Entrez vos identifiants

x
OU
Vous avez oublié votre mot de passe ?
Utilisateur wiki : vous n'aviez pas d'email ?

Korben - Site d'actualité geek et tech

Edito du 23/11/2016

Hello tout le monde,

Je tiens tout de suite à vous dire que la semaine sera assez pauvre en articles, car je cumule 2 choses que j'adore : Un gros déplacement à Paris de plusieurs jours et une grosse fatigue due à une souche de virus inconnu et virulent élevé et ramené par mes minimois qui les collectionnent avec plus d'assiduité que les pokemons.

Depuis quelques jours, je teste aussi un nouveau format de diffusion vidéo live sur Periscope. Rien d'aussi sérieux que la matinale de mes amis de NowTechTV, mais j'ai fait un démontage live de NAS totalement improvisé, des interviews lors d'un événement B2B, et un genre de Q&A en marchant dans les rues de Paris. Et j'avoue que j'ai trouvé ça assez sympa à faire.

Je le referai surement régulièrement quand j'ai des choses rigolotes à portée de main (matos, événement, rencontres avec des gens cool, voyage...etc.).

Bon, voilà pour les news. Je vous souhaite une bonne fin de semaine.

Concours – A gagner un Dock pour Apple Watch

4

Pour conclure la semaine en beauté, MegaCitiz vous propose de remporter un Dock pour Apple Watch Native Union...enfin si vous en avez une ;)

Si vous connaissez pas encore, Native Union est un fabriquant spécialisé dans le rechargement des iPhones et Apple Watch.

Ici, la marque vous propose une station de recharge conçue avec un bras en aluminium, ce qui permet au Dock de tourner pour positionner votre Apple Watch selon l’angle qui vous convient le plus.

Pour jouer, suivez les instructions dans le widget Kontest:

A gagner un Dock pour Apple Watch

Bon jeu et bonne fin de semaine à tous ;)

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin

Le Guide des Gamers

0

Vous avez le joystick qui vous démange, vous vous demandez quoi acheter pour créer un set up de streamer ou tout simplement, vous cherchez un bon matos sans prise de tête pour oublier cette putain de journée de boulot et bien voici un guide spécialement pensé pour répondre à vos auguste besoins ;)

Petit tour d'horizon de nos produits favoris:


Casual

NVidia Shield TV 500Go

nvidia-shield-android-tv

Une console, mais aussi un media center sous Android TV ! Parfait pour satisfaire ses envies de gaming dans le salon.

A découvrir ici


Pour les Kids

Amazon Fire 7 pouces

amazon-fire

Avec son prix on peut penser que les performances ne seraient pas au rendez-vous, et pourtant les jeux 3D ne lui font pas peur !

A découvrir ici


Pour ceux qui bougent...beaucoup

AUKEY Batterie 20 000 mAh

aukey

La batterie est l’ennemie première du gamer mobile. Alors pour régler ce souci, cette batterie est parfaite.

A découvrir ici


Pour les pros, les vrais...on est badass ou pas ?

Manette Elite Microsoft

xbox-elite

Pour certains, c’est LA manette, et pour nous c’est simplement l’accessoire indispensable pour vos jeux à la manette sur Xbox One et PC.

A découvrir ici


Pour la graine de streamer

Micro AT2020+ USB

micro

Si l’image est importante, le son l’est encore plus ! Ce micro cardioïde fonctionnant en USB vous permettra de capter parfaitement votre voix et minimisera les sons autour de vous

A découvrir ici

Voilà, je vous laisse avec le reste de notre sélection et j'espère que ça vous plaira.

Shadow PC – En route vers une génération de “cloud gamers” ?

1

Shadow PC – En route vers une génération de “cloud gamers” ?

Nowtech TV a mis en ligne une vidéo sur Shadow PC, un ordinateur qui repose sur le cloud et qui permet de jouer aux derniers jeux gourmands sans avoir besoin d'upgrader sa config tous les 4 matins.

C'est très tentant, surtout quand on est utilisateur MacOS ou Linux et qu'on souhaite quand même s'éclater avec des jeux PC. Le Shadow PC est proposé sous la forme d'un abonnement et attention, il vous faudra obligatoirement la fibre pour que ça fonctionne correctement.

Bon moi j'ai pas encore la fibre alors ça règle le problème mais si vous avez testé, je veux bien connaitre vos impressions. Merci à Jérôme, très intéressante cette interview, ça a répondu à pas mal de mes questions techniques.

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin

Sécuriser WordPress – Forcer le login en https

2

Je continue ma série sur la sécurisation WordPress et aujourd'hui, je vais vous parler de HTTPS.

Si votre serveur est configuré pour proposer du HTTP et du HTTPS, il est possible de forcer l'utilisation du SSL pour la page de login afin d'éviter les connexions en clair.

Cela aura pour effet de chiffrer l'ensemble des données entre votre ordinateur et le serveur et ainsi rendre plus complexes les attaques de type Man-In-The-Middle.

Pour cela, rien de plus simple, il faut éditer le fichier wp-config.php et y ajouter la ligne suivante si vous souhaitez utiliser SSL uniquement sur la page de login :

define('FORCE_SSL_LOGIN', true);

ou utiliser SSL pour l'intégralité de la section admin du site :

define('FORCE_SSL_ADMIN', true);

Vous pouvez aussi utiliser un plugin comme celui-ci, si vous n'êtes pas à l'aise avec les fichiers de conf.

(suite…)

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin

Bounty Factory – 1 an après le lancement, on fait le point

9

Sur YesWeHack, on a lancé un blog, mais en attendant qu'il soit aussi lu que le mien, je vais quand même continuer de m'exprimer sur ce sujet qui m'est cher : le Bug Bounty.

Il ne vous aura pas échappé dans l'actualité récente, que l'Europe a validé un budget de 1,9 million d'euros la semaine dernière pour étendre le programme d’audit des logiciels Libres et Open Source alias EU-FOSSA. C'est cool, surtout que dans ce budget est prévue une part pour le Bug Bounty. Et ça on le doit à Marietje Schaake du groupe Alliance des démocrates et des libéraux pour l’Europe.

C'est plutôt une bonne nouvelle, car cela va soutenir le développement et aider à renforcer la sécurité des logiciels libres utilisés dans les administrations publiques.

Même si ça peut sembler étrange de dire ça, il faut voir maintenant si les plateformes européennes de Bug Bounty dont Bounty Factory seront sollicitées pour mettre la main à la pâte ou si ces budgets iront tout de go vers les plateformes américaines. Oui ça peut sembler contreproductif, mais il y a un risque évident tant les lobbys sont forts.

Moi je n'ai pas de lobbyistes au Parlement Européen donc à par compter sur vous pour faire remonter l'info le plus haut possible afin que Marietje Schaake et les gens qui travaillent sur ce dossier établissent un contact et échangent avec nous, je n'ai pas de véritable option. Ou sinon, oui je pourrais camper devant le parlement Européen et tenter de leur expliquer tout ce qui fait le charme de Bounty Factory.

Toutefois, contrairement aux autres grosses plateformes, BountyFactory.io dispose de fonctionnalités et de spécificités légales qui lui assurent une robustesse, une pertinence et une légitimité au sein du cadre Européen. Tout sur Bounty Factory est conçu et développé pour assurer à la pratique du Bug Bounty, sécurité et respect de la légalité.

C'est en effet indispensable car nous proposons du vrai Bug Bounty au sens traditionnel du terme, sur une plateforme ouverte à tous mondialement et non pas de la prestation d'audit déguisé en Bug Bounty, comme certains ont pu le penser lorsque nous avons annoncé le projet. Notre point fort, c'est notre communauté de plus de 1800 hunters qui apportent chacun leur expérience et leurs méthodes diverses et variées sur la recherche de faille.

Vous allez voir, on n'est pas des rigolos et on n'a pas fait les choses à moitié ;-) 

Tout d'abord, nos serveurs sont basés en Europe et aucune data n'est exposée à des puissances étrangères comme les US, que ce soit avec FISA, le Patriot Act, le Freedom Act... etc.

Bounty Factory travaille avec l'hébergeur OVH qui est soumis à un niveau de sécurité SOC 1 type II et SOC 2 type II.

Pour ceux qui penseraient que je parle un dialecte ancien, il s'agit tout simplement d’attestations internationales qui garantissent qu'OVH a bien mis en place des procédures et contrôles permettant d’assurer un service sécurisé et haute disponibilité.

Notre infrastructure est aussi certifiée ISO 27001, ce qui signifie qu'elle respecte la mise en place d’une organisation de la sécurité conforme aux standards.

Au-delà de ça, chaque vulnérabilité remontée, chaque rapport, chaque commentaire présent sur Bounty Factory est chiffré avant d'être stocké dans notre base de données et seuls les acteurs concernés (sociétés ou hunters) peuvent y avoir accès. Même nous en interne, nous ne pouvons y accéder sans autorisation.

Concernant la vie privée, nous sommes d'ores et déjà sujet à la Réforme Européenne de 2012 sur la Protection des Données, à laquelle tous les pays Européens devront se conformer avant le 6 mai 2018.

Sur le sujet des transactions financières, notre infrastructure respecte la norme PCI DSS (The Payment Card Industry Data Security Standard). Cela signifie que niveau paiement, on est au top aussi. Sans oublier que MangoPay (Crédit Mutuel Arkéa), notre système de paiement est 100% respectueux du cadre légal Européen. Cela signifie que les hunters inscrits sur notre plateforme respectent les lois concernant le blanchiment d'argent et le financement du terrorisme. C'est le genre de détail hyper important quand on est sur un secteur ouvert au monde comme le notre.

Mis à part ces aspects légaux, Bounty Factory dispose aussi de fonctionnalité plutôt cool telle que la signature électronique des Conditions Générales d'Utilisation de la plateforme, grâce à la société YouSign basée en France et sujette elle aussi aux lois françaises et Européennes.

Dans un objectif de souplesse et d'autonomie, les clients sont libres de créditer ou de récupérer l'argent qu'ils déposent sur leur compte pour récompenser les hunters.

Par défaut, tout programme de Bug Bounty créé sur la plateforme est privé, ce qui implique que la société cliente peut inviter les hunters qu'elle souhaite (au max 50 hunters) ou faire appel à la Team Privée YesWeHack composée de 10 hunters surentraînés.

Et une fois les hunters sélectionnés, ils peuvent alors se lancer dans la recherche de vulnérabilités en s'appuyant et respectant le périmètre défini par la société. Dans son compte, la société peut alors voir le nombre de bugs remontés, et chacun de ces bugs est catégorisé selon la nomenclature de l'OWASP.

Il est ensuite possible pour la société d'engager un dialogue avec le hunter pour obtenir des précisions techniques et quand tout est validé, le hunter peut-être rémunéré et gagner des points qui le feront monter dans le classement. Ce principe de gamification permet de donner des points bonus aux hunters qui prennent le temps de faire bien les choses en rédigeant des rapports de qualités ou en codant des petits proof of concept.

Et dès que la société est assez mûre pour ouvrir son périmètre, elle peut le passer en public d'un simple clic. Evidemment, nous validons ensuite ce passage pour éviter toute fausse manip.

Enfin, pour les sociétés qui n'ont pas le temps ou les ressources pour gérer ce genre de programme, nous avons aussi mis au point le "Program Manager", qui pour faire simple permet de sous-traiter à nos équipes, la gestion et l'animation du programme de Bug Bounty.

Je suis très fier de ce qu'on a accompli avec l'équipe cette année. La plateforme fonctionne très bien, nous avons déjà pas mal de fonctionnalités et d'autres vont arriver prochainement. Et surtout nous avons construit une base solide en termes de sécurité et de respect de la législation Européenne qui va permettre aux sociétés de compléter efficacement leur arsenal de défense, et à tous de pratiquer le Bug Bounty en respectant les Arrangements de Wassenaar sur les exportations de technologies à doubles usages. Sur ce point précis, je pense que je referai un article plus tard.

Concernant nos clients, pour le moment, je ne peux que vous citer que OVH et Qwant qui nous ont fait confiance dès le début (merci !). Les autres sont au nombre de 14 et sont pour le moment en programme privé, donc je ne peux vous communiquer leur nom, mais sachez que c'est du très lourd aussi ;-)

Je sais que certaines sociétés s'interrogent sur l'utilité de lancer leur programme de Bug Bounty ou se demandent si c'est vraiment sans risque. C'est normal car c'est une discipline encore un peu jeune de ce côté-ci de l'Atlantique, mais si vous êtes curieux, je vous invite à vous rapprocher de moi ou des équipes de Yes We Hack pour poser toutes vos questions. On sera ravi de lever le moindre de vos doutes.

Pour conclure, je suis content de vous annoncer que YesWeHack vient d'être récompensé comme Coup de Coeur du Jury dans le cadre du Prix de la PME innovante organisée par le FIC 2017. Il y avait du beau monde dans ce jury...

Composition du jury du Prix de la PME innovante 2017 :

  • François Lavaste, Président CyberSecurity, Airbus Defence and Space
  • Alain Bouillé, RSSI, Caisse des Dépôts et Président du CESIN (Club des experts de la sécurité de l’information et du numérique)
  • Gilles Daguet, General Partner, ACE Management
  • Thierry Delville, Inspecteur général de la Police nationale, Délégation ministérielle aux industries de sécurité
  • Laurent Dumas Crouzillac, Associé, CapHorn Invest
  • Thomas Fillaud, Chef de bureau, Politique industrielle et Assistance (PSS), ANSSI
  • Philippe Gaillard, Associé, CyberD Capital
  • Joseph Graceffa, R&D-SSI, CLUSIR Nord de France
  • Jacques Hébrard, Commandant, Région gendarmerie Hauts de France
  • Geoffroy Hermann, Chef du bureau Réseaux & Sécurité, DGE
  • Jacques-Benoît Le Bris, DSI, Solvay
  • Olivier Ligneul, RSSI, Groupe EDF
  • Thierry Olivier, RSSI, Société Générale
  • Frédéric Valette, Responsable du pôle SSI, Direction générale de l’armement, Ministère de la Défense
  • Yves Veret, Senior Advisor Sécurité Numérique & Technologie de l’information CALAO Finance

...et c'est un grand honneur ainsi qu'une reconnaissance forte de notre travail et ça confirme que nos services répondent aux problématiques d’aujourd’hui : Le recrutement avec YesWeHack Jobs et le besoin de sécurité agile avec Bounty Factory.

Enfin, pour ceux qui voudront me rencontrer, je serai au NetSecureDay à Rouen le 15 Décembre 2016, au CES à Las Vegas du 4 au 9 Janvier 2017 et au FIC les 24 et 25 Janvier 2017.

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin

The Circle

0

The Circle

Reprenant le best-seller de Dave Eggers, The Circle (Le Cercle en français) est un film qui met en avant la plus grande société technologique du monde. Un mix entre Facebook, Apple et Google, dont le boss est Eamon Bailey interprété par Tom Hanks.

Ce dernier arrive à convaincre Mae, une employée incarnée par Emma Watson, de participer à un programme spécial prônant la transparence absolue durant lequel il faut porter une caméra qui filme le moindre de ses faits et gestes et le diffuse à ses milliers de followers.

Mais évidemment, cela ne se passe pas comme prévu...

Après avoir vu la bande-annonce, j'ai l'impression que les mecs ont récupéré tous les clichés sur les GAFAM, saupoudré le tout de 1984 (Orwell) et mélangé cela avec de la surveillance généralisée made in NSA et du Black Mirror pour nous pondre un thriller qui se laissera regarder, mais sans convaincre.

Ce qui me gène là-dedans, c'est traitement SF du sujet, alors que ce genre de "transparence", on la subit déjà à une moindre échelle et bien évidemment de manière totalement inconsciente (ce qui est plus grave), via ce qu'on tape dans les moteurs de recherche, nos habitudes en ligne, les caméras de sécurité, sans parler de l'espionnage des grandes puissances mondiales. Alors OK, la métaphore et les points de liaison avec le moment présent sont là, mais le truc est tellement gros, que j'ai le sentiment que ça va endormir les gens plutôt que de les alerter.

Après ce n'est que mon avis et si ça se trouve, ce sera le film du siècle. Je ne demande qu'à me tromper.

Source

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin

Grosse escroquerie diffusée via Facebook avec la complicité de sites de concours

12

Facebook n'est pas uniquement chronophage ou un puits sans fond où les gens balancent leurs données personnelles. Non, c'est aussi un formidable vecteur d'attaques de phishing.

Comme Facebook ne contrôle pas les posts sponsorisés qu'il affiche dans les timelines de ses internautes, il est très facile pour un escroc de payer quelques euros pour pousser sa campagne de phishing.

Par exemple, aujourd'hui, moi j'avais ça :

A première vue, un article poussé en avant qui propose un article sur Gentside.com parlant de l'iPhone 7. Je vois bien que c'est un post sponso, mais ça ne me gène pas, et je clique.

Comme j'ouvre tout le temps des tas d'onglets avant d'aller lire chaque article, quand je tombe sur celui-ci, j'ai déjà oublié que j'avais cliqué sur une pub Facebook. Ca pouvait venir de Twitter, de Facebook, de Feedly, peu importe.

Et paf, je me retrouve sur un article du Monde, titré : Comment les Français obtiennent le tout nouveau iPhone 7 pour seulement 1€.

Je lis l'article en diagonale, ça pue l'arnaque à plein nez. Pourtant, c'est juste un article éditorial et pas un machin qui clignote dans tous les sens avec des boutons "Télécharger JeSaisPasQuoi" partout.

En gros, ça dit que Apple lance une campagne de comm en France pour faire remonter les ventes de son iPhone et qu'avec un site partenaire, ils proposent des iPhone 7 pour 2 euros.

Ah ah ah... C'est tentant, surtout que l'article se conclue avec une mise à jour "d'aujourd'hui", expliquant que la promo prend fin dans quelques heures et les (faux) commentaires des gens en dessous sont très convaincants.

C'est bien écrit, et ça ressemble vraiment à un article comme on en voit tous les jours, avec son lot de gens qui débattent du contenu. Seulement, les plus affutés d'entre vous n'auront pas manqué de voir l'URL chelou dans une de mes captures écran, pointant vers un domaine en .top.

Hmmm en fait on n'est pas vraiment sur le site du monde. Bon, pas grave, la promo iPhone a l'air cool, je clique sur le lien chelou et là, PAF, je tombe la première fois sur GoldFish, un site qui semble légitime et qui en réalité permet de créer des concours en ligne. Sauf que les escrocs l'ont détourné pour en faire un formulaire qui va même jusqu'à demander les infos CB du pigeon.

Et en y retournant un peu plus tard, je tombe sur une page hébergée chez Quizonaut qui fait aussi des concours...

Malin les mecs, surtout que si on poursuit le processus, on tombe sur une véritable page de paiement pour régler 1 euros.

Se faire voler 1€, ça va vous allez vous en remettre... Oui, mais non, car quand on regarde les petites lignes, il s'agit en réalité d'un abonnement en mode période d'essai et le mois d'après, vous serez automatiquement prélevé de 49 € tous les mois...

Alors à qui la faute ? Et bien d'abord à Facebook bien sûr qui nous propose à 99% de la merde en contenu sponsorisé, alors qu'il y aurait tellement de contenus sponsos intéressants pour l'internaute à mettre en avant. Faut pas venir se plaindre de la montée des Adblocks avec ce genre de pubs dangereuses.

Ensuite, la faute à ces 2 sites de concours qui n'ont pas pris le temps de réfléchir à un contrôle ou une modération pour empêcher ce genre de détournement de leur service et qui en plus permettent ce genre d'abonnement caché très discutable éthiquement. J'ai d'ailleurs du mal à imaginer comment les responsables de ces sites ne pourraient pas être pleinement conscients de l'utilisation qui est faite de leur service. J'imagine que l'argent rend aveugle. Ce serait intéressant que la DGCCRF ou la CNIL enquête sur ces 2 là.

Enfin, la faute à l'internaute qui ne sera pas assez vigilant et bien sûr beaucoup trop crédule. Bref, c'est pas encore gagné et si j'ai pris le temps d'écrire cet article, c'est pour que vous passiez le mot, afin que les moins informés ne se fassent pas avoir.

Ce genre de piège peut vite se refermer sur la victime avec l'utilisation de leur identité et de l'argent volé.

Espérons que Facebook qui est à la source de la diffusion de cette arnaque réagisse vite et prennent des mesures pour que cela ne se reproduise pas.

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin

  • DANS TON CHAT (BASHFR)

    Ann : Dis, tu peux m'envoyer un film ?
    Gui : Euh, comment veux tu que je fasse ca ?
    Ann : Ben... Par mail !
    Gui : Ah ouais...
    Gui : Tu veux pas aussi que je fasse rentrer un vélo dans ta boite aux lettres ??

    -- http://danstonchat.com/12345.html
  • RSS Emplois sécurité

  • Site hébergé par
    Agarik Sponsor Korben
  • Selection de contenus

  • Une astuce pour rendre Windows 10

    plus rapide

    Si vous trouvez que Windows 10 est un peu lent, que vos applications ne se lancent pas très vite, que vos compilations prennent du temps, voici une petite astuce débusquée par Brominou pour accélérer...

    Manipuler un smartphone à l’aide de

    commandes vocales dissimulées dans

    des vidéos Youtube

    Des chercheurs de l'Université de Georgetown et UC Berkeley ont mis au point une attaque qui permet de compromettre un smartphone à l'aide de commandes...