wintersh: FlupKe aime pas les CRT. wintersh: wintersh aime pas les TFT. wintersh: On baise ? wintersh: (les opposés s'attirent, dit-on) x_O: y a qu'à voir tous ces hommes forniquer avec les femmes -- http://www.bashfr.org/?1475
Fabrice Bellard, créateur de l'émulateur libre, QEMU et développeur sur le projet FFMPEG, en autres choses, a réalisé l'exploit d'émuler entièrement en javascript un PC. Je crois que je n'ai pas bien conscience du travail que ça doit représenter mais mon sentiment, c'est que c'est un gros morceau de coding de furieux.
Sous Chrome, ce "PC" n'a pas booté mais sous Firefox, no problem ! Vous pouvez le tester vous même ici. Et comme Fabrice Bellard est un homme de goût, il a fait démarrer son PC Javascript sur un linux basique mais fonctionnel, (Avec les commandes de base).
Ce week end, je vous contais la merveilleuse histoire de TMG qui laissait ouvert à tous vents un de ses serveurs, dévoilant les données personnelles des internautes surveillés ainsi qu'une liste des oeuvres téléchargées...
Et les réactions ne se sont pas fait attendre...
Tout d'abord, on a eu une réaction officielle de l'Hadopi :
Réaction "correcte" on va dire. Disons qu'à force de se prendre des coups de latte en travers de la tronche, ils ont appris à communiquer. C'est moins roots qu'avant et ça ne peut pas leur faire de mal. (Mais ça reste une belle bande de comiques quand même, hein ;-)). D'après ce que j'ai lu sur Twitter, Hadopi a quand même suffisamment d'IP en stock pour faire tourner l'envoi de mail durant 2 mois sans avoir besoin de TMG (hmmm à vérifier..)
Au tour ensuite de TMG, qui d'un coup sort les rames... Pirouette cacahuete, ni vu ni connu, j'tembrouille avec un superbe communiqué qui grosso modo disait : "Ah mais non, mais c'est rien ça c'était juste un serveur de test avec des données bidons... Roooh z'êtes cons les mecs".
Je cite le dirlo :
"Ces données proviennent d’un serveur de tests de la société dédié à son équipe de R&D. A aucun moment, les infrastructures utilisées par TMG dans le cadre de ses opérations n’ont été impactées, en particulier la plate-forme dédiée à la collecte d’infractions sur les réseaux P2P pour le compte des ayants-droits dans le cadre de la loi HADOPI. Aucune donnée confidentielle et personnelle n’a été éditée sur Internet".
N'empêche que comme l'avait montré Bluetouff, il y avait quand même de vraies IPs dans les fichiers... Alors serveur de test ou pas, TMG passent quand même pour des gens chargés de monter et démonter les chapiteaux.
Mais l'Oscar de l'explication la plus bidonnante, on la doit à la SCPP, qui a du faire son repas Pâté-Beaujolais un peu en avance cette année et qui explique elle aussi dans un communiqué très bien mis en avant chez mes amis de Numérama que :
Cher tous,
Suite à l’information publiée dans la presse sur le piratage d’un serveur de TMG, TMG nous a informé que le serveur effectivement piraté était un serveur de tests de TMG (sans lien avec les traitements HADOPI), qui n’était pas protégé car ne contenant pas d’infos confidentielles.
Les serveurs TMG utilisés pour la HADOPI n’ont pas été piratés et aucune donnée confidentielle n’a donc fuité à l’extérieur de TMG ou de la HADOPI.
TMG doit faire un communiqué de presse à cet effet.
Marc GUEZ
Y'a pas de doutes, M. Guez n'abuse pas du café ;-) hahahaha. Tout est clair comme de l'eau de roche... On sent la MAITRISE DU SUJET !
Bref, pour ceux qui n'auraient pas compris : Il n'y a pas eu de piratage. Les données étaient accessibles à tous. D'ailleurs, ces mêmes données, sensibles, à la fois pour les internautes dont les IPs figurent dans les logs, mais aussi pour TMG qui a laissé échappé une partie de son "intelligence technique (si on peut appeler ça comme ça), sont en court d'analyse par des petits malins qui ont déjà réussi à identifier les Fake ID utilisés et chopé un mot de passe d'une autre machine présente sur le réseau local de TMG.
Bref, c'est la fête, tout part en couille et nous on se marre bien... Mais jusqu'à un certain point car quand on connait le budget de l'Hadopi (12 M€ pour 2011), on se dit qu'ils auraient pu au moins s'entourer de prestataires techniques compétents.
Bref, manque plus qu'un petit commentaire de Pascal Nègre, et on pourra en faire un vrai vaudeville au théatre ! J'attends la suite avec impatience !!!
On connait enfin le véritable coupable, qui a mis au point l'attaque contre Sony, qui a visé le PSN et a fait s'envoler dans la nature toutes les informations personnelles des joueurs Playstation.
On continue une dernière fois avec l'Open HackDay qui s'est bien terminé hier... Chaque hack a été présenté par les participants, et le jury a ensuite fait son choix sur les gagnants. Je vais juste vous présenter les projets que j'ai bien aimé...
evA-Ziune : Un site couplé à une application Android, qui permet de géolocaliser toutes les petites fraudes fiscales en Roumanie (argent collecté mais non déclaré par un commerçant par exemple).
The BatMail : Bon esprit, il s'agit d'un plugin pour Yahoo Mail qui permet de rassembler les discussions sous forme de sujets (comme dans Gmail), et de voir le profil "social" de vos contacts.
The Yahoo! Farm : Une excellente idée, qui récupère des infos chez Yahoo! comme la météo, les contacts messenger, combien de mail vous avez reçu et la force du vent, le tout sans avoir besoin d'un ordinateur, mais simplement d'un Arduino et d'un compte Google App Engine.
YMotion : Pas de site en ligne malheureusement mais une utilisation très sympa de Flickr. A partir d'un mot clé (genre hashtag lié à un événelment), l'application récupère les photos Flickr et scrute les visages des gens pour trouver qui est heureux (beaucoup, un peu, pas du tout) et ainsi faire une moyenne de la joie sur le lieu en question.
Mood Music : Application qui se renseigne sur la météo à un endroit donné et qui affiche une playlist correspondant à cette météo... Genre ballades romantiques s'il pleut ou musique plus péchue s'il fait beau.
Yahoo Social Programming : Plugin pour Eclipse qui permet d'intégrer Yahoo Messenger à l'intérieur de l'IDE. Plus tard, ils intégreront le formatage du code et la drag n drop.
Take a Hike : Cette application recense tous les déplacements des hommes politiques (roumains) et établi une carte avec des points de chaleur pour savoir s'ils voyagent beaucoup et où ils vont (aux frais du contribuable)
Face Off : Vous uploadez une photo de vous, et l'application vous sort les autres photos de vous disponible sur Flickr. J'ai fait un test avec ma tronche et ça n'a pas spécialement fonctionné. Mais bonne idée quand même.
Pademic Alert : Un bon petit délire qui recense les attaques de zombies dans le monde entier.
Yahoo! Worm : Je vous en ai parlé hier... faille XSS, toussa toussa
Hacksenger : Une petite application qui chiffre en temps réel vos conversations Yahoo Messenger
Where's Tweety : Une carte Yahoo qui affiche les tronches des mecs qui parlent d'un sujet précis sur Twitter. Fun.
CitizenTalk : J'aime beaucoup le concept de Citizen Talk. C'est comme un bugtracker mais pour la vie réelle. Les habitants d'un même quartier peuvent entrer des infos comme un arbre qui va tomber ou un nid de poule dans une route, et la mairie peut ensuite faire quelque chose pour améliorer le cadre et la vie de ses concitoyens.
LinkBeam : une extension pour chrome et un bookmarklet qui permet de balancer un lien d'une machine à une autre.
Deforestation : Une appli pour géolocaliser les endroits où la forêt est abimée et permettre aux autorités de replanter. C'est du crowdsourcing.
Doodle Bot : Un paint en ligne avec un vrai robot qui dessine sur du papier, ce que vous dessinez sur l'application.
Il y en a eu d'autres et si vous voulez la liste complète, c'est par ici. Au niveau des gagnants, il y a eu plusieurs prix sur différents thèmes... Si je me souviens bien, c'était le site sur la déforestation, Batmail, Ymotion!...etc (j'essayerai de retrouver le détail plus tard)
Mis à part ça, je me suis fait un pôte Roumain, Laurentiu. Un consultant, super sympa avec qui j'ai pas mal discuté durant la journée. Le soir, avec des amis à lui, on est allé faire un tour dans un des parcs de Bucarest puis dans le vieux centre ville. Bonne ambiance, pas mal de monde et un bon petit concert de Directia 5, un groupe apparemment super connu et super apprécié dans le pays. En tout cas, mes nouveaux amis ont adorés.
Et dire que ça va bientôt être l'heure de repartir pour Paris... Ouin ! En tout cas, Bucarest a l'air d'être une chouette ville et j'espère y retourner à l'occasion. Quant à l'Open HackDay c'était vraiment exceptionnel. Excellente organisation, équipe super sympa, bouffe excellente, et des hacks vraiment fun. Je me suis beaucoup amusé ! Encore merci à tout l'équipe de Yahoo! pour son accueil.
Je suis actuellement à Bucarest où j'assiste à un Open Hackday organisé par Yahoo! . Objectif pour les participants : Pondre un hack original utilisant les technos de Yahoo!
Sur place, j'ai rencontré Paxnwo, un hacker de type blackhat qui va surement bien surprendre les membres du jury. En effet, il a découvert pendant les premières heures du concours une faille XSS sur le site Yahoo.com, ou plus exactement dans Yahoo! Pipes.
Ironique non ?
Du coup, il a conçu un exploit plutôt impressionnant. En envoyant à un utilisateur de Yahoo Mail, un lien vers une page de son cru, il récupère les informations du cookie et peut ainsi voler la session de sa victime.
Grâce à son outil, il peut alors faire plusieurs choses comme vérifier si l'utilisateur est en ligne, récupérer ses contacts, s'identifiant en tant que cet utilisateur et lire ses emails, et cerise sur le gateau, faire un "Mass send" qui enverra le fameux mail avec le lien "infecté" à tous les contacts de la victime.
Diabolique !
Pour info, la fonction Delete sert uniquement à faire un clear de la session volée pour passer à une autre.
Je lui ai demandé s'il allait expliquer à Yahoo! comment corriger cette faille mais il m'a répondu que non. Il va garder cette faille pour lui et l'exploiter pour "sa consommation personnelle". Ahaha l'affreux Blackhat !
Edit : Finalement, il vient de montrer le code au jury de Yahoo! et l'un d'entre eux a prévenu par SMS les développeurs. J'ai eu le temps de faire mes captures écran, mais à mon avis, ça va être rapidement patché.
Juste pour la petite histoire, les services secrets Roumains étaient présents ce matin, pour prendre des photos des participants, façon "discrète mais pas trop" (vous connaissez la police...)
Vous pouvez retrouver Paxnwo et ses pôtes sur le site de sa team : rstcenter.com (en roumain)
Après une petite soirée jusqu'à pas d'heure avec les amis Paul Da Silva, Kangoulya et Kitetoa, j'ai quitté Paris avec 6h de sommeil dans les pattes (pas récupéré des nuits agités de mini-moi donc) direction Bucarest.
Au programme, 24 heures de hack non stop ! Je suis malheureusement arrivé trop tard pour les confs du matin, et c'est bien dommage car ça avait l'air passionnant. Jon Leblanc, ingé chez Y! a fait une petite présentation sur le YQL...
Je vous ai déjà parlé de cette techno mais pour ceux qui ne connaissent pas, grosso merdo, c'est un langage de requêtes mis au point par Yahoo!, sur le modèle du SQL (join, filter, select ...etc) sauf qu'au lieu d'interroger une base, vous interrogez des webservices, avec seulement quelques lignes de code. Quand je dis "webservice", je parle en fait d'Open Data Tables.
Lucas Smith (développeur chez Y!) a ensuite enchainé sur une explication de Yahoo UI, un frameworks CSS/JS qui permet très simplement de monter une interface riche sur ses applications web. Pour l'avoir utilisé dans des projets pro, je peux vous dire que c'est vraiment puissant. Et en plus, c'est sous licence BSD, donc libre d'utilisation.
Reid Burke (Ingénieur sur YUI) a ensuite présenté le framework javascript Node.js. Si vous ne connaissiez pas encore, je vous recommande de tester. On peut faire pas mal de choses avec, appliquées au temps réel, comme des jeux multijoueurs en JS, des chats, des tableaux blancs pour faire du travail collaboratif...etc.
Il y a eu d'autres confs, mais je n'ai pas encore récupéré les slides, donc je vais passer à la suite...
LA DANSE ROUMAINE ! Alias The Algorithmics...
Un petit moment de folklore bien sympathique, que je me fais un plaisir de partager avec vous.
Ensuite, après une bonne platrée de Spaghetti pour les éleveurs de champions Roumains, Douglas Crockford, architecte javascript, nous a fait un petit speach sur JSON. Je n'ai pas la prez mais par contre, je vous invite à aller faire un tour sur son site. Il a mis en ligne une série de vidéos qui m'ont l'air passionnante (j'ai maté la moitié de la première) dans lesquels il parle de l'histoire du javascript et de ses usages. Un must pour les curieux.
Au niveau du hackaton, pas de thème particulier cette année... Juste, faites un hack... Je n'ai pas encore fait le tour de tous les projets. Mes voisins de table sont en train de porter une version de Worms en HTML5, et certains jouent avec des petits robots qui vont dessiner je ne sais trop quoi (et je ne suis pas sûr qu'ils le savent eux-même)
Le Cristal Palace où se déroule l'événement est composé de plusieurs salles. La salle principale dans laquelle ça suinte le jus de cerveau,
une salle de repos pour le dodo et surtout une salle de jeu pour la détente... Billard, puissance 4 géant, Wii, Kinect...etc. A la cool...
Un truc rigolo aussi, c'est les tatouages au henné, made in Yahoo! (non, j'ai pas fait ;-))
A l'heure où j'écris ces lignes, il reste 14h51 aux 400 participants pour pondre leurs hacks. J'ai vraiment hâte de les voir, j'vous raconte pas. J'avais gardé un bon souvenir de Londres car les mecs avaient vraiment fait des trucs bluffants. Ici, il y a principalement des Roumains (+ une poignée d'étrangers et 0 français à part moi) et il parait que les mecs sont très forts en développement... Je suis passé derrières leurs écrans cet aprem, et il semblerait effectivement qu'ils s'arrachent bien. Certains sont en train de torturer un Kinect, d'autres montent une maquette de champs avec une cabane dedans pour faire je ne sais quoi, d'autres s'amusent avec le SDK de la Connected TV et croyez le ou non, y'a même deux anciens (en bas à droite).
J'ai été faire un petit tour dehors, et j'ai ramené des preuves que y'a des codeurs qui ont vraiment ça dans le peau et qui veulent que ça se sache... La preuve avec ces plaques d'immat SWF et XML
La nuit va être longue pour ces furieux... Y'a même un mec qui peint depuis tout a l'heure, toujours le même paysage mais avec des "météo" différentes... Là c'est la version nuages tout gris...
Bon, faut que je vous laisse, y'a la geek food qui est arrivée ;-)
