Korben - Site d'actualité geek et tech

Edito du 09/05/2017

Hello,

Dans ce tunnel de ponts et d'élections, je dois dire qu'on ne s'ennuie pas. M'enfin, c'est bon, ça y est, on a un nouveau Président de la République. Il est souriant, jeune (je veux dire, par rapport aux vieux croutons qu'on se tape depuis des années), dynamique et surtout, tous mes copains entrepreneurs y croient à fond. Je dois être le seul à ne pas y croire, mais faut pas m'en vouloir, même si j'ai gardé foi en l'Humanité, je l'ai totalement perdu dans les êtres politiques.

Toutefois, je peux me tromper. Peut-être qu'il fera baisser le chômage, peut-être que l'activité redémarrera en France, peut-être qu'il fera la paix plutôt que la guerre, peut-être qu'il se posera quelques questions sur le concept de croissance infinie alors que nous sommes dans un monde aux ressources limitées, peut-être qu'il placera l'intérêt des citoyens avant celui de la finance sans âme, peut-être qu'il tendra la main à ceux qui fuient la souffrance et la violence, peut-être qu'il ralentira la course folle de la machine de la surveillance globale (et inefficace), et qu'il nous demandera notre avis avant de signer des machins comme TAFTA, CETA, ACTA...etc.

Peut-être aussi que ce nouveau gouvernement se dira que finalement la neutralité du Net, les droits de l'Homme ou encore le respect de la vie privée sont des choses avec lesquels il ne faut plus transiger ? Peut-être que les lois seront plus justes. Et finalement, peut-être que les citoyens dont le vote a systématiquement été trahi verront que cette fois, ça a marché et qu'ils vont pouvoir relever la tête et sourire à nouveau.

Peut-être. Moi je n'y crois plus, malheureusement, mais il y a tellement de gens autour de moi qui ont l'air d'y croire à fond et qui m'expliquent pourquoi CETTE FOIS, tout va vraiment changer en mieux, que parfois je ne souhaite qu'une chose : me tromper sur toute la ligne.

Hier on m'a dit que j'étais cynique, alors que je pense juste ne plus être naïf. Mais au fond de moi, je le sais, je suis comme tout le monde, je n'attends qu'une preuve sincère pour y croire à nouveau.

On verra bien.

Bienvenue Manu ! (Entre Manu, on a le droit. C'est au Chapitre III du Grand Livre Secret de l'Ordre des Manu).

Formation complète à la Programmation Java null

   

Apprenez à programmer avec Java dans ce cours de référence : simple, rapide, ludique et pratique.

Ce cours de près de 12h comprenant 45 exercices de codage couvre l'ensemble des concepts nécessaires pour comprendre Java et réaliser votre premier programme.

Présenté par un professionnel et enseignant avec près de 20 ans d'expérience.

Vous serez guidé pas à pas grâce à une progression pédagogique efficace.

Chaque chapitre traite d'un et un seul concept : un cours clair et précis qui met vos nouvelles connaissances en pratique immédiatement !

Suivez les 45 ateliers de l'application "fil rouge" sur le thème de l'espace et de la conquête spatiale.

Profitez de cette offre à 10€ dès maintenant

Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin

publicite par Udemy

Comment mettre les bonnes permissions à WordPress pour pouvoir faire les mises à jour ?

5

Les permissions de WordPress, ce n'est pas toujours simple à gérer quand on n'y connait pas grand-chose en Linux. Mais rassurez-vous, je vais vous aider à mettre tout ça au carré.

En effet, il se peut qu'en cas de mise à jour via l'interface WordPress, vous rencontriez le souci suivant :

La mise à jour ne peut pas être installée parce que nous n’allons pas pouvoir copier certains fichiers. Ce problème est généralement dû à des incohérences dans les permissions de fichiers.

Échec de l’installation

La mise à jour de WordPress ne peut pas se faire, car votre serveur web n'a pas d'accès en écriture pour copier les fichiers contenus dans le zip récupéré sur le site officiel de WordPress. Évidemment pour contourner le problème, il suffit d'ouvrir une session SSH sur son serveur et de copier manuellement les fichiers en écrasant les anciens.

Mais si vous voulez faire ça proprement en passant par l'interface de WordPress, voici comment faire. Ouvrez une session sur votre serveur et entrez les lignes de commande suivante.

Première étape, déterminer quel utilisateur du système fait tourner votre serveur web.

ps -ef | grep apache2 | grep -v `whoami` | grep -v root | head -n1 | awk '{print $1}’

Vous pouvez aussi remplacer "apache2" par "httpd" ou "nginx" si votre serveur web porte ce nom.

Si vous êtes sous Ubuntu, ce sera probablement www-data.

Placez vous ensuite dans le dossier racine de votre WordPress, là où se trouve votre fichier wp-config.php et entrez la commande suivante, qui va donner la propriété à www-data de tout ce qui est contenu dans ce répertoire WordPress. (Pensez bien à remplacer www-data:www-data par le user et le groupe qui fait tourner votre process de serveur web. Sur certaines installations, ça peut être apache:apache)

sudo chown www-data:www-data -R *

Ensuite, toujours dans le même répertoire, lancez cette commande qui va rechercher tous les sous-répertoires de votre WordPress et leur donner les permissions 755.

find . -type d -exec chmod 755 {} \;

Même chose avec cette commande qui va donner les permissions 644 à tous les fichiers contenus dans votre installation de WordPress.

find . -type f -exec chmod 644 {} \;

Et voilà. Logiquement, toute votre installation WordPress sera aux bonnes permissions pour faire la mise à jour via l'interface web d'administration.

Toutefois, si vous tombez sur un écran qui vous demande de renseigner vos informations FTP pour pouvoir faire la mise à jour, même après cette modif...

... ouvrez votre fichier wp-conf.php et ajoutez à la fin du fichier la ligne suivante :

 define('FS_METHOD','direct');

Normalement, tout devrait rentrer dans l'ordre.

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin
#Oncraintdégain

LACIE DISQUE DUR RUGGED 1TB

Disque dur tout terrain

  • Des vitesses Thunderbolt atteignant 387 Mo/s
  • Alimenté par le bus pour un maximum de mobilité
  • Résistant aux chocs, à la poussière et à l'eau pour une utilisation tout-terrain

{En savoir +}

FSQL – Recherchez dans votre système de fichier en SQL

0

Si vous mangez, respirez et dormez SQL, voici un outil qui va vous aider à survivre dans ce monde de brutes. Cet outil c'est FSQL, qui fonctionne en ligne de commande et qui vous permet d'effectuer des recherches sur votre système de fichiers en utilisant la syntaxe SQL.

Démonstration :

Pour l'installer ouvrez un terminal et entrez les commandes suivantes :

git clone https://github.com/kshvmdn/fsql.git $GOPATH/src/github.com/kshvmdn/fsql
cd $_ # $GOPATH/src/github.com/kshvmdn/fsql
make install && make
./fsql

C'est un peu gadget mais c'est marrant :)

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin

Gixy – Analysez la configuration de Nginx pour détecter les problèmes

0

Si vous utilisez nginx pour votre site web, sachez qu'une mauvaise configuration peut conduire à d'éventuels problèmes de sécurité. Heureusement, pour contrer cela, il y a Gixy.

Gixy est un script Python qui analyse votre fichier nginx.conf à la recherche de problèmes éventuels comme :

Pour installer gixy, entrez ceci dans votre terminal :

pip install gixy

Et voici comment l'utiliser :

$ gixy /etc/nginx/nginx.conf

==================== Results ===================

Problem: [http_splitting] Possible HTTP-Splitting vulnerability.
Description: Using variables that can contain "\n" may lead to http injection.
Additional info: https://github.com/yandex/gixy/blob/master/docs/ru/plugins/httpsplitting.md
Reason: At least variable "$action" can contain "\n"
Pseudo config:
include /etc/nginx/sites/default.conf;

server {

location ~ /v1/((?<action>[^.]*)\.json)?$ {
add_header X-Action $action;
}
}

==================== Summary ===================
Total issues:
Unspecified: 0
Low: 0
Medium: 0
High: 1

Vous trouverez plus d'infos ici.

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin

WannaCry – Et bien pleurez maintenant

45

Comment ça, je n'ai pas parlé de WannaCry sur ce blog alors que même sur TF1 et BFM ils en ont causé ? Et bien désolé, mais j'étais de mariage et j'ai passé mon week-end sur la route et à faire la fiesta ;-)

Mais je sais que certains d'entre vous ont passé un mauvais week-end et que d'autres s'apprêtent à passer une sale semaine donc je vais prendre le temps de vous faire un retour construit et intelligent sur cette cyberattaque "mondiale".

Qu'est ce que c'est que ce truc ?

WannaCrypt, WannaCry, WanaCrypt0r, WCrypt ou WCRY de ses petits noms est simplement un ransomware de plus. C'est-à-dire un malware qui s'installe à l'insu de votre plein gré sur votre ordinateur, qui chiffre vos fichiers et qui vous réclame ensuite une rançon allant de 300$ à 600$ pour les déchiffrer. Rien de très original là-dedans ni de très nouveau, car WannaCry est dans la nature depuis février. Sa petite particularité quand même c'est que pour se répandre, il utilise une faille trouvée par la NSA sur toutes les versions de Windows antérieures à Windows 10. Cette faille a bien sûr été corrigée grâce à un patch fourni par Microsoft le 14 mars dernier.

WannaCry une fois en place grâce à la faille ETERNALBLUE (©NSA), chiffre tout ce qu'il peut, déploie aussi un cheval de Troie nommé DOUBLEPULSAR (©NSA) et s'en va corrompre les copies automatiques de récupération de Windows pour rendre toute récupération de fichiers impossible.

Voici une démo de l'infection :

Qui ça touche ?

Et bien ça touche tous les ordinateurs Windows qui n'ont pas la mise à jour du 14 mars. Ça touche aussi les ordinateurs XP, car l'OS n'est plus maintenu par Microsoft depuis longtemps. Contrairement à ce que j'ai pu lire, même si techniquement WCry peut fonctionner sous Linux ou Mac grâce à Wine, il n'est pas conçu pour infecter ces OS. Vous ne risquez donc rien avec cette version contrairement à ce que veulent vous faire croire les adeptes du FUD.

Dans les médias vous avez pu voir que ça touche pas mal d'entreprises (Renault en France qui est totalement paralysée encore ce matin) et de services publics comme des hôpitaux, des gares, des écoles, des bibliothèques, et même des distributeurs de billets. Si la liste des victimes vous intéresse, elle est consultable ici.

Mais ce dont les médias ne parlent pas, c'est que ça touche aussi beaucoup de particuliers.

Comment s'en protéger ?

Notez que Microsoft a publié pour la première fois depuis 2014, un patch pour XP qui fixe la vulnérabilité uniquement sur les versions embedded.

Que faire si on a été infecté ?

Et bien comme je le disais dans mes précédents articles au sujet des ransomwares, la meilleure défense contre un ransomware, c'est de faire des sauvegardes. Donc si vous avez des backups, utilisez-les. Maintenant si vous n'avez rien et que vos fichiers sont chiffrés et bien désolé de vous l'apprendre, mais c'est foutu. Enfin, avant de reformater, conservez bien une copie de votre disque infecté, car il est possible que dans quelques mois, un éditeur d'antivirus ou un chercheur publie un déchiffreur de WannaCrypt et vous pourrez alors récupérer vos précieux documents. En attendant, il va falloir être fort et s'accrocher pour surmonter ce petit passage à vide. Après la pluie, vient toujours le beau temps !

Niveau chiffrement, chaque infection génère une nouvelle paire de clés RSA 2048. La clé publique est exportée dans le fichier 00000000.pky et la clé privée est chiffrée avec la clé publique et exportée dans le fichier 00000000.eky. Ensuite chaque fichier est chiffré en AES-128-ECB avec une clé AES unique par fichier généré via la fonction CryptGenRandom. Puis la clé AES est chiffrée en utilisant la paire de clés RSA globale de WannaCry.

Les fichiers visés par ce malware sont :

.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der

On en est où de l'attaque ?

Et bien WCry qui a muté ces dernières semaines s'est vu adjoindre un kill switch, c'est à dire une fonction qui permet de le désactiver. Comment cela fonctionne ? Et bien si le nom de domaine www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com existe, le virus se désactive. Un chercheur en sécurité a trouvé une mention de ce domaine dans le malware et l'a enregistré, provoquant sans le savoir, l'arrêt d'une partie de la propagation de WannaCry. D'autres kill switch portant des noms de domaine différents ont aussi été remarqués lors des analyses de WCry.

Mais est-on sauvé pour autant ? Et bien non, car les machines déjà infectées vont le rester et d'autre cybercriminels qu'on appelle des copycat ont remis en circulation une version WannaCry 2.0 qui n'a plus de kill switch. Toutefois, celle-ci semble modifiée avec les pieds, donc a du mal à se propager.

Qui en est responsable ?

La question de la responsabilité a été soulevé par les journalistes et j'ai trouvé cela intéressant. Tout d'abord, les premiers responsables sont les criminels qui ont conçu et diffusé ce malware. Mais d'autres acteurs ont aussi leur part de responsabilité.

Tout d'abord la NSA qui a découvert cette faille et se l'est bien gardé au chaud pendant des années sans en informer Microsoft. C'est totalement contre productif et irresponsable et on a là un bon exemple de ce que ça peut donner. Car suite à la divulgation des outils de la NSA par les ShadowBrokers, cette vulnérabilité (et d'autres plus tard) a été patchée par Microsoft mais aussi utilisé par les cybercriminels de tous poils.

Les autres responsables qui sont aussi les victimes, sont les entreprises et bien sûr les particuliers infectés. Ne pas faire de mise à jour parce qu'on a la flemme c'est totalement irresponsable. Je sais que parfois ce n'est pas simple de faire évoluer ses machines et ses logiciels, surtout dans des environnements de production mais il vaut mieux investir un peu maintenant en sécurité que de devoir dépenser 10 fois plus lorsqu'on est pris à la gorge, que les dégats sont déjà faits et que niveau communication, il va falloir ramer sévère.

Beaucoup d'entreprises commencent à le comprendre et investissent de plus en plus dans leur arsenal de sécurité défensive avec des audits, des outils et du bug bounty.

Maintenant ce matin, j'écoutais des journalistes qui pensaient que cela était aussi la responsabilité de l'Etat et que l'Etat devait nous protéger, entreprises comme particuliers, de ces attaques informatiques. Il est vrai que l'ANSSI est chargée de protéger nos institutions de ce genre d'attaques et ils le font plutôt brillamment. Mais désolé les journalistes, ce n'est pas à l'Etat de protéger tous les ordinateurs présents sur le territoire national. Il y a bien sûr un travail de sensibilitation qui est fait mais si les particuliers et les entreprises ne font pas leur part, ça n'ira nulle part.

La sécurité c'est l'affaire de tous et chacun doit prendre ses responsabilités pour faire face aux attaques. L'Etat, même avec sa super future cyberarmée, ne pourra pas nous sauver de notre flemmardise et je-m-en-foutisme en matière de sécurité informatique. C'est à nous tous de nous bouger.


Développez vos premières applications Androïd

Le Play Store à vos pieds

Une formation de plus de 13h pour apprendre les bases de la programmation Java pour Androïd via la création pas à pas de 3 applications fonctionnelles.

Un Jeux à Deux :
Le joueur qui appuie 10 fois le plus vite sur son bouton remporte le duel.
Un Clone Twitter :
Naviguez sur différentes timeline de votre choix, envoyez des Tweet et plus.
Meteos :
Le climat d'une façon interactive n'importe où vous êtes.
Si vous cherchez l'équilibre entre la théorie et la pratique, ce cours est fait pour vous !

Profitez de cette offre à 10€

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin

Le Journal du Off : Dans les coulisses de la campagne présidentielle

Noté 3.7/5. Retrouvez Le Journal du Off : Dans les coulisses de la campagne présidentielle

Editer les titres d’emails reçus dans Thunderbird

3

Si vous faites partie des gens qui utilisent encore Thunderbird pour lire leurs emails, tout d'abord BRAVO ! Soutenir le logiciel libre c'est important et Thunderbird est un très bon client mail.

Voici donc pour vous récompenser de votre dévouement une extension pour Thunderbird qui permet d'éditer le titre des emails que vous recevez.

 

EditEmailSubject peut-être utile si vous voulez retrouver certaines choses plus rapidement ou si vos contacts sont des adeptes du "(pas de sujet)" ;-)

A télécharger ici.

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin

Pokemon Go, ça mène à tout

11

Parfois, la liberté, ça tient à peu de choses.

Ruslan Sokolovsky, un blogueur russe qui l'année dernière a mis en ligne une vidéo où on le voit jouer à Pokemon Go dans une église a été condamné à 3 ans et demi de prison par un tribunal d’Iekaterinbourg en Russie.

La raison ? Insulte envers les croyants et incitation à la haine.

Heureusement pour lui, la sentence a été suspendue grâce à la médiatisation de l'affaire. Il n'ira donc pas en prison et c'est tant mieux pour lui, car il n'y a pas trop de pokemon à débusquer là bas.

Source

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin

  • DANS TON CHAT (BASHFR)

    <Paladur> kde c'est du CACA
    <Paladur> vive Gnome
    <delroth> Paladur: crève naab, gnome c'est codé avec leur logo

    -- http://danstonchat.com/6100.html
  • RSS Emplois sécurité

  • Site hébergé par
    Agarik Sponsor Korben
  • Selection de contenus

  • Souris verticale – Mon retour

    après 2 ans d’utilisation

    Comme j'en ai parlé il n'y a pas longtemps avec un ami, je me suis souvenu que je n'avais pas encore fait d'article à ce sujet. Il y a un peu plus de 2 ans, je me suis mis à ressentir des douleurs assez vives au niveau du poignet (canal carpien). Je n'y ai pas vraiment prêté attention, mais celles-ci...

    Airflow – Pour streamer depuis votre

    ordinateur vers votre Chromecast / Apple TV

    Le support Chromecast dans VLC n'étant pas encore arrivé (faudra attendre la version 3.0), comment faites-vous, pour streamer vos films de vacances depuis votre ordinateur (PC ou Mac) vers votre Chromecast ?...