Korben - Site d'actualité geek et tech



  • DANS TON CHAT (BASHFR)

    Gecko : Et quoi, avec la meuf ?
    Dan : Heu... Trop la loose, jsuis maudit! :(
    Dan : Tu sais, j'ai essayé de faire bonne impression et tout, on passe la journée ensemble et tout, puis après, jl'emmène manger une glace en pensant que ça pourrait être sympa
    Dan : Elle commande sa glace. Puis moi, parfait bilingue que je suis, en voulant un peu me la jouer, pour l'impressionner, ayant passé 2 longs mois aux states, je vois un parfum aux consonnances américaines qui m'intrigue (THE VERT) et je demande à la femme.
    Dan : Excusez-moi, c'est quoi, exactement, Ze veuuuuwt, avec mon plus bel accent.
    Dan : La femme a mis un moment en me fixant, avant de comprendre et de me répondre en me prenant pour un con "Monsieur... c'est du thé vert..."
    Gecko : Haha, owned! Elle a bien fait de te prendre pour un con xD
    Dan : TG!

    -- http://danstonchat.com/11935.html

  • Disque dur externe Lacie D2 Quadra 3To

    229 €

    Compatible PC et MAC
    3 To (capacité maximale de l appareil. La capacité finale disponible peut être inférieure)
    7200 tr/min

    Un serveur NAS 2 baies silencieux et sans ventilateur


    En Savoir +

  • RSS Emplois sécurité


  • Ordinateur tout-en-un HP ProOne 400 G2

    PROMO PC 17% de réduction

    Facile à déployer, élégant et doté de nombreuses fonctionnalités, l’ordinateur tout-en-un HP ProOne 400 de 50,8 cm (20 pouces) constitue un investissement judicieux avec ses options de collaboration, de gestion et de sécurité de classe entreprise.

    Processeur Intel® Core™ i3-6100T avec carte graphique Intel HD 530 (3,2 GHz, 3 Mo de mémoire cache, 2 cœurs)
    SATA 500 Go, 7200 tr/min
    4 Go de mémoire DDR4-2133 SDRAM


    En Savoir +

  • Site hébergé par
    Agarik Sponsor Korben
  • Selection de contenus

  • Les articles dans "Bidouilleurs"

    Retour sur la 15e Nuit du Hack

    Commentaires fermés sur Retour sur la 15e Nuit du Hack

    Le 24 juin dernier c'était la XVe Nuit du Hack. Une fois encore un excellent cru, même si malheureusement, je n'ai pas pu aller jusqu'au bout avec mes 40° de fièvre.

    Tant pis, je me rattraperai l'année prochaine, mais heureusement, Nowtech.tv était là et je peux donc me consoler avec la super émission qu'ils ont réalisée là bas.

    Merci Marion, merci Jérôme !

    Housse de rangement pour cartes mémoires SD

    10,77 €

    Soldes et Bons Plans pour la Rentrée scolaire 2017 : livres, fournitures, cartables, ordinateurs, vêtements ... ... Voir la liste des produits

    Très pratique – Design fin et rapidement accessibleCette housse a été conçue pour permettre un accès rapide à vos cartes mémoire.Le design fin vous permet de glisser l'étui dans les poches à accessoires de votre appareil photo.Une fois que vous avez l'étui en main les cartes sont rapidement accessibles grâce à son design portefeuille.Rangements sécurisés pour vos cartes SD

    En Savoir +

    L’authentification double facteur (2FA), oui mais pas n’importe comment !

    31

    Il y a un truc simple que vous devez absolument faire sur tous les services que vous utilisez (ou au moins ceux que vous jugez comme cruciaux), c'est activer l'authentification double facteur appelée aussi 2FA. Le concept est simple, une fois activé, en plus de votre mot de passe, on vous demandera un code unique valide sur une durée limitée. Ce code unique est parfois envoyé par email, parfois par SMS, et parfois disponible dans une application dédiée rien qu'à ça.

    C'est très important d'activer l'authentification double facteur, car en cas de vol de mot de passe (via une attaque man in the middle, un phishing ou autre), il n'y a plus de barrière qui s'oppose au criminel qui veut se connecter sur l'un de vos comptes. Et cela peut avoir des conséquences dramatiques comme le vol d'argent (PayPal, la banque...etc.), ou l'usurpation d'identité (Twitter, Facebook, votre boite mail...etc.).

    L'envoi de code par SMS ou email est la méthode la plus courante, car la plus commode. Il suffit d'avoir as à votre boite mail ou à votre carte SIM avec le bon numéro de téléphone et c'est réglé.

    ,MAIS si j'écris cet article aujourd'hui, c'est pour vous décourager d'utiliser l'authentification double facteur autrement qu'avec une application dédiée. Et je vais vous expliquer pourquoi.

    Prenons d'abord l'exemple de la boite mail. Si un quelqu'un prend le contrôle de votre boite mail, il pourra tout faire, y compris réinitialiser vos mots de passe sur tous vos sites préférés et lorsqu'un code 2FA lui sera demandé, il le recevra direct par mail. Donc ça ou rien c'est presque la même chose.

    Le code 2FA reçu par SMS est-ce qu'il y a de plus pratique et c'est ce que la plupart des gens choisissent. Il suffit d'avoir accès à une SIM avec son numéro et c'est bon. Évidemment, le jour où vous changez brusquement de numéro de téléphone, vous l'avez dans l'os. Et là, ça dépendra des sites. Pour certains, ce sera mort et perdrez à tout jamais votre compte. Pour d'autre, il y aura toujours moyen de récupérer un mot de passe et de faire sauter le 2FA (mais à quoi bon avoir mis cette protection dans ce cas ?) et dans d'autres cas, l'accès pourra vous être rendu, mais toutes les données de votre compte seront effacées. Ce qui peut aussi être problématique.

    Mais je vous déconseille aussi d'activer le 2FA par SMS.

    Pourquoi ?

    Et bien pour 2 raisons...

    La première, c'est que certains ont trouvé le moyen d'exploiter une faille dans le protocole SS7 des réseaux mobiles afin de détourner des SMS. Comme l'explique cet article, des gens se sont fait piller leur compte en banque juste comme ça à cause de cette faille.

    Mais il n'est pas nécessaire d'aller aussi loin dans la technique quand on peut compter sur la négligence de nos opérateurs téléphoniques (et ça, c'est la seconde raison). En effet, je vois souvent des articles ou des tweets qui expliquent qu'un criminel à trompé le call center d'un opérateur pour se faire envoyer une copie de la carte SIM de sa victime et ainsi lui dérober de l'argent.


    C'est moche hein. C'est donc aussi pour ça que je vous déconseille de vous faire envoyer vos codes 2FA par SMS.

    Alors que nous reste-t-il ?

    Et bien la dernière option, c'est une application qui vous génère des codes 2FA à la volée. Et là sans être infaillible, c'est déjà un peu plus costaud, car si quelqu'un veut accéder à vos comptes, il devra, en plus de récupérer votre mot de passe, vous voler votre téléphone et connaitre le code pour le déverrouiller. Bien sûr si vous n'avez mis aucune sécurité de verrouillage à votre smartphone, que votre application 2FA ne vous réclame pas de code PIN ou de mot de passe et qu'en plus, vos mots de passe de sites web sont enregistrés dans votre navigateur, je ne peux rien faire pour vous. Limite, vous méritez de vous faire piller votre compte bancaire.

    Notez que quand vous activez l'authentification double facteur pour l'utiliser via une app, il faut être très précautionneux. En effet, le site vous fournira une clé ou un QR code qu’il faudra conserver en sécurité quelque part pour que si vous perdez votre téléphone ou que vous le formatez, vous puissiez toujours accéder à votre compte.

    Il existe masse d'applications 2FA donc loin de moi l'idée de vous en conseiller une ultime... Mais évitez Google Authenticator ou FreeOTP qui ne permettent pas de configurer un code de verrouillage (Pin ou mot de passe). Évitez aussi toutes les apps qui vous force à stocker vos configs 2FA dans le cloud en échange de la création d'un compte chez eux.

    De toutes celles que j'ai testées, mes préférées sont Authy et LastPass Authenticator (qui propose un backup sur votre compte Lastpass, mais vous n'êtes pas obligé de l'activer).

    Voilà... Donc pour résumer :

    • Activez l'authentification 2FA partout si c'est dispo.
    • Ne demandez jamais à recevoir de code 2FA par email.
    • Ne demandez jamais à recevoir de code 2FA par SMS.
    • Utilisez uniquement une application 2FA qui propose une protection PIN ou mot de passe.
    • Évitez les applications qui stockent vos 2FA dans le cloud.
    • Pensez bien à conserver en lieu sûr vos clés secrètes ou QR code 2FA pour les réactiver en cas de perte, de panne ou de formatage de votre mobile.
    • Vous pouvez aussi opter pour les systèmes 2FA physiques mais cela fera l'objet d'un probable autre article car je n'en ai pas encore testé réellement.

    Je pense que j'ai tout dit !

    Bonne activation de 2FA à tous !!

    Déballage d’un ordinateur quantique

    12

    Je pense que vous n'avez pas encore la place d’accueillir chez vous un ordinateur quantique (ni chez moi je vous rassure), puis de toute façon Steam n'est pas encore dispo sur ce genre de bécanes, alors à quoi bon ?

    Non, ce n'est pas une raison pour ne pas s'intéresser à cette techno. Je vous propose de regarder cette vidéo en anglais (avec sous titres VO) de Linus tech tips, qui s'est rendu chez D-Wave, l'un des fabricants d'ordinateurs quantiques les plus connus, pour vous montrer à quoi ça ressemble *vraiment* et comment ça fonctionne.

    Adapter le concept de la Zip Bomb pour défendre son site web des scripts kiddies

    21

    Hier, le développeur Christian Haschek a publié sur son blog un article qui explique comment il a dépoussiéré le concept de "zip bomb" pour en faire une méthode de défense contre les scanners de vulnérabilités.

    Mais avant d'aller plus loin, qu'est-ce qu'une "zip bomb" ? Et bien cela consiste à créer un fichier zip contenant de la donnée ultra répétitive qui ne pèsera que quelques kb dans sa version compressée, mais qui générera un fichier de plusieurs petabytes si vous tentez de le décompresser. L'idée est bien évidemment de faire crasher la machine ou le soft en saturant le disque dur ou la RAM.

    Vous pouvez trouver une bombe zip en téléchargement ici, si vous voulez faire sauter votre disque dur. Le concept de la zip bomb est assez ancien et Christian l'a adapté pour défendre son site et faire chier les scripts kiddies.

    Les navigateurs ne sachant pas décompresser du zip, il a donc fabriqué une gzip bomb...

    ...qu'il envoie ensuite via une page PHP lorsqu'il détecte le user-agent d'un scanner de vuln (voir son article pour consulter le code associé).

    C'est basic, mais efficace car ça fait planter des navigateurs comme Chrome, IE ou encore Edge et détraque certains scanners de vuln comme SQLmap ou Nikto.

    Maintenant si vous voulez tester par vous même, vous pouvez cliquer ici à vos risques et périls : https://blog.haschek.at/tools/bomb.php

    Source


    Hack du scanner Iris du S8

    Après les Galaxy Note 7 qui prend feu, le spot de pub qui nous explique que maintenant, ça y est, ils ont compris et ils font les meilleurs tests qualité possibles sur leur matos, voici que la sécurité de déverrouillage par l'iris présente dans le Galaxy S8 et le Galaxy S8 Plus est mise à mal.

    En effet, les hackers du CCC...

    Un nouveau cours pour créer des applications iOS 11 à 10€ seulement

    Apprenez à développer pour iOS 11 avec Swift 4

    Vous démarrerez par voir (ou revoir) les bases et les bonnes pratiques du langage Swift 4. Le cours s’adresse à tous ceux - même les débutants - qui désirent maîtriser Swift 4 jusqu’à devenir un développeur confirmé.Vous découvrirez comment intégrer de la géolocalisation, des webservices et du drag-and-drop à vos applications. Avec Core ML et ARKit, vous irez même encore plus loin en créant des apps qui intègrent machine learning et réalité virtuelle !Cette formation sera mise à jour toutes les semaines pour intégrer les dernières fonctionnalités jusqu’à la stabilisation de Xcode et la sortie finale d’iOS 11.

    Pour seulement 10€, profitez de notre remise spéciale sur ce cours et de l’offre garantie satisfait ou remboursé sous 30 jours.

    Pour commencer à coder sur iOS 11 c'est ici

    Faut pas faire chier les développeurs

    10

    Peu importe le pays, nous sommes tous régulièrement la cible de tentatives d'arnaques par téléphone. L'une d'entre elles qui vise les Américains consiste pour l'arnaqueur à se faire passer pour l'IRS (les impôts) et faire payer les gens dans l'urgence. Quand je dis "arnaqueur", il ne s'agit pas d'un gars isolé chez lui, mais de véritables call-centers localisés en Inde qui passent leur journée à appeler des numéros de téléphone pour tenter de voler de l'argent à d'honnêtes gens.

    Mais c'était sans compter sur YesItWasDataMined, un développeur qui a décidé de contre-attaquer et qui a mis au point un bot dont le job est d'appeler non-stop toutes les lignes du call-center pour leur diffuser un message automatique. Baptisé Projet Mayhem, ce script sature à la vitesse de 28 appels par seconde, les lignes de l'escroc, les empêchant d'appeler et empêchant les futures victimes de joindre leur escroc. Et donc de gagner leur argent. Et ça, ça fait mal.

    Et si les numéros changent, il suffit de chercher en ligne les nouveaux numéros que les gens partagent dans les forums pour les rajouter à la liste.

    Voilà un beau projet qui vous donnera peut-être des idées pour d'autres trucs qui vous cassent les pieds. Reste à voir maintenant si les escrocs trouveront la parade ou s'ils lâcheront totalement l'affaire (j'en doute)...

    Merci à Mathieu

    Source


    Et si les crypto monnaies vous interessent:

    Le chiffrement selon Kmail – Patch, Patch le oinj !

    5

    Je ne sais pas si c'est le genre de news qui fait rire ou pleurer, mais le client mail Kmail 4.11 (Linux) a envoyé en clair pendant 4 ans, des emails censés être chiffrés avec OpenPGP.

    La raison est simple, un bug rendait incompatibles la fonctionnalité "envoyer plus tard" et la fonctionnalité de chiffrement. Du coup, sans le savoir, plein de gens ont "envoyé plus tard" des emails chiffrés qui avaient la tête et le goût d'un email chiffré, mais qui en réalité partait en clair sans aucun avertissement.

    C'est moche.

    Heureusement, 4 ANS PLUS TARD, le problème est découvert et dorénavant fixé. C'est là qu'on peut voir quand même que le monde du libre manque cruellement de testeurs et de contributeurs. Si vous ne savez pas quoi faire cet été, rejoignez les rangs...

    Bref, je vous le dis pour que vous fassiez la mise à jour. Les versions impactées par le problème sont KMail 4.11 jusqu'à la 17.04.1. Les versions 17.04.2 ou supérieures sont patchées.

    Source

    6 outils pour cloner

    un disque dur sous Windows et Linux

    Cloner c’est facile…Bon, ok, cloner un bébé, c’est déjà plus complexe mais un disque dur, c’est l’enfance de l’art. Alors bien sûr le logiciel le plus connu pour ça, est Ghost de Symantec mais au prix de 999,99 euros HT (j’déconne, je ne connais pas le prix en vrai), c’est déjà plus rentable de se mettre à cloner

    Dépanner, entretenir et hacker son PC

    Certains outils sont déjà contenus dans d’autres outils.
    Pour éviter d’avoir des dizaines de logiciels, seuls quelques uns sont réellement utiles à posséder.
    Malgré tout, une description de chacun des outils est disponibles sur cette page