Korben Upgrade your mind2016-02-10T17:38:03Z http://korben.info/feed/atomWordPress Korben http://korben.info/auteur <![CDATA[Edito du 09/02/2016]]> http://korben.info/?p=76457 2016-02-09T17:22:43Z 2016-02-09T17:22:43Z Hello,

Un petit édito ultra rapide pour vous signaler que je serai dès demain (Mercredi 10 février 2016) à la conférence LIFT à Genêve.

Au plaisir de croiser certains d'entre vous là bas !

Pour suivre mes péripéties, ce sera sur Twitter (@Korben) et sur Snapchat (Korben00).

K.

]]>
0
Korben http://korben.info/auteur <![CDATA[Contribuez anonymement sur Github grâce à Gitmask]]> http://korben.info/?p=76418 2016-02-05T05:39:54Z 2016-02-09T12:30:17Z > Lire la suite]]> Si vous aimez contribuer à du logiciel libre, mais que vous n'en avez pas le droit à cause de votre boulot (clause dans votre CDI) ou si vous ne souhaitez pas apparaitre publiquement comme un contributeur à tel ou tel sof, voici une solution qui va vous intéresser.

Ça s'appelle Gitmask et une fois en place, ça permet de contribuer de manière anonyme à un dépôt Github. Par exemple, si vous voulez contribuer au projet Bitcoin en anonyme, vous devez ajouter le remote suivant sur votre dépôt.

git remote add gitmask https://git.gitmask.com/bitcoin/bitcoin.git

Comme Gitmask repose sur Github, il saura faire le lien entre ce dépôt bitcoin chez Gitmask et le dépôt Github du même nom. Une fois votre code poussé sur Gitmask, toutes les données personnelles contenues dans vos commits seront anonymisées : email, nom, dates et heures, et tout sera poussé vers Github avec le user anonyme et l'adresse IP de Gitmask.

En gros, c'est un genre de proxy anonymisant pour vos push. C'est top ça non ?

A vous les projets top secret ;-)

]]>
0
Korben http://korben.info/auteur <![CDATA[Quelques astuces Excel pour impressionner votre chef ou vos clients]]> http://korben.info/?p=76416 2016-02-09T15:53:46Z 2016-02-09T09:30:22Z > Lire la suite]]> Alors ceci ne va pas être l'article le plus sexy de la journée, mais si vous passez du temps sur Excel pour votre boulot, voici une infographie qui rassemble quelques astuces sympathiques afin de présenter de la donnée de manière un peu plus sympathique : Formatage conditionnel, prévisions, rapports de performance...etc.

s8neQNJ

Source

Nouvelle série de soldes pour les Raspberry Pi

Réductions sur les kits Raspberry Pi; surveillance du domicile, kits multimedia et Robotique

Découvrez le dernier né de la fondation Raspberry Pi le Raspberry Pi 2 Modèle B 1GB alias le Pi2. Plus performant, plus rapide et plus sophistiqué que son prédécesseur, le RPi 2 répond à une demande de plus en plus forte tout en gardant la même taille.

à voir sur Kubii

]]>
0
Korben http://korben.info/auteur <![CDATA[Darkwire – Un web chat pour discuter anonymement]]> http://korben.info/?p=76404 2016-02-04T13:46:33Z 2016-02-09T08:30:44Z > Lire la suite]]> Si vous voulez discuter tranquillou sur un petit bout de web avec vos potes sans qu'un Bernard ou un Jean Jacques ne s'invite dans la conversation, voici un nouveau service de chat 100% chiffré de bout en bout.

Ça s'appelle Darkwire.io, les sources sont disponibles ici et ça fonctionne de la manière suivante. Lorsque vous vous connectez au site, vous créez un salon de discussion, ce qui génère en local une première paire de clés pour le chiffrement (privée / publique en RSA-OAEP)  et une paire de clés (privée / publique en RSASSA-PKCS1-v1_5) pour la signature. Ensuite votre ami(e) vous rejoint et elle/lui aussi génère ces clés. Ensuite, vous échangez vos clés publiques et vous pouvez commencer à discuter.

Capture d'écran 2016-02-04 14.22.43

Dès qu'un nouveau message est envoyé, une clé de session (en AES-CBC) et un vecteur d'initialisation aléatoire sont créés. Le message est alors chiffré en utilisant ce vecteur et cette clé de session et le tout est signé. Ensuite ce package est transmis au correspondant qui peut alors déchiffrer le message en utilisant sa clé privée, la clé de session et le vecteur. Et la signature est bien évidemment validée. Et si on est plusieurs, le message est chiffré avec les clés publiques de tout le monde.

C'est une implémentation de l'API de crypto web standard et si vous voulez vous pencher là-dessus ou héberger ce code sur votre propre serveur, c'est possible si vous récupérez  les sources.

Le point faible de Darkwire c'est que vous ne savez pas forcement qui vous avez en face. Alors en attendant qu'on puisse s'authentifier pour valider son identité, je vous recommande de mettre au point un mot clé secret en amont avec votre correspondant, la prochaine fois que vous irez boire un verre avec lui.

]]>
0
Korben http://korben.info/auteur <![CDATA[MultibootUSB – Pour configurer une clé USB afin de booter sur différentes distrib Linux]]> http://korben.info/?p=76397 2016-02-04T10:37:20Z 2016-02-08T12:30:40Z > Lire la suite]]> Pour tous ceux qui aiment jongler entre les distributions Linux, voici un outil qui devrait vous intéresser. Il s'agit de MultibootUSB disponible sous Windows et Linux et qui permet de créer une clé USB bootable contenant autant d'ISO qu'il y a de place disponible sur la clé.

Ainsi vous pourrez booter sur des versions Live de votre choix et installer différents Linux partout là où vous passez. Pratique !

Main-Screen2

Multiboot est sous licence GPL (libre), et si votre clé USB n'est pas bootable, sachez que dans l'onglet Syslinux, vous allez pouvoir installer ce boot loader sur votre clé en un clic.

Notez aussi qu'il est possible de retirer proprement une ISO de la clé (pour faire une mise à jour ou un peu de place sur la clé).

À découvrir ici.

Sinon, un tuto pour faire tout ça à la main existe aussi ici et si vous aimez le matos de pro, Zalman commercialise aussi un disque dur qui permet de faire sensiblement la même chose.

]]>
0
Korben http://korben.info/auteur <![CDATA[+10 000 photos libres de droits]]> http://korben.info/?p=76380 2016-02-04T08:39:45Z 2016-02-08T09:30:40Z > Lire la suite]]> Si pour vos projets, vous cherchez des photos dans le domaine public, il existe un site qui s'appelle Finda.photo, qui rassemble plus de 10 000 photos sous licence CC0. Vous pouvez y faire des recherches par mot clé, par thématique, par source et même par couleur dominante.

Capture d'écran 2016-02-04 06.32.34

Et chaque photo est présentée avec son auteur, le site d'origine et sa palette de couleurs.

Capture d'écran 2016-02-04 06.32.22

À bookmarker !

]]>
0
Korben http://korben.info/auteur <![CDATA[Glowbl – Pour diffuser et engager une conversation autour d’un même contenu]]> http://korben.info/?p=76358 2016-02-04T08:36:40Z 2016-02-08T08:30:45Z > Lire la suite]]> J'aime bien les outils collaboratifs en ligne. Je trouve ça toujours autant "magique" de voir que d'autres bossent en même temps que nous sur la même page et on peut vraiment progresser tous ensemble dans le même direction si le projet est suffisamment intéressant et motivant.

Si je vous parle de ça c'est qu'aujourd'hui, je suis tombé sur Glowbl, un service qui de prime abord à l'air d'un immense fourre-tout collaboratif. Que ce soit pour un cours en ligne, un événement, une séance de travail collaboratif, le suivi de votre émission TV préférée ou simplement pour partager un moment entre amis, Glowbl propose tout ce qu'il faut pour discuter autour d'une session en webcam, d'une playlist YouTube, d'une présentation slideshare, de photos instagram...etc.,etc.

Capture d'écran 2016-02-03 17.08.28

Capture d'écran 2016-02-03 17.08.44

Vous ajoutez vous applications, vous invitez des gens et c'est parti pour la fête ! Pratique pour faire des webinaires ou des présentations à vos clients par exemple. L'interface est un peu déroutante au début, mais dès qu'on a pigé le truc, c'est plutôt sympa. Vous placer plusieurs applications et générer des conversations autour de celles-ci. Conversations qui seront dans Glowbl, mais aussi reprises depuis Twitter avec le hashtag de votre choix.

Je vous laisse explorer tout ça, c'est par ici.

Ah et mon espace est ici.

]]>
0
Korben http://korben.info/auteur <![CDATA[Turtl – Un clone d’Evernote chiffré de bout en bout]]> http://korben.info/?p=76362 2016-02-05T10:50:16Z 2016-02-05T12:30:44Z > Lire la suite]]> Si vous cherchez un clone d'Evernote qui soit léger et chiffré de bout en bout, j'ai ce qu'il vous faut. Ça s'appelle Turtl et c'est dispo sous OSX, Linux, Android, Windows et bientôt iOS.

Une fois lancée, l'application vous permet d'enregistrer différents types de contenus : Mot de passe, textes, photos, favoris, fichiers.
Capture d'écran 2016-02-03 17.13.26

Évidemment, pour utiliser Turtl, il faut s'inscrire au service, mais comme tout est chiffré de bout en bout, les mecs précisent bien que vous ne devez pas oublier votre login et votre mot de passe, car il n'y a pas de possibilité de récupération de mot de passe perdu. Vous voilà averti !

Capture d'écran 2016-02-03 17.50.38

Petits trucs plutôt cools, l'éditeur de texte supporte le markdown et pour ceux qui le souhaitent, il existe des bookmarklets pour Chrome et Firefox qui permettent en un clic d'ajouter du contenu dans Turtl depuis votre navigateur.

Capture d'écran 2016-02-03 17.14.44

Toutefois, sachez que Turtl est limité en espace disque. La version gratuite vous permet d'enregistrer uniquement 100 Mb de données. Mais vous pouvez étendre ce stockage à 20 Gb pour 5 € par mois.

Bref, à tester !

VirusRadar, quels sont les virus les plus actifs en ce moment ?


ESET protège contre le ver VBA/TrojanDownloader.Agent.AQY, le plus répandu en France

Avec Virus Radar, vous pouvez voir en quasi temps réel l’évolution des menaces informatiques dans le monde. Identifier les virus les plus actifs par continent ou par pays. Chaque virus découvert est répertorié et automatiquement enregistré dans la base de l’antivirus.

Vérifier toutes les caractéristiques ESET

Accéder à la carte

]]>
0
Korben http://korben.info/auteur <![CDATA[Traquer le débit de votre connexion internet avec un Raspberry Pi]]> http://korben.info/?p=76352 2016-02-03T15:43:18Z 2016-02-05T09:30:12Z > Lire la suite]]> Nos FAI ne respectent pas toujours leurs promesses en terme de débit. C'est pourquoi cet américain a décidé de mesurer heure par heure son débit et de twitter un petit message au support de son fournisseur d'accès internet (Comcast dans le cas présent) dès que sa connexion à 150 Mbps passait en dessous des 50 Mbps.

Un bon gros râleur qui aime automatiser sa ralette. Voici d'ailleurs le script python qu'il a utilisé pour ça. Si je vous parle de ça, c'est que je trouve l'idée plutôt sympathique et même sans aller jusqu'à flooder le compte Twitter du FAI, on peut s'amuser à balancer des alertes, loguer les débits, faire quelques stats...etc.

IMG_5887

D'ailleurs si vous voulez faire pareil chez vous, un tuto est disponible sur Make. Il explique comme grâce à un Raspberry Pi, on peut récupérer des données à partir de speedtests successifs (heure par heure) et les enregistrer dans un tableur Google Docs. Ensuite libre à vous de communiquer ces données à votre FAI pour les pousser à résoudre votre problème. Vous pouvez même automatiser le truc pour déclencher une demande de support (ou un tweet d'insulte ^^) à chaque chute importante de débit.

Screenshot-2016-01-31-22.02.04

Bon par contre, si comme moi, vous mettez à plat la connexion en permanence avec de gros transferts, ce n'est pas vraiment nécessaire. Mais pour ceux qui ont une utilisation normale de leur connexion et qui rencontre des soucis, c'est un bon moyen de garder une trace de ce qui cloche chez vous niveau débit.

Merci à Ove Sentlig pour le partage.

]]>
0
Korben http://korben.info/auteur <![CDATA[Gogs – Installer un serveur Git avec interface web en moins de 10 secondes]]> http://korben.info/?p=76347 2016-02-03T15:11:16Z 2016-02-05T08:30:15Z > Lire la suite]]> Si vous voulez vous monter un petit serveur Git avec interface web, en 2 secondes 12, c'est possible avec Gogs.

Développé en Go, Gogs (pour Go Git Service) tourne sous OSX, Linux, Windows, ARM (Raspberry Pi, Synology avec l'aide de Docker...etc) et nécessite très peu de choses.

  • Une base MySQL ou PostgreSQL ou rien du tout, car SQLite3 et TiDB sont supportés aussi
  • Git
  • Et une machine qui dispose d'un serveur SSH si vous voulez que votre serveur Git soit accessible via SSH. Si vous avez prévu de tout faire en HTTP/HTTPS, ce n'est pas nécessaire.

Ensuite il suffit de télécharger Gogs ici et de lancer le binaire comme ceci :

./gogs web

Notez que des versions Docker et Vagrant sont aussi dispo.

Et voilà ! Un beau serveur Git tout beau tout neuf accessible directement. Pour voir ce que ça donne, je vous invite à tester la démo ici.

Capture d'écran 2016-02-03 15.58.48

Capture d'écran 2016-02-03 15.59.16

Trop magique ! Gogs est sous licence MIT et dispo sous Github.

Source

]]>
0
Korben http://korben.info/auteur <![CDATA[NayuOS – Pour un Chromebook libre (et sans Google)]]> http://korben.info/?p=76304 2016-02-03T07:42:10Z 2016-02-04T12:30:09Z > Lire la suite]]>

Si vous aimez votre Chromebook et ChromeOS, mais que la symbiose avec Google vous dérange un peu, je vous présente un nouvel OS made in France baptisé NayuOS.

Basé sur ChromiumOS, NayuOS est totalement libre, autorise l'écriture sur la partition système et permet de se passer entièrement de compte Google. NayuOS est configuré pour fonctionner uniquement sur le mode "Invité" et les données que vous aurez à manipuler devront être sur une clé / disque USB ou un serveur distant. Rien n'est gardé en local.

Noté que NayuOS supporte cyrptsetup et peut donc lire des partitions chiffrées présentes sur les périphériques USB. Tous les autres outils qui sont présents dans cette distrib sont uniquement des logiciels libres et comme la team s'en occupe souhaite en faire un OS pour les développeurs, ils ont déjà intégré dedans tout ce qu'il fallait pour bosser : git, nodeJS, python, ssh, tcpdump et même Zeroconf pour le firewall et re6st pour forcer l'IPv6.

Evidemment, NayuOS est encore très jeune donc pas encore très garnie ni très stable, mais c'est plutôt sympa de voir que ça bouge côté Chromebook et qu'enfin, il y a une distrib native ChromiumOS conçu pour les développeurs mais aussi pour tous ceux qui tiennent à leur vie privée, construite uniquement à base de logiciels libre, et sans lien obligatoire avec Google.

Si ça vous tente, les images sont téléchargeables ici pour Acer C910 Chromebook 15, Lenovo Chromebook N20, Toshiba Chromebook, Dell Chromebook 13, Acer C720 Chromebook, ASUS Chromebooks C300, Toshiba Chromebook 2, et Chromebook Pixel 2015.

En ce qui me concerne, j'attends la build pour l'ASUS C200 avec impatience !

]]>
0
Korben http://korben.info/auteur <![CDATA[Souris verticale – Mon retour après 2 ans d’utilisation]]> http://korben.info/?p=76292 2016-02-02T15:39:17Z 2016-02-04T09:30:33Z > Lire la suite]]> Comme j'en ai parlé il n'y a pas longtemps avec un ami, je me suis souvenu que je n'avais pas encore fait d'article à ce sujet. Il y a un peu plus de 2 ans, je me suis mis à ressentir des douleurs assez vives au niveau du poignet (canal carpien). Je n'y ai pas vraiment prêté attention, mais celles-ci se sont faites de plus en plus fortes et la douleur s'est étendue au niveau de mon épaule droite, de mon cou et de mon bras.

Je ne vais rien vous apprendre, c'était bien à cause de mon touchpad.

A l'époque, j'utilisais ce truc :

hands

Ces douleurs ne sont donc pas une surprise. Le poignet un peu cassé, reposant sur le bureau, la main toujours contractée, et le doigt en l'air à raison de 8 à 10h par jour ont eu raison de moi. Pour vous dire, j'avais même mal à l'index à force de tapoter sur ce machin qui est tout sauf molletonné. Les spécialistes appellent ça le syndrome de l'épicondylite (syndrome RSI) ou syndrome de la souris.

Mon siège de bureau n'étant pas mauvais, ma posture correcte et mes écrans en face des yeux, j'ai bien évidemment compris ce qui se passait alors je suis retourné à mon ancienne souris.

Mais les douleurs ne passaient pas...

Normal, le poignet était toujours cassé, le bras tendu et l'inflammation déjà bien installée. Je suis donc passé sur la main gauche histoire de soulager un peu mon bras droit, mais j'étais alors beaucoup plus lent dans mes actions quotidiennes et ce n'était que déplacer le problème.

Ça duré des mois comme ça avant que je me décide à creuser un peu plus la question. Je suis alors tombé sur un article conseillant l'utilisation d'une souris verticale pour éviter ce genre de tension. Je ne connaissais pas du tout ce genre de périphérique et j'avoue que j'étais dubitatif, mais j'en ai quand même commandé une en ligne, pour droitier (je n'en ai pas trouvé, mais j'imagine que ça existe aussi pour les gauchers).

verticale

Après une petite période d'adaptation, je me suis familiarisé à la manipulation de la chose et plus les jours passaient, plus les douleurs s'atténuaient, jusqu'à totalement disparaitre à ce jour. Grâce à cette souris, mon poignet n'est plus dans la même position cassée (horizontale) qu'auparavant. Le poignet en position verticale est beaucoup plus naturel et force moins sur les articulations. Et quand on passe, comme moi, des heures et des heures sur l'ordinateur, c'est primordial d'avoir du bon matos.

Capture d'écran 2016-02-02 16.04.24

Celle que j'ai achetée a un repose-poignet intégré, mais totalement inutile (heureusement c'est amovible), elle est sans fil, ne consomme que dalle en piles, dispose d'une molette et de 5 boutons et un petit bouton DPI situé dessus permet de régler la précision au niveau du déplacement.

Donc si vous avez ce genre de douleurs :

  • Pensez à consulter un médecin
  • Adoptez une posture correcte (et achetez un bon fauteuil de bureau)
  • Mettez vos écrans à la hauteur de vos yeux
  • Et passez à la souris verticale !

J'espère que ça aura aidé certains d'entre vous !

]]>
0
Korben http://korben.info/auteur <![CDATA[TronScript – Pour remettre en état un PC Windows en souffrance]]> http://korben.info/?p=76274 2016-02-04T20:30:32Z 2016-02-04T08:30:50Z > Lire la suite]]> Tron est un script batch sorti des entrailles de Reddit qui automatise une bonne grosse session de désinfection et de nettoyage sur les Windows. Compatible avec les versions allant de XP à Windows 10, Tron enchaine plusieurs opérations.

Capture d'écran 2016-02-02 10.29.44

  • Prep: rkill, ProcessKiller, TDSSKiller, Stinger, registry backup, WMI repair, sysrestore clean, oldest VSS set purge, create pre-run System Restore point, SMART disk check, NTP time sync
  • Tempclean: TempFileCleanup, CCLeaner, BleachBit, backup & clear event logs, Windows Update cache cleanup, Internet Explorer cleanup, USB device cleanup
  • De-bloat: remove OEM bloatware; customizable list is in \resources\stage_3_de-bloat\oem\; Metro OEM debloat (Win8/8.1/2012 only)
  • Disinfect: Kaspersky Virus Removal Tool, Sophos Virus Removal Tool, Malwarebytes Anti-Malware, DISM image check (Win8/2012 only)
  • Repair: Registry permissions reset, Filesystem permissions reset, SFC /scannow, chkdsk (if necessary)
  • Patch: Updates 7-Zip, Java, and Adobe Flash/Reader and disables nag/update screens (uses some of our PDQ packs); then installs any pending Windows updates
  • Optimize: page file reset, defrag %SystemDrive% (usually C:\; skipped if system drive is an SSD)
  • Wrap-up: Send job completion email report (if configured; specify SMTP settings in \resources\stage_7_wrap-up\email_report\SwithMailSettings.xml
  • Manual stuff: Additional tools that can't currently be automated (ComboFix, AdwCleaner, aswMBR, autoruns, etc.)

Une phrase de préparation (point de restauration), une phase de nettoyage, une phase de suppression des softs de merde, une phase de désinfection, une phase de réparation du système, une phase de patch et une phase d'optimisation. Il est aussi possible de recevoir un rapport par mail, ce qui peut être pratique si vous le faites tourner sur les machines d'un parc.

Ce logiciel peut sembler peu orthodoxe, mais les sources sont disponibles et toute une communauté bosse dessus. C'est juste un bon gros fichier batch qui exécute tout un tas de commandes systèmes et un peu moins systèmes pour faire du ménage sur des postes en souffrance, malmenés par des utilisateurs peu scrupuleux.

Capture d'écran 2016-02-02 10.44.40

Pour que Tron puisse se lancer correctement, vous devrez le lancer en mode Administrateur sur un Windows en mode sans échec. Sachez aussi qu'un tas de paramètres est disponible pour passer certaines étapes qui ne vous conviendraient pas.

Gardez bien à l'esprit que Tron effectue énormément d'opérations, et que la plupart n'arrangeront pas vos problème. Pire, cela pourrait en créer de nouveaux. Appliquez donc le principe de précaution et faites une sauvegarde de votre ordinateur avant de lancer Tron. Et pour ceux qui aiment la lecture, ouvrez le .bat dans un bloc note, vous allez apprendre plein de trucs sympas !

À découvrir ici.


VirusRadar, quels sont les virus les plus actifs en ce moment ?


ESET protège contre le ver VBA/TrojanDownloader.Agent.AQY, le plus répandu en France

Avec Virus Radar, vous pouvez voir en quasi temps réel l’évolution des menaces informatiques dans le monde. Identifier les virus les plus actifs par continent ou par pays. Chaque virus découvert est répertorié et automatiquement enregistré dans la base de l’antivirus.

Vérifier toutes les caractéristiques ESET

Accéder à la carte

]]>
0
Korben http://korben.info/auteur <![CDATA[Comment faire de l’ASCII Art avec Facebook et Instagram]]> http://korben.info/?p=76269 2016-02-03T12:52:08Z 2016-02-03T12:30:20Z > Lire la suite]]> Saviez-vous qu'il est possible d'obtenir une image en ASCII Art à partir de n'importe laquelle de vos photos Instagram / Facebook ? Il faut évidemment que cette photo soit accessible publiquement.

Par exemple ma photo de cover Facebook est accessible en direct ici :

https://scontent.xx.fbcdn.net/hphotos-xpf1/t31.0-8/56723_321207677986976_2061007100_o.jpg

J'ai obtenu cette URL en faisant un clic droit sur l'image, puis "Afficher l'image". S'il y a d'autres paramètres derrière cette URL, il est probable que votre photo n'est pas publique. Donc ça ne fonctionnera pas.

Capture d'écran 2016-02-02 06.39.18

Ensuite, il faut ajouter simplement .html à la fin de l'URL comme ceci :

https://scontent.xx.fbcdn.net/hphotos-xpf1/t31.0-8/56723_321207677986976_2061007100_o.jpg.html

Et voilà ! De l'ASCII !!! Certes, un peu sombre et un peu dégueu.

Capture d'écran 2016-02-02 06.38.18

Et pour Instagram, chopez l'URL d'une de vos photos :

https://www.instagram.com/p/BAb4b1nCN9o/

Et ajoutez media à la fin, comme ceci, pour avoir l'URL directe :

https://www.instagram.com/p/BAb4b1nCN9o/media

Voici ce qu'on obtient alors :

https://scontent.cdninstagram.com/t51.2885-15/s320x320/e35/12545401_1077452405623018_479274957_n.jpg

Et comme pour Facebook, ajoutez un .html à la fin et voilà !

https://scontent.cdninstagram.com/t51.2885-15/s320x320/e35/12545401_1077452405623018_479274957_n.jpg.html

Capture d'écran 2016-02-02 06.47.11

Sachez aussi que si vous mettez .txt à la place de .html, vous obtiendrez aussi de l'ASCII, mais en texte brut (sans couleur)

Voilà ! Ce n'est pas très utile, mais amusant à savoir ;-)

source

]]>
0
Korben http://korben.info/auteur <![CDATA[My Disk Wiper – Pour effacer proprement vos supports]]> http://korben.info/?p=76266 2016-02-03T18:34:30Z 2016-02-03T09:30:56Z > Lire la suite]]> Vous savez sans doute qu'un formatage n'efface pas réellement les données présentes sur une clé USB ou un disque. C'est d'ailleurs pour ça qu'il est très facile de récupérer des données effacées avec des outils comme Recuva, Safecopy ou encore TestDisk.

Peut-être envisagiez-vous quelques bons coups de pioche et un largage en haute mer ? Ce n'est pas forcement utile, et si vous souhaitez le vendre sur LeBonCoin ou le donner à un ami, il va falloir en prendre soin. Heureusement, il existe des outils qui permettent d'effacer vraiment ce qu'il y a dessus.

Je vous ai déjà parlé de ces outils et bien d'autres... et aujourd'hui, je vous présente un petit logiciel baptisé My Disk Wiper qui nécessite le framework .Net 3.5. Cet outil gratuit est assez simple et écrase en 1 passe, toutes les données présentes sur votre disque dur ou clé USB. Vous pouvez bien évidemment enchainer le processus plusieurs fois pour être certain que même les plus experts ne pourront rien récupérer.

SCN_MyDiskWiper-1

Ensuite, je vous recommande de faire un test de récupération avec les 3 outils mentionnés au début de cet article, histoire d'être assuré que tout est bien irrécupérable.

Source


VirusRadar, quels sont les virus les plus actifs en ce moment ?


ESET protège contre le ver VBA/TrojanDownloader.Agent.AQY, le plus répandu en France

Avec Virus Radar, vous pouvez voir en quasi temps réel l’évolution des menaces informatiques dans le monde. Identifier les virus les plus actifs par continent ou par pays. Chaque virus découvert est répertorié et automatiquement enregistré dans la base de l’antivirus.

Vérifier toutes les caractéristiques ESET

Accéder à la carte

]]>
0
Korben http://korben.info/auteur <![CDATA[SFLVault – Un gestionnaire de mot de passe à héberger vous-même]]> http://korben.info/?p=76255 2016-02-01T17:29:33Z 2016-02-03T08:30:45Z > Lire la suite]]> Hier, je vous présentais Ring développé par Savoir-Faire Linux et pendant que je faisais mes recherches, je suis tombé sur une autre de leur production. Ça s'appelle SFLvault et c'est un serveur de stockage chiffré d'identifiants et un gestionnaire d'authentification.

En gros, un LastPass à autohéberger et utilisable en ligne de commande. Pas d'interface sexy, mais une gestion de groupe, de services et d'utilisateurs multiples, ainsi qu'une commande qui permet via un terminal de s'authentifier facilement.

crypto-scheme

Le gestionnaire d'authentification supporte des saisies d'identifiants pour ssh, mysql, sudo, su, postgres, vnc...etc et vous pouvez bien évidemment développer vos propres plugins. Il est aussi possible de mettre en cascade plusieurs services.

Par exemple, si j'ai enregistré une connexion SSH (avec user sshadmin et mot de passe toto) et un mot de passe root (utilisable avec sudo) sous l'ID de service 58, il suffit que je tape ceci dans mon terminal pour obtenir immédiatement une connexion SSH valide et être en root sur mon terminal.

sflvault connect 58

Vault passphrase: [enter your passphrase] Authentication successful
Trying to login to server1.example.com as sshadmin ...
sshadmin@server1.example.com's password: [sending password...] Last login: Tue Nov 18 17:36:44 2008 from yourmachine.example.com

[sshadmin@server1 ~]$ su root
Password: [sending password...] [root@server1 sshadmin]#

C'est magique ! Évidemment le projet est libre et les sources sont ici.

Pour installer le serveur, c'est par ici que ça se passe. Et pour l'installation du client, rendez-vous sur la home du projet.

]]>
0
Korben http://korben.info/auteur <![CDATA[AnonSec hacke un drone de la NASA et manque de le faire crasher dans l’océan ?]]> http://korben.info/?p=76285 2016-02-03T04:10:44Z 2016-02-02T14:19:39Z > Lire la suite]]> Des membres du groupe AnonSec ont mis en ligne un dump de 250 GB contenant les noms, adresses emails et numéros de téléphone de 2414 employés de la NASA, ainsi que 2143 plans de vol et 631 vidéos capturées à partir des drones, avions et radars de l'agence spatiale américaine.

Capture d'écran 2016-02-02 14.48.13

Dans un "zine" mis en ligne sur Cryptobin, la petite équipe de têtes brûlées explique qu'il y a 2 ans, ils sont entrés dans le réseau de la NASA grâce à un mot de passe admin laissé par défaut, et qu'au fil du temps, grâce à un sniffer de paquets bien planqué, ils ont pu récupérer énormément de logins et mots de passe.

Ils auraient ainsi pu prendre le contrôle de très nombreux serveurs et postes clients, ont pu mapper le réseau de la NASA et découvert tout un tas de détails passionnants sur les missions privées et publiques de l'agence spatiale (y compris des vidéos prises lors de celles-ci), sur les avions, drones et bases aéronautiques.

 Capture d'écran 2016-02-02 14.49.35

Mais là où ça devient tendu, c'est que les petits malins auraient réussi en infiltrant les réseaux du centre de recherche de Glenn, du centre de vol spatial de Goddard et du centre de recherche aéronautique de Dryden, à mettre la main en root sur 3 serveurs NAS utilisés pour conserver (backup) les plans de vol des drones. Les NAS étaient programmés pour exfiltrer en toute discrétion ces plans de vol hors du réseau de la NASA.

Et en étudiant ces logs, les hackers ont remarqué que certains plans de vol n'avaient pas encore eu lieu. Il s'agissait de plan de vols planifiés pour les jours à venir. Ils ont alors remplacé un des plans de vol "pour voir" et arriva ce qui devait arriver. Le drone qui a décollé ce jour-là a bien utilisé le plan de vol modifié par les AnonSec.

Avant cela, il y a eu débat interne au sein du groupe de hackers pour savoir si le risque en valait la chandelle, car jouer avec un drone à 222,7 millions de dollars au-dessus du sol américain, c'était se faire ficher immédiatement comme groupe terroriste, sans parler du risque de tuer des gens en crashant la bête au mauvais endroit.

Mais la fièvre du jeu a eu raison des hackers qui auraient modifié le plan de vol pour envoyer le drone faire un plongeon dans l'océan. Heureusement pour la NASA, l'opérateur qui surveillait le vol a pu reprendre la main avant que le pire arrive. Voici la trajectoire qu'a prise le drone suite à ce plan de vol.

Capture d'écran 2016-02-02 15.12.05

Suite à ça, la NASA aurait lancé un audit pour corriger ses failles de sécurité et à bouter les affreux hors de son réseau. Dans son texte, AnonSec explique que leur but premier était de montrer que le gouvernement américain utilisait ses drones pour manipuler le climat et provoquer des pluies afin de combattre les effets des émissions de Co2.

Ahem...

La NASA n'a pas encore réagi officiellement.

Edit : ça y est, la NASA vient de réagir. Ils expliquent que tout ça serait juste un bon gros mytho et que les données publiées étaient déjà des données publiques. Très étrange toute cette histoire.

]]>
0
Korben http://korben.info/auteur <![CDATA[Ring – Un outil sécurisé, respectueux de la vie privée et libre pour communiquer avec vos amis]]> http://korben.info/?p=76251 2016-02-01T15:12:10Z 2016-02-02T12:30:29Z > Lire la suite]]> SFLphone est un client SIP/IAX2 qui a subi une importante mutation l'année dernière. Relooké et rebaptisé Ring, ce logiciel libre (licence GPLv3) est devenu une véritable plateforme de communication.

Ring permet d'échanger avec vos contacts, en texte, audio et vidéo, le tout de manière chiffrée (AES 128 en point à point) et en reposant sur une architecture décentralisée (OpenDHT).

ring-windows

Maintenu par la société québécoise Savoir-Faire Linux et sa communauté, ce logiciel de VoIP est disponible sous Linux, OSX, Windows et depuis quelques jours sous Android. Pour ceux qui utilisent encore SIP, sachez qu'il est toujours possible de configurer un compte SIP dans Ring et le mode IAX2 compatible PBX devrait lui aussi être remis en place dans les semaines qui viennent.

Un excellent outil pour tous ceux qui veulent se séparer de Skype ou autres clones centralisés.

Télécharger Ring ici.

]]>
0
Korben http://korben.info/auteur <![CDATA[Lupo PenSuite – Une collections d’outils et de jeux portables à emmener partout avec vous]]> http://korben.info/?p=76247 2016-02-01T14:42:20Z 2016-02-02T09:30:24Z > Lire la suite]]> Si vous avez une clé USB qui traine, pourquoi ne pas vous constituer une petite collection de logiciels portables ? Le concept n'est pas nouveau et je suis certain que vous êtes déjà équipé de ce genre de truc, mais pour ceux qui voudraient garder en poche, une collection d'outils pratiques, il existe des trucs tout faits comme Lupo PenSuite.

Cette suite d'outil est destinée à simplifier la vie de son utilisateur. Une fois téléchargée et déployée sur une clé USB d'1GB minimum, vous aurez à votre disposition plus de 160 outils et jeux portables dont voici la liste. Et si quelque chose vous manque, vous pourrez ajouter très simplement le soft de votre choix à cette collection. Des fichiers de langues sont également disponibles si vous voulez passer tout ça en français ou autre.

Capture d'écran 2016-02-01 15.32.38

La Lupo PenSuite existe en 3 versions. Une version complète de 990 Mb, une version allégée de 350 Mb et une version Zero de 5 Mb qui est une coquille vide dans laquelle vous devrez ajouter vous-même vos softs.

Notez que si votre antivirus vous déclenche des alertes, ce sont des faux positifs... Tout est expliqué ici.

À télécharger ici.

]]>
0
Korben http://korben.info/auteur <![CDATA[Modifier un gif animé facilement]]> http://korben.info/?p=76242 2016-02-01T10:29:38Z 2016-02-02T08:30:41Z > Lire la suite]]> Si vous adorez les GIF animés et que vous souhaitez les personnaliser pour leur donner un peu plus d'impact, voici GIF n Text, un service qui offre quelques outils pour retoucher vos Gifs.

Vous pouvez par exemple changer leur taille, ajouter du texte ou une image qui se déplace frame par frame, changer le sens de lecture, accélérer ou ralentir l'animation, modifier la frame de départ et celle de fin...etc. Bref, y'a de quoi jouer, facilement, sans se galérer avec un outil pro.

Voici mon image initiale :

gif-keyboard-1012296612661064149

Et voici celle que j'ai modifiée en quelques secondes :

nia nia nia

Capture d'écran 2016-02-01 11.13.28

Gif n Text vous propose aussi des pages recensant les GIF qui font de la vue et les derniers Gifs modifiés (et publics).

Attention, y'a un peu de NSFW (Not safe for work) dessus...

]]>
0
Korben http://korben.info/auteur <![CDATA[Testez Windows 95 dans votre navigateur (version DOSBox compilée en Javascript)]]> http://korben.info/?p=76229 2016-02-01T05:25:03Z 2016-02-01T12:30:08Z > Lire la suite]]> Le lancement de Windows 95 c'est un sacré souvenir pour moi. Je me souviens encore des annonces, de la musique des Rollings Stones, des explications sur tout ce qu'on allait pouvoir faire avec ce truc... C'était magique à l'époque.

Et effectivement, j'en ai fait des trucs sous cet OS !  Beaucoup plus que sous DOS / Windows 3.1... Windows 95 a posé les fondements de tout ce que je sais faire et comprendre aujourd'hui sous Windows toutes versions confondues. Il y a eu des évolutions, mais pas tant que ça finalement...

Mais si vous êtes né trop tard, et que vous n'avez pas connu cette époque, il est toujours possible de tester Windows 95 grâce à ce portage sous DOSBox réalisé par Andrea.

Capture d'écran 2016-02-01 05.56.44

Vous verrez que c'est un peu long, mais c'est normal, car c'est émulé et DOSBox n'est pas vraiment optimisé pour Win95. Et en plus comme c'est une version de DOSBox compilée en JavaScript grâce à Emscripten, c'est encore moins rapide.

Mais c'est amusant à essayer ou à redécouvrir !

]]>
0
Korben http://korben.info/auteur <![CDATA[Comment poster une vidéo Youtube sur Facebook et lui donner un air de vidéo native ?]]> http://korben.info/?p=76226 2016-02-01T04:32:08Z 2016-02-01T09:30:45Z > Lire la suite]]> Chez Facebook, ils n'aiment pas trop le contenu externe. Alors histoire de ne pas trop renvoyer de trafic là bas, quand quelqu'un insère un lien vers YouTube, ils présentent ceci comme cela :

Capture d'écran 2016-02-01 05.17.34

Mais comment faire pour avoir une vignette un peu plus respectable, un peu plus "native" Facebook ?

Et bien le site YT2FB s'est spécialisé là dedans... Il suffit d'y coller un lien vers une vidéo YouTube pour obtenir un lien de leur cru qui s'affichera comme ceci :

Capture d'écran 2016-02-01 05.18.38

C'est beaucoup plus propre vous ne trouvez pas ? Bon après pour les furieux, YT2FB propose aussi une version pro qui permet de personnaliser le titre, la vignette...etc., mais pas sûr que ce soit vraiment utile mis à part pour ceux dont c'est le métier de poster des trucs sur Facebook :-)

Source

]]>
0
Korben http://korben.info/auteur <![CDATA[Comment ajouter des filtres Instagram-Like à votre projet web ?]]> http://korben.info/?p=76222 2016-01-31T19:07:18Z 2016-02-01T08:30:07Z > Lire la suite]]> Si vous cherchez un moyen d'intégrer des filtres graphiques semblables à ceux d'Instagram dans votre nouveau projet, pas la peine de réinventer la roue.

Grâce à la bibliothèque CSSgram, vous allez pouvoir appliquer directement des filtres sur vos images, directement en CSS.

Capture d'écran 2016-01-31 19.58.17

Pour l'utiliser, téléchargez CSSgram, puis linkez la feuille de style dans votre projet :

<link rel="stylesheet" href="css/vendor/cssgram.min.css">

Et ajouter la classe de votre choix à l'élément figure qui contient votre image. Comme ceci :

<figure class="aden">
<img src="../img.png">
</figure>

Voici les filtres disponibles qui correspondent à ceux d'Instagram :

1977: class="_1977"
Aden: class="aden"
Brooklyn: class="brooklyn"
Clarendon: class="clarendon"
Earlybird: class="earlybird"
Gingham: class="gingham"
Hudson: class="hudson"
Inkwell: class="inkwell"
Lark: class="lark"
Lo-Fi: class="lofi"
Mayfair: class="mayfair"
Moon: class="moon"
Nashville: class="nashville"
Perpetua: class="perpetua"
Reyes: class="reyes"
Rise: class="rise"
Slumber: class="slumber"
Toaster: class="toaster"
Walden: class="walden"
Willow: class="willow"
X-pro II: class="xpro2"

Si vous utilisez Sass, vous pouvez aussi étendre vos styles avec ceux de CSSgram.

Sympa non ?

]]>
0
Korben http://korben.info/auteur <![CDATA[Edito du 28/01/2016]]> http://korben.info/?p=76193 2016-01-29T11:08:51Z 2016-01-28T08:21:45Z > Lire la suite]]> Salut la compagnie,

j'espère que votre semaine se passe bien. En ce qui me concerne, je suis depuis plusieurs jours sur un petit nuage, ce qui explique pourquoi je n'ai pas pu être très assidu sur le post d'articles. Je vous raconte un peu le délire.

Bon, comme vous le savez, la semaine dernière, j'ai annoncé le lancement de BountyFactory, une plateforme pour faire du Bug Bounty, le tout relié avec le jobboard de Yes We Hack que vous connaissez déjà. L'accueil de la presse "qui s'y connait" a été excellent. Avec mon associé, on a ensuite présenté tout ça à la French Tech Normandy, et cela a suscité aussi beaucoup d'intérêt. Bonheur !

Puis on a filé au FIC (Forum International de la Cybercriminalité) à Lille et là c'était l'apothéose ! Tous les RSSI avec qui on a discuté on vu leur intérêt dans notre plateforme, on a eu de très bons échanges et de quoi démarrer en force lorsqu'on sortira de la beta privée. Bref, ça démarre sur les chapeaux de roue... Je supporte la fatigue grâce à l'adrénaline du lancement et du café sous perfusion ;-)

J'ai aussi rencontré plein de lecteurs lors du FIC et c'était vraiment génial de taper la discute et de boire des binouzes avec vous. Encore merci pour votre accueil et votre gentillesse.

Maintenant je vais retourner dans ma grotte en Auvergne, et me remettre au boulot sur le clavier, donc attendez-vous dès la semaine prochaine à des trucs de ouf malade ici même ;-)

Prenez soin de vous !

K.

]]>
Korben http://korben.info/auteur <![CDATA[Vos applications web en applications natives]]> http://korben.info/?p=76130 2016-02-01T13:03:16Z 2016-01-25T09:30:56Z > Lire la suite]]> Les utilisateurs OSX que certains d'entre vous sont, se souviennent peut-être d'Epichrome ou de Fluidapp, des outils qui permettent de transformer un site web en application.

Et bien voici un outil qui fait exactement la même chose à la différence près qu'il fonctionne en ligne de commande et tourne sous OSX, Windows et Linux. Ça s'appelle Nativefier et vous pouvez l'installer comme ceci :

npm install nativefier -g

Capture d'écran 2016-01-22 06.31.36

Ensuite pour créer une application parfaitement basique, il suffit de faire :

nativefier http://korben.info

Ensuite, il existe des tas de paramètres que vous pouvez ajouter qui permettent de faire des tas de trucs rigolos comme app-name qui permet d'ajouter un nom d'application :

nativefier --app-name "Le meilleur blog du monde" "http://korben.info"

ou encore le paramètre "pretend" qui permet de forcer l'affichage de certains sites qui ne voudraient pas s'ouvrir dans votre app.

nativefier --pretend "http://korben.info"

Vous pouvez aussi ajouter une icône en mettant le paramètre icon :

nativefier --icon C:\chemin\vers\icone.ico "http://korben.info"

Et si vous êtes sous Linux et que vous voulez générer des app Windows ou OSX ou vice versa, il suffit d'utiliser le paramètre "platform" pour spécifier l'OS.

nativefier --platform win32 "http://korben.info"

Tous les paramètres sont documentés ici.

Source

]]>
Korben http://korben.info/auteur <![CDATA[MyPaint – Pour dessiner librement sous OSX, Linux et Windows]]> http://korben.info/?p=76090 2016-01-19T07:17:44Z 2016-01-25T08:30:50Z > Lire la suite]]> Disponible sous Linux, OSX et Windows, MyPaint est une application libre qui permet de dessiner avec ou sans stylet (ça gère la pression) ou d'éditer des photos.

Capture d'écran 2016-01-19 07.14.08

Pinceaux variés, brosses, gomme, lignes, ellipses, gestion des calques, gestion des couleurs...etc., on retrouve tout l'attirail de l'artiste en herbe qui veut laisser libre court à son imagination.  MyPaint est un genre de Microsoft Paint bien gonflé aux fonctionnalités, lui permettant de rester à la fois simple à utiliser tout en ayant le confort moderne qu'on peut attendre d'un logiciel de dessin.

À télécharger ici.

]]>
Korben http://korben.info/auteur <![CDATA[6 licences Cordial à gagner]]> http://korben.info/?p=76140 2016-01-24T12:14:08Z 2016-01-22T13:05:16Z > Lire la suite]]> Je vous propose aujourd'hui de gagner 6 licences du correcteur Cordial.
A la manière d'Antidote, pour vous situer le soft au cas où vous ne le connaîtriez pas encore, Cordial est un correcteur orthographique et de grammaire.

EDIT: Situer = -er les amis, la regle expliquée ici ;)
www.projet-voltaire.fr/blog/regle-orthographe/«-vous-parler-»-ou-«-vous-parlez-»

Deux fonctions m'ont particulièrement intéressé, le côté machine learning, puisque la communauté des utilisateurs Cordial remontent de nouvelles règles grammaticales et erreurs orthographiques, qui viennent alimenter les algos du logiciel mais aussi la fonction d'apprentissage qui permet de ne plus utiliser le correcteur aveuglement, mais d'apprendre des erreurs, en même temps qu'il les corrige, plutôt cool.
Mais bon, à force, on risque de devenir un crack en français et de ne plus avoir besoin de soft ;)...la boucle est bouclée.

La version Reference, que je vous propose de gagner, inclut:

  • Correction d'orthographe
  • Analyse stylistique (vérification du style et de la lisibilité de votre texte)
  • Dictionnaire de définitions
  • Dictionnaires d'aides à la rédaction
  • Maintenance gratuite pendant 1 an
  • Installation 3 postes en utilisation familiale

Pour ceux qui souhaiteraient l'intégrer à leur éditeur de texte préféré, pas de panique, le truc est compatible Word, OpenOffice ou LibreOffice, tout est bon.

Sachez aussi, que comme BonPatron, une version en ligne existe

Pour jouer, ça se passe en bas:

]]>
Korben http://korben.info/auteur <![CDATA[Sandstorm – Une plateforme open source pour votre cloud personnel]]> http://korben.info/?p=76083 2016-01-22T16:38:54Z 2016-01-22T09:30:08Z > Lire la suite]]> Vous l'avez peut-être expérimenté grâce à mon article précédent, mais si vous êtes passé à côté, ce n'est pas grave, car c'est suffisamment cool pour que j'en fasse un article.

Si l'autohébergement est votre dada, je vous propose d'expérimenter Sandstorm, une solution open source qui permet de déployer en quelques clics n'importe quelle application web. C'est encore plus simple que d'installer une application sur son smartphone :--)

Capture d'écran 2016-01-19 06.13.40

Une fois en place sur votre serveur Linux, Sandstorm vous propose (pour le moment) 48 applications dont WordPress, TinyTiny RSS, Mediawiki, Framadate, Gitlab...etc. qui une fois déployées tourneront dans une sandbox, évitant ainsi d'éventuels problèmes de sécurité ou remontées de données intempestives vers les développeurs des apps.

Capture d'écran 2016-01-19 05.59.20

Pas de config à faire, pas de ligne de commande à taper, un système de login unifié (SSO), la possibilité de partager des accès avec d'autres gens et bien sûr toutes vos données sont conservées au même endroit, sur votre serveur (ou sur les serveurs de Sandstorm.io si vous choisissez leur offre d'hébergement).

Capture d'écran 2016-01-19 06.15.34

Pour faire tourner Sandstorm, vous aurez besoin d'un serveur Linux 64 bits connecté au net avec 2 GB de Ram. Ensuite, il suffit d'entrer la ligne de commande suivante et de suivre les instructions.

curl https://install.sandstorm.io | bash

Amusez-vous bien !

Les visages connus et inconnus de la menace informatique


La sécurité informatiques a de multiples visages

Les risques qui entourent le système d’information des entreprises sont nombreux et variés. Tous n’ont pas les mêmes conséquences mais tous doivent être pris en compte par les DSI. De la perte d’un ordinateur portable aux échanges d’informations confidentielles par mail en passant par l’incendie des locaux, toutes sortes de situations peuvent entrainer des pertes de données…

Lire la suite sur le blog - En partenariat avec Dell

]]>
Korben http://korben.info/auteur <![CDATA[Wekan – Un clone de Trello à héberger vous-même]]> http://korben.info/?p=76080 2016-01-19T04:55:28Z 2016-01-22T08:30:10Z > Lire la suite]]> Si vous utilisez le service Trello pour gérer vos projets et partager les tâches grâce à la méthode Kanban, sachez qu'il existe un clone du service que vous pouvez héberger vous-même.

Ça s'appelle Wekan (notez le jeu de mots ;-))  et ça va vous permettre de vous organiser, soit à titre personnel, soit avec vos amis ou collègues. D'un seul coup d'oeil, vous verrez l'état actuel de vos projets et pourrez vous concentrer uniquement sur les tâches qui importent le plus.

687474703a2f2f692e696d6775722e636f6d2f6349346a5732682e706e67

C'est d'ailleurs ça qui fait le succès de Kanban. Cette méthode consiste à afficher en flux tendu, une liste réduite d'éléments de la todo, pour ne pas stresser ou submerger celui qui doit les réaliser. Je ne suis pas un grand expert en Kanban donc je vous invite à lire ces explications.

Sur le site, vous pourrez tester le service ou télécharger le code à installer sur votre serveur.

]]>
Korben http://korben.info/auteur <![CDATA[B0unty Factory – Je vous dis tout sur le Projet X que j’ai annoncé la semaine dernière]]> http://korben.info/?p=76069 2016-01-20T16:11:13Z 2016-01-20T22:00:47Z > Lire la suite]]> Bonne nouvelle !!! Il est temps pour moi de vous dévoiler le fameux Projet X sur lequel j'ai teasé un peu la semaine dernière.

Si vous travaillez dans la sécurité informatique ou que votre société fait appel à des experts en sécurité, vous connaissez sans doute Yes We Hack Jobs, la partie site d'emplois spécialisés dans les métiers de la sécurité de Yes We Hack. Ce site, lancé lors d'une Nuit du Hack, a maintenant plusieurs années d'existence et fonctionne à plein régime. Et il y a quelques mois de cela, nous avons aussi lancé FireBounty, un agrégateur de bug bounties qui commence a bien se démocratiser.

Mais vous me connaissez et vous connaissez l'équipe de Yes We Hack, on n'est pas du genre à s'arrêter en chemin. C'est pourquoi, dès demain (le 21), juste après la conférence de presse, nous allons lancer B0unty Factory.

Capture d'écran 2016-01-18 18.16.31

Il s'agit de la première plateforme européenne de Bug Bounty. Pour ceux qui ne le sauraient pas encore, un programme de bug bounty permet à une entreprise de faire tester son site et ses applications dans un périmètre précis à tout chercheur en sécurité qui le souhaite. Si celui-ci découvre une faille, il informe alors l'entreprise qui le récompense, le plus souvent financièrement, et qui peut alors corriger la faille. Google, Facebook ou encore Mozilla proposent depuis longtemps leurs programmes de Bug Bounty pour la plus grande joie des pentesteurs (chercheurs en sécurité). Si le sujet vous intéresse, j'ai rédigé, il y a quelques semaines, un long article sur les bugs bounties.

Voilà pour le petit cours magistral sur ce qu'est un bug bounty ! ye

Le Bug Bounty a plusieurs avantages :

  • Il peut être lancé très rapidement (Nous avons même imaginé un générateur de bug bounty pour vous guider et si besoin, nous vous accompagnerons évidemment).
  • La recherche de vulnérabilité étant effectuée par des dizaines d'experts en sécurité, les retours obtenus sont très riches et variés.
  • Le bug bounty est un audit permanent.
  • Les récompenses sont attribuées en fonction du type de faille, de sa gravité, de sa fraicheur, et de la richesse des retours techniques qui l'accompagnent.
  • Le programme de bug bounty peut être proposé de manière publique ou privée à une poignée d'experts triés sur le volet.
  • Il permet de sécuriser le chercheur en sécurité en donnant un cadre officiel à son pentest.

Malheureusement, peu de sociétés se donnent la peine de rechercher des failles dans leurs plateformes. Et celles qui le font confient le plus souvent cette tâche à des prestataires qui effectuent des audits peu fréquents, onéreux et limités dans le temps. D'autres encore connaissent le principe du bug bounty et s'inscrivent sur des plateformes étrangères qui sont cools mais malheureusement toutes américaines.

Je dis malheureusement, car vous savez comme moi que toutes les entreprises américaines sont soumises au Patriot Act. Cela signifie que si une entreprise européenne confie son programme de Bug Bounty à une plateforme américaine, il se peut que les failles et les exploits envoyés par les chercheurs en sécurité du monde entier, intéressent de près des organisations comme la NSA. Cela est donc un exercice périlleux pour la société située en Europe.

Il était donc indispensable de proposer une plateforme de bug bounty qui soit Européenne et qui permette à toutes les sociétés d'améliorer leur sécurité, peu importe les pays où elles se trouvent. Pour résumer, B0unty Factory fait office d'intermédiaire technique, financier et législatif entre les pentesteurs et les sociétés qui souhaitent lancer leurs Bug Bounties. Si le sujet vous intéresse, je vous invite à lire notre FAQ.

Ce que nous allons proposer au sein de Yes We Hack, c'est un cercle vertueux entre les compétences des experts en sécurité qui recherchent du travail / des missions et les besoins en recrutement des entreprises. Une société qui recherche un bon expert en sécu pourra grâce à Yes We Hack, trouver les compétences qu'il lui faut, grâce au système de classement que nous avons mis en place côté bug bounty. En effet, les bug bounties permettront d'ajouter des points opérationnels au pentesteur afin de valoriser son profil sur Yes We Hack.

it-works

Notre but est de permettre à n'importe quelle société, qu'elle soit basée en Europe ou au-delà, d'améliorer fortement son niveau de sécurité. J'ai parfaitement conscience que lancer un bug bounty demande un certain effort, notamment pour tous ceux qui sont habitués à pratiquer de la sécurité par l'obscurité. Mais sachez que les failles remontées restent confidentielles (Pas de full disclosure ici) et qu'il vaut mieux offrir une récompense à quelqu'un qui a réussi à débusquer une faille pour pouvoir ensuite la corriger immédiatement, que de rester dans l'ignorance et constater qu'un jour, elle a été vendue et utilisée à mauvais escient.

L'équipe de Yes We Hack / B0unty Factory se compose de développeurs de talent, d'experts chevronnés en sécurité, et de professionnels du bug bounty. Nous avons tous de nombreuses années d'expérience dans la sécurité et l'entrepreneuriat et nous prenons ce chemin, car nous sommes convaincus que la sécurité participative (crowd security) est promise à un brillant avenir.

crowd_security

Pour le moment, même si vous pouvez vous inscrire sur le site, nous fonctionnons encore en beta privée. Nous avons déjà plusieurs partenaires avec lesquels nous travaillons, notamment le moteur de recherche européen Qwant qui dès demain va annoncer officiellement l'ouverture de son bug bounty chez nous. Ils ont été les premiers à lancer un bug bounty lors de la Nuit du Hack 2014 et ils seront les premiers à utiliser B0unty Factory.

Nous vous réservons évidemment bien d'autres surprises dans les jours et semaines à venir autour de B0unty Factory ! C'est le début d'une nouvelle aventure qui commence pour nous et j'espère que vous nous suivrez dans celle-ci ! Merci d'avance pour votre soutien !

La bonne nouvelle c'est que le projet a suscité l'attention d'investisseurs de type VC et nous nous lancerons prochainement dans notre première levée de fonds.

Pour les journalistes, blogueurs, youtubeurs...etc. qui le souhaitent, nous tenons une conférence de presse demain matin (le 21/01) à 9h15. Contactez presse@yeswehack.com si vous voulez y assister. Je serai aussi avec l'équipe YWH à Seine Innopolis (à Rouen) à 10h du matin le 22 janvier pour expliquer à la French Tech comment la crowd security et le bug bounty vont améliorer leur compétitivité. Tout un programme !

Pour en savoir plus, je vous invite à vous rendre sur YES WE HACK.

]]>