Aller au contenu
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Besoin d’un hébergement pour ton site web ? Clique-ici ! (partenaire)

Avec certains outils OSINT comme Blackbird que je vous ai présenté il y a quelques jours, il est possible de trouver des comptes en ligne à partir d’un simple pseudo. Mais l’information retournée n’est pas forcément fiable, car n’importe qui peut avoir le même pseudo que vous (j’en sais quelque chose).

Alors que faire ?

Et bien grâce à cet outil nommé holehe, vous pourrez analyser plus de 120 sites à la recherche de comptes à partir d’une simple adresse email. Évidemment, l’adresse email étant unique, pas de risque de taper à côté.

Mais comment s’y prend ce script pour trouver les comptes utilisant telle ou telle adresse email ?

Et bien c’est assez simple. Il vérifie qu’une adresse email est attachée à un compte en ligne en utilisant tout simplement la fonctionnalité « J’ai perdu mon mot de passe » de ces sites. D’ailleurs, sont présents dans cet outil, uniquement les sites qui ne préviennent pas immédiatement les utilisateurs qu’une demande de mot de passe perdu a été initiée.

C’est malin. Évidemment, ce n’est à utiliser qu’avec vos propres adresses email, sinon vous irez en prison comme d’habitude.

Vert c’est OK, rose y’a pas de compte et rouge on ne sait pas, car timeout. Rassurez-vous, ça peut détecter par exemple qu’un compte Twitter existe pour votre adresse email, mais l’outil ne vous donne pas le fameux compte Twitter.

Pour l’installer, vous pouvez utiliser PyPi :

pip3 install holehe

Ou cloner le dépôt comme ceci :

git clone https://github.com/megadose/holehe.git
cd holehe/
python3 setup.py install

Ensuite, il n’y a plus qu’à appeler le script avec l’adresse email de votre choix :

holehe [email protected]

Et si le site divulgue d’autres infos sur vous (nom complet, numéro de téléphone…etc.), le script vous informe également.


Si vous travaillez dans un environnement macOS et qu’il vous arrive parfois de récupérer les différentes versions de macOS pour les analyser, faire des clés USB avec Clover ou encore tout simplement réinstaller la bestiole… plus besoin de vous rendre sur le site d’Apple pour télécharger les firmwares (.ipsw) / installeurs des dernières versions de macOS.

Grâce au logiciel Mist, vous les aurez toutes à portée de clic. Vous pourrez ainsi afficher ou masquer les versions beta, ainsi que les versions incompatibles avec votre ordinateur actuel.

À l’export vous pourrez même choisir si vous voulez une application (.app), une image disque bootable (.iso), une image disque (.dmg) ou un package (.pkg). Et bien sûr, lors du téléchargement, tous les contrôles (checksum) sont faits pour vous assurer que l’image est OK.

Pour les plus bidouilleurs, il est également possible de spécifier de nouvelles URLs de catalogues pour récupérer les versions Developer, Customer ou Public voire exporter toutes ces listes en CSV, JSON…etc.

Notez que Mist est également disponible en ligne de commande.

À télécharger ici.


Si vous enregistrez des tutoriels en vidéo, faites une présentation professionnelle à des clients ou réalisez des choses incroyables en live sur Twitch, vous avez peut-être besoin de montrer à l’écran les touches que vous tapez sur votre clavier.

C’est assez pratique pour montrer certains raccourcis qui ne sont pas faciles à capter comme ça en live, tellement vous allez vite. Seulement, voilà, la plupart des outils et des plugins qui font ça proposent du simple texte un peu moche.

Mais il existe un logiciel libre nommé Keyviz qui fonctionne exclusivement sous Windows et qui affiche chacune de vos touches dans le style de votre choix. Vous pouvez évidemment modifier le style des touches, leur taille, leur couleur ainsi que les symboles qui s’y trouvent et placez ça à l’endroit de votre choix sur l’écran.

Là où ça devient assez cool, c’est ce que si vous ne voulez pas tout montrer, mais uniquement afficher les raccourcis clavier type Ctrl + x…etc. , et bien c’est possible avec Keyviz. Ca évite les fuites de mots de passe en live par exemple.

Globalement, ça fait bien le taf et graphiquement, c’est super joli avec des animations plutôt propres. Je vous montre ce que ça donne en vidéo :

L’outil est téléchargeable ici et ses sources sont également sur Github.


— Article en partenariat avec Surfshark

Vous devez tous savoir ce qu’est le RGPD maintenant, non ?

En application depuis 2018, ce Règlement Général sur la Protection des Données vise à encadrer tout ce qui touche au traitement des données à caractère personnel sur le territoire de l’Union européenne. En gros cela permet à tous les citoyens (vous et moi) de faire valoir ses droits si une de ses données est utilisée à mauvais escient et hors du cadre prévu.

Et ce qui entre dans la catégorie « donnée personnelle » est assez vaste puisqu’il s’agit de tout ce qui permet de vous identifier. Des choses comme votre nom et prénom, votre adresse, votre email, une donnée biométrique ou votre numéro de sécu par exemple. Mais aussi des informations moins directes comme un identifiant sur un site web, vos géolocalisations, vos habitudes de surf, etc. Bref absolument tout ce qui permet de remonter jusqu’à vous, rapidement ou via le croisement de plusieurs données.

Service Incogni de surfshark

En France toute entreprise doit respecter ce règlement. Petit, grande, publique, privée, association, collectivité, sous-traitant … même une société étrangère qui exporte ou livre des produits en France doit s’y plier. Le citoyen (vous, moi, elle, lui et les autres) a donc une certaine maitrise sur ses propres données et cela à plusieurs niveaux.

Déjà parce que le service que vous utilisez (boutique e-commerce, outil web, inscription à une newsletter …) doit vous fournir une série d’informations avant même d’y souscrire. En général le truc barbant plein de mots que personne ne lit jamais, mais auquel tout le monde consent par flemme. Qui gère le traitement de vos données ? Dans quelles conditions ? Avec quelle finalité ? Est-ce que les données sortent à un moment de l’espace européen ? Etc.

C’est peut-être bête à dire, mais si vous ne voulez pas que vos données personnelles soient mal utilisées … la première chose à faire est de voir si le service en question annonce bien noir sur blanc qu’elles ne seront pas mal utilisées.

source : blog Incogni

Maintenant nous sommes tous humains. On ne va pas chaque fois passer 5-10 minutes à vérifier que le site respecte bien les recommandations RGPD alors qu’on a encore 3,4 millions de vidéos de chats à regarder sur YouTube. Il faut choisir ses combats. Heureusement, même si vous vous rendez compte d’un souci par la suite, il existe ce qui s’appelle des droits. Et vous en avez plusieurs à votre disposition :

  • Droit d’accès : vous permet de savoir quelles données vous concernant sont stockées, d’où elles proviennent et comment elles sont utilisées.
  • Droit de rectification : vous permet de faire modifier certaines données, voire de demander leurs suppressions.
  • Droit d’opposition : vous permet d’empêcher le traitement de vos données pour un motif légitime. Dans certains formulaires on vous demande par exemple de cocher une case pour recevoir des courriers commerciaux, des promotions, etc. En ne la cochant pas, vous invoquez en fait votre droit d’opposition (Opposition votre honneuuuuurr).
  • Droit à la portabilité : qui va vous aider à passer d’un service de traitement de données à un autre (soit directement, soit en récupérant un fichier à transmettre au nouvel organisme).

Bref il y a beaucoup d’options selon les cas, pas toujours simple de savoir quoi faire. Et je ne parle même pas de la prise de tête pour trouver les bonnes personnes à contacter, les bons documents à fournir, le temps de réponse entre chaque communication, etc., etc. Travail à multiplier par plusieurs dizaines de fois si vos données perso se trimballent dans plusieurs de ces services (appelés data brokers) où ils ne devraient pas être présents.

Data brokers

Plus vous passez de temps en ligne, plus vous balancez vos infos à gauche et à droite … et plus vous aurez de chances de vous retrouvez avec des utilisations non voulues de vos donnés. Le plus souvent sans même le savoir ou vous en rendre compte, hormis peut-être via un SMS ou un email d’un projet auquel vous êtes certain de ne jamais avoir donné vos infos.

Et c’est là qu’apparaît, baignant dans son halo de lumière, votre sauveur : Incogni.

Il y a quelques jours j’ai publié un article basé sur mon test du service Incogni. Je vous laisse le lire, mais vous y apprendrez que c’est quasi une centaine de demandes qui ont été gérées en mon nom via le service proposé par Surfshark. Je n’imagine pas les journées entières que j’y aurai passées si j’avais dû tout faire à la main. Donc depuis la date de mon test presque 1/3 des brokers contactés ont agi.

Alors oui le service est payant (moins de 6€/mois, ça reste correct), mais il rend un vrai service. Et lorsqu’un responsable des données reçoit une demande d’un service pro, cela a probablement plus de « poids » que votre mail personnel pour le motiver à appliquer les modifications nécessaires.

Tableau de bord Incogni

Gros avantage aussi, Incogni vous propose un tableau de bord via lequel vous pouvez suivre en temps réel l’avancée du nettoyage. Et connaître ce que chacun de ces data brokers avait comme infos sur vous et comment ils les utilisaient. Il me semble que ces derniers doivent répondre et faire les modifs en 30 jours. De plus l’outil surveillera que vos données ne réapparaissent pas comme par magie dans la base des services après quelques mois.

Cerise sur la tartiflette si vous habitez en Amérique du Nord, Incogni ne fait pas respecter que la réglementation européenne au niveau des données personnelles. Il gère aussi les lois CCPA et PIPEDA, sorte d’équivalent du RGPD en Californie et au Canada.

Tester Incogni


Vous êtes l’informaticien de la famille et c’est toujours vous qu’on appelle dès que Tonton Maurice télécharge un malware pornhub.zip, que le cousin Thierry n’arrive plus à imprimer en couleurs ou que Belle-Maman Huguette paume son mot de passe de la Banque Postale.

Seulement voilà… pour prendre la main à distance sur un ordinateur, à part ce bon vieux TeamViewer, le reste c’est un peu la lose.

COMMENT ÇA LA LOSE ?

Et bien non ! Puisqu’il existe une alternative libre et open source à Team Viewer, nommé RustDesk qui permet de se connecter à un bureau à distance sans aucune configuration. L’avantage, c’est que vous gardez le contrôle sur vos données en toute sécurité.

Niveau fonctionnement, c’est tout pareil que TeamViewer avec un code unique et un mot de passe autogénéré. Vous aurez également la possibilité de donner certains droits comme celui de copier-coller un fichier entre les deux machines ou d’activer le son. L’outil fonctionne sous Windows, Mac, Linux et vous pouvez même l’utiliser depuis votre smartphone Android ou iOS.

Et il y a même un chat pour discuter avec tonton. Elle n’est pas belle la vie ?

RustDesk utilise un serveur public pour mettre en relation les ordinateurs, mais vous pouvez évidemment autohéberger votre propre serveur RustDesk ce qui vous apporte encore plus de confidentialité, mais surtout une meilleure bande passante.

À découvrir d’urgence ici.


Mes gazouillis

📣 En live : 🐙 Stream tech & chill ! https://t.co/u4eWiqyNGk #kbn #twitch
Faites respecter vos droits RGPD avec Incogni https://t.co/hwyArkqK1Q #kbn