Entrez vos identifiants

x
OU
Vous avez oublié votre mot de passe ?
Utilisateur wiki : vous n'aviez pas d'email ?

Korben - Site d'actualité geek et tech



  • DANS TON CHAT (BASHFR)

    <vls> Les gars, ajd j'ai expliqué a une des utilisatrices de notre réseau qu'un cheval de troie était moins dangereux qu'un cheval de quatre.
    <vls> C'etait le meilleur moment de ma journée.

    -- http://danstonchat.com/14185.html
  • RSS Emplois sécurité

  • Site hébergé par
    Agarik Sponsor Korben
  • Selection de contenus

  • Les articles dans "Bidouilleurs"

    Zerodisclo – Comment signaler une faille de sécurité en toute sécurité ?

    0

    Yoooooo,

    je profite de ma présence au FIC 2017 pour dire merci à tout le monde pour cette excellente première journée. Vraiment cool d'avoir vu certains d'entre-vous sur le stand de YesWeHack pour causer Bug Bounty et discuter avec moi.

    J'ai une grosse news à vous annoncer et attention, c'est du sérieux !

    J'ai souvent des retours par mail de gens qui trouvent des failles sur tel ou tel site qui n'ont pas de programmes de bug bounty et qui me demandent quoi faire.

    Doivent-ils prévenir le site concerné et prendre le risque d'avoir des ennuis (plainte...) ou doivent-ils passer leur chemin au risque que quelqu'un d'autre ne redécouvre la faille et l'exploite pour nuire à la société ?

    Choix difficile.

    On a donc réfléchi à ça et on sort Zerodisclo.com, une plateforme qui fournit les moyens techniques et l’environnement nécessaire à tous pour adopter le signalement responsable de vulnérabilités communément appelé "Responsible Disclosure".

    La plateforme accessible en direct ou via le réseau Tor, propose à tout internaute de signaler une vulnérabilité aux CERTs au travers d’un formulaire en ligne, en fournissant les informations nécessaires à sa compréhension et à l’évaluation de sa gravité grâce à son score CVSS. Le chercheur peut alors choisir de rester anonyme ou de fournir son identité s’il souhaite être contacté, voire remercié en retour.

    Les informations sont ensuite chiffrées via OpenPGP avec la clé du CERT directement dans le navigateur, horodatées et signées grâce à la blockchain et transmises automatiquement aux CERTs choisis parmi une liste exhaustive. En échange, le chercheur reçoit un certificat qui atteste de son dépôt.

    Actuellement, les CERTs proposés par ZeroDisclo.com sont les CERT-EU, CERT-FR, et le CERT-UBIK créé par Digital Security sélectionné pour les remontées concernant les objets connectés. De plus, les entreprises qui le souhaitent peuvent s’abonner gratuitement sur ZeroDisclo.com pour être informées en temps réel des remontées de failles les concernant et le cas échéant, prendre contact avec les CERTs concernés afin d’en connaître les détails.

    L’objectif de ZeroDisclo.com est de responsabiliser la communauté, de permettre aux chercheurs en sécurité de prouver leur bonne foi et d'offrir une alternative efficace, éthique et responsable face aux services divulguant des vulnérabilités  sur Internet et au marché noir.

    Bref, trêve de blabla, la prochaine fois que vous tombez sur des failles de sécurité, ayez le réflexe Zerodisclo !

    Et si vous êtes au FIC demain, le site à ne pas manquer, c'est évidemment le D22 !

    Comment protéger ou réparer vos câbles grâce à votre imprimante 3D

    1

    J'ai souvent des câbles qui s'abiment... À force de tirer dessus, ou à force de les laisser en vrac dans des caisses que je farfouille régulièrement... Bref, ce n’est pas la joie. Alors, si comme moi, ça vous arrive, je vous ai sélectionné quelques protections à imprimer en 3D pour protéger vos câbles.

    Pour les iPhones

    Si vous utilisez un câble lightning, je vous recommande celui-ci qui est un classique ou encore celui-là qui est joli et permet de garder le câble enroulé.

    Pour les câbles type connecteur 30 pins (ceux des iPads 1 et 2 et iPhone 4) afin d'éviter qu'ils ne s'abiment encore plus, ce modèle 3D se compose de 2 parties qui s'imbriquent l'une dans l'autre, permettant de stopper une déchirure.

    Après si votre connecteur est intact, vous pouvez opter pour un truc un peu plus sexy comme celui-ci.

    Pour les Android

    Bon, pour les Android ou tous types d'appareils utilisant du micro USB, il y a ce modèle qui devrait passer à peu près partout.

    Toutefois, pour ceux qui donnent dans les câbles Samsung, notamment pour le Galaxy S6 (aucune idée pour le 7, désolé), il y a ce modèle.

    Pour votre Mac (Oui, les câbles d'alim pour PC, apparemment, ça se casse moins)

    Pour l'USB-C je n'ai rien trouvé, par contre, pour tout ce qui est Magsafe, pas de souci. Mais avant, petit rappel :

    Pour protéger un câble de type Magsafe 1 en forme de T, je n'ai rien trouvé (si vous avez, je suis preneur), mais pour un câble de type Magsafe 1 en forme de L, c'est par ici.

    Pour protéger un câble de type Magsafe 2, c'est par ici :

    Et pour protéger l'autre partie du câble, à savoir le bloc alim d'un Magsafe, c'est par ici

    Pour vos câbles Ethernet

    Combien de fois, ai-je cassé la petite languette en plastique des câbles Ethernet ? Jamais vu un truc aussi mal pensé. Heureusement, avec ces impressions 3D, vous allez pouvoir les protéger. Ce modèle s'adapte sur tous les câbles Ethernet, mais si vous fabriquez vous-même vos propres câbles, c'est mieux d'utiliser celui-là qui est en un seul morceau.

    Enfin, pour ceux qui comment moi, bazarde en vrac des câbles Ethernet, pour éviter que ceux-ci ne s'abiment lorsque vous commencerez à défaire le sac de noeuds, il est plutôt malin de placer ceci sur les embouts pour éviter qu'ils ne s'abiment. En plus, ils ont une bonne tête (de mort).

    Voilà pour le tour d'horizon des modèles 3D qui permettent de protéger vos câbles. J'espère que ça vous a plu.

    Sinon, pour des réparations de l'impossible, lorsque votre câble est vraiment très abimé, la Sugru fonctionne toujours très bien.

    Comment installer un noyau Linux (kernel) facilement ?

    9

    Changer de noyau Linux (kernel), c'est toujours du sport. Mais parfois, pas le choix, car c'est souvent la porte vers un meilleur support de votre matériel.

    Heureusement, il existe une application au doux nom de Ukuu qui permet de faire cela en un clic de souris. Easy quoi !

    Disclaimer : Attention, ce genre de manip n'est pas sans risque et vous pourriez bien vous retrouver avec un PC qui ne veut plus démarrer dans de bonnes conditions. Je vous rassure quand même, c'est toujours rattrapable et j'explique comment à la fin de l'article.

    Pour l'installer sous Ubuntu, ouvrez un terminal et ajoutez le dépôt suivant :

    sudo apt-add-repository -y ppa:teejee2008/ppa

    Faites ensuite un

    sudo apt-get update

    sudo apt-get install ukuu

    Et lancez ukuu avec la commande suivante :

    ukuu-gtk

    Si vous scrollez un peu la liste, vous verrez alors votre noyau actuel et ceux en place sur la machine.

    Vous pouvez d'ailleurs le confirmer avec la commande "uname -a" dans un terminal.

    Ensuite pour installer un autre kernel, cliquez sur celui qui vous fait le plus envie pour le sélectionner et appuyez sur le bouton "Install".

    Ukuu ira le télécharger et ensuite le déploiera sur la machine.

    Une fois que c'est terminé, redémarrez la machine et croisez les doigts (oui ça fait parti du tuto !!).

    Si tout s'est bien passé, un simple "uname -a" vous indiquera que le changement s'est correctement déroule.

    Dans mon cas, c'est good. Mais si de votre côté, ça s'est mal passé, il est possible de basculer sur un autre de vos noyaux via le menu GRUB. Toutefois, pour des raisons esthétiques, ce menu n'apparait pas lors du boot.

    Pour le voir, il suffit de maintenir la touche MAJ droite (Right Shift) appuyée lors du démarrage de votre ordinateur. Vous verrez ainsi le menu GRUB :

    Dans le menu, choisissez "Options avancées pour Ubuntu" et là, vous devriez voir apparaitre tous les noyaux sur lesquels vous pouvez démarrer.

    A vous de faire votre choix.

    Ensuite, une fois que vous avez repris la main, vous pouvez relancer Ukuu pour retenter un autre noyau ou remettre celui d'origine.

    Maintenant si votre nouveau kernel vous convient, il est possible de faire un peu le ménage. Relancez "ukuu-gtk" et sélectionnez le noyau à supprimer, puis cliquez sur le bouton "Remove".

    Alors, qui a dit que Linux c'était compliqué ?

    Usersnap – Pour connaitre les bugs de votre site et récupérer les retours de vos internautes

    0

    Il y a un service dont je ne vous ai jamais vraiment parlé sur le site, c'est UserSnap.

    Je l'utilise depuis longtemps et vous l'avez peut-être vu en bas à droit de votre écran. En gros, UserSnap permet tout simplement aux internautes qui visitent votre site, de remonter des bugs ou de faire part de leurs remarques. L'intégration est simple, c'est un petit bout de code à intégrer dans vos pages web.

    Comme il n'est pas toujours simple d'expliquer un bug qu'il soit graphique, technique ou fonctionnel, Usersnap a intégré dans son service un outil de capture écran très simple à prendre en main, même par Monsieur ou Madame Michu.

    Cela permet d'avoir en permanence un retour sur les éventuels soucis rencontrés par vos internautes et de régler au plus vite ces soucis.

    Ensuite l'admin peut voir les retours et faire les corrections qui s'imposent. J'avoue que ça fait un moment que je prends plus le temps de corriger les bugs de mon vieux coucou (oui paaas bien), mais comme je vais commencer à bosser sur une future version en 2017 (je sais, je dis ça tous les ans, mais cette fois, j'y crois !), je remettrai à zéro les compteurs Usersnap et tiendrai à nouveau compte des remontées.

    On peut aussi l'utiliser de manière collaborative avec plusieurs personnes (plusieurs développeurs par exemple) en temps réel et il s'intègre dans pas mal de services tiers comme Slack ou Trello. Top pour du travail d'équipe !

    L'autre intérêt de Usersnap par rapport à des solutions concurrentes, ce sont ses API qui permettent de connecter le service avec n'importe lequel de vos outils spécifiques. Et ça c'est fort appréciable dans un cadre de boite.

    Evidemment cela à un prix. Je paye environ 200 € par an, mais je suis sur un vieux tarif qui malheureusement n'a plus cours. Aujourd'hui, de base c'est 79 € par mois, ce qui est très cher pour un particulier, mais rien du tout pour une société qui a besoin de ces retours pour perfectionner son site. Notez que si vous voulez tester sans dépenser un rond, il y a un essai gratuit de 15 jours qui est proposé.

    Bref, un bon service que je recommande à tous.

    KickThemOut – Déconnectez les tous !

    10

    Vous êtes sur un réseau saturé ? Besoin de dégager les parasites pour récupérer un peu de bande passante ?

    Aucun problème avec KickThemOut, un script Python qui fonctionne sous Linux et macOS et qui permet grâce à une technique d'ARP Spoofing, de réduire à néant la connexion des autres appareils présents sur le même réseau local que vous. Cela permet de récupérer de la bande passante pour votre Netflix ou de jouer une vilaine blague à votre petit frère.

    Je vous rassure c'est totalement safe, il suffit simplement de stopper le script pour que les machines visées retrouvent leur connectivité. Évidemment, c'est à utiliser à bon escient, dans un cadre local sur vos propres machines. Réfléchissez bien aussi à ce que vous allez couper, car cela pourrait engendrer d'autres problèmes. A grand pouvoir, grandes responsabilités ;-).

    Démonstration :

    Pour installer KickThemOut, ouvrez un terminal sous macOS et entrez les commandes suivantes :

    sudo pip install pcapy

    brew install libdnet

    brew install scapy

    (on vous demandera peut-être de taper des commandes supplémentaires après cette étape)

    git clone https://github.com/k4m4/kickthemout.git

    cd kickthemout/

    python kickthemout.py

    Et sous Linux, même chose, mais avec les commandes suivantes :

    git clone https://github.com/k4m4/kickthemout.git

    cd kickthemout

    pip install -r requirements.txt

    Rendez-vous au FIC 2017 les 24 et 25 janvier à Lille (Stand D22)

    0

    Chers passionnés de sécurité informatique, si cette année vous avez l'occasion de venir au FIC à Lille, sachez que toute la team Yes We Hack et moi-même y serons.

    Cherchez simplement le stand D22 et on sera là pour discuter avec vous, répondre à vos problématiques de recrutement ou encore vous faire découvrir ce qu'est le vrai Bug Bounty, celui qui va vous faire sérieusement monter d'un cran en matière de sécurité.

    On est super content d'aller au FIC, car nous allons recevoir le prix coup de coeur du jury de la PME innovante 2017 et ça, c'est quand même bien classe.

    Pour l'occasion, nous avons aussi mis en ligne des annonces spéciales FIC qui vont permettre aux personnes en recherche d'emploi présents sur le salon de décrocher des entretiens durant ces 2 jours. Si cela vous intéresse, vous pouvez les consulter ici.

    De plus, la journée du 25, il y aura 2 temps forts auxquels nous participons, à noter dans vos smartphones pour ne pas les manquer.

    • Le premier, c'est un workshop sur le bug bounty qui aura lieu le 25 de 11h30 à 12h30
    • Et le second c'est la conférence de Vincent Malguy, Bug Bounty Manager chez OVH qui fera un retour d'expérience sur son programme. Ça se passera de 14h45 à 15h30.

    Autrement, si vous pratiquez vous-même le bug bounty, sachez qu'on vient d'ouvrir un nouveau scope au public sur BountyFactory. Il s'agit de celui de CCM (Comment Ca Marche) qui après une période de bug bounty privé, a décidé de plonger dans le grand bain.

    La personne en charge de ça chez CCM s'appelle Xavier Leune et nous l'avons interviewé sur le blog. En tout cas, j'espère que vous leur ferez plein de jolies remontées.

    Voilà pour les news. La semaine prochaine risque d'être intense en émotions ;-) .

    Parrot Security OS

    Une autre distrib pour faire de la sécu

    On connait tous Kali, la distrib orientée sécu mais en voici une autre baptisée Parrot Security OS qui permet aussi de faire du pentest, du forensic, du reverse engineering, de protéger son anonymat, de faire du chiffrement, de coder ...

    Mesta Fusion - Le radar automatique

    qui ne laisse rien passer

    Parmi les nouveaux radars qu'on va voir apparaitre aux bords de nos routes français en 2017, l'un d'entre eux a retenu un peu plus mon attention. Il s'agit du MESTA FUSION. Développé par la société française Morpho, ce super radar ...