Korben - Site d'actualité geek et tech

Edito du 04/07/2017

Yo !

Il est temps de changer l'édito non ?

Bon, après ce mois de juin ultra génial, car j'ai rencontré pleins de gens cool, mais ultra crevant, je suis enfin de retour à la maison, avec, comme vous pouvez l'imaginer, un tas de trucs en retard à gérer. C'était chaud niveau mental parce que mon ordi principal de boulot est mort après 8 ans de bons et loyaux services, mes fourmis sont mortes (z'ont pas supporté le changement d'habitat), mes pieds de tomates sont morts et l'ensemble de mes défenses immunitaires sont mortes.

Mais après une semaine de coma dans le canap' et un gros traitement de choc à base de docus Netflix et de chocolat, il s'avère que suis toujours VIVANT, n'en déplaise aux cons. Et ma motivation qui n'était qu'un tas de cendre fumant il n'y a pas 2 jours, est en train de jaillir à nouveau des enfers de la matrice tel un Phoenix fait de métal fondu et de bits chatoyants.

Viva el doliprane libre, bon 4 juillet à tous les américains qui ont repoussé l'invasion alien en 1996 grâce à un virus et à très vite les amis !

K.

Entreprises, comment éviter les remontées sauvages de failles de sécurité ?

0

Bon, vous le savez, depuis 2013 on organise des Bugs Bounties avec les copains de YesWeHack. Et en 2015, on a décidé de créer BountyFactory.io, une plateforme qui permet facilement à chaque société qui le souhaite, de créer son programme de bug bounty. L'idée c'est de faire tester un site, une application, un projet open source, des webservices, des objets connectés et autres, à notre communauté de Hunters (experts en sécurité) pour voir si des bugs de sécurité s'y trouvent. C'est un bon moyen d'améliorer la sécurité informatique de sa boite, dans un cadre de développement agile, en ne payant qu'au bug effectif remonté.

Et aujourd'hui, j'aimerais vous parler du concept de bug bounty sauvage, ou plus généralement de remontées sauvages de failles, car plusieurs de nos clients, avant de faire appel à nous, y ont été confrontés.

Le bug bounty classique, c'est-à-dire légal, officiel, approuvé par la société qui l'initie, c'est la mise en place d'un périmètre de test, soumis à des experts en sécurité en mode privé ou public, avec à la clé, un versement d'une récompense aux experts ayant trouvé et remonté une vulnérabilité. Ça, c'est cool.

En opposition, la remontée sauvage de failles de sécurité n'est pas encadrée et se fait sans l'approbation initiale de l'entreprise concernée. Il n'y a pas de règles donc cela peut revêtir les habits d'une "Coordinated Disclosure" parfaitement propre comme on le fait avec Zerodisclo.com. C'est le cas de figure idéal quand aucun programme de bug bounty n'est en place.

Mais le plus souvent, ça se fait de manière un peu plus violente. Soit les informations concernant la faille sont publiquement affichées sur un site, un forum...etc. et donc peuvent être utilisées par d'autres. Soit la personne qui a trouvé la faille l'annonce (par mail ou publiquement sur un site dédié à ça) et réclame à l'entreprise une récompense (ou un job) en échange de ces infos. On rentre alors dans un cadre qui s'apparente plus à du chantage.

Et malheureusement, une entreprise qui est confrontée à cela est souvent démunie et son seul réflexe est de porter plainte. (ce qui est une mauvaise idée la plupart du temps)

Voici donc quelques clés pour garder au maximum la maitrise de ses vulnérabilités.

La première étape parait évidente, mais plutôt que d'attendre qu'un inconnu lance un bug bounty vous concernant sur une plateforme tierce dont vous ne savez rien, il faut prendre les devants et créer votre propre programme de Bug Bounty.

Cela va vous permettre plusieurs choses :

  • Obtenir rapidement un niveau de sécurité supérieur à l'actuel et donc éviter la remontée de failles trop évidentes.
  • Avoir une connaissance immédiate des failles trouvées, sans chantage et sans négociation.
  • Être le seul à avoir connaissance du détail des failles remontées.
  • Garder la maitrise totale du budget, du périmètre de test et du nombre de hunters qui vont se pencher sur ce périmètre.
  • Pouvoir échanger sans risque avec le découvreur de la faille pour lui demander des informations complémentaires ou de l'aide pour la correction du problème.
  • De plus, proposer une récompense évitera, la plupart du temps, qu'une faille se retrouve décrite publiquement dans la nature.

Ça, c'est donc le 1er truc à faire. Choisissez aussi la bonne plate-forme de bug bounty au regard du contexte éco/géo/politico/légal, car vous vous en doutez les lois US diffèrent des lois européennes en matière de divulgation des vulnérabilités. Notez quand même que l'Europe a pris au sérieux le dossier de la protection des données personnelles via la RGPD, mais revenons à nos bugs.

Ensuite, quelque chose d'hyper important si vous fonctionnez avec un bug bounty privé, c'est de rester discret. En effet, je vois trop souvent des entreprises expliquer partout qu'elles ont un bug bounty privé, voire d'autres plateformes de Bug Bounty se vanter dans les médias d'avoir tel ou tel client (en bug bounty privé évidemment).

La nature même de "privé" c'est que tout le monde n'est pas invité à la fête. Donc si vous criez sur tous les toits que vous avez un programme de bug bounty et que celui-ci n'est pas public, les gens vont faire n'importe quoi avec votre site.

D'abord, ils n'auront pas connaissance du périmètre, donc ils vont tester tout ce qui va leur passer sous la main, sans chercher à savoir si de vôtre côté vous approuvez ou non. Vous essuierez aussi peut-être quelques attaques DDoS, des tentatives des phishings... etc. Bref, pleins de trucs moches. Ensuite ceux qui vont trouver une faille, tenterons de vous contacter par tous les moyens. Et comme ils n'auront aucune connaissance du montant de vos récompenses, ils commenceront à négocier à l'aveuglette, voire à basculer en mode chantage. Et cela leur paraitra normal de défoncer votre site et de vous demander un gros chèque, puisqu’après tout, vous avez expliqué partout publiquement que vous proposiez de "l'argent contre des failles de sécurité".

J'ai déjà vu ce genre de problèmes chez une société qui n'avait pas pris conscience de cela et qui a été un peu trop bavarde sur son bug bounty privé. Pensez donc bien à garder secrète l'existence de tous programmes de bug bounty privés que vous lanceriez. Et si veillez bien aussi à ce que vos partenaires techniques sur le bug bounty n'utilisent pas le nom de votre société pour faire du name dropping promotionnel.

Le but évidemment, c'est qu'ensuite vous puissiez sortir de cette phase "privée" pour passer en bug bounty public. À ce moment-là, tout le monde sera invité à la fête et pourra se référer au périmètre et aux montants des récompenses que vous proposerez. Ce sera enfin l'occasion de communiquer publiquement et sans risque de débordement sur votre programme de bug bounty pour mettre en avant l'importance que vous accordez aux données de vos clients et à la sécurité de votre site.

Maintenant que faire si malgré toutes ces précautions, quelqu'un décide de vous remonter une vulnérabilité de manière un peu plus sauvage ? Et bien il n'y a pas 36 000 solutions, il suffit de rediriger gentiment le hunter vers votre programme de bug bounty officiel, en lui expliquant qu'en passant par là, il pourra toucher une récompense si sa faille est valide. Vous pourrez ensuite patcher au plus vite la ou les failles concernées.

Pour compléter la lecture de cet article, je vous renvoie vers ce PDF qui revient sur la plupart des mythes liés aux bugs bounty ouverts qui pourraient freiner les sociétés les moins informées sur cette pratique de la crowdsecurity.

Bonne lecture.

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin
Sunberry - L'énergie solaire à la portée de tous

Produisez votre énergie et faites de grosses économies

DIY addict, avec Sunberry, on vous propose d'assembler votre chauffage solaire Sunberry et de commencer à capter l'énergie gratuite du soleil pour chauffer votre maison, votre eau chaude ou votre piscine. La Sunberry App vous permet de suivre en direct votre production d'énergie solaire et le montant des économies réalisées, en toute autonomie.Le tout en opensource ;)

Découvrez Sunberry et bidouillez un max

En ce moment vous pouvez aussi profiter d'une réduction pour pouvoir fabriquer votre chauffage solaire à moindre coût.39€ au lieu de 49€

Pour recevoir votre code de réduction c'est ici (email à rentrer sur le site de Sunberry)

Firefox en voie d’extinction ?

20

J'ai lu plusieurs articles ces derniers jours sur la supposée future disparition de Firefox et je vous avoue que ça m'attriste. Andreas Gal, l'ancien directeur technique de chez Mozilla indique en effet que malgré tous les progrès techniques et la récente prise de position devant Chrome en termes de performance mémoire, cela ne suffira pas.

Firefox serait voué à disparaitre. Apparemment, les gens de Mozilla sont impuissants face aux ruses marketing déployées par Google pour inciter les internautes utilisateurs de ses services à installer Chrome. En effet, face à un Google en position de quasi-monopole qui peut pousser du "Installe Chrome" sur YouTube, Gmail, Google Docs et j'en passe, le combat reste inégal.

Sans parler de tous les partenariats avec les fabricants de matos où Chrome est proposé à l'installation en même temps que les drivers ou les logiciels compagnons et j'en passe.

Bref, le marketing triomphe encore une fois de la technique. Snif...

Si demain Firefox devait disparaitre, je vous avoue que je serai très triste, car c'est un super navigateur. Et ça me fait toujours mal au coeur de voir des libristes militants opter pour un Chromium plutôt que pour un Firefox. Vous pouvez être sûr que le jour ou Firefox disparait, Chromium suivra, car Google n'aura plus besoin de faire valoir l'argument "open source" pour fourguer du Chrome bien verrouillé à tout le monde.

Bref, si vous pensez que c'est important, redonnez au moins une chance à Firefox. Je vous promets, il est top !

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin

Honor 9, un smartphone éblouissant et pas cher ? test complet

3

Après un très bon cru avec le Honor 8, sorti l'année dernière, Honor, la marque de Huawei made for Millenials, revient avec le Honor 9, nom de code LightCatcher, peut être un peu trop catcher d'ailleurs.

En tout cas, Jerome l'a eu entre les pattes, un bel après-midi ensoleillé et a pu le tester en condition de light catcher justement ;)

Bon j’arrête là mes blagues sur la saisie de lumière, mais faut avouer que le dos du smartphone pourrait aider MacGyver à se défaire de ses liens en reflétant la lumière du soleil dessus.

Pour les caractéristiques générales:

  • Dalle de 5,15 pouces
  • 4 Go RAM (pour la version testée)
  • 64 Go ROM
  • Pas étanche
  • Port USB type C
  • Controller infrarouge
  • Android 7.00 + EMUI 5.1
  • Vous pouvez trouver le Honor 9 autour des 429 €

    Bonus

    Pour aller avec votre nouveau smartphone; celui là ou un autre, je vous propose un code promo sur le casque Sudio Regent (valable sur tous les coloris)
    Vous avez 15% de réduction avec le code Korben

    Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

    Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin

    Stranger Things 2 – La bande annonce

    1

    J'avais dévoré la première saison de Stranger Things, cette série fantastique Made in Netflix, qui se déroule dans les années 80 et qui reprend les codes des Goonies en mettant en scène des enfants bien plus débrouillards que les adultes.

    Une fois encore, Will et ses copains vont se retrouver face à des êtres terrifiants du Monde à l'envers, tous droit sortis d'un livre de Stephen King. Ce qui est dommage quand même c'est que la bande-annonce spoile à mort la série. Donc, ne la regardez pas si vous voulez garder la surprise totale.

    On appréciera la BO de Thriller

    Date de sortie : Au moment d'Halloween, le 27 octobre.

    Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

    Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin

    Clavier Gaming VTIN Clavier Filaire Rétroéclairé LED

    25,99 € soit 57% de réduction

    Soldes et Bons Plans jusqu'à 70% de promo ... Voir la liste des produits

    LED Rétro-éclairé. 7 couleurs au choix. Lumière fixe ou clignotante, 2 modes de luminosité afin de s'adapter à votre mode de jeu. Possibilité de l'utiliser en mode non éclairé. 26 Touches Anti-ghosting, qui permettent de presser plusieurs touches en même temps sans provoquer d'erreurs d'interprétation.

    Cinq touches G personnalisables, que vous pouvez configurer avec vos raccourcis préférés. Utilisez-le dans les jeux pour commander précisément votre jeu et ne jamais perdre une étape.

    En Savoir +

    Quand la Suède balance dans la nature les données personnelles de millions de ses citoyens…

    8

    On en sait un peu plus sur la fuite de données qu'a subi la Suède en 2015 et 2 ans plus tard, on peut clairement dire que celle-ci est à classer dans la catégorie des fuites de données "ultra violentes qui piquent++".

    En 2015, l'Agence Suédoise du Transport qui dépend du gouvernement, a uploadé sur le cloud d'IBM l'intégralité de sa base de données qui contient des infos sur tous les véhicules utilisés dans le pays par les particuliers, mais aussi par les militaires, la police et même les personnes placées sous le régime de protection des témoins. Autant dire les données personnelles de millions de personnes.

    Et ces andouilles ont ensuite envoyé un email en clair avec la base, non nettoyée de ses données sensibles, aux professionnels du marketing qui s'était inscrit pour la recevoir. (Oui, en France aussi, les données personnelles fournies dans le cadre de l'édition de cartes grises sont vendues à des marketeux. C'est dégueulasse, mais comme on doit être moins de 5 dans le pays à trouver ça abusé, ça passe.)

    Mais ce n'est pas tout. Des employés d'IBM à l'extérieur du pays ont eu accès à ces données sans plus de contrôle.

    Cette histoire date d'il y a 2 ans (2015), le leak a été découvert il y a 1 an (2016) et l'enquête n'a commencé qu'en janvier 2017. Le directeur de l'Agence du Transport s'est fait virer et a été condamné à payer une amende de 7300 euros pour "négligence concernant des informations secrètes".

    Mais les infos concernant l'ampleur du fail commencent à sortir et on sait donc exactement ce qu'il y a dans ce fichier :

    • Le poids max supporté par toutes les routes et tous les ponts du pays (ce qui est une information importante en temps de guerre)
    • Les noms, photos et adresses des pilotes de combat de l'Armée de l'Air Suédoise
    • Les noms, photos et adresses de tous ceux qui sont enregistrés dans un fichier de police (information normalement classifiée)
    • Les noms, photos et adresses des militaires travaillant dans l'Unité d'Élite la plus secrète du pays (l'équivalent du COS - Commandement des Opérations Spéciales regroupant le Régiment Parachutiste d'Infanterie de Marine, les Commandos Marine...etc).
    • Les noms, photos et adresses de tous les gens à qui ont a donné de nouvelles identités dans le cadre d'un programme de protection des témoins.
    • Le type, modèle, poids et défaillances de tous les véhicules gouvernementaux et militaires.

    Ouch !

    Bref, gros scandale à l'horizon au pays d'ABBA.

    Source

    Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

    Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin

    YesWeHack recrute un profil développeur et un profil commercial pour sa plateforme de Bug Bounty

    0

    C'est l'été et tout le monde marche un peu au ralenti en ce moment. Tout le monde ou presque car une petite société spécialisée en cybersécurité continue encore et toujours sa conquête du monde :-)

    Cette boite c'est la mienne, YesWeHack, et la bonne nouvelle, c'est qu'on a besoin de nouveaux matelots et matelottes dans notre équipage. On recherche des profils développeurs mais aussi commerciaux pour nous aider soutenir la croissance de BountyFactory.io, notre plateforme de BugBounty.

    Si ça vous intéresse, n'hésitez pas à postuler !

    Consulter les offres d'emploi

    Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

    Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin

  • DANS TON CHAT (BASHFR)

    <Soolitoo> C'est officiel, manger une banane et regarder un film porno en meme temps c'est répugnant..

    -- http://danstonchat.com/2173.html
  • HP Pavilion Wave 600

    29 € de réduction

    Ce modèle au design surprenant et conçu pour le bureau, intègre toute la puissance et la performance d’un ordinateur de bureau standard dans une fraction de l’espace. Bénéficiez de la performance d’un processeur de 6ème génération Intel® Core™ i [1], de maximum 8 Go de mémoire, et de cartes graphiques sur certains modèles

    Windows 10 Famille 64
    Processeur Intel® Core™ i5-7400T
    4 Go de mémoire
    1 To de stockage
    Carte graphique Intel® HD 630
    Garantie de deux ans


    En Savoir +

  • RSS Emplois sécurité

  • Intel Core i7-6950X Extreme Edition (3.0 GHz) – Processeur

    2 X plus rapide que le Core i7-6700K et 35% plus rapide que le Core i7-5960X

    Voici le tout nouveau processeur Intel Core Broadwell-E i7-6950X Extreme Edition cadencé à 3.0 GHz et pouvant atteindre 4.0 GHz en mode turbo ! Ce processeur Intel à 10 coeurs vous offre toute la puissance dont vous avez besoin pour une exigence d’utilisation absolue


    En Savoir +

  • Site hébergé par
    Agarik Sponsor Korben
  • Selection de contenus

  • Glasswire – Pour garder un oeil

    sur votre activité réseau

    Si vous êtes curieux et que vous voulez savoir comment ça se passe niveau bande passante sur votre ordinateur Windows, voici un petit freeware qui va vous rendre bien service.
    Appelé Glasswire, cet outil propose des fonctionnalités de visualisation

    Une astuce pour rendre Windows 10 plus rapide

    Si vous trouvez que Windows 10 est un peu lent, que vos applications ne se lancent pas très vite, que vos compilations prennent du temps, voici une petite astuce débusquée par Brominou pour accélérer le bouzin.
    Cliquez dans la zone de