″ 128 Go SSD, 1.6Ghz et 4Go de Ram.

Info MacBook Air


Il vient remplacer le Samsung N110 de @kaizeronionette, pour son plus grand plaisir. Je dois dire que je n’étais pas un grand fan de Netbook avant mais avec ce petit MacBook Air j’ai changé d’avis. La résolution 16/9 est parfaite pour surfer tranquillement. Sa légereté le rend transparent et son design donne envie de l’utiliser. Bon je tiens à  préciser que ce bien reste la proprieté de @kaizeronionette car elle ne manquera pas de le rappeler en commentaire 😉

N110 vs MacBook Air 11"


La présence de mémoire flash permet un accès rapide aux données ce qui rend son utilisation très agréable. Sans équivoque aucune, je peux dire qu’un MacBook Air 11″ est beaucoup plus sympa qu’un iPad. Il reste tout de même une sacré différence de tarif, je suis d’accord et peut on comparer ces deux produits ?
Toujours est il, le MacBook Air 11″ n’est pas le netbook le plus accessible du marché mais sans aucun doute le plus performant.

Son clavier (plus grand que l’écran) a la taille d’un clavier traditionnel bluetooth, ce qui permet à  son utilisateur une meilleure prise en main.

Clavier


La qualité de l’écran est comme d’habitude indiscutable avec une résolution de 1366 x 768. Je n’ai pas noté d’effet de reflet. Quoi dire d’autre, la taille de disque semble être largement suffisante surtout si vous avez une NAS à  côté. Voici une copie d’écran prise avec le MacBook Air.

Screen shot MacBook Air


Avec une autonomie de 5 heures, il ne détronne pas ses concurrents mais n’est pas pour autant ridicule. Grâce au remplacement du disque dur par de la mémoire flash, les ingénieurs de la pomme ont permis d’ajouter des modules de batterie supplémentaire.

Il y a tout de même un point négatif de taille, c’est l’absence du rétro éclairage du clavier. Cela n’empêche pas de le mettre sur votre whish list de Noà«l … Si vous ne pouvez pas attendre jusque Noà«l, vous pouvez toujours commander votre MacBook Air 11″ directement.

Pour info ce billet a été écrit intégralement depuis le MacBook Air 😉

Mais où est passé Milw0rm ?

C’est en cherchant un exploit pour IIS 6.0 que je me suis rendu compte que Milw0rm a disparu du web depuis plus d’un an. Son auteur, Str0ke, aurait fait ses adieux en Juillet 2009 et aurait laissé mourir le site pour le clôturer définitivement en septembre 2009. Milw0rm était l’une des références en matière de vulnérabilité/exploit.

Mais où j’étais pendant ce temps ?

Parfois on a l’impression d’avoir des absences de quelques minutes, sur ce coup là  j’ai eu une absence d’un an … Bon soit, alors voilà  le billet que j’aurais pu faire il y a un an …

L’ambiance assez dark en avait fait un emblême dans le domaine, référencé par de nombreux sites, des milliers de personnes se connectés chaque jour pour venir chercher de l’information ou tout simplement publier un nouvel exploit.

milw0rm

La question que tout le monde se pose maintenant, c’est ou peut on trouver l’équivalent de Milw0rm, alors voici une petite liste non-exhaustive des différents sites web publiant des exploits :

– Bugtraq : Une mailing list faisant parti de la suite de news proposé par securityfocus. Parfois des informations pertinentes venant des éditeurs.

Offensive security : Le tout nouveau clone de milw0rm.

Metasploit : Mondialement connu Metasploit a été racheté par Rapid 7 en 2009. Leur outil gratuit permet de lancer des exploits avec une base de plusieurs milliers de payload. Pour rester à  la page cela nécessite un svn update régulier.

Packet Storm Security : L’alternative de Milw0rm. Souvent les informations se recoupées d’un site à  l’autre.

sebug : Un site chinois qui semble être à  la page en terme d’exploit et de vulnérabilité. Parfois google traduction est nécessaire.

Security Reason : Ils sont très actif avec pas mal de vulnérabilités intéressantes.

Full Disclosure : Une très ancienne mailling list, mais comme le dit si bien l’adage : “C’est dans les vieux pots qu’on fait les meilleures soupes .”

Exploit db : La relève semble être assuré.

Comme vous pouvez le voir c’est loin d’être une liste exhaustive mais si vous connaissez d’autre site n’hésitez pas à  les poster en commentaire.

J’aimerais beaucoup savoir si d’autre(s) comme moi ont raté l’info ? 😉

Hack.lu 2010

Une nouvelle édition de la conférence de sécurité Hack.lu s’est déroulé ces trois derniers jours à  l’Alvisse Parc-Hôtel. Cette année je n’ai pas pu suivre toutes les sessions mais j’ai eu l’occasion de saluer quelques vieilles connaissances le jeudi après midi. En l’occurrence, j’ai croisé Andrey Kolishchak le CEO de Gentle Security, présent pour faire la promotion de son nouveau logiciel de sécurité LeakWall. Ce genre d’événement est toujours l’occasion de revoir quelques têtes familières que l’on a pas l’occasion de voir durant l’année. Un moment de communication et d’échange sur les dernières nouveauté, c’est aussi ça l’esprit du hack.lu. Je tiens à  féliciter les bénévoles qui organisent le hack.lu car même si on ne s’en rends pas compte derrière il y a beaucoup de boulot.

A l’entrée du hack.lu chaque personne recevait un package comprenant un Teeshirt, un pass et le mensuel MISC.

hack.lu

Donc le jeudi après midi était composé de trois sessions et d’un lightning talk de 5 minutes sur les faiblesses de la communication wifi qui permet de piloter le drone Parrot. Le premier à  prendre la parole devant une salle quasi pleine est Mayank Aggarwal de Juniper avec une présentation des différents spyware disponible sur Blackberry. A la clé une petite démo live pour nous montrer à  quel point il est facile d’obtenir des informations sur un blackberry une fois le spyware installé. Ce que j’ai retenu :

– Une fois installé, l’application peut obtenir un accès complet de l’appareil
– Absence de détection en temps réel
– Les applications gratuites ne le sont pas toujours (méfiance)
– Activer le mot de passe de votre mobile
– Activer l’encryption et le pare feu
– Et enfin ne laissez personne d’autre que vous utiliser votre mobile -> Celle ci est valable pour tous les téléphones

Les suivants s’amènent avec un drone AR Parrot et un iPhone 4. Bizarrement ils ont eu toute l’attention de l’auditoire et ce sans se présenter. L’idée était de montrer qu’il existe une faille sur le serveur du drone AR Parrot. En effet, il suffit de flooder un port spécifique pour perturber le drone. Malheureusement, ils dévoilent la faille avant la démo, résultat le drone est piraté par une personne de l’auditoire et la démo se termine sur : “désolé on a plus de batterie !”. Dommage …

La dernière session que j’ai suivi était présenté par Fabian Mihailowitsch sur la détection des Keylogger Hardware. J’étais assez intéressé de savoir comment il procédait pour détecter les keylogger PS/2. Donc ses études l’on conduit sur plusieurs pistes, mais aucune n’est assez précise pour la généraliser. La première méthode consiste à  mesure le courant utilisé par le port PS/2, il y aurait une variation de quelques mA lorsque l’on branche un keylogger PS/2. Mais son test a était effectué sur un type de clavier avec un type de carte de mère et de keylogger. Trop peu de valeur pour dire avec certitude que sa méthode fonctionne. Cependant, c’est un bon début de recherche.
La deuxième méthode consiste à  établir une base de valeur sur les temps de réponse du clavier. Une fois cette base constituée, il est facile de comparer les temps obtenu avec un keylogger branché. Visiblement le traitement du keylogger ralenti les temps de réponse. Une fois encore la méthode est contraignante et non universel.

Pour résumé, le peu de temps que j’ai passé au hack.lu était très sympa et visiblement je ne suis pas le seul à  en penser du bien vu le nombre de personne présentes. Vivement l’année prochaine …

Bug dans l’iOS – déverrouillage sans mot de passe

La nouvelle vient de tomber, un bug est présent dans la version 4.1 de l’iOS. En effet, il est possible d’accéder aux contacts d’un iPhone sans passcode. L’info a été publié vendredi dernier sur un forum Mac.

La manipulation est assez simple, il suffit d’utiliser le bouton appel d’urgence et composer un faux numéro comme “###” et d’appuyer rapidement sur le bouton Power.

La démonstration en image :



Le bug se limite à  pouvoir téléphoner avec le téléphone et accéder à  tous vos contacts. On a donc un sérieux problème de confidentialité à  cet endroit.

Office Mac 2011

Le grand jour est arrivé après une longue attente, les utilisateurs Mac vous pouvoir enfin utiliser Outlook nativement sans passer par une machine virtuelle. En effet la version Mac d’Office est officiellement disponible sur le site de Microsoft.

Les tarifs sont de 139 euros pour la version famille / étudiante et 379 euros pour la version professionnelle qui intégre Word, Excel, PowerPoint et Outlook. Au programme pas mal d’amélioration sur la compatibilité entre les version PC et Mac. Un point sensible est l’ouverture des fichiers Powerpoint produit sur un PC n’ont plus de problème d’affichage une fois ouvert sur le Mac.

Office 2011 Mac


Les différentes version d'office 2011

Assembler deux fichiers PDF avec Preview

J’ai cherché quelques temps ce matin pour assembler deux documents PDF en un sans installer un nouveau logiciel. J’ai utilisé Preview. Alors voici l’astuce :

Tout d’abord il faut disposer de deux documents PDF (avec plusieurs cela fonctionne aussi … ) .

1. Sélectionnez vos documents PDF dans finder et ouvrez-les avec Preview

finder


2. Vous pouvez apercevoir sur le côté droit que Preview a ouvert les deux documents en un document.

selection


3. Il ne vous reste plus qu’à  imprimer le tout en utilisant le menu Print selected Pages

Print Selection


4. Sauvegardez la selection en tant que PDF et le tour est joué.

save as pdf

Voilà  une astuce qui peut s’avérer très utile sans avoir à  installer un logiciel supplémentaire.


Sources
Mac OSX Hints

VMware vSphere client sur Windows 7

Beaucoup d’entre vous, comme moi, utilisent le client VMware vSphere pour gérer ses machines virtuelles. Malheureusement avec l’apparition de Windows 7, on a quelques problèmes d’utilisation, le client ne se lance plus et on obtient le message d’erreur suivant :

“Error parsing the server “” “clients.xml” file.”

Apparemment c’est sensé être corrigé dans la version VMware ESX / ESXi 4.0 Update 1 (U1) mais personnellement je n’ai pas pu le vérifier.

Donc si vous rencontrez le problème, le plus simple est de suivre la procédure ci-dessous pour pallier le problème.

1. Téléchargez la DLL suivante System.dll

System.dll

Note : Normalement elle se situe sur votre système à  cet endroit : %SystemRoot%\Microsoft.NET\Framework\v2.0.50727\

2. Une fois téléchargé, copiez le fichier dans l’emplacement suivant : “C:\Program Files\VMware\Infrastructure\Virtual Infrastructure Client\Launcher\Lib”
Si le dossier lib n’existe pas, il faut le créer.

Folder

3. Ensuite il faut éditer le fichier VpxClient.exe.config. Il se trouve dans le repertoire suivant : “C:\Program Files\VMware\Infrastructure\Virtual Infrastructure Client\Launcher\”

Ajoutez les lignes suivantes à  la fin du fichier avant </configuration> :

<runtime>
<developmentMode developerInstallation="true"/>
</runtime>

VpxClient.exe.config

4. A partir des proprietés système, selectionnez l’onglet Advanced et cliquez sur Environment Variable.

environment variables

Créez une nouvelle variable système appelé DEVPATH dont la valeur est la suivante :
C:\Program Files\VMware\Infrastructure\Virtual Infrastructure Client\Launcher\Lib

add system variable

5. Maintenant vous pouvez redémarrer votre machine et vous serez capable de lancer votre client VMware vSphere.

vsphere

Jailbreaker son iPhone

Vous avez un iPhone que ce soit un 3G, 3GS ou un iPhone 4. Vous avez installé l’iOS 4.1 et vous vous demandez comment Jailbreaker votre iPhone. Rien de plus simple. Je ne vais pas revenir sur les bienfaits de la nouvelle version iOS 4.1 mais en quelques mots, elle corrige les problèmes de performance rencontrés sur les iPhone 3G. Elle corrige également le problème du capteur de proximité de l’iPhone 4, ce qui n’est pas un mal.

Pour la petite histoire, il y a deux grosses communautés qui travaillent dur, très dur pour vous faire plaisir. Ou devrais-je dire, il y a une communauté (appelé la Dev Team) et de l’autre coté on a Monsieur George Hotz. Cela faisait quelques mois que l on entendait plus parler de GeoHot (Georges Hotz) après l’annonce de sa retraite dans le domaine de l’iPhone. La Dev Team encore active sur la recherche et le développement de solution pour Jailbreaker l’iPhone annonce la sortie officiel de son nouvel outil le 10 Octobre 2010 à  10:10:10.
Sorti de nulle part, notre ami Geohot met en ligne la veille un outil permettant de Jailbreaker toutes les versions d’iPhone avec une faille non connu de la Dev Team. Vous imaginez le drame … Pour nous cela change rien, mais eux la guerre est déclaré!

Voilà  pour la petite histoire maintenant, revenons à  notre procédure.

Les prérequis
– un iPhone en version 4.1

Mettre à  jour son iPhone

– Avoir téléchargé Limera1n en version PC ou Mac

Limera1n

Les étapes

1. Connectez votre iPhone à  votre ordinateur
2. Lancez limera1n
3. Suivre les instructions
4. Redémarrez votre iPhone
5. Démarrez limera1n sur votre iPhone
6. Installez Cydia et désinstallez limera1n

Et voilà , vous pouvez pleinement profiter de votre iPhone Jailbreaker 😉