Korben Upgrade your mind2016-12-09T13:22:21Z http://korben.info/feed/atom Korben http://korben.info/auteur <![CDATA[Concours – A gagner un Dock pour Apple Watch]]> http://korben.info/?p=84378 2016-12-09T13:22:21Z 2016-12-09T13:22:21Z Pour conclure la semaine en beauté, Mega Citiz vous propose de remporter un Dock pour Apple Watch Native Union...enfin si vous en avez une ;) Si vous connaissez pas encore, Native Union est un fabriquant spécialisé dans le rechargement des iPhones et Apple Watch. Ici, la marque vous propose une station de recharge conçue avec > Lire la suite

Cet article merveilleux et sans aucun égal intitulé : Concours – A gagner un Dock pour Apple Watch ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

]]>
Pour conclure la semaine en beauté, Mega Citiz vous propose de remporter un Dock pour Apple Watch Native Union...enfin si vous en avez une ;)

Si vous connaissez pas encore, Native Union est un fabriquant spécialisé dans le rechargement des iPhones et Apple Watch.

Ici, la marque vous propose une station de recharge conçue avec un bras en aluminium, ce qui permet au Dock de tourner pour positionner votre Apple Watch selon l’angle qui vous convient le plus.

Pour jouer, suivez les instructions dans le widget Kontest:

A gagner un Dock pour Apple Watch

Bon jeu et bonne fin de semaine à tous ;)

Cet article merveilleux et sans aucun égal intitulé : Concours – A gagner un Dock pour Apple Watch ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

]]>
0
Korben http://korben.info/auteur <![CDATA[Sécuriser WordPress – Forcer le login en https]]> http://korben.info/?p=84363 2016-12-09T13:19:32Z 2016-12-09T09:36:08Z Je continue ma série sur la sécurisation WordPress et aujourd'hui, je vais vous parler de HTTPS. Si votre serveur est configuré pour proposer du HTTP et du HTTPS, il est possible de forcer l'utilisation du SSL pour la page de login afin d'éviter les connexions en clair. Cela aura pour effet de chiffrer l'ensemble des > Lire la suite

Cet article merveilleux et sans aucun égal intitulé : Sécuriser WordPress – Forcer le login en https ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

]]>
Je continue ma série sur la sécurisation WordPress et aujourd'hui, je vais vous parler de HTTPS.

Si votre serveur est configuré pour proposer du HTTP et du HTTPS, il est possible de forcer l'utilisation du SSL pour la page de login afin d'éviter les connexions en clair.

Cela aura pour effet de chiffrer l'ensemble des données entre votre ordinateur et le serveur et ainsi rendre plus complexes les attaques de type Man-In-The-Middle.

Pour cela, rien de plus simple, il faut éditer le fichier wp-config.php et y ajouter la ligne suivante si vous souhaitez utiliser SSL uniquement sur la page de login :

define('FORCE_SSL_LOGIN', true);

ou utiliser SSL pour l'intégralité de la section admin du site :

define('FORCE_SSL_ADMIN', true);

Vous pouvez aussi utiliser un plugin comme celui-ci, si vous n'êtes pas à l'aise avec les fichiers de conf.

Si lors de vos tests, vous constater que votre section admin part dans une espèce de boucle infinie, c'est probablement parce que vous utilisez un reverse proxy tel que nginx et que celui-ci communique avec Apache en HTTP simple. Pour régler le problème, toujours dans le fichier wp-config.php, ajoutez les lignes suivantes :

define('FORCE_SSL_ADMIN', true);
define('FORCE_SSL_LOGIN', true);
if ($_SERVER['HTTP_X_FORWARDED_PROTO'] == 'https')
       $_SERVER['HTTPS']='on';

Et côté Nginx, pensez à ajouter dans la config de ce dernier :

location / { ...
proxy_set_header X-Forwarded_Proto https;
...
}

ou proxy_set_header X-Forwarded-Proto $scheme;

Et voilà... Normalement, tout devrait rouler et votre admin devrait passer en HTTPS.

Dans la série, Sécuriser WordPress :

Cet article merveilleux et sans aucun égal intitulé : Sécuriser WordPress – Forcer le login en https ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

]]>
0
Korben http://korben.info/auteur <![CDATA[Bounty Factory – 1 an après le lancement, on fait le point]]> http://korben.info/?p=84263 2016-12-08T20:43:46Z 2016-12-08T18:28:11Z Sur YesWeHack, on a lancé un blog, mais en attendant qu'il soit aussi lu que le mien, je vais quand même continuer de m'exprimer sur ce sujet qui m'est cher : le Bug Bounty. Il ne vous aura pas échappé dans l'actualité récente, que l'Europe a validé un budget de 1,9 million d'euros la semaine > Lire la suite

Cet article merveilleux et sans aucun égal intitulé : Bounty Factory – 1 an après le lancement, on fait le point ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

]]>
Sur YesWeHack, on a lancé un blog, mais en attendant qu'il soit aussi lu que le mien, je vais quand même continuer de m'exprimer sur ce sujet qui m'est cher : le Bug Bounty.

Il ne vous aura pas échappé dans l'actualité récente, que l'Europe a validé un budget de 1,9 million d'euros la semaine dernière pour étendre le programme d’audit des logiciels Libres et Open Source alias EU-FOSSA. C'est cool, surtout que dans ce budget est prévue une part pour le Bug Bounty. Et ça on le doit à Marietje Schaake du groupe Alliance des démocrates et des libéraux pour l’Europe.

C'est plutôt une bonne nouvelle, car cela va soutenir le développement et aider à renforcer la sécurité des logiciels libres utilisés dans les administrations publiques.

Même si ça peut sembler étrange de dire ça, il faut voir maintenant si les plateformes européennes de Bug Bounty dont Bounty Factory seront sollicitées pour mettre la main à la pâte ou si ces budgets iront tout de go vers les plateformes américaines. Oui ça peut sembler contreproductif, mais il y a un risque évident tant les lobbys sont forts.

Moi je n'ai pas de lobbyistes au Parlement Européen donc à par compter sur vous pour faire remonter l'info le plus haut possible afin que Marietje Schaake et les gens qui travaillent sur ce dossier établissent un contact et échangent avec nous, je n'ai pas de véritable option. Ou sinon, oui je pourrais camper devant le parlement Européen et tenter de leur expliquer tout ce qui fait le charme de Bounty Factory.

Toutefois, contrairement aux autres grosses plateformes, BountyFactory.io dispose de fonctionnalités et de spécificités légales qui lui assurent une robustesse, une pertinence et une légitimité au sein du cadre Européen. Tout sur Bounty Factory est conçu et développé pour assurer à la pratique du Bug Bounty, sécurité et respect de la légalité.

C'est en effet indispensable car nous proposons du vrai Bug Bounty au sens traditionnel du terme, sur une plateforme ouverte à tous mondialement et non pas de la prestation d'audit déguisé en Bug Bounty, comme certains ont pu le penser lorsque nous avons annoncé le projet. Notre point fort, c'est notre communauté de plus de 1800 hunters qui apportent chacun leur expérience et leurs méthodes diverses et variées sur la recherche de faille.

Vous allez voir, on n'est pas des rigolos et on n'a pas fait les choses à moitié ;-)

En tout premier lieu, nos serveurs sont basés en Europe et aucune donnée n'est exposée à des puissances étrangères telles que les États-Unis, que ce soit via FISA, le Patriot Act, le Freedom Act...etc. Bounty Factory travaille avec l'hébergeur OVH qui est soumis à un niveau de sécurité SOC 1 type II (SSAE 16 et ISAE 3402) & SOC 2 type II. Pour ceux qui penseraient que je parle un dialecte ancien, il s'agit tout simplement d’attestations internationales qui garantissent qu'OVH a bien mis en place des procédures et contrôles permettant d’assurer un service sécurisé et haute disponibilité.

Notre infrastructure est aussi certifiée ISO 27001, ce qui signifie qu'elle respecte la mise en place d’une organisation de la sécurité conforme aux standards.

Au-delà de ça, chaque vulnérabilité remontée, chaque rapport, chaque commentaire présent sur Bounty Factory est chiffré avant d'être stocké dans notre base de données et seuls les acteurs concernés (sociétés ou hunters) peuvent y avoir accès. Même nous en interne, nous ne pouvons y accéder sans autorisation.

Concernant la vie privée, nous sommes d'ores et déjà sujet à la Réforme Européenne de 2012 sur la Protection des Données, à laquelle tous les pays Européens devront se conformer avant le 6 mai 2018.

Sur le sujet des transactions financières, notre infrastructure respecte la norme PCI DSS (The Payment Card Industry Data Security Standard). Cela signifie que niveau paiement, on est au top aussi. Sans oublier que MangoPay (Crédit Mutuel Arkéa), notre système de paiement est 100% respectueux du cadre légal Européen. Cela signifie que les hunters inscrits sur notre plateforme respectent les lois concernant le blanchiment d'argent et le financement du terrorisme. C'est le genre de détail hyper important quand on est sur un secteur ouvert au monde comme le notre.

Mis à part ces aspects légaux, Bounty Factory dispose aussi de fonctionnalité plutôt cool telle que la signature électronique des Conditions Générales d'Utilisation de la plateforme, grâce à la société YouSign basée en France et sujette elle aussi aux lois françaises et Européennes.

Dans un objectif de souplesse et d'autonomie, les clients sont libres de crédité ou de récupérer l'argent qu'ils déposent sur leur compte pour récompenser les hunters.

Par défaut, tout programme de Bug Bounty créé sur la plateforme est privé, ce qui implique que la société cliente peut inviter les hunters qu'elle souhaite (au max 50 hunters) ou faire appel à la Team Privée YesWeHack composée de 10 hunters surentraînés.

Et une fois les hunters sélectionnés, ils peuvent alors se lancer dans la recherche de vulnérabilités en s'appuyant et respectant le périmètre défini par la société. Dans son compte, la société peut alors voir le nombre de bugs remontés, et chacun de ces bugs est catégorisé selon la nomenclature de l'OWASP.

Il est ensuite possible pour la société d'engager un dialogue avec le hunter pour obtenir des précisions techniques et quand tout est validé, le hunter peut-être rémunéré et gagner des points qui le feront monter dans le classement. Ce principe de gamification permet de donner des points bonus aux hunters qui prennent le temps de faire bien les choses en rédigeant des rapports de qualités ou en codant des petits proof of concept.

Et dès que la société est assez mûre pour ouvrir son périmètre, elle peut le passer en public d'un simple clic. Evidemment, nous validons ensuite ce passage pour éviter toute fausse manip.

Enfin, pour les sociétés qui n'ont pas le temps ou les ressources pour gérer ce genre de programme, nous avons aussi mis au point le "Program Manager", qui pour faire simple permet de sous-traiter à nos équipes, la gestion et l'animation du programme de Bug Bounty.

Je suis très fier de ce qu'on a accompli avec l'équipe cette année. La plateforme fonctionne très bien, nous avons déjà pas mal de fonctionnalités et d'autres vont arriver prochainement. Et surtout nous avons construit une base solide en termes de sécurité et de respect de la législation Européenne qui va permettre aux sociétés de compléter efficacement leur arsenal de défense, et à tous de pratiquer le Bug Bounty en respectant les Arrangements de Wassenaar sur les exportations de technologies à doubles usages. Sur ce point précis, je pense que je referai un article plus tard.

Concernant nos clients, pour le moment, je ne peux que vous citer que OVH et Qwant qui nous ont fait confiance dès le début (merci !). Les autres sont au nombre de 14 et sont pour le moment en programme privé, donc je ne peux vous communiquer leur nom, mais sachez que c'est du très lourd aussi ;-)

Je sais que certaines sociétés s'interrogent sur l'utilité de lancer leur programme de Bug Bounty ou se demandent si c'est vraiment sans risque. C'est normal car c'est une discipline encore un peu jeune de ce côté-ci de l'Atlantique, mais si vous êtes curieux, je vous invite à vous rapprocher de moi ou des équipes de Yes We Hack pour poser toutes vos questions. On sera ravi de lever le moindre de vos doutes.

Pour conclure, je suis content de vous annoncer que YesWeHack vient d'être récompensé comme Coup de Coeur du Jury dans le cadre du Prix de la PME innovante organisée par le FIC 2017. Il y avait du beau monde dans ce jury...

Composition du jury du Prix de la PME innovante 2017 :

  • François Lavaste, Président CyberSecurity, Airbus Defence and Space
  • Alain Bouillé, RSSI, Caisse des Dépôts et Président du CESIN (Club des experts de la sécurité de l’information et du numérique)
  • Gilles Daguet, General Partner, ACE Management
  • Thierry Delville, Inspecteur général de la Police nationale, Délégation ministérielle aux industries de sécurité
  • Laurent Dumas Crouzillac, Associé, CapHorn Invest
  • Thomas Fillaud, Chef de bureau, Politique industrielle et Assistance (PSS), ANSSI
  • Philippe Gaillard, Associé, CyberD Capital
  • Joseph Graceffa, R&D-SSI, CLUSIR Nord de France
  • Jacques Hébrard, Commandant, Région gendarmerie Hauts de France
  • Geoffroy Hermann, Chef du bureau Réseaux & Sécurité, DGE
  • Jacques-Benoît Le Bris, DSI, Solvay
  • Olivier Ligneul, RSSI, Groupe EDF
  • Thierry Olivier, RSSI, Société Générale
  • Frédéric Valette, Responsable du pôle SSI, Direction générale de l’armement, Ministère de la Défense
  • Yves Veret, Senior Advisor Sécurité Numérique & Technologie de l’information CALAO Finance

...et c'est un grand honneur ainsi qu'une reconnaissance forte de notre travail et ça confirme que nos services répondent aux problématiques d’aujourd’hui : Le recrutement avec YesWeHack Jobs et le besoin de sécurité agile avec Bounty Factory.

Enfin, pour ceux qui voudront me rencontrer, je serai au NetSecureDay à Rouen le 15 Décembre 2016, au CES à Las Vegas du 4 au 9 Janvier 2017 et au FIC les 24 et 25 Janvier 2017.

Cet article merveilleux et sans aucun égal intitulé : Bounty Factory – 1 an après le lancement, on fait le point ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

]]>
4
Korben http://korben.info/auteur <![CDATA[Grosse escroquerie diffusée via Facebook avec la complicité de sites de concours]]> http://korben.info/?p=84299 2016-12-07T17:14:33Z 2016-12-07T17:14:33Z Facebook n'est pas uniquement chronophage ou un puits sans fond où les gens balancent leurs données personnelles. Non, c'est aussi un formidable vecteur d'attaques de phishing. Comme Facebook ne contrôle pas les posts sponsorisés qu'il affiche dans les timelines de ses internautes, il est très facile pour un escroc de payer quelques euros pour pousser sa > Lire la suite

Cet article merveilleux et sans aucun égal intitulé : Grosse escroquerie diffusée via Facebook avec la complicité de sites de concours ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

]]>
Facebook n'est pas uniquement chronophage ou un puits sans fond où les gens balancent leurs données personnelles. Non, c'est aussi un formidable vecteur d'attaques de phishing.

Comme Facebook ne contrôle pas les posts sponsorisés qu'il affiche dans les timelines de ses internautes, il est très facile pour un escroc de payer quelques euros pour pousser sa campagne de phishing.

Par exemple, aujourd'hui, moi j'avais ça :

A première vue, un article poussé en avant qui propose un article sur Gentside.com parlant de l'iPhone 7. Je vois bien que c'est un post sponso, mais ça ne me gène pas, et je clique.

Comme j'ouvre tout le temps des tas d'onglets avant d'aller lire chaque article, quand je tombe sur celui-ci, j'ai déjà oublié que j'avais cliqué sur une pub Facebook. Ca pouvait venir de Twitter, de Facebook, de Feedly, peu importe.

Et paf, je me retrouve sur un article du Monde, titré : Comment les Français obtiennent le tout nouveau iPhone 7 pour seulement 1€.

Je lis l'article en diagonale, ça pue l'arnaque à plein nez. Pourtant, c'est juste un article éditorial et pas un machin qui clignote dans tous les sens avec des boutons "Télécharger JeSaisPasQuoi" partout.

En gros, ça dit que Apple lance une campagne de comm en France pour faire remonter les ventes de son iPhone et qu'avec un site partenaire, ils proposent des iPhone 7 pour 2 euros.

Ah ah ah... C'est tentant, surtout que l'article se conclue avec une mise à jour "d'aujourd'hui", expliquant que la promo prend fin dans quelques heures et les (faux) commentaires des gens en dessous sont très convaincants.

C'est bien écrit, et ça ressemble vraiment à un article comme on en voit tous les jours, avec son lot de gens qui débattent du contenu. Seulement, les plus affutés d'entre vous n'auront pas manqué de voir l'URL chelou dans une de mes captures écran, pointant vers un domaine en .top.

Hmmm en fait on n'est pas vraiment sur le site du monde. Bon, pas grave, la promo iPhone a l'air cool, je clique sur le lien chelou et là, PAF, je tombe la première fois sur GoldFish, un site qui semble légitime et qui en réalité permet de créer des concours en ligne. Sauf que les escrocs l'ont détourné pour en faire un formulaire qui va même jusqu'à demander les infos CB du pigeon.

Et en y retournant un peu plus tard, je tombe sur une page hébergée chez Quizonaut qui fait aussi des concours...

Malin les mecs, surtout que si on poursuit le processus, on tombe sur une véritable page de paiement pour régler 1 euros.

Se faire voler 1€, ça va vous allez vous en remettre... Oui, mais non, car quand on regarde les petites lignes, il s'agit en réalité d'un abonnement en mode période d'essai et le mois d'après, vous serez automatiquement prélevé de 49 € tous les mois...

Alors à qui la faute ? Et bien d'abord à Facebook bien sûr qui nous propose à 99% de la merde en contenu sponsorisé, alors qu'il y aurait tellement de contenus sponsos intéressants pour l'internaute à mettre en avant. Faut pas venir se plaindre de la montée des Adblocks avec ce genre de pubs dangereuses.

Ensuite, la faute à ces 2 sites de concours qui n'ont pas pris le temps de réfléchir à un contrôle ou une modération pour empêcher ce genre de détournement de leur service et qui en plus permettent ce genre d'abonnement caché très discutable éthiquement. J'ai d'ailleurs du mal à imaginer comment les responsables de ces sites ne pourraient pas être pleinement conscients de l'utilisation qui est faite de leur service. J'imagine que l'argent rend aveugle. Ce serait intéressant que la DGCCRF ou la CNIL enquête sur ces 2 là.

Enfin, la faute à l'internaute qui ne sera pas assez vigilant et bien sûr beaucoup trop crédule. Bref, c'est pas encore gagné et si j'ai pris le temps d'écrire cet article, c'est pour que vous passiez le mot, afin que les moins informés ne se fassent pas avoir.

Ce genre de piège peut vite se refermer sur la victime avec l'utilisation de leur identité et de l'argent volé.

Espérons que Facebook qui est à la source de la diffusion de cette arnaque réagisse vite et prennent des mesures pour que cela ne se reproduise pas.

Cet article merveilleux et sans aucun égal intitulé : Grosse escroquerie diffusée via Facebook avec la complicité de sites de concours ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

]]>
12
Korben http://korben.info/auteur <![CDATA[Récupération de données sur une carte micro SD quand plus rien d’autre n’a fonctionné]]> http://korben.info/?p=84235 2016-12-06T04:59:03Z 2016-12-06T08:00:41Z En général quand on perd de la donnée sur un disque ou une carte SD, il y a toujours un soft comme Recuva, TestDisk ou SafeCopy pour nous aider à récupérer des trucs. Mais quand le cas est vraiment désespéré, en particulier avec une carte micro SD, il est possible avec un peu de doigté d'aller > Lire la suite

Cet article merveilleux et sans aucun égal intitulé : Récupération de données sur une carte micro SD quand plus rien d’autre n’a fonctionné ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

]]>
En général quand on perd de la donnée sur un disque ou une carte SD, il y a toujours un soft comme Recuva, TestDisk ou SafeCopy pour nous aider à récupérer des trucs.

Mais quand le cas est vraiment désespéré, en particulier avec une carte micro SD, il est possible avec un peu de doigté d'aller directement se brancher sur sa mémoire NAND, contournant ainsi de potentiels éléments défaillants.

La première étape consiste donc à exposer la mémoire à l'aide de papier de verre et d'eau, puis à établir les points de connexion sur la mémoire, en suivant le schéma du constructeur (ce qui n'est pas toujours simple à trouver, ça dépend des marques).

Erkin de HDD Recovery Services a réalisé une vidéo assez impressionnante à ce sujet car ça demande quand même de la patience et un peu de maitrise.

Cet article merveilleux et sans aucun égal intitulé : Récupération de données sur une carte micro SD quand plus rien d’autre n’a fonctionné ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

]]>
3
Korben http://korben.info/auteur <![CDATA[Créez vos propres Emojis]]> http://korben.info/?p=84217 2016-12-04T20:50:20Z 2016-12-05T09:00:53Z Disponible sous iOS et Windows (PC et smartphone), Moji Maker est une application bien sympathique qui va vous permettre de créer vos propres petits emoji. Vous choisissez une base, vous y ajouter des yeux, une bouches, des accessoires...etc, vous ajustez le sens et la position de chaque éléments et hop, vous pouvez ajouter ce nouvel > Lire la suite

Cet article merveilleux et sans aucun égal intitulé : Créez vos propres Emojis ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

]]>
Disponible sous iOS et Windows (PC et smartphone), Moji Maker est une application bien sympathique qui va vous permettre de créer vos propres petits emoji.

mojiwin

Vous choisissez une base, vous y ajouter des yeux, une bouches, des accessoires...etc, vous ajustez le sens et la position de chaque éléments et hop, vous pouvez ajouter ce nouvel emoji à votre clavier.

moji

Génial pour faire passer de nouveaux messages à vos amis, et compléter la grande collection déjà présente dans nos OS modernes.

A télécharger ici pour iOS et ici pour Windows.

Cet article merveilleux et sans aucun égal intitulé : Créez vos propres Emojis ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

]]>
0
Korben http://korben.info/auteur <![CDATA[Une faille dans Firefox permet de trouver l’identité réelle d’utilisateurs Tor]]> http://korben.info/?p=84186 2016-11-30T09:06:31Z 2016-11-30T09:06:31Z Attention, si vous utilisez Tor avec le navigateur Firefox (Le fameux Tor Browser). Un admin du service de mail Sigaint a publié sur la mailing list de Tor, un exploit utilisé activement en ce moment, qui permet d'exécuter du code malicieux sur un Windows. L'exploit composé d'un fichier HTML et d'un fichier CSS permet d'obtenir un > Lire la suite

Cet article merveilleux et sans aucun égal intitulé : Une faille dans Firefox permet de trouver l’identité réelle d’utilisateurs Tor ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

]]>
Attention, si vous utilisez Tor avec le navigateur Firefox (Le fameux Tor Browser).

Un admin du service de mail Sigaint a publié sur la mailing list de Tor, un exploit utilisé activement en ce moment, qui permet d'exécuter du code malicieux sur un Windows.

L'exploit composé d'un fichier HTML et d'un fichier CSS permet d'obtenir un accès direct à kernel32.dll grâce à une vulnérabilité dans la gestion de la mémoire de Firefox. Cela peut permettre de faire fuiter l'identité réelle d'utilisateurs de Tor.

tortalk

L'exploit découvert envoyait des infos vers une machine OVH qui est actuellement hors service. La dernière fois qu'un exploit de ce genre a été découvert, c'était en 2013. Celui-ci était le travail du FBI et avait permis de démasquer des pédophiles utilisant Tor. Même si le principe de fonctionnement est proche, il est impossible pour le moment de déterminer l'origine de cet exploit.

La balle est donc maintenant dans le camp de Mozilla qui doit patcher Firefox, puis dans celui de Tor qui devra mettre à jour son Tor Browser pour prendre en compte la version corrigée.

Source

Cet article merveilleux et sans aucun égal intitulé : Une faille dans Firefox permet de trouver l’identité réelle d’utilisateurs Tor ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

]]>
7
Korben http://korben.info/auteur <![CDATA[Installer et utiliser s3cmd pour gérer Amazon S3 en ligne de commande]]> http://korben.info/?p=84176 2016-11-30T07:26:41Z 2016-11-30T07:26:41Z Ce week end, je vous ai expliqué comment balancer vos backups automatiquement sur Amazon S3, mais si voulez faire certaines choses manuellement, il existe l'outil parfait pour ça : S3cmd. S3cmd, c'est tout simplement une interface en ligne de commande pour piloter son Amazon S3. Pour l'installer (ubuntu / debian), faites (sinon, les binaires sont > Lire la suite

Cet article merveilleux et sans aucun égal intitulé : Installer et utiliser s3cmd pour gérer Amazon S3 en ligne de commande ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

]]>
Ce week end, je vous ai expliqué comment balancer vos backups automatiquement sur Amazon S3, mais si voulez faire certaines choses manuellement, il existe l'outil parfait pour ça : S3cmd.

S3cmd, c'est tout simplement une interface en ligne de commande pour piloter son Amazon S3.

Pour l'installer (ubuntu / debian), faites (sinon, les binaires sont là) :

sudo apt-get s3cmd

Ensuite, il faut le configurer :

s3cmd --configure

Suivez les instructions. En gros, vous avez besoin de votre clé d'accès et de votre clé secrète S3. Pour savoir comment les récupérer, je vous invite à lire la partie sur IAM dans ce tuto.

s3config

Le processus de config vous demandera aussi un mot de passe pour chiffrer les fichiers envoyés vers le S3. Ce n'est pas obligatoire, à vous de voir. Par contre, je vous recommande vivement d'accepter l'utilisation du protocole HTTPS ("Use HTTPS protocol : Yes") pour que les fichiers soient transmis au serveur S3 avec un minimum de sécurité. Si ce sont des fichiers publics, vous pouvez passer en HTTP, ce sera un peu plus rapide.

Voilà, maintenant que c'est configuré, on va pouvoir jouer. Première étape, lister les buckets présents sur Amazon S3 :

s3cmd ls

Ensuite, pour créer un nouveau bucket :

s3cmd mb s3://monbucket

Maintenant on va mettre des trucs dedans avec le paramètre put :

s3cmd put fichier.jpg s3://monbucket

Pour y balancer carrément un répertoire, il faut utiliser le paramètre -r

s3cmd put -r monrepertoire s3://monbucket

Attention, petite subtilité, si vous voulez uploader uniquement le contenu de ce répertoire (et pas le répertoire lui-même), pensez à mettre un / après le nom :

s3cmd put -r monrepertoire/ s3://monbucket

Maintenant pour vérifier que tout est bien en place sur le bucket, il suffit de faire un petit ls

s3cmd ls s3://monbucket

Pour connaitre la taille de votre bucket, faites un

s3cmd du s3://monbucket

Pour récupérer l'un de ces fichiers, utilisons maintenant get

s3cmd get s3://monbucket/fichier.jpg

Pour copier un fichier d'un endroit à un autre du bucket (ou de 2 buckets différents), faites :

s3cmd cp s3://monbucket/fichier.jpg s3://monbucket/autre_dossier/fichier.jpg

Pour déplacer un fichier, même principe :

s3cmd mv s3://monbucket/fichier.jpg s3://monbucket/autre_dossier/fichier.jpg

Voilà, maintenant vous maitrisez S3cmd. Maintenant si vous voulez supprimer un truc (fichier ou dossier), il faut faire :

s3cmd del s3://monbucket/fichier.jpg

Vous pouvez aussi utiliser l'alias "rm" à la place de "del".

Sachez enfin que pour supprimer totalement un bucket il faut que ce dernier soit vide. Pensez donc bien à en supprimer tout le contenu avant de supprimer le bucket en lui-même. Voici comment supprimer un bucket vide :

s3cmd rb s3://monbucket

Si vous placez des choses dans Glacier comme je vous ai expliqué sur mon tuto précédent, vous pouvez aussi restaurer des fichiers à partir de celui-ci avec la commande

      s3cmd restore s3://monbucket/fichier.jpg

Si vous avez besoin de synchroniser un répertoire local avec un répertoire S3, utilisez la commande sync. Elle utilisera les MD5 des fichiers pour savoir quoi envoyer et quoi mettre à jour sur votre S3 ou en local sur votre disque dur.

s3cmd sync monrepertoire s3://monbucket/monrepertoire

Et voilà.. Rien de plus simple à utiliser en fait, alors pourquoi s'en passer ?

S3cmd propose aussi des choses un peu plus évoluées pour gérer les droits d'accès, jouer avec les archives splittées, régler le cycle de vie des buckets, ou encore publier sur le web mais je n'ai pas encore testé toute cette partie, donc je vous invite à vous pencher sur la doc ;-).

Cet article merveilleux et sans aucun égal intitulé : Installer et utiliser s3cmd pour gérer Amazon S3 en ligne de commande ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

]]>
1
Korben http://korben.info/auteur <![CDATA[Dply – Un VPS gratuit pour 2h]]> http://korben.info/?p=84150 2016-11-29T17:14:39Z 2016-11-28T12:31:56Z Voici un service original qui m'a été remonté par Guillaume. Cela s'appelle Dply et ça permet en quelques secondes et gratuitement, d'avoir un serveur virtuel (VPS) pour tester votre code ou vos applications. Les VPS ont la config suivante : 1 CPU, 512 MB de RAM et 20 GB de SSD. Pour avoir votre instance, > Lire la suite

Cet article merveilleux et sans aucun égal intitulé : Dply – Un VPS gratuit pour 2h ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

]]>
Voici un service original qui m'a été remonté par Guillaume. Cela s'appelle Dply et ça permet en quelques secondes et gratuitement, d'avoir un serveur virtuel (VPS) pour tester votre code ou vos applications.

Les VPS ont la config suivante : 1 CPU, 512 MB de RAM et 20 GB de SSD. Pour avoir votre instance, il suffit de se connecter avec son compte Github et d'utiliser la clé SSH de celui-ci.

Niveau OS, vous pouvez avoir sur le serveur, les distribs suivantes :

  • CentOS 6
  • CentOS 7
  • Debian 7
  • Debian 8
  • Fedora 23
  • Fedora 24
  • Ubuntu 14.04
  • Ubuntu 16.04
  • Mumble Voice server sur Ubuntu

Alors je disais que c'était gratuit, mais pour être plus précis, c'est gratuit pendant 2h. Au-delà, il faudra payer... Mais bon, ça reste raisonnable. Voici les tarifs :

  •  $2 - 2 jours
  •  $3 - 1 semaine
  • $10 - 1 mois
  • $50 - 6 mois

Cela peut permettre à n'importe qui de tester rapidement un script ou un bout de code, directement sur un serveur, sans avoir à mobiliser des ressources ou à prendre des risques avec un serveur déjà utilisé pour autre chose.

Bref, à bookmarker pour le jour où vous avez besoin d'un serveur ou d'un peu de ressource.

A découvrir ici.

Cet article merveilleux et sans aucun égal intitulé : Dply – Un VPS gratuit pour 2h ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

]]>
5
Korben http://korben.info/auteur <![CDATA[Sauvegardez votre serveur Linux sur Amazon S3 avec Backup Manager]]> http://korben.info/?p=84081 2016-11-29T13:07:57Z 2016-11-26T21:16:07Z Dans la vie, y'a 2 choses vraiment importantes. 1/ L'amour 2/ Faire des sauvegardes Alors on va voir aujourd'hui comment mettre en place une sauvegarde d'un Linux avec upload vers Amazon S3 (mais vous pourrez aussi faire de l'upload vers FTP ou un autre serveur via SSH). Et pour cela, on va utiliser Backup Manager. Le site > Lire la suite

Cet article merveilleux et sans aucun égal intitulé : Sauvegardez votre serveur Linux sur Amazon S3 avec Backup Manager ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

]]>
Dans la vie, y'a 2 choses vraiment importantes.

  • 1/ L'amour
  • 2/ Faire des sauvegardes

Alors on va voir aujourd'hui comment mettre en place une sauvegarde d'un Linux avec upload vers Amazon S3 (mais vous pourrez aussi faire de l'upload vers FTP ou un autre serveur via SSH).

Et pour cela, on va utiliser Backup Manager. Le site officiel a disparu, mais les sources sont sur Github et apparemment toujours maintenues. Vous allez voir c'est très simple.

Placez vous dans votre répertoire home

cd ~

Et clonez le dépôt git

git clone https://github.com/sukria/Backup-Manager.git

Placez vous dedans

cd Backup-Manager

et installez Backup Manager avec la commande (vous devrez peut être utiliser sudo)

make install

Copiez le fichier de conf dans /etc/.

cp /usr/share/backup-manager/backup-manager.conf.tpl /etc/backup-manager.conf

Puis ouvrez ce fichier.

nano /etc/backup-manager.conf

On va regarder ça ensemble et je vais me concentrer uniquement sur les paramètres essentiels. Pour le reste, je vous laisserai vous documenter.

Dans la section Repository, choisissez le répertoire (BM_REPOSITORY_ROOT) où seront stockés les backups en local. Par défaut c'est /var/archives.

archives

Si vous avez de la place sur votre disque à cet endroit, créez un répertoire /var/archives (mkdir /var/archives) et ne touchez pas à ce paramètre.

Concernant les backups, vous devez aussi préciser le nombre de jours que vous voulez garder (BM_ARCHIVE_TTL). Ici c'est 5 jours, mais en ce qui me concerne, je mets un peu plus, car j'ai de la place sur le disque dur.

jours

On va ensuite choisir la méthode de sauvegarde. Vous pouvez faire uniquement un export tarball (archive simple) ou un export tarball incrémentale (archive complète + archives différentielles), un export svn, un export mysql...etc.

tarball

Comme vous pouvez le voir, moi j'ai mis pour le paramètre BM_ARCHIVE_METHOD : "tarball-incremental mysql"

Cela va déclencher un backup incrémental et un backup MySQL. Sachez que même si vous choisissez tarball-incremental, vous devez quand même éditer la section tarball ci-dessous.

tarboule

Au niveau de BM_TARBALL_DIRECTORIES, vous devez lister les répertoires que vous souhaitez sauvegarder. En ce qui me concerne, ce sera /etc et /var/www. Mais ça peut aussi être /home/ ...etc

Un peu plus bas, BM_TARBALL_BLACKLIST concerne les répertoires à exclure du backup. Cela peut être pratique si vous voulez sauvegarder tout votre répertoire /home, mais pas /home/archives qui contient vos backups ou d'autres choses dont vous n'avez pas besoin..

Enfin, BM_TARBALL_SLICESIZE permet de choisir des tailles max d'archives. Ici ce sera donc des archives de 1GB max à chaque fois.

Passons ensuite aux spécificités de l'incrémental.

incre

BM_TARBALLINC_MASTERDATETYPE vous permet de préciser si vous voulez une archive master par semaine ou par mois. Et ensuite de spécifier la fréquence de celle-ci (BM_TARBALLINC_MASTERDATEVALUE). Donc là, dans mon exemple, le master sera réalisé 1 fois par mois.

Passons ensuite à la conf MySQL. Ici, c'est du classique... login, mot de passe, port de MySQL...Etc

mysql

Petit parenthèse, concernant l'export MySQL, j'ai eu des petites erreurs de type

errno: 24 - Too many open files

Dans ce cas, pensez à ajouter le paramètre "open_files_limit = 3000" (je vous laisse choisir le nombre en fonction de vos besoins), dans la config mysqld.cnf et à relance MySQL.

Voilà, c'est terminé pour cette première partie. On va donc faire un test sans s'occuper de l'upload. Pour cela, mettez "none" dans le paramètre BM_UPLOAD_METHOD.

export

Sauvegardez le fichier, et lancez la commande

backup-manager -v

Et là, vous verrez si tout se passe bien. Si vous avez des erreurs, il y a des chances que ça concerne MySQL. Pensez à bien lire les logs d'erreur retournés pour comprendre de quoi il s'agit.

Pour surveiller que le backup est en cours, jetez un oeil dans votre répertoire /var/archives en faisant des "ls -l" à la suite pour voir la taille des fichiers augmenter.

Bon, ça, c'était le plus long à faire. Maintenant on va balancer tout ça sur Amazon S3. Vous pouvez bien sûr choisir une autre méthode d'upload comme FTP ou transfert via SSH. Et vous pouvez en mettre plusieurs... Par exemple envoyer le backup vers un FTP et vers S3.

Mettez donc le paramètre BM_UPLOAD_METHOD sur s3

s3

Alors concernant S3, il y a besoin de 3 paramètres :

config

BM_UPLOAD_S3_DESTINATION c'est ce qu'on appelle le Bucket. Pas besoin de le créer en amont sur Amazon S3. Mettez ce que vous voulez et le script le créera pour vous directement.

BM_UPLOAD_S3_ACCESS_KEY et BM_UPLOAD_S3_SECRET_KEY, ce sont les identifiants S3 dont vous avez besoin. Pour cela, rendez vous ici sur votre compte S3 :

Cliquez sur Manage Users

iam1

Et ajoutez un nouvel utilisateur

iam2

Donnez lui un nom et cochez la case programmatic access.

iam3

Si vous n'avez pas encore créé de groupe avec les droits sur la partie S3, faites-le.

iam4

Finalisez la création de l'utilisateur

iam5

Puis récupérez l'Access Key ID et le Secret Access Key pour les mettre dans le fichier de conf de Backup Manager.

iam6

Et voilà... Maintenant y'a plus qu'à retester backup manager pour voir si le bucket est bien créé et si vos fichiers sont bien envoyés vers S3.

backup-manager -v

Comme Backup Manager utilise Perl, il est possible que vous ayez une de ce style :

Net::Amazon::S3 is not available, cannot use S3 service : Can't locate Net/Amazon/S3.pm in @INC (you may need to install the Net::Amazon::S3 module) (@INC contains: /etc$

BEGIN failed--compilation aborted at (eval 11) line 2.

The upload transfer "s3" failed.

Cela veut tout simplement dire que le module perl S3 n'est pas présent sur votre système. Faites donc un

sudo apt-get install libnet-amazon-s3-perl

Puis un

sudo cpan Net::Amazon::S3::Client

Et voilà ! Recommencez :

backup-manager -v

Normalement, si tout se passe bien, vos fichiers seront envoyés vers Amazon S3. Très bien !

Maintenant on va mettre tout ça dans la crontab pour que Backup Manager se lance tous les jours à minuit.

Lancez donc la commande

crontab -e

Et dedans, mettez

0 2 * * * backup-manager

Le 2 veut dire que ça va se lancer tous les jours à 2h du mat. Je ne rentre pas plus dans le détail car cet article est déjà assez long. Si vous voulez mettre autre chose, et que vous ne maitrisez pas la syntaxe cron, allez faire un tour sur ce site.

Un autre truc qui peut être intéressant aussi, c'est d'utiliser Amazon Glacier, en plus de S3. On peut par exemple directement depuis les paramètres de S3, mettre en place un cycle de vie de nos sauvegardes. Les conserver par exemple 30 jours sur Amazon S3, puis les basculer sur Glacier au bout de 30 jours et les supprimer de S3 au bout de 90. Ainsi, elles seront archivées ad vitam eternam (ou à peu près ) dans Glacier.

Si ça vous branche, voici comment faire. Placez-vous sur votre Bucket S3 fraichement créé qui contient vos sauvegardes, cliquez sur "Properties", et "Add Rule" dans la section Lifecycle.

life2

Choisissez d'appliquer cette future règle à votre Bucket

life3

Puis c'est sur cette partie que vous devez régler le cycle de vie de vos backups. Ici, je choisis d'archiver vers glacier au bout de 60 jours et de supprimer mon archive sur S3 au bout de 120 jours.

glaciermove

Une fois la règle créée, vous avez alors un résumé ici. Cliquez sur le bouton "Create and Activate rule".

life6

Et voilà ! life7

L'intérêt avec Glacier, c'est que c'est moins cher que S3 pour du stockage à long terme. Par contre, attention, si vous avez besoin de récupérer sur Glacier des archives de moins de 90 jours, vous devrez payer assez cher. Donc autant laisser une petite marge avant la suppression sur S3.

Ensuite pour voir vos backups Glacier, il vous suffira dans l'interface S3, de cliquer sur le bouton "Show".

glacier

Bon, voilà, j'ai fini. Un long tuto mais un tuto indispensable car une fois encore au risque de me répéter, les backups c'est HYPER IMPORTANT.

Enfin, pour terminer en beauté, pensez à récupérer de temps en temps vos backups et en vérifier le contenu, voire à remonter une base avec et votre site pour voir si tout se déroule bien. C'est tout aussi important !

Bonne sauvegarde à tous !

Cet article merveilleux et sans aucun égal intitulé : Sauvegardez votre serveur Linux sur Amazon S3 avec Backup Manager ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

]]>
5
Korben http://korben.info/auteur <![CDATA[Structurer ma première application NodeJS]]> http://korben.info/?p=84114 2016-11-26T15:55:14Z 2016-11-26T15:55:14Z Si entre les différentes annonces du Black Friday il vous reste encore un peu de temps pour coder, je vous propose de réviser vos gammes sur NodeJS avec François-Guillaume Ribreau et Julien Breux, développeurs chez iAdvize. Une conférence mise en place avec eux pour un RJTalk, évènement dédié aux developpeurs que j'organise depuis cette année. > Lire la suite

Cet article merveilleux et sans aucun égal intitulé : Structurer ma première application NodeJS ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

]]>
Si entre les différentes annonces du Black Friday il vous reste encore un peu de temps pour coder, je vous propose de réviser vos gammes sur NodeJS avec François-Guillaume Ribreau et Julien Breux, développeurs chez iAdvize.

Une conférence mise en place avec eux pour un RJTalk, évènement dédié aux developpeurs que j'organise depuis cette année.

Respectivement Fullstack Hacker et Software Architect à Nantes, François-Guillaume Ribreau et Julien Breux ont beaucoup à dire à propos de leurs découvertes sur l’industrialisation de projets NodeJS.

Je vous laisse en compagnie des deux artistes ;)

Cet article merveilleux et sans aucun égal intitulé : Structurer ma première application NodeJS ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

]]>
Korben http://korben.info/auteur <![CDATA[Machines à voter, machines à truquer]]> http://korben.info/?p=84060 2016-11-25T10:25:06Z 2016-11-25T10:22:13Z Les machines à voter c'est l'avenir ! Surtout, car ça permet de truquer une élection beaucoup facilement qu'en cachant des bulletins de vote dans ses chaussettes . Tenez par exemple, aux États-Unis pour l'élection de Trump, certaines machines utilisées lors de l'élection de Tump, sont des machines à voter de type Sequoia AVC Edge. Elles sont > Lire la suite

Cet article merveilleux et sans aucun égal intitulé : Machines à voter, machines à truquer ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

]]>
Les machines à voter c'est l'avenir ! Surtout, car ça permet de truquer une élection beaucoup facilement qu'en cachant des bulletins de vote dans ses chaussettes .

Tenez par exemple, aux États-Unis pour l'élection de Trump, certaines machines utilisées lors de l'élection de Tump, sont des machines à voter de type Sequoia AVC Edge. Elles sont présentes dans 13 états américains. Et c'est intéressant, car les chercheurs en sécurité de Cylance se sont penchés sur celle-là.

En quelques étapes simples et sans droits particuliers, ils ont été capables de rediriger n'importe quel vote d'un candidat à un autre (genre, vous votez pour Hillary et ça incrémente le score de Trump), de changer le nom des candidats et, simplement en insérant dans la machine une mémoire flash PCMCIA, ils ont pu mettre à jour les données relatives au vote, grâce à un fichier spécialement forgé pour l'occasion et contenant de fausses données de vote.

Easy peasy quoi.

Voici la vidéo qui montre tout ça :

Bref, rien de bien rassurant une fois encore, sur la machine à voter électronique. D'ailleurs, des questions commencent à se poser sur la dernière élection...

Je suis à fond pour les nouvelles technos et le vote électronique, pourquoi pas, mais avant d'avoir confiance en ce machin, il va falloir que les mecs qui les fabrique aient quelques notions de sécurité et qu'ils imaginent un système plus complexe à détourner.

Une réflexion à reprendre depuis le début, un peu comme ce qu'a fait Kaspersky avec son OS finalement.

Source

Cet article merveilleux et sans aucun égal intitulé : Machines à voter, machines à truquer ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

]]>
25
Korben http://korben.info/auteur <![CDATA[Comment installer un plugin sur Discourse ?]]> http://korben.info/?p=84054 2016-11-29T13:08:42Z 2016-11-25T05:37:05Z J'ai eu besoin d'installer sur le Discourse, le support des balises BBCode que vous connaissez bien si vous pratiquez un peu les forums. Seulement, nativement ce n'est pas supporté. Mais Discourse sur son Github, propose tout un tas de plugins qui permettent d'étendre les fonctionnalités de la plateforme et parmi ceux-là, on y trouve le > Lire la suite

Cet article merveilleux et sans aucun égal intitulé : Comment installer un plugin sur Discourse ? ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

]]>
J'ai eu besoin d'installer sur le Discourse, le support des balises BBCode que vous connaissez bien si vous pratiquez un peu les forums. Seulement, nativement ce n'est pas supporté.

Mais Discourse sur son Github, propose tout un tas de plugins qui permettent d'étendre les fonctionnalités de la plateforme et parmi ceux-là, on y trouve le plugin vbulletin-bbcode.

Je vais donc en profiter pour faire un petit tuto expliquant comme installer un plugin sous Discourse. Vous allez voir c'est très simple.

Connectez vous à votre serveur et éditez le fichier de config app.yml qui se trouve logiquement dans /var/discourse/containers/

Recherchez y la section hooks suivante :

appyml

Et ajoutez tout simplement l'URL qui pointe vers le dépôt git. Dans le cas de vbulletin-bbcode, il s'agit donc de https://github.com/discourse/vbulletin-bbcode.git .

- git clone https://github.com/discourse/vbulletin-bbcode.git

(Pour l'indentation, utilisez des espaces et pas des tabulations car sinon, vous aurez des erreurs.)

Oui, rien de plus simple. Pas besoin de télécharger d'archive, et de placer du code. Il suffit juste de spécifier un dépôt git dans le fichier de conf.

Ensuite, sauvegardez le app.yml et reconstruisez l'application avec la commande suivante (placez vous dans /var/discourse) :

./launcher rebuild app

Et voilà !

discoursebbcode

Maintenant vous avez un beau support du BBCode (ou d'autre chose) sur Discourse. D'ailleurs, si vous avez besoin d'autres plugins sur tech.korben.info, n'hésitez pas à me le dire.

Cet article merveilleux et sans aucun égal intitulé : Comment installer un plugin sur Discourse ? ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

]]>
3
Korben http://korben.info/auteur <![CDATA[Kaspersky révèle son système d’exploitation sécurisé]]> http://korben.info/?p=84043 2016-11-29T13:09:33Z 2016-11-24T20:15:41Z Il est assez rare de voir sortir un nouvel OS. En général, ce sont plutôt de nouvelles distribs Linux adaptées pour certains matos IoT, routeurs, smartphones et box en tout genre. Donc quand Kaspersky, le célèbre éditeur d'antivirus annonce son système d'exploitation, c'est un véritable événement. Et ne croyez pas qu'ils se lancent sur ce > Lire la suite

Cet article merveilleux et sans aucun égal intitulé : Kaspersky révèle son système d’exploitation sécurisé ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

]]>
Il est assez rare de voir sortir un nouvel OS. En général, ce sont plutôt de nouvelles distribs Linux adaptées pour certains matos IoT, routeurs, smartphones et box en tout genre.

Donc quand Kaspersky, le célèbre éditeur d'antivirus annonce son système d'exploitation, c'est un véritable événement. Et ne croyez pas qu'ils se lancent sur ce créneau sur un coup de tête... non, non, cela fait quand même 14 ans que les mecs bossent dessus.

Plutôt que de se reposer sur Linux ou BSD, ils l'ont donc développé from scratch, c'est-à-dire à partir de zéro. Sa spécialité ?

La sécurité.

Kaspersky OS fonctionne sur un principe de micro kernel. Cela signifie qu'il peut être personnalisé bloc par bloc en fonction des différents besoins de l'utilisateur, afin de limiter au maximum les choses inutiles. C'est donc un OS taillé sur mesure.

04-960x600

Pas d'interface graphique, mais une interface en ligne de commande et un système d'exploitation présenté comme Hack-Proof. Enfin, pas à 100% vous vous en doutez, mais si un attaquant voulait obtenir un accès non autorisé sur la machine, il devrait casser la signature numérique du propriétaire du compte, ce qui n'est possible à un coût raisonnable qu'avec un ordinateur quantique (déjà financièrement amorti, j'imagine )). Le système de sécurité qui est fondu dans l'OS est d'ailleurs capable de contrôler le comportement des applications et des modules de l'OS.

Pour le moment, cet OS est présent dans un switch réseau de niveau 3 de la marque Kraftway.

dsc2

Sur son blog, Eugene Kaspersky nous en parle un peu et nous montre quelques photos. Il prend comme exemple les dernières attaques DDoS qui ont frappé Dyn ou d'autres acteurs (OVH...etc) ces derniers mois et garantie que Kaspersky OS peut protéger leurs infrastructures réseau, mais aussi des systèmes industriels type SCADA / ICS ou encore des objets connectés.

eugene

Vous l'aurez compris, Kasperky OS ne viendra pas concurrencer les OS grand public type Windows, Linux et autres macOS, mais trouvera surement son marché auprès des experts en sécurité et des fabricants de matériel qui ont un besoin croissant en sécurité. Personnellement, je trouve que c'est une excellente idée et une orientation business très intelligente.

Je ne sais pas sous quelle forme Kaspersky compte vendre son OS aux sources probablement fermées aux constructeurs ni à quel prix, mais j'espère que contrairement à Cisco, ils feront une ristourne en cas d'implantation de backdoor made in gouvernement ;-)).

Cet article merveilleux et sans aucun égal intitulé : Kaspersky révèle son système d’exploitation sécurisé ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

]]>
8
Korben http://korben.info/auteur <![CDATA[“E-commerce & cybersécurité” – Sortie du livre blanc de la FEVAD demain]]> http://korben.info/?p=84024 2016-11-26T15:02:59Z 2016-11-23T06:27:52Z Si vous vous intéressez à la cyber sécurité, j'aimerai vous indiquer la sortie d'un livre blanc de la FEVAD, à ce sujet, ce jeudi matin. La FEVAD pour ceux qui ne connaitraient pas, c'est la Fédération du e-commerce et de la vente à distance dont l'objet est d'accompagner le développement éthique et durable du commerce > Lire la suite

Cet article merveilleux et sans aucun égal intitulé : “E-commerce & cybersécurité” – Sortie du livre blanc de la FEVAD demain ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

]]>
Si vous vous intéressez à la cyber sécurité, j'aimerai vous indiquer la sortie d'un livre blanc de la FEVAD, à ce sujet, ce jeudi matin.

La FEVAD pour ceux qui ne connaitraient pas, c'est la Fédération du e-commerce et de la vente à distance dont l'objet est d'accompagner le développement éthique et durable du commerce électronique et de la vente à distance en France.

Ce livre blanc dont le titre est "Maitriser les risques, sensibiliser sur les enjeux" est un tour d'horizon des typologies d'attaques, des tendances et des risques que rencontrent les e-commerçants, avec pas mal de témoignages et toute une section sur les solutions pour lutter contre ces risques et renforcer sa cyber sécurité. C'est adressé aux cyber marchands, mais ça peut servir aussi à tous ceux qui sont dans d'autres secteurs.

fevad2

Si je vous en parle, c'est surtout parce que j'ai une petite interview dedans et que j'ai participé à l'écriture / relecture du chapitre sur le Bug Bounty. C'est ti pas la classe ça ?

La mise à dispo de ce livre se fera après son lancement officiel qui aura lieu ce jeudi 24 novembre à 10h dans les locaux de la FEVAD, et vous pourrez le télécharger ici juste après.

fevad3

Hâte de découvrir tout ça demain.

Cet article merveilleux et sans aucun égal intitulé : “E-commerce & cybersécurité” – Sortie du livre blanc de la FEVAD demain ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

]]>
Korben http://korben.info/auteur <![CDATA[Edito du 23/11/2016]]> http://korben.info/?p=84025 2016-11-23T05:50:22Z 2016-11-23T05:49:18Z Hello tout le monde, Je tiens tout de suite à vous dire que la semaine sera assez pauvre en articles, car je cumule 2 choses que j'adore : Un gros déplacement à Paris de plusieurs jours et une grosse fatigue due à une souche de virus inconnu et virulent élevé et ramené par mes minimois qui > Lire la suite

Cet article merveilleux et sans aucun égal intitulé : Edito du 23/11/2016 ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

]]>
Hello tout le monde,

Je tiens tout de suite à vous dire que la semaine sera assez pauvre en articles, car je cumule 2 choses que j'adore : Un gros déplacement à Paris de plusieurs jours et une grosse fatigue due à une souche de virus inconnu et virulent élevé et ramené par mes minimois qui les collectionnent avec plus d'assiduité que les pokemons.

Depuis quelques jours, je teste aussi un nouveau format de diffusion vidéo live sur Periscope. Rien d'aussi sérieux que la matinale de mes amis de NowTechTV, mais j'ai fait un démontage live de NAS totalement improvisé, des interviews lors d'un événement B2B, et un genre de Q&A en marchant dans les rues de Paris. Et j'avoue que j'ai trouvé ça assez sympa à faire.

Je le referai surement régulièrement quand j'ai des choses rigolotes à portée de main (matos, événement, rencontres avec des gens cool, voyage...etc.).

Bon, voilà pour les news. Je vous souhaite une bonne fin de semaine.

Cet article merveilleux et sans aucun égal intitulé : Edito du 23/11/2016 ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

]]>
Korben http://korben.info/auteur <![CDATA[Podcast – L’émission de la grande forme]]> http://korben.info/?p=83999 2016-11-18T16:51:59Z 2016-11-18T16:49:47Z Dans ma quête infinie d'un clavier tactile, magique à souhait, cette semaine je vous parle de Geekey. Pour le reste la fine équipe débarque avec: Les apps: Nuzzel (iOS, Android, Web / Gratuit) Geekey (iOS / 0,99€) Rome Total War iPad ((iPad / 9,99€) Osmo Mobile (340€) Appload c'est dans la bonne humeur et même > Lire la suite

Cet article merveilleux et sans aucun égal intitulé : Podcast – L’émission de la grande forme ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

]]>
Dans ma quête infinie d'un clavier tactile, magique à souhait, cette semaine je vous parle de Geekey.

Pour le reste la fine équipe débarque avec:

Les apps:

Nuzzel (iOS, Android, Web / Gratuit)
Geekey (iOS / 0,99€)
Rome Total War iPad ((iPad / 9,99€)
Osmo Mobile (340€)

Appload c'est dans la bonne humeur et même avec une rage de dent, un rhume ou une grippe, avec :

Les animateurs sont Jérôme Keinborg (@JeromeKeinborg), Cédric Bonnet (@CedricBonnet), Korben (@Korben) et Patrick Beja (@NotPatrick).

Le générique est de Daniel Beja (@misterdanielb). Sa musique libre de droit est sur MusicInCloud.fr.

La mise en ligne est assurée par Florent Berthelot (@Aeden_).

have fun ;)

play-appload

Cet article merveilleux et sans aucun égal intitulé : Podcast – L’émission de la grande forme ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

]]>
Korben http://korben.info/auteur <![CDATA[Ajouter de la RAM à un NAS Synology DS710+]]> http://korben.info/?p=83973 2016-11-17T18:22:02Z 2016-11-17T18:22:02Z Il y a quelques jours, je me suis mis en tête d'installer Gitlab sur mon vieux NAS Synology DS710+, et c'est vraiment très simple. Il suffit d'installer le paquet Docker et le paquet Gitlab via l'interface de Synology. Rien de difficile... Seulement, voilà... Gitlab, ça bouffe pas mal de ressources et sur mon vieux Synology > Lire la suite

Cet article merveilleux et sans aucun égal intitulé : Ajouter de la RAM à un NAS Synology DS710+ ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

]]>
Il y a quelques jours, je me suis mis en tête d'installer Gitlab sur mon vieux NAS Synology DS710+, et c'est vraiment très simple. Il suffit d'installer le paquet Docker et le paquet Gitlab via l'interface de Synology.

screenshot-2016-11-17-17-49-28

screenshot-2016-11-16-15-49-33

Rien de difficile... Seulement, voilà... Gitlab, ça bouffe pas mal de ressources et sur mon vieux Synology avec 1 GB de RAM, ça ne fonctionne pas du tout et tout ce que j'obtiens c'est cette formidable erreur :

screenshot-2016-11-16-15-49-13

Ouin. J'ai donc commencé par testé des tas de trucs côté logiciel, à désinstaller certains softs de mon Syno...etc., mais rien à faire. A priori, le souci vient d'un manque de mémoire sur le Synology. Tu m'étonnes, seulement 1 GB de RAM, c'est clairement juste.

Je me suis alors demandé s'il était possible d'ajouter de la mémoire RAM dans un DS710+ et je suis tombé sur le post de forum suivant qui indiquait un type de mémoire fonctionnant avec le DS710+. Je l'ai donc commandé, et je l'ai installé.

Pour ce faire, retirez d'abord les 2 disques et pensez à les numéroter pour vous souvenir à quels emplacements ils étaient.

Ensuite, dévissez les 4 vis de la façade avant + arrière. Ne faites pas attention sur la photo, j'ai enlevé plus de vis que nécessaire, car je tâtonnais (première fois que je démonte cet engin, les gens qui ont suivi le live sur Periscope peuvent en témoigner.).

2016-11-17-13-53-51

Retirez ensuite délicatement la façade arrière. Vous découvrirez alors une nouvelle vis à enlever...

2016-11-17-13-55-35

Ensuite le capot noir sera désolidarisé du reste, donc vous pourrez l'enlever délicatement en l'écartant un peu.

2016-11-17-13-56-15

La barrette de RAM se cache derrière le papier d'alu collant visible sur le côté du NAS. Certains chauffent ce truc pour le décoller doucement, moi je n’ai pas voulu cramer la carte mère à la décapeuse thermique alors je me suis contenté de déchirer décoller ce papier à la main.

Oui, je bourine parfois...

Et tadaaaaa ! Voici donc la barrette de 1 Gb du NAS. Sur l'autocollant rouge, il est écrit que s'il est enlevé, la garantie est annulée... Vu l'âge du bousin qui a déjà 6 ans de vie derrière lui, je pense qu'on peut dire qu'on s'en fout. Je retire donc cette languette rouge et j'écarte doucement les connecteurs pour sortir la barrette de RAM.

2016-11-17-13-57-42

2016-11-17-13-58-24

Je passe un coup de bombe dépoussiérante sur le connecteur, puis j'insère ma nouvelle barrette de 4 Gb

2016-11-17-13-59-38

Voilà, une fois que c'est en place, y'a plus qu'à tout remonter, rebrancher, redémarrer, patienter et vous pourrez constater que votre NAS est passé de 1 GB à 4 GB de RAM, ce qui est plutôt pas mal.

screenshot-2016-11-17-14-40-23

Ensuite, concernant Gitlab, ça n'a pas fonctionné tout de suite puis au bout de plusieurs essais ça s'est mis à marcher. Je pense que la page d'erreur était tout simplement dans le cache de mon navigateur.

screenshot-2016-11-17-18-27-02

Gitlab est donc fonctionnel, bien qu'un peu lent, mais ça, c'est dû au processeur Intel Atom du NAS. Et là malheureusement, je ne peux pas faire grand-chose.

Voilà, j'espère que ça vous aura donné envie d'upgrader votre vieux matos et je vous dis a plus !

Cet article merveilleux et sans aucun égal intitulé : Ajouter de la RAM à un NAS Synology DS710+ ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

]]>
11
Korben http://korben.info/auteur <![CDATA[Sécuriser WordPress – Masquer les messages d’erreur sur wp-admin (autre méthode)]]> http://korben.info/?p=83963 2016-12-09T09:11:38Z 2016-11-17T16:12:16Z La dernière fois, je vous avais expliqué comment choisir un bon mot de passe pour votre WordPress. Et bien cette semaine, on continue et cette fois je vais vous parler de la zone d'administration. Tout le monde le sait, pour accéder à un tableau de bord WordPress, il suffit de se rendre sur l'URL /wp-admin/. > Lire la suite

Cet article merveilleux et sans aucun égal intitulé : Sécuriser WordPress – Masquer les messages d’erreur sur wp-admin (autre méthode) ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

]]>
La dernière fois, je vous avais expliqué comment choisir un bon mot de passe pour votre WordPress. Et bien cette semaine, on continue et cette fois je vais vous parler de la zone d'administration.

Tout le monde le sait, pour accéder à un tableau de bord WordPress, il suffit de se rendre sur l'URL /wp-admin/.

Vous tomberez alors sur un formulaire d'authentification vous demandant un mot de passe et un login. Sur cette page, un éventuel attaquant pourrait jouer au jeu des devinettes. Par exemple, s'il essaye de se logger avec un identifiant incorrect, il tombera sur ce message d'erreur :

screenshot-2016-11-17-16-51-01

"Nom d'utilisateur non valide". Ainsi il saura que ce login n'est pas bon. En y allant à tâtons ou en bruteforçant un peu, il pourrait découvrir ceci :

screenshot-2016-11-17-16-47-52

Un message d'erreur un peu différent qui dit que cette fois, c'est le mot de passe qui n'est pas bon. Cela laisse donc entendre au hacker qu'il connait un login valide.

Alors comment faire pour bloquer cette information ? Et bien il suffit de rajouter la ligne suivante dans le fichier functions.php de votre thème.

add_filter('login_errors',create_function('$a', "return null;"));

Ainsi en cas de tentative échouée, tout ce qu'un éventuel attaquant verra sera ceci :

screenshot-2016-11-17-16-46-54

Il sera alors impossible pour lui de savoir si le login est bon ou pas.

La prochaine fois, je vous parlerai SSL

Dans la série, Sécuriser WordPress :

Cet article merveilleux et sans aucun égal intitulé : Sécuriser WordPress – Masquer les messages d’erreur sur wp-admin (autre méthode) ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

]]>
4
Korben http://korben.info/auteur <![CDATA[PoisonTap – Récupérer des cookies, exposer un routeur interne, installer des backdoors, tout ça sur un ordinateur verrouillé, avec un simple Raspberry Pi Zero à 5$]]> http://korben.info/?p=83932 2016-11-29T13:11:27Z 2016-11-16T14:06:06Z Samy Kamkar, qu'on ne présente plus, a mis en ligne sur son site un outil appelé PoisonTap qui permet de récupérer des tas d'infos sur un ordinateur verrouillé. Installé sur un Raspberry Pi Zero avec NodeJS, PoisonTap permet d'émuler une connexion Ethernet via le port USB pour détourner l'intégralité du trafic réseau de la machine, peu > Lire la suite

Cet article merveilleux et sans aucun égal intitulé : PoisonTap – Récupérer des cookies, exposer un routeur interne, installer des backdoors, tout ça sur un ordinateur verrouillé, avec un simple Raspberry Pi Zero à 5$ ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

]]>
Samy Kamkar, qu'on ne présente plus, a mis en ligne sur son site un outil appelé PoisonTap qui permet de récupérer des tas d'infos sur un ordinateur verrouillé. Installé sur un Raspberry Pi Zero avec NodeJS, PoisonTap permet d'émuler une connexion Ethernet via le port USB pour détourner l'intégralité du trafic réseau de la machine, peu importe la priorité des autres interfaces réseau.

J'avais déjà parlé d'une attaque de ce genre il y a quelques semaines, mais là ça va plus loin.

Poison Tap peut ainsi récupérer les cookies HTTP ainsi que les sessions ouvertes dans le navigateur du premier million de sites web dans le Top Alexa et si un serveur utilise HTTPS, mais que le cookie n'utilise pas la fonction SecureFlag, alors la protection HTTPS est contournée et le cookie est envoyé en clair à PoisonTap.

68747470733a2f2f73616d792e706c2f706f69736f6e7461702f636f6f6b696573322e676966

Là où ça commence à devenir fun, c'est qu'il est possible pour un attaquant de placer des backdoors persistantes dans le cache HTTP du navigateur, qui n'ont pas de date de péremption. Cela permet à l'attaquant de revenir plus tard sur la machine sans avoir à y accéder à nouveau physiquement.

Normalement, PoisonTap ne peut pas détourner le trafic qui circule via une autre interface réseau sur un autre sous réseau. Mais avec une petite pirouette utilisant du DNS rebinding persistant et des backdoors spécialement forgées pour l'occasion, il devient possible à l'attaquant d'aller effectuer des requêtes sur le routeur interne, tout ça à distance.

Samy a mis en ligne une démo de PoisonTap que je vous invite à regarder :

Autant dire que son PoisonTap est une vraie saloperie. D'ailleurs si vous souhaitez tester la chose, vous devez le faire uniquement sur votre propre matériel et respecter la loi, sinon, vous aurez de gros ennuis avec la justice.

Pour se protéger de ce genre d'attaque, il n'y a pas grand-chose à faire, si ce n'est fonctionner en full HTTPS si vous gérez vos serveurs web. Ensuite pour les end-users, bloquez vos ports USB et Thunderbolt, pensez à quitter votre navigateur quand vous vous éloignez de votre machine, et si vous en avez les capacités, mettez en place un une mise en veille prolongée chiffrée (Filevault2) qui demande un mot de passe pour déchiffrer la mémoire au réveil de l'ordinateur.

Cet article merveilleux et sans aucun égal intitulé : PoisonTap – Récupérer des cookies, exposer un routeur interne, installer des backdoors, tout ça sur un ordinateur verrouillé, avec un simple Raspberry Pi Zero à 5$ ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

]]>
7
Korben http://korben.info/auteur <![CDATA[Remixjobs Day à Lyon, c’est ce vendredi 18 novembre]]> http://korben.info/?p=83928 2016-11-16T12:59:28Z 2016-11-16T12:59:28Z Bon moi vendredi, je serai à la Rochelle, pour la 4ème édition des Entretiens de la Confiance Numérique de La Rochelle, mais si vous êtes dans la région Lyonnaise, il y a un autre truc cool le 18 : Remixjobs Day ! Pour sa quatorzième édition, l’équipe de RemixJobs est de retour à Lyon pour mettre > Lire la suite

Cet article merveilleux et sans aucun égal intitulé : Remixjobs Day à Lyon, c’est ce vendredi 18 novembre ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

]]>
Bon moi vendredi, je serai à la Rochelle, pour la 4ème édition des Entretiens de la Confiance Numérique de La Rochelle, mais si vous êtes dans la région Lyonnaise, il y a un autre truc cool le 18 : Remixjobs Day !

Pour sa quatorzième édition, l’équipe de RemixJobs est de retour à Lyon pour mettre en valeur l’écosystème numérique lyonnais au travers de son RemixJobs Day. Organisé en partenariat avec La Cuisine Du Web, le RemixJobs Day est l’événement de recrutement du digital qui réunit les talents du numérique et les équipes de sociétés innovantes.

Sous une ambiance façon After Work décontractée, les candidats triés sur le volet auront l’occasion d’échanger avec les équipes des startups lyonnaises. Une méthode qui se détache de loin du recrutement traditionnel, puisqu’elle permet au candidat d’obtenir immédiatement le retour métier des employés de la société. Pas de doute, les sociétés, dont certains salariés ont déjà été embauchés de cette manière, vous le diront, il s’agit de la meilleure approche pour trouver un job qui vous correspond.

Pour parfaire cette journée de recrutement, des activités sont proposées en parallèle aux candidats et équipes venus sur place. Des conférences traitant des thématiques actuelles du web ainsi qu’un Cocktail Networking permettront d’enrichir ses compétences et d’agrandir son réseau professionnel.

Venez rencontrer les plus belles boîtes de la scène Tech lyonnaise, et décrochez le job de vos rêves, dans une ambiance décontractée propice aux coups de cœur. Comme toujours, un buffet-cocktail sera alimenté toute la journée.

Au programme de la journée :

  • 16h : Ouverture des portes
  • 17h : Première conférence : « Python, bénéfices et inconvénients de cet outsider »
  • 18h : Deuxième conférence : « Vous ne devinerez jamais ce que le Javascript peut faire ! La 4e m'a particulièrement étonné ! »
  • 20h : Fin de l’événement

Inscrivez-vous gratuitement !

Cet article merveilleux et sans aucun égal intitulé : Remixjobs Day à Lyon, c’est ce vendredi 18 novembre ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

]]>
Korben http://korben.info/auteur <![CDATA[Windows 10 – Quelques conseils pour améliorer les performances]]> http://korben.info/?p=83912 2016-11-26T11:16:40Z 2016-11-16T10:38:25Z Si votre Windows 10 se traine un peu, voici quelques astuces pour l'alléger un peu. Vous allez voir, c'est du très classique et c'était à peu près la même chose sur les versions précédentes de Windows. Première étape, faire le ménage dans les applications qui se lancent au démarrage. Faites un clic droit sur la barre > Lire la suite

Cet article merveilleux et sans aucun égal intitulé : Windows 10 – Quelques conseils pour améliorer les performances ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

]]>
Si votre Windows 10 se traine un peu, voici quelques astuces pour l'alléger un peu. Vous allez voir, c'est du très classique et c'était à peu près la même chose sur les versions précédentes de Windows.

Première étape, faire le ménage dans les applications qui se lancent au démarrage. Faites un clic droit sur la barre de menu Windows ->"Gestionnaire de tâches" ou recherchez le et lancez-le.

screenshot-2016-11-16-12-16-56

Cliquez sur "Plus de détails" pour l'agrandir...

dem2

Rendez-vous ensuite sur l'onglet "Démarrage" et par un clic droit bien senti, prenez soin de désactiver toutes les merdes dont vous n'avez pas besoin au démarrage de Windows. Fastoche !

dem3

Seconde étape, ne pas attendre avant de charger Windows. Bah oui si vous n'avez pas de multi boot, ça ne sert à rien d'attendre les 30 secondes réglementaires avant de charger Windows. Pour cela, rendez-vous dans le menu Windows, et cherchez "Récupération". Ensuite, cliquez sur "Configurer la restauration du système" et cliquez sur "Paramètre" dans la zone "Démarrage et récupération".

start1

Dans la fenêtre qui s'ouvre alors, vous pouvez soit réduire le temps d'attente, soit totalement le désactiver. Ainsi votre Windows se chargera immédiatement.

screenshot-2016-11-16-10-55-37

Troisième étape, revoir la transparence. En effet, y'a des tas de jolis effets sous Windows, dont les effets de transparence de la barre des tâches. Ça bouffe un peu de ressources donc si vous n'êtes pas trop sensible à ce genre de détails, autant désactiver cette transparence. Pour cela, rendez-vous dans le menu "Paramètres -> Personnalisation -> Couleurs" et désactiver l'option qui parle de transparence de la barre de menu.

screenshot-2016-11-16-10-44-14

Quatrième étape, optimiser les performances graphiques... C'est la suite des options cosmétiques de Windows, mais ici, Microsoft a eu la bonne idée d'en faire carrément un menu... Tapez "Performances" dans la barre de recherche et ouvrez les "options de performances".

perf1

Et là, vous verrez toutes les options cosmétiques qui bouffent les perfs de Windows, à savoir des animations, des effets de transitions (ce qui est mal traduit par "Faire disparaitre...")...etc. Là je vous laisse voir ce que vous voulez garder ou enlever. Moi j'ai viré pas mal de trucs.

screenshot-2016-11-16-10-48-25

Voilà en gros pour les optimisations de base.

Pour aller plus loin dans les optimisations, je vous recommande aussi de lire ces tutos qui sont complémentaires :

Bonne optimisation à tous !

source

Cet article merveilleux et sans aucun égal intitulé : Windows 10 – Quelques conseils pour améliorer les performances ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

]]>
4
Korben http://korben.info/auteur <![CDATA[Un smartphone Android acheté, une backdoor chinoise offerte]]> http://korben.info/?p=83906 2016-11-29T13:12:32Z 2016-11-16T09:21:18Z Trop fort les Chinois ! Les chercheurs en sécu de Kryptowire viennent de découvrir une backdoor bien planquée dans le firmware de la plupart des smartphones chinois petit budget vendus aux États-Unis. Et que fait cette backdoor ? Et bien elle collecte des infos comme le journal des appels, les SMS, la liste des contacts, l'historique > Lire la suite

Cet article merveilleux et sans aucun égal intitulé : Un smartphone Android acheté, une backdoor chinoise offerte ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

]]>
Trop fort les Chinois !

Les chercheurs en sécu de Kryptowire viennent de découvrir une backdoor bien planquée dans le firmware de la plupart des smartphones chinois petit budget vendus aux États-Unis. Et que fait cette backdoor ? Et bien elle collecte des infos comme le journal des appels, les SMS, la liste des contacts, l'historique de géolocalisation, les données des applications...etc. et balance tout discrètement toutes les 72 heures à un serveur localisé en Chine.

Ahahah, sacrée opération d'espionnage à grande échelle. D'ailleurs, ce serait environ 700 millions d'appareils qui seraient concernés par ce problème. Le firmware en question aurait été mis au point par la société AdUps Technology localisée à Shanghai et équiperait des téléphones de la marque ZTE, Huawei...etc.

Le plus beau là-dedans, c'est que ce même firmware permet d'installer et de mettre à jour à distance des applications directement sur le téléphone, mais aussi de lancer des commandes root à distance. Toujours d'après les chercheurs qui l'ont analysé, ce serait une backdoor intentionnelle et non pas une erreur de programmation ou une faille de sécurité. En tout cas, une chose est sûre, la backdoor ne peut pas être supprimée ou désactivée.

Ça me rappelle Carrier IQ qui en 2011 avait fait parlé de lui, avec une backdoor de ce genre. D'ailleurs, AdUps va beaucoup plus loin que Carrier IQ.

adups_security_analysis_figure1-copie

Maintenant reste à savoir si ces données récupérées le sont à des fins de tracking publicitaire ou à des fins d'espionnage étatique. En tout cas, AdUps a réagi en expliquant que cette fonctionnalité n'était pas destinée au marché américain mais uniquement au marché chinois pour aider les fabricants de smartphones à monitorer les comportements des utilisateurs.

Lolilol

source

Cet article merveilleux et sans aucun égal intitulé : Un smartphone Android acheté, une backdoor chinoise offerte ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

]]>
17
Korben http://korben.info/auteur <![CDATA[Une faille dans Cryptsetup permet d’obtenir un accès root sur certaines machines Linux]]> http://korben.info/?p=83902 2016-11-16T16:31:22Z 2016-11-16T08:47:35Z Hector Marco de l'université d'Écosse de l'Ouest et Ismaël Ripoll de l'école polytechnique de Valence en Espagne, ont révélé l'existence d'une faille de sécurité dans Cryptsetup, qui permet de récupérer un shell de secours en root sur certains systèmes. Cryptsetup pour ceux qui ne connaitraient pas, est un outil utilisé pour chiffrer des systèmes de > Lire la suite

Cet article merveilleux et sans aucun égal intitulé : Une faille dans Cryptsetup permet d’obtenir un accès root sur certaines machines Linux ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

]]>
Hector Marco de l'université d'Écosse de l'Ouest et Ismaël Ripoll de l'école polytechnique de Valence en Espagne, ont révélé l'existence d'une faille de sécurité dans Cryptsetup, qui permet de récupérer un shell de secours en root sur certains systèmes.

Cryptsetup pour ceux qui ne connaitraient pas, est un outil utilisé pour chiffrer des systèmes de fichiers sous Linux, qui implémente le standard LUKS (Linux Unified Key Setup). C'est ce qui est utilisé par exemple, par défaut sous Debian et Ubuntu lorsque vous activez le chiffrement de votre disque dur.

A priori, la faille se situerait dans un script livré dans le package Debian cryptsetup  <= 2:1.7.2-3. Si vous êtes sous Fedora, vous êtes aussi concerné, car Cryptsetup est utilisé par Dracut, un outil qui permet de générer des systèmes de fichier en RAM (initramfs).

La faille CVE-2016-4484 est facile à exploiter. Il suffit d'avoir un accès à une console sur la machine, et lorsque le mot de passe LUKS est demandé, il suffit d'appuyer sur la touche "Entrée" un grand nombre de fois jusqu'à ce qu'un shell apparaisse. On ne peut pas faire plus simple. J'avoue je n'ai pas encore testé, mais les chercheurs à l'origine de la découverte disent que ça ne prend pas plus de 70 secondes.

Voici une démonstration :

En effet, une fois que le nombre maximum de mots de passe erronés est atteint, la séquence de boot se poursuit normalement et un autre script présent dans Cryptsetup prend le relai et balance un shell BusyBox ou initramfs.

Le risque d'exploitation est élevé dans les lieux publics où il y a des bornes Linux (Distributeurs de billets, bornes dans les aéroports...etc.) car il suffit de rebooter la machine en douce (et y brancher un clavier) sans parler de certaines instances Linux accessibles en ligne comme celles proposés par le Cloud Ubuntu, qui d'après ces mêmes chercheurs pourraient être exploitées à distance sans aucun accès physique. Vous trouverez plus de détails sur cette faille ici.

Bref, autant dire que ça ne sent pas très bon. Pour le moment, seul Debian a patché le truc, sans réagir publiquement, et les chercheurs ne sont pas d'accord avec la façon dont ce patch a été implémenté. D'après eux, le problème est plus général que ça, et viendrait du faire que la séquence de boot GNU/Linux est trop permissive avec les erreurs.

Et si vous ne voulez pas attendre, les chercheurs proposent le patch suivant à appliquer sur le script "scripts/local-top/cryptroot" :

screen-shot-2016-11-15-at-2-53-40-pm

Source

Cet article merveilleux et sans aucun égal intitulé : Une faille dans Cryptsetup permet d’obtenir un accès root sur certaines machines Linux ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

]]>
2
Korben http://korben.info/auteur <![CDATA[Librevault]]> http://korben.info/?p=83896 2016-11-16T06:29:13Z 2016-11-16T06:29:13Z Disponible sous Windows, macOS et Linux, Librevault est une application qui permet de synchroniser vos données entre plusieurs machines, sans avoir à passer par un serveur tiers. Fini donc les Google Drive et autres Dropbox pour synchroniser vos datas. Avec Librevault, vous pouvez reprendre la main là dessus, sans avoir à configurer quoi que ce > Lire la suite

Cet article merveilleux et sans aucun égal intitulé : Librevault ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

]]>
Disponible sous Windows, macOS et Linux, Librevault est une application qui permet de synchroniser vos données entre plusieurs machines, sans avoir à passer par un serveur tiers. Fini donc les Google Drive et autres Dropbox pour synchroniser vos datas. Avec Librevault, vous pouvez reprendre la main là dessus, sans avoir à configurer quoi que ce soit de complexe.

screenshot-2016-11-16-07-25-08

L'outil fonctionne sur un principe de P2P, tout comme BTSync ou encore Syncthing, et a la particularité de tout chiffrer AES-256 en respectant le principe de Zero Knowledge et de transmettre les données en utilisant TLS v1.2. Ainsi la synchronisation peut se faire sur un réseau local ou via Internet.

Librevault est, comme son nom l'indique, sous licence libre et encore en version alpha. J'ai d'ailleurs rencontré quelques crashs sous Mac et Windows.

Vous pouvez le télécharger ici :

Cet article merveilleux et sans aucun égal intitulé : Librevault ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

]]>
3
Korben http://korben.info/auteur <![CDATA[Mesta Fusion – Le radar automatique qui ne laisse rien passer]]> http://korben.info/?p=83880 2016-11-15T11:15:38Z 2016-11-15T11:15:38Z Je lisais un article à la dernière fois sur tous les nouveaux radars qu'on va voir apparaitre aux bords de nos routes français en 2017 et l'un d'entre eux a retenu un peu plus mon attention. Il s'agit du MESTA FUSION. Développé par la société française Morpho, ce super radar au nom de robot venu du > Lire la suite

Cet article merveilleux et sans aucun égal intitulé : Mesta Fusion – Le radar automatique qui ne laisse rien passer ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

]]>
Je lisais un article à la dernière fois sur tous les nouveaux radars qu'on va voir apparaitre aux bords de nos routes français en 2017 et l'un d'entre eux a retenu un peu plus mon attention. Il s'agit du MESTA FUSION.

Développé par la société française Morpho, ce super radar au nom de robot venu du futur pour tous nous exterminer, est capable de relever plusieurs infractions en même temps. Si vous grillez un feu rouge, en excès de vitesse, tout en dépassant sur une ligne blanche et qu'en plus vous ne respectez pas la distance de sécurité avec le véhicule devant vous, tout en tournant à gauche ou à droite alors que c'est interdit, vous serez bon pour 5 infractions d'un coup.

Nouveau radar Safran, modèle Morpho, reportage du 02 09 2015.

Nouveau radar Safran, modèle Morpho, reportage du 02 09 2015.

Et n'espérez pas pouvoir rouler trop lentement non plus, car il sait aussi relever les vitesses trop lentes.

Voici de quoi il est capable pour le moment :

  • Suivi et mesure anticipés de la vitesse
  • Contrôle de différentes limitations de vitesse par voie et par catégorie de véhicule
  • Surveillance des voies interdites et autorisées
  • Détection de franchissement de voie interdit
  • Contrôle de basse vitesse
  • Contrôle des dépassements interdits, y compris pour les motos
  • Contrôle de l'interdistance
  • Mesure de vitesse secondaire pour les analyses à posteriori
  • Enregistrements vidéo : preuves supplémentaires de l'infraction
  • Surveillance intelligente des véhicules qui tournent à gauche et/ou à droite
  • Détection du franchissement de la ligne de stop
  • Collecte de statistiques sur la circulation routière

Je dis "pour le moment", car comme il est évolutif, il sera à terme capable de détecter le téléphone au volant, l'absence de ceinture de sécurité...etc. Niveau perf il est d'ailleurs très impressionnant, car il peut contrôler simultanément jusqu’à 32 véhicules répartis sur 2 x 4 voies dans les deux sens. Et il sait faire la distinction entre une voiture, un camion, une moto...etc. et peut donc verbaliser les excès de vitesse en fonction du type de véhicule, et cela sur une distance de 200 mètres et pour des vitesses allant de 0 à 300 km/h.

Impressionnant !  N'espérez pas lui échapper, car sa marge d'erreur n'est que de 1%.

Niveau technologie, il dispose d'un radar tracker multi cibles (type Dopler) et de caméras haute résolution. Dès qu'il flashe, les données sont ensuite chiffrées et envoyées directement via réseau sécurisé en ADSL, ou 3G. Il pourra être mis à jour à distance ou directement sur place par un opérateur et comme il tournera un plein régime, il est même équipé d'une clim pour se refroidir en plein soleil.

mesta-fusion

Les mecs l'ont installé à Astana dans la capitale du Kazakhstan afin de contrôler la vitesse, le feu rouge, l'interdiction de tourner et le débordement sur une voie de bus, et l'engin a relevé 1229 infractions en une semaine de test.

Dingue ! Si vous voulez le voir de plus près, sachez qu'il est en test sur l'A15 au niveau de Pierrelaye (Val d'Oise).

Et dire qu'il suffirait que tout le monde respecte le code de la route, pour que toute cette économie du flash s'écroule. Ah mais ça n'arrivera jamais, car l'erreur est humaine et Mesta Fusion est le robot parfait pour que nous n'oubliions jamais ça.

Cet article merveilleux et sans aucun égal intitulé : Mesta Fusion – Le radar automatique qui ne laisse rien passer ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

]]>
82
Korben http://korben.info/auteur <![CDATA[Concours MyMusicTeacher – Apprenez la guitare]]> http://korben.info/?p=83871 2016-11-15T10:34:05Z 2016-11-15T10:34:05Z Ça vous dirait de prendre des cours de guitare ? Ça tombe bien, car les copains de MyMusicTeacher que j'ai eu le plaisir de croiser à Metz il y a quelques semaines m'ont proposé de vous offrir des abonnements à leur plateforme. Pour ceux qui ne connaitraient pas encore MyMusicTeacher, il s'agit d'une application multi > Lire la suite

Cet article merveilleux et sans aucun égal intitulé : Concours MyMusicTeacher – Apprenez la guitare ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

]]>
Ça vous dirait de prendre des cours de guitare ? Ça tombe bien, car les copains de MyMusicTeacher que j'ai eu le plaisir de croiser à Metz il y a quelques semaines m'ont proposé de vous offrir des abonnements à leur plateforme.

Pour ceux qui ne connaitraient pas encore MyMusicTeacher, il s'agit d'une application multi OS (PC, Mac, iOS, Android) qui vous permet d'apprendre "vraiment" la guitare, à la manière d'un jeu vidéo. L'utilisateur accède à un parcours d'apprentissage en plusieurs étapes, soit plus de 2600 cours et exercices disséminés sur 15 chapitres.

Au début de l'apprentissage, ce sont de simples vidéos de cours en HD filmées avec 3 caméras pour avoir différents points de vue, puis ça enchaine sur des exercices interactifs et correction temps réel. Car oui, MyMusicTeacher utilise le micro de votre ordinateur / tablette / smartphone pour détecter le son et pouvoir vous dire si vous jouez bien ou comme un gros nul.

exercice_mymusicteacher_france

Au début, ça démarre avec les bases comme apprendre à tenir sa guitare, s'accorder, lire une partition (principe de la tablature) puis ça enchaine sur des choses de plus en plus difficiles. Pour les guitaristes déjà amateurs, ils proposent même des packs de missions où on peut apprendre des techniques avancées comme : le tapping, le sweep picking, le shredd, les gammes, le fingerpicking, etc.

parcours_apprentissage_mymusicteacher_2

Jazz, Rock, Classique, Blues, Pop, Metal, Reggae et Folk. On y retrouve des morceaux connus et le catalogue s'enrichit chaque semaine.

morceaux_mymusicteacher

Ils sont d'ailleurs plus de 26 000 inscrits sur la plateforme et tous les mercredis et dimanches à partir de 20h, l'utilisateur peut se connecter à MyMusicTeacher, et rencontrer Frank, un vrai prof en chair et en os qui donnera un cours et à qui il est possible de poser des questions. Top ça !

cours-video-mymusicteacher

Niveau tarif, les cours en direct, vidéos replay des cours, chapitre 1 du parcours et pack de mission saisonnier sont gratuits à l'inscription, mais pour tout débloquer, il faudra s'abonner pour 19.90€ par mois sans engagement. Il est aussi possible d'acheter les chansons et chapitres à l'unité.

Une nouvelle version va arriver très très prochainement avec un nouveau design, un tracking de la progression plus poussé, l'indication en temps réel des doigts à placer, une détection optimisée pour les mobiles moins récents et pas mal de bugs corrigés.

Bon, et pour le concours, voici ce que vous propose MyMusicTeacher :

  • 1er prix : 1 an d'abonnement à MyMusicTeacher + 1 médiator artisanal de Riki Le Plectrier + 1 jeu de cordes Six Buddy
  • 2e prix : 3 mois d'abonnement à MyMusicTeacher + 1 médiator " Kenny, South Park " de Riki le Plectrier + 1 jeu de cordes Six Buddy
  • 3e prix : 3 mois d'abonnement à MyMusicTeacher + 1 jeu de cordes Six Buddy
  • Lots 4 à 10 : 1 mois d'abonnement à MyMusicTeacher

Attention, ça ne rigole pas, car le médiator est fabriqué à la main par Riki Le Plectrier, ce qui en fait un objet unique.

mediators_riki_le_plectrier

Et concernant les jeux de cordes, c'est de la marque Six Buddy qui a comme concept de proposer ses jeux de cordes dans les bureaux de tabac pour que tous les musiciens puissent en acheter, même dans un village où il n'y a pas de magasin de musique.

Et si vous voulez essayer l'appli avant la fin du concours, utilisez le code cadeau KRBN77X1 qui vous donnera le droit à 1 semaine d'essai sur MyMusicTeacher

Cet article merveilleux et sans aucun égal intitulé : Concours MyMusicTeacher – Apprenez la guitare ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

]]>
2
Korben http://korben.info/auteur <![CDATA[Snaggy – Un moyen simple de partager des captures écrans]]> http://korben.info/?p=83859 2016-11-14T10:54:02Z 2016-11-14T10:54:02Z Besoin de partager rapidement une capture écran ? Ne cherchez plus, Snaggy est là. Ce site vous indique clairement en fonction de votre OS, comme faire une capture écran qui sera placée dans le presse-papier, puis d'un simple "coller" directement sur Snaggy, vous générera une URL pointant vers votre image. URL que vous pourrez partager > Lire la suite

Cet article merveilleux et sans aucun égal intitulé : Snaggy – Un moyen simple de partager des captures écrans ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

]]>
Besoin de partager rapidement une capture écran ? Ne cherchez plus, Snaggy est là.

screenshot-2016-11-14-11-38-20

Ce site vous indique clairement en fonction de votre OS, comme faire une capture écran qui sera placée dans le presse-papier, puis d'un simple "coller" directement sur Snaggy, vous générera une URL pointant vers votre image. URL que vous pourrez partager ensuite sur vos réseaux.

Sous macOS, les raccourcis sont : Shift + Ctrl + Cmd + 3 pour capturer tout l'écran. Et Shift + Ctrl + Cmd + 4 pour capturer une zone. Et pour capture une fenêtre c'est Shift + Ctrl + Cmd + 4 puis barre espace.

Et sous Windows, c'est Alt + Print Screen pour capturer une fenêtre.

screenshot-2016-11-14-11-38-12

D'ailleurs une fois uploadée, votre image pourra être modifiée, c'est-à-dire que vous pourrez y ajouter du texte, dessiner dessus ou la recadrer.

screenshot-2016-11-14-11-40-45

Amusez vous bien !

Cet article merveilleux et sans aucun égal intitulé : Snaggy – Un moyen simple de partager des captures écrans ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

]]>
13
Korben http://korben.info/auteur <![CDATA[Adult Friend Finder hacké – 400 millions de comptes (dont le votre ;-)) dans la nature]]> http://korben.info/?p=83847 2016-11-14T09:42:22Z 2016-11-14T08:50:12Z Pour la seconde fois en 2 ans, le réseau de sites pour adultes, Friend Finder a vu sa base utilisateur s'envoler dans la nature. Au total, ce sont plus de 400 millions de comptes qui sont tombés dans les mains du site LeakedSource, contre 3,5 millions en mai 2015. À cause d'une faille de type > Lire la suite

Cet article merveilleux et sans aucun égal intitulé : Adult Friend Finder hacké – 400 millions de comptes (dont le votre ;-)) dans la nature ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

]]>
Pour la seconde fois en 2 ans, le réseau de sites pour adultes, Friend Finder a vu sa base utilisateur s'envoler dans la nature. Au total, ce sont plus de 400 millions de comptes qui sont tombés dans les mains du site LeakedSource, contre 3,5 millions en mai 2015.

À cause d'une faille de type LFI (Local File Inclusion) présente dans un module sur les serveurs de production, le pirate connu sous les pseudos de Revolver / 1x0123, a pu extraire les données utilisateurs des sites suivants, appartenant au réseau Friend Finder :

  • Adultfriendfinder.com
    • 339,774,493 users
    • "World's largest sex & swinger community"
  • Cams.com
    • 62,668,630 users
    • "Where adults meet models for sex chat live through webcams"
  • Penthouse.com
    • 7,176,877 users
    • Adult magazine akin to Playboy
  • Stripshow.com
    • 1,423,192 users
    • Another 18+ webcam site
  • iCams.com
    • 1,135,731 users
    • "Free Live Sex Cams"
  • Domaines inconnus
    • 35,372 users

Soit un total de 412 214 295 utilisateurs affectés, dont certains inscrits depuis 20 ans. Oui, votre papa est sûrement dans la base de données ;-).

Concernant les datas, il y a tout ce qu'on peut imaginer. Pseudos, emails, photos, messages (+ chats), vidéos, données nécessaires à la facturation... etc.

Niveau mots de passe, ce n’est pas joli joli puisqu’après analyse, 99% des mots de passe ne sont pas chiffrés en base. D'ailleurs LeakedSource a réalisé quelques stats sympas. Voici les mots de passe les plus utilisés :

RankPasswordFrequency
1123456900,420
212345635,995
3123456789585,150
412345678145,867
51234567890133,414
61234567112,956
7password101,046
8qwerty86,050
9qwertyuiop43,755
1098765432140,627
1112312339,614
1211111138,848
13pussy37,938
14fuckme36,008
15asdfghjkl35,021
1600000034,631
17fuckyou34,498
18abc12334,080
190000033,796
201111133,263
215555531,524
225432131,278
2312345230,111
2465432129,624
25pwd123428,061
26zxcvbnm27,237
27iloveyou24,155
28qwert22,499
2966666621,629
30asdfg20,696
31012345678920,485
32azerty19,700
33098765432119,641
34france19,559
35abcd123419,056
36password118,677
37fffff18,461
3811223318,152
3969696918,150
4012332117,703
4112121217,302
42asdfgh16,400
43football16,080
441234567891016,054
45abcde15,789
46qwerty12315,286
471qaz2wsx14,885
4812312312314,691
49pakistan14,173
50aaaaa13,543
51barcelona13,170
52fuckoff12,977
53bigdick12,725
5410203012,564
55asshole12,512
56777777712,280
57baseball12,213
58qazwsx12,181
59liverpool12,129
60fucker11,996
61sexsex11,956
62fucking11,924
6398765411,706
6455555511,680
65aaaaaa11,599
66abcdef11,599
67daniel11,541
68000000000011,400
6922222211,271
70carlos11,256
71superman11,181
72teamo11,044
7312365411,032
7415975310,995
75dragon10,809

Et le pire c'est que certains ont utilisé leur boite mail pro pour s'y inscrire. Ainsi, on retrouve 5 650 emails en .gov et 78 301 emails en .mil. Si j'en juge par les .fr qui trainent, les Français sont aussi présents sur ce réseau de sites. Bande de coquins

RankEmail DomainFrequency
1@hotmail.com96,487,200
2@yahoo.com74,563,930
3@gmail.com61,754,102
4@aol.com9,086,506
5@hotmail.fr5,640,471
6@live.com4,324,630
7@yahoo.fr3,301,523
8@yahoo.com.tw3,026,680
9@hotmail.co.uk2,814,063
10@ymail.com2,642,879
11@msn.com2,222,420
12@breakthru.com2,215,865
13@rediffmail.com2,076,126
14@live.fr1,862,694
15@yahoo.co.in1,852,173
16@yahoo.co.uk1,731,497
17@yahoo.com.br1,709,304
18@hotmail.es1,680,818
19@hotmail.it1,666,715
20@libero.it1,379,122
21@web.de1,242,285
22@yahoo.in1,234,240
23@outlook.com1,225,885
24@yahoo.es1,204,253
25@rocketmail.com1,084,346
26@comcast.net978,480
27@bol.com.br900,003
28@gmx.de852,200
29@yahoo.com.mx784,632
30@yahoo.it683,752
31@mail.com675,590
32@live.co.uk646,636
33@live.com.mx644,434
34@hotmail.de630,410
35@yahoo.co.id580,495
36@yahoo.ca579,302
37@yahoo.de578,757
38@sbcglobal.net573,936
39@orange.fr563,015
40@live.it560,782
41@ig.com.br523,142
42@googlemail.com510,939
43@aim.com497,700
44@yahoo.com.ar464,441
45@abv.bg418,401
46@att.net415,071
47@alice.it395,113
48@yahoo.com.hk380,777
49@yahoo.com.au370,662
50@hotmail.com.br346,287
51@verizon.net341,630
52@live.ca318,949
53@hotmail.com.ar292,864
54@excite.com287,164
55@laposte.net280,167
56@btinternet.com279,092
57@virgilio.it269,784
58@wanadoo.fr268,126
59@bellsouth.net268,070
60@email.com265,114
61@icloud.com264,224
62@yahoo.com.cn261,927
63@facebook.com260,584
64@cox.net260,106
65@windowslive.com259,254
66@tiscali.it257,141
67@live.nl256,422
68@free.fr255,041
69@freenet.de254,195
70@seznam.cz249,557
71@gmx.net248,765
72@o2.pl232,689
73@earthlink.net229,113
74@t-online.de224,136
75@yahoo.com.vn215,779
76@latinmail.com212,064
77@live.com.ar210,307
78@hotmail.ca204,783
79@live.com.au201,867
80@yahoo.co.jp195,025
81@me.com194,905
82@yahoo.gr186,611
83@gmx.at181,420
84@yahoo.com.sg174,536
85@live.cl169,410
86@netscape.net167,281
87@juno.com164,607
88@freemail.hu162,510
89@gmx.com160,957
90@charter.net154,978
91@live.de152,999
92@uol.com.br152,498
93@ovi.com148,861
94@live.com.pt145,438
95@voila.fr144,744
96@bigpond.com144,575
97@sapo.pt141,379
98@yahoo.com.ph140,006
99@terra.com.br138,174
100@inbox.lv133,504

D'ailleurs, ils sont environ 23 millions à utiliser le site en langue française, contre 249 millions en anglais et 63 millions en espagnol.

23 millions de francophones, c'est un beau score Êtes-vous dans le lot ?

Rassurez-vous, le site LeakedSource a publié les schémas des bases, mais contrairement à leur habitude, ils ne mettront pas en ligne les données. Mais cela ne veut pas dire qu'elles ne resurgiront pas dans un coin de net.

Cet article merveilleux et sans aucun égal intitulé : Adult Friend Finder hacké – 400 millions de comptes (dont le votre ;-)) dans la nature ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

]]>
3
Korben http://korben.info/auteur <![CDATA[Trigger Happy – Un clone libre d’IFTTT]]> http://korben.info/?p=83785 2016-11-12T09:21:58Z 2016-11-14T08:00:04Z Vous connaissez sans doute tous IFTTT, le service californien qui permet de connecter ensemble différents services et de réaliser des tas de scénarios cool. Du genre : Il m'arrive de m'en servir et beaucoup d'objets connectés disposent aussi de plugins IFTT, ce qui est vraiment pratique. Mais si vous êtes un libriste convaincu et que > Lire la suite

Cet article merveilleux et sans aucun égal intitulé : Trigger Happy – Un clone libre d’IFTTT ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

]]>
Vous connaissez sans doute tous IFTTT, le service californien qui permet de connecter ensemble différents services et de réaliser des tas de scénarios cool. Du genre :

ifttt

Il m'arrive de m'en servir et beaucoup d'objets connectés disposent aussi de plugins IFTT, ce qui est vraiment pratique. Mais si vous êtes un libriste convaincu et que ce service en ligne ne vous satisfait pas, il existe une alternative libre baptisée Trigger Happy, à héberger vous-même, qui comblera sûrement ce manque à l'intérieur de vous et qui surtout vous évitera de donner vos accès à un service tiers hébergé aux US.

Encore assez jeune, Happy Trigger supporte pour le moment les services suivants :

Développé en Python et s'appuyant sur Django, Happy Trigger s'installe sur votre serveur très rapidement et vous permet de créer ensuite directement vos déclencheurs comme sur IFTTT.

public_services_activated

Là où ça devient sympa, c'est qu'il est bien sûr possible de créer vos propres modules pour vos propres scripts et de les proposer ensuite à la communauté (ou faire la demande de nouveaux services).

À tester !

Source

Cet article merveilleux et sans aucun égal intitulé : Trigger Happy – Un clone libre d’IFTTT ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

]]>
2