Skip to main content
KAIZER ONION

L’origine du Spam par Google Postini

Avant de commencer, je fais une petite appartée; Je profite de ce billet pour rester dans le sujet Google et parler rapidement de Google Wave. Je pense que la fermeture du Service Google Wave ne vous a pas échappé donc je me suis dit qu’il était inutile d’y consacrer un billet complet mais je souhaitais tout de même dire qu’après avoir fait ma propre expérience de ce service, je n’ai toujours pas compris son intérêt. Peut être que nous ne sommes pas encore prêts … mais je ne serai pas étonné de revoir naître de ses cendres ce service proposé par Google.

Voilà  j’ai fini mon appartée, nous pouvons glisser tranquillement sur le sujet principal de ce billet à  savoir la possibilité de voir l’origine du spam sur une carte grande comme le monde. Comme vous le savez, Google s’est offert en 2007 la société Postini spécialisée dans la sécurité des e-mails. Donc si vous n’avez pas de spam (ou très peu) dans votre boîte Gmail ou Google Apps, c’est grâce à  ce service.

On arrive (enfin) à  la finalité de ce billet, le service Google Postini met à  disposition cette carte du monde avec une géolocalisation de tous les spammeurs connus. On se rend compte qu’au final il n’y a pas que la Chine qui spamme massivement. D’ailleurs, l’Europe est un acteur non négligeable dans le domaine, on peut également voir qu’il y a quelques spammeurs connus dans le sud du Luxembourg … Je vous laisse regarder.

Google Postini maps


[Source]
photo : Skype Captain

iPhone 4 : JailbreakMe version 2.0

Je ne sais pas pourquoi, mais depuis quelques temps j’attendais avant de Jailbreaker mon iPhone avec le nouveau firmware 4.0.1. GeoHot m’avait trop bien habitué avec son tool Blackra1n. Mais il a annoncé il y a quelques temps qu’il se retirait de la course et qu’il ne délivrera pas de nouvelle version de Blackra1n pour IOS 4.0. Donc j’attendais une solution équivalente afin de Jailbreaker mon iPhone sans me prendre la tête. Finalement j’ai bien fait d’attendre car la DevTeam a sorti l’application web 2.0 permettant de Jailbreaker son iPhone juste en se connectant à  jailbreakme.com.

En moins de deux minutes vous pouvez Jailbreaker votre iPhone 4 (4.0.1), iPhone 3GS et 3G, ou encore votre iPad (3.2.1).

Comment cela fonctionne, une fois connecté sur la page http://jailbreakme.com vous avez uniquement à  slider comme pour déverrouiller votre iPhone et attendre une ou deux minutes. Et voilà  votre iPhone est Jailbreaké !

JailbreakMe

Pour votre culture générale, JailbreakMe (réalisé par Comex) exploite une faille de sécurité dans la lecture des fichiers pdf sur le navigateur Safari. Malheureusement après le jailbreak, cette faille n’est pas corrigée. Vous pouvez trouver tous les fichiers PDF en fonction de l’appareil et de la version que vous souhaitez jailbreaker ici.

Liste des fichiers PDF

C’est un risque de sécurité à  ne pas négliger, car si Comex l’a utilisé pour le Jailbreak, une personne mal intentionnée pourrait exploiter cette faille pour récupérer votre carnet d’adresse ou vos mails.

En attendant que cette faille de sécurité soit corrigée par Apple dans leur prochain firmware (4.0.2 peut être) vous pouvez vous “protéger” en utilisant pdfExploitWarner qui affichera une fenêtre d’alerte pour vous avertir chaque fois que Safari tentera d’afficher un fichier pdf. Cela nécessite un contrôle de votre part, et cela ne garantie en rien que le PDF que vous allez ouvrir est dépourvu de toute attaque.

[TUTO pdfExploitWarner]
1. Allez dans Cydia, et entrez la source http://iphoneaddict.fr/cydia/
2. Ensuite allez dans l’onglet search, et tapez pdfExploitWarner
3. Installez le paquet

[RAPPEL]
Pour rappel, le fait de Jailbreaker votre iPhone peut causer la perte de votre garantie Apple.

Sennheiser adiddas

La marque Sennheiser, considéré depuis plus de vingt ans comme la référence absolue dans le milieu des DJs, vient de sortir une édition limitée griffée par adiddas de son modèle phare; le HD 25-1 II. J’aime beaucoup ce genre de produit né d’une réussite technique et transformé en objet trendy. Un son clair et dynamique dans un casque confortable et léger, tels sont les arguments indiscutables du HD 25-1 II. Le tout coloré avec le bleu roi de la marque de sport, on obtient un casque magnifique.

Sennheiser adiddas front
Sennheiser adiddas
Sennheiser adiddas HD 25-1 II
Sennheiser adiddas HD 25-1 II

EOS Canon 7D

Comme je vous l’ai dit dans mon billet précédent (Hakuna Matata), c’est au retour de notre voyage de noces que j’ai craqué pour le Canon EOS 7D avec son optique EFS 15-85 USM. J’ai sauté sur cette occasion qui s’est finalement avérée être une très bonne affaire (500 euros de différence avec le prix public en duty free à  Schiphol). Pour ceux qui n’auraient pas la chance de passer par Schipol, vous pouvez toujours le trouver à  un prix intéressant sur le web comme ici. Du coup ce deuxième appareil vient compléter mon “vieux” EOS 350D qui m’accompagne depuis maintenant cinq années de loyaux services. Ce qui me donne matière à  comparer même si je ne suis pas professionnel de la photographie (je ne prétends pas l’être non plus). Voici donc mes impressions après quelques semaines  d’utilisation.

Commençons par l’ouverture du carton, ce qui est bien en restant chez Canon c’est que je n’ai pas été perdu en ouvrant l’emballage de mon EOS 7D, la disposition au sein du carton est quasi identique au 350D (je me revois encore entrain d’ouvrir mon Canon EOS 350D, à  l’époque, j’étais encore étudiant, je m’étais amputé d’un salaire complet pour me l’offrir). Le boîtier en lui même est beaucoup plus imposant que le 350D et surtout plus lourd, dès le premier touché on réalise que les matériaux utilisés sont plus résistants et nobles (magnésium).

En achetant l’EOS 7D on passe directement à  un autre niveau (même si on ne l’a pas). Je m’explique, sur ce modèle c’est fini les modes pré-programmés que l’on pouvait choisir en fonction de ce que l’on souhaitait prendre en photo (Mode sport, paysage, etc …). Maintenant le mieux que l’on puisse avoir c’est les modes semi-automatiques qui nous permettent de mettre une priorité à  l’ouverture ou sur la vitesse d’obturation. Cela vous force à  vous appliquer dans vos réglages mais cela donne aussi beaucoup plus de flexibilité. Je pense que c’est le meilleur moyen de progresser.

Canon EOS 7D vue de derrière

Ce que j’apprécie beaucoup sur ce modèle c’est son ergonomie, le boîtier se tient très bien en main et ce, sans poignée additionnelle. Son écran de lecture de 3″ est d’une qualité impressionnante, cela change radicalement du 350 D. Ce qui est un peu perturbant (lorsque l’on est habitué à  utiliser un 350D) c’est le bouton d’allumage ainsi que la molette de sélection des modes qui se retrouvent à  gauche maintenant. La navigation dans le menu peut se faire de plusieurs manières, soit en utilisant le joystick ou en utilisant le “grand bouton tout rond” (molette de contrôle rapide). Le grand changement sur ce modèle pour moi est l’apparition du bouton vidéo qui permet de filmer en HD. Lorsqu’on enclenche le mode vidéo on entend très clairement le miroir qui bascule pour activer la prise directe, du coup on voit le résultat à  partir de l’écran de lecture. D’ailleurs à  ce sujet, lorsque j’ai allumé pour la première fois l’appareil, la vue à  partir du viseur était très sombre. J’ai changé quasiment tous les paramètres (ISO, ouverture, etc) mais rien à  faire, la vue restée très sombre. J’ai cru pendant un moment qu’il avait un défaut de fabrication. Mais en enclenchant la vidéo, je me suis rendu compte que le miroir n’avait pas bien basculé, ouf …

Connectiques

Autre petit détail, lors de la première prise en main j’ai joué avec les différents boutons de l’appareil hors tension pour comparer leurs précisions et robustesses. Il n’y en a qu’un qui m’a surpris, c’est le déclencheur. Il m’a paru très “cheap” car il n’y a plus ce petit cran d’arrêt pour la mise au point, mais finalement en action on s’en rend même pas compte tellement il est précis. Sur le côté de l’appareil, on retrouve tous les connecteurs qui permettent d’exporter vos photos et vidéos. Il y a notamment une sortie HDMI, indispensable pour visualiser vos photos directement sur votre TV.

Canon EOS 7D vue du dessus

Sur le dessus de l’appareil, on retrouve un écran de contrôle rapide qui regroupe les informations sur la vitesse d’obturation, la balance des blancs, le mode d’acquisition, l’indicateur de batterie et le nombre de photos restantes. Au début c’est assez dur de se retrouver dans tous ces menus pour faire ses réglages ISO ou passer en mode rafale. A ce sujet, le canon 7D possède cinq modes d’acquisition dont deux modes en rafale. Lorsque j’ai voulu comparer pour la première fois le mode rafale avec celui du 350D j’ai activé la mode rafale à  vitesse faible (sans savoir qu’il y en avait deux), j’ai été très déçu. Après avoir lu le manuel d’utilisation j’ai activé le mode rafale à  haute vitesse et là  je dois dire que j’étais très impressionné (8 images par sec.).

Optique Canon EFS 15-85 USM

Lorsque j’ai acheté le kit, j’avais le choix entre l’otique 18-135 ou le 15-85. Pour compléter ma gamme, mon choix s’est naturellement tourné sur le 15-85 qui au passage, a de bien meilleure critique que le 18-135. Je dois dire qu’il est idéal pour les photos de paysages et de portraits.

Voici sa fiche technique :

Formule optique : 17 lentilles en 12 groupes (4 asphériques, 3 verres ED)
– Ouverture maximale : f/3,5 à  15 mm, f/5,6 à  85 mm
– Distance minimale de mise au point : 35 cm
– Filtre : 72 mm
– Motorisation : oui, ultrasonique
– Stabilisateur : oui, environ 4 vitesses
– Joint d’étanchéité : nd
– Dimensions : 81,6 à— 87,5 mm
– Poids : 575 g
– Accessoires : bouchons
– Fabriqué au Japon

Filtre UV Canon 72mm

Sur les conseils d’un vieux loup de mer (@batmanu), j’ai acheté un filtre Canon UV 72 mm. Alors ce n’est pas pour mettre une paire de lunette de soleil à  mon objectif même si cela permet d’enlever certains reflets, le but premier est de protéger l’objectif contre les rayures et autres attaques urbaines. Sachant qu’un filtre en moyenne coûte 20 euros comparé au prix d’un objectif, le calcul est vite fait. Donc je vous invite à  acheter systématiquement un filtre UV pour chacun de vos objectifs.


Voici le manuel d’utilisation en Français et en Anglais

iPhone 4 problème d’antenne

Depuis sa sortie, l’iPhone 4 ne cesse de faire le buzz, mais cette fois ce n’est pas positif. Le 2 juillet Apple fait une annonce officiel concernant un défaut logiciel impactant la réception GSM.

Lettre d'Apple

Nous avons fait le test pour vous. N’ayant pas d’iPhone 4 (pour le moment) j’ai emprunté celui de @putzman pour les tests.

Au début de notre test, l’indicateur de réception du signal GSM nous affiche 5/5. Lorsque nous prenons en main l’iPhone 4 avec un doigt placé en bas à  gauche entre les deux antennes, nous voyons la barre du signal chuter à  3/5.

iPhone 4

En utilisant un isolant entre notre main et l’iPhone, le signal n’est pas perturbé.

iPhone 4

Nous pouvons en conclure que si l’utilisateur se trouve dans une zone où la qualité de réception n’est pas très bonne, il pourrait perdre complètement la réception du signal. On parle tout de même d’une perte de 20% du signal, ce qui n’est pas négligeable. A voir maintenant si la correction software d’Apple apporte quelque chose de neuf dans cet épisode … Personnellement j’en doute, je pencherais plutôt pour un rappel, l’avenir nous le dira !

Pour compléter ce billet voici une vidéo (en anglais) de Consumer Reports qui a réalisé un test approfondi pour voir si le problème était bien hardware ou pas. Je vous laisse regarder.


Mis à  jour le 16 Juillet 2010

Service Automator

Vous venez d’acheter un iMac ou un MacBook pro, et vous ne savez pas comment faire pour verrouiller votre station lorsque vous vous absentez. Eh bien, j’étais dans le même cas que vous. Voici un tuto qui vous explique comment créer avec Automator un service pour verrouiller votre Mac.

Impossible screenshot

Première étape créer un service :

1. Ouvrez Automator avec spotlight
2. Choisissez le template service
3. Sélectionnez dans utilities la tâche Run Shell Script
4. Faire un drag and drop de la tâche sur la partie de droite
5. Mettez la valeur à  none dans Service receives selected
6. copiez/collez le bout de script suivant dans le champ:

/System/Library/CoreServices/Menu\ Extras/User.menu/Contents/Resources/CGSession -suspend

7. Enregistrez votre service et fermez Automator
8. Ouvrez les préférences systèmes
9. Cliquez sur clavier puis choisissez les raccourcis clavier
10. Sélectionnez services, vous devez retrouver votre service précédemment enregistré
11. Choisissez votre raccourci clavier pour faire appel à  votre service

Vous pouvez bénéficier de votre service afin de verrouiller votre mac lorsque vous vous absentez.

Voici une petite vidéo qui reprends les explications ci-dessus.

Docking pour disque dur

Avez vous également était confronté ce cas de figure, lorsque quelqu’un vous ramène un disque dur et vous demande de lui récupérer ses données ? C’est toujours ennuyant de devoir démonter la moitié de votre PC ou de son boîtier externe de disque dur …
Il existe une solution beaucoup plus simple et rapide, c’est d’utiliser la docking pour disque dur proposé par Storage Depot. Ce produit a été réalisé dans le but d’accéder à  vos données, enregistrées sur vos disques durs, de la manière la plus simple.

Je possède la version USB SATA (Storage Depot SI-7908) qui est vraiment très simple d’utilisation, vous connectez la docking en câble USB à  votre ordinateur, puis vous insérez le disque dur dans la docking et le tour est joué. Votre disque dur est monté par votre système d’exploitation comme une clé USB.

Petit inconvénient (je trouve), c’est que la docking nécessite une alimentation secteur, j’aurais préférais une auto-alimentation par le port USB comme on peut le voir sur certains boîtiers externes.

L’avantage, par contre, ce que la docking accepte autant les disques durs 3.5″ que les 2.5″ SATA. Il existe un modèle différent pour les disques IDE. La base de la docking étant assez large, elle permet d’obtenir une grande stabilité une fois le disque dur inséré. Vous n’aurez pas à  avoir le stress d’une éventuelle chute de votre disque dur. Un seul voyant est utilisé pour vous informer lorsque votre disque est connecté (couleur bleu) et qu’il est en activité (couleur rouge).

Cette docking est un outil précieux pour quiconque qui a besoin d’un accès facile à  ces diques durs SATA de rechange, que ce soit du 2.5″ ou du 3.5″.

Pour rappel, prenez vos précautions contre l’électricité statique lorsque vous manipulez vos disques durs.

Changement d’hébergement

Voilà , ça c’est fait √. Après de longs mois de réflexion, et surtout à  quelques jours de l’expiration de mon contrat, je me suis finalement décidé à  changer de type d’hébergement pour mon blog. Jusqu’à  présent, j’utilisais l’offre mutualisé illimité de online.net. L’offre comprends un nom de domaine et un hébergement de 10Go pour un trafic illimité. Bien que l’offre soit intéressante, le fait que le serveur soit mutualisé impacte sérieusement les performances de distribution. En effet, si par malheur chance deux ou trois personnes se connectés en simultané, l’impact était direct, le site devenait indisponible. C’est ce qui ma motivé à  franchir le pas, de plus, mon offre arrivait à  expiration donc c’était le bon créneau. Pour info, voici un récapitulatif des trois offres proposé par Online en ce qui concerne les serveurs mutualisés.

Content du service et support fournit par Online (très bon support), je me suis naturellement tourné vers leur offre de serveur dédié afin de prendre mon envol pour la liberté. Résultat des courses, j’ai un serveur ubuntu 10.04 à  jour sécurisé par mes soins, et surtout un gain indiscutable de performance. Depuis hier, mon serveur dédié est complétement opérationnel et je pense que vous avez remarqué la différence. Concernant l’offre, j’ai choisi la dedibox V3 qui offre un processeur Nano de 1.6Ghz pour 2 Go de RAM et 160 Go de disque. Le plus important, c’est que le serveur a une connexion giga.

Ce changement va me permettre de développer de nouveau projet que j’avais en tête depuis quelques temps, je ne vous en dit pas plus pour le moment, mais restez connecté car ca va bouger.

Je serais fortement intéressé par vos retour d’expérience concernant les performances du blog. à‰galement si vous rencontrez des difficultés d’affichage ou autre, n’hésitez pas de laisser un commentaire ou de me contacter par mail.

Les failles XSS de la brise à  l’Ouragan

Parfois anodine et peu connu des internautes, ces failles permettent bien souvent d’accéder à  des données personnels de l’utilisateur dans des scenario aboutis. Pour autant cette vulnérabilité n’est pas récente, c’est là  que le paradoxe prends son sens.

Mais qu’est ce que le XSS ?
Le XSS, de l’anglais cross site scripting, consiste à  injecter et faire interpréter ou mieux, faire exécuter du code non attendu à  un navigateur web. De cette définition, on peut en déduire que l’attaque ne se situe pas du côté du serveur mais plus plutôt du côté client, en d’autres termes une action du client final est nécessaire. Donc nous avons un aspect ingénierie sociale. De plus, ce genre d’attaque ne se limite pas à  un langage. Tout langage reconnu par votre navigateur peut être exploité. C’est pourquoi les failles XSS sont souvent basées sur de l’HTML et du Javascript. Pour finir la première partie de sensibilisation, la vulnérabilité XSS figurait à  la première place du top ten de l’OWASP en 2007. En 2010 il occupe la seconde place.

Prenons un exemple concret, vous recevez un mail de votre banque qui vous indique que de nouveaux documents sont disponibles à  partir de votre compte et ils vous donnent un lien pour accéder aux ressources. En tant qu’utilisateur vous ne fait pas attention à  l’url caché derrière le nom du lien et vous cliquez pour accéder à  vos documents. A ce moment précis le mal est fait ! Vous ne vous êtes rendu compte de rien du tout mais votre requête à  été intercepté par un autre site qui a volé vos identifiant de votre banque. Vous n’avez rien remarqué car vous avez été redirigé. Ce scenario semble sortir tout droit d’un James Bond, malheureusement, il est bien plus probable qu’un des scénarios de James Bond. Bien entendu, il y a quelques conditions. Ce scénario considère que le site de votre banque contient un champ vulnérable aux attaques XSS, que l’attaquant connaisse votre adresse mail, et qu’il ait un serveur distant ou il pourra stocker vos identifiants de connexion. Il est considéré également pour acquis que vos identifiants soit stockés dans un cookie. Vous me direz que cela fait beaucoup de conditions, même si la dernière est peu répandu (surtout pour un site bancaire) les autres conditions sont facilement réalisables.

Voici une schématisation du scénario énoncé.

Alors comment fonctionne concrètement cross site scripting, et bien la syntaxe la plus connue est l’exécution dans un champ non validé du code suivant :

Il a pour but une fois interprété par votre navigateur, d’afficher la pop up suivante :

C’est exemple est souvent utilisé comme PoC (Proof of Concept). Mais il existe beaucoup plus de combinaison possible. Ce billet n’a pas pour vocation de faire une liste exhaustive des éléments à  parser dans vos champs. Il existe de très bonnes sources si vous cherchez ce genre d’information, comme par exemple le site ha.ckers.org. Cependant il faut comprendre que ce genre d’attaque est bien plus dangereuse pour l’utilisateur final que pour les serveurs. Grâce à  l’utilisation de champ ou de paramètre non validé, il est possible également de ré-écrire une page web (via l’API DOM). Je vous invite à  lire l’article de Pierre Gardenat qui a été publié récemment dans le magazine français MISC (édition Mai/Juin 2010). L’article est très bien détaillé. Je me suis permis de reprendre son titre que j’aime beaucoup. J’espère qu’il ne m’en voudra pas.


source
Pierre Gardenat – XSS : de la brise à  l’ouragan

iPhone IOS 4.0 les nouveautés

Quelques jours après sa sortie officiel, et surtout depuis que mon site est à  nouveau disponible, je vous livre mes impressions concernant le nouveau IOS 4.0 d’Apple. Pour commencer, la mise à  jour s’est passé particulièrement bien (de 3.1.3 vers 4.0). Toute fois je n’ai pas encore jailbreaké la nouvelle version de mon iPhone même si cela est possible depuis plus d’un mois (eh oui ils ont jailbreaké la nouvelle version d’Apple avant sa sortie). Pour ceux qui désire jailbreaké leur iPhone avec l’IOS 4.0 vous pouvez utiliser redsnow 0.9.5 qui fonctionne très bien. Une bonne nouvelle pour les possesseurs d’iPhone 3G ils pourront également bénéficier de la fonction multitâche après le jailbreak.
Justement revenons à  l’origine de ce billet, mes impressions sur les nouvelles fonctionnalités de l’IOS 4.0. Le gros changement est bien entendu l’utilisation multi tâche qui permet maintenant de basculer d’une appli à  une autre sans perdre le cours de celle-ci. On peut également soulager les ressources de l’iPhone en fermant les applications non utilisées. Il suffit d’appuyer deux fois sur le bouton home pour obtenir le menu multi tâche. Si vous désirez fermer une application, restez appuyé quelques secondes sur l’icône de l’application pour pouvoir la fermer.

Multi tâche d'apple
Multitask IOS 4

Autre grande nouveauté, la possibilité de classer ses applications par thème dans des dossiers. Fini d’avoir 5 ou 6 pages d’applications. Maintenant vous pouvez facilement regrouper toutes vos applications favoris en un même repertoire. Pour ce faire, rien de plus de simple il suffit de rester sur l’application choisie quelques secondes puis de la déplacer sur une autre application pour créer un repertoire. C’est quand même bien plus pratique et surtout plus propre. Une amélioration appréciable si vous testez beaucoup d’applications.

Sur la liste des nouvelles fonctionnalités, j’ai noté la présence d’un zoom numérique qui a pour avantage d’être présent, malheureusement c’est l’unique point positif que je lui ai trouvé. Cela reste un zoom numérique avec un qualité médiocre. Peut être que sur l’iPhone 5 il y aura un véritable zoom optique ou pas …

Petit détail également, sur l’iPod maintenant la présentation de vos albums a un peu été modifié. Vous obtiendrez des informations supplémentaires comme la date de sortie, ou la durée de la chanson. C’est aussi plus agréable à  lire du fait de l’alternance de couleur (même pour un daltonien comme moi).

Côté performance, sur un iPhone 3GS il n’y a pas de souci par contre sur un 3G je vous déconseille de l’installer. Optez plutôt pour un iPhone 4G. D’ailleurs c’est promis, dès que j’ai le mien je poste une photo.
Et vous, vous l’avez trouvé comment ?