Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Edito du 15/05/2018

Hello la compagnie,

Il est temps de changer cet édito tout fané, pour vous donner quelques nouvelles. Pour ceux qui me suivent sur Instagram, vous avez pu voir que mes plants de tomates ont bien poussé mais SURTOUT que la fibre arrive chez moi bientôt. Je viens de prendre RDV avec Orange pour fin mai !

Ah bordel, ça va faire plusieurs années que j’attends ! Je vais enfin pouvoir bosser dans de bonnes conditions.

Autrement, pour ceux qui veulent, je serai demain matin à Lyon pour la conf de C-Cure, puis à l’ESIEA ce jeudi 17, puis la semaine prochaine à Vivatech, l’équivalent du CES de Vegas mais à Paris. D’ailleurs, si les 24 et 25 sont réservés aux pros, en tant que particulier, vous pouvez passer le samedi 26, c’est un peu moins cher et ouvert à tous.

Vous pourrez me trouver durant les 3 jours sur le stand de YesWeHack C16-0002 donc n’hésitez pas à venir au contact et découvrir le monde merveilleux de la cybersécurité et du bug bounty.

Sur ce, je vous souhaite une bonne fin de semaine à tous !

K.

MyDataRequest est un site gratuit qui rassemble environ une centaine de services bien connus tels qu’Amazon, Netflix, Tinder ou encore Snapchat et qui propose toutes les infos permettant de récupérer nos données personnelles.

Dans les 3/4 des cas, ce sont des adresses mails auxquelles il faut faire la demande grâce au modèle d’email fourni.

Mais dans d’autres cas comme celui de Snapchat, il s’agit simplement d’un lien sur lequel il faut se rendre pour pouvoir récupérer une archive de ses données.

A explorer donc…


Décrite dès 1979, le Shamir’s Secret Sharing (partage de clé secrète de Shamir) est une technique consistant à diviser un secret (un texte ou un fichier) en plusieurs morceaux chiffrés, à distribuer ces morceaux à différentes personnes, et exiger qu’un quorum (nombre minimin de personnes) soit constitué pour déchiffrer le secret.

Vous pouvez par exemple chiffrer l’un de vos documents, en distribuer les bouts à 8 personnes différentes mais exiger que 5 personnes mettent en commun leurs morceaux pour que ce secret soit déchiffrable.

Pratique pour fonctionner sur un principe de « confiance distribuée ». Après cela peut aussi être un moyen de renforcer la sécurité de certains secrets en distribuant le risque, ce qui exigerait d’un attaquant qu’il s’en prenne à x personnes / machines plutôt qu’une seule.

Pour mettre ce partage de secret en pratique, il existe un outil qui s’appelle Sunder disponible sous Mac et Linux. Son fonctionnement est simple. Vous choisissez un fichier ou écrivez un texte à protéger, puis vous indiquer le nombre de morceaux que vous souhaitez distribuer, ainsi que le nombre minimum de morceaux à rassembler pour déchiffrer le document.

C’est très simple. Et cela vous donnera ensuite les petits bouts à partager.

Ensuite, il suffit de disposer du minimum requis de morceaux du secret pour le récupérer en intégralité.

Un cas d’utilisation « amusant » serait de chiffrer en 2 parts un secret, d’en publier une sur votre site web et de ne révéler l’autre publiquement uniquement via votre testament.

Bah quoi ? 😉

Enfin, vous voyez le concept quoi. Bon, par contre, Sunder est encore en alpha, et n’a pas été testé par des experts ni audité. Il est donc à prendre pour ce qu’il est, un joli proof of concept dont la solidité reste à prouver.

Toutes les explications se trouvent ici et l’article de Freedom of Press donnant tous les détails se trouve ici.


Vendredi dernier, avec Remouk, nous avons fait un petit live Youtube pour vous expliquer comment nous faisons notre veille d’actu quotidienne et répondre aux questions des gens sur ce sujet.

Je partage donc avec vous cette vidéo. De mon côté la qualité vidéo est toujours pourrie mais cela risque de s’améliorer prochainement puisque Orange a prévu de m’installer la fibre bientôt 🙂 Woohoo !


Security Guardian est une solution de sécurité made in Suisse développée par la société InfoTeam, qui va vous permettre d’établir une liste de serveurs ou de sites web à scanner régulièrement et automatiquement pour y détecter d’éventuelles vulnérabilités.

Le scanner Security Guardian se destine donc aux webmasters et entreprises qui n’ont pas forcément de connaissances techniques en matière de sécurité, mais qui souhaitent tout de même améliorer leurs défenses face aux cybercriminels et anticiper d’éventuels problèmes de sécurité.

Lorsqu’un scan est effectué par Security Guardian, chaque vulnérabilité détectée est classifiée selon son niveau de criticité et vous êtes immédiatement alerté par email.

L’outil est abordable en termes de tarif et vous pouvez même l’utiliser gratuitement pour surveiller maximum 3 sites. Toutefois, gardez bien en tête qu’un scanner de vulnérabilité n’est pas une solution miracle qui vous protégera de tout. Ce dernier détecte uniquement les vulnérabilités connues (et pas les 0day).

Pensez donc bien à auditer votre code, à faire vos mises à jour, à coder de manière sécurisée, à mettre en place des solutions de sécurisation type WAF et pourquoi pas un bug bounty.

Sur leur blog, Infoteam Security raconte même que durant leurs tests en beta, ils ont détecté grâce à leur outil, une vulnérabilité chez leur hébergeur. En effet, sur l’un des serveurs mutualisés de cet hébergeur, la base de données n’avait pas de mot de passe, donnant ainsi accès en lecture seule depuis l’extérieur à l’ensemble des bases hébergées. Amusant ;-).

Au-delà du scan de vulnérabilité, Security Guardian est capable d’exporter ses rapports en PDF et un historique des scans est conservé.

One more thing 😉 En se basant sur l’article 32 les scanners de vulnérabilités peuvent aider pour la mise en conformité au RGPD.

Si cet outil vous intéresse, tout se passe ici.


À découvrir

Si vous souhaitez vous entrainer un peu au pentest et au bug bounty, il existe un outil baptisé Juice Shop qui se présente sous la forme d’une application web de boutique en ligne et qui intègre l’ensemble du top 10 des vulnérabilités de l’OWASP et bien plus encore.

Juice Shop est écrit en javascript et repose sur Node.js, Express et AngularJS.  L’application est simple à installer et cela peut se faire par node.js, Docker ou Vagrant pour tourner aussi bien sous Windows, Linux et macOS.

La base de données de Juice Shop est réinitialisée proprement à chaque redémarrage du service et chaque challenge réussi est inscrit sur un tableau de scores et peut être utilisé dans le cadre d’un CTF. Surtout qu’il est possible de personnaliser l’application pour lui donner le look et le contenu de votre choix.

Et pour ne rien gâcher, Juice Shop est libre (licence MIT) et en téléchargement ici.

Amusez-vous bien !

Et si vous en voulez plus, je vous renvoie à cet article.



Débusqué par l’ami Fred, CryptoZombies est un site absolument génial qui va vous apprendre comment développer des jeux basés sur Ethereum.

Entièrement gratuits, ces cours interactifs s’adressent aux débutant qui veulent apprendre les bases du langage Solidity. Grâce à ces leçons, vous pourrez créer votre premier jeu entièrement basé sur la blockchain.

Cryptozombies propose ainsi dans sa première leçon, de se créer une usine à zombies pour constituer son armée. Chaque zombie dispose d’un ADN généré de manière aléatoire et d’une apparence unique.

Les leçons suivantes (déjà publiées ou publiées dans les prochaines semaines) vous permettront d’étendre le jeu avec par exemple la possibilité pour les zombies de se battre avec l’armée ennemie ou d’activer la possibilité de collectionner les petits zombies (comme on peut le faire avec les cryptokitties et ce genre de choses).

Bref, un bon moyen de faire ses première armes en Solidity et de commencer à développer avec les outils du futur 🙂

Découvrez CryptoZombies ici.

Merci Fred !


Mes gazouillis

"Facebook voudrait lutter contre le « revenge porn » en demandant aux utilisateurs de soumettre leurs photos intime… https://t.co/6rGmXrJf6S
"Setup 2018 : Super moche mais super pratique ! Mac et Shadow PC" https://t.co/msbwikTh8U #kbn