Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Gestionnaires de mot de passe sous Android – Attention à la fuite…

Si vous utilisez un gestionnaire de mot de passe de type Lastpass, SecureSafe, RoboForm et d’autres, il y a un truc sur lequel j’aimerai attirer votre attention.

Lorsque vous utilisez un logiciel client de ce genre sous Android, celui propose généralement de remplir automatiquement les champs login et mot de passe de vos sites web ET de vos applications. Si ce n’est pas le cas, ce qu’on fait tous en général, c’est d’aller dans le gestionnaire de mot de passe, copier le mot de passe et le coller dans le champ qui va bien.

Dans les 2 cas, grave erreur ! Car il est très simple pour une application tierce tournant sur votre téléphone, d’intercepter le contenu du presse papier. Évidemment, et contrairement aux versions desktop, il n’y a pas d’API sous Android et les navigateurs mobiles pour permettre de passer des mots de passe de manière sécurisée. Les développeurs de ces gestionnaires de mot de passe mobile ont donc dû trouver un moyen détourné de transmettre ce login et ce mot de passe et cela se fait via le presse papier.

Voici la liste des applications testées par les chercheurs qui soulèvent ce problème :

tests

Il faut que vous ayez bien conscience de ça avant d’utiliser de tels logiciels. N’importe quelle app vérolée installée sur votre smartphone peut récupérer ces identifiants et les transmettre dans votre dos à d’affreux criminels. Pour démontrer cette possibilité, le développeur Xbao a mis au point un soft baptisé ClipCaster qui intercepte tout simplement le contenu de votre presse papier (et donc vos logins et vos mots de passe). Il s’agit d’un proof of concept pour montrer que ça fonctionne…

clipcaster

Les chercheurs en sécurité qui soulèvent ce problème proposent 2 solutions pour arranger ça. La première consiste à modifier le presse-papier d’Android afin de le segmenter et le sécuriser pour que seules les applications autorisées puissent accéder à son contenu. La seconde possibilité passe par un soft de clavier qui pourrait communiquer avec les gestionnaires de mot de passe via une API et transmettre le mot de passe en toute sécurité aux sites et aux applications. Je pense que Swiftkey a un coup à jouer sur ce créneau. Voici comment ça se passerait en théorie :

usb

Mais attention, rien de tout cela n’existe pour le grand public… Donc ce que je vous recommande si vous utilisez un gestionnaire de mot de passe sous Android, c’est d’afficher en clair votre mot de passe, de le mémoriser et d’aller le retaper vous-même dans le bon champ. Bref, d’utiliser votre mémoire comme d’un presse papier ;-)Autrement, choisissez bien votre gestionnaire de mot de passe, car certains ne sont pas sérieux lorsqu’ils communiquent avec les serveurs (dans le cas de mots de passe stockés dans le cloud). Si la TLS (couche de chiffrement) n’est pas correctement implémentée, il est possible via une attaque Man In The Middle (MITM) d’intercepter votre identifiant principal (login+pass) pour déverrouiller cette base de mots de passe. C’est le cas par exemple de RoboForm et SecureSafe qui échouent lors de la vérification des certificats TLS, laissant la porte ouverte aux interceptions MITM. Par contre sur LastPass, les chercheurs n’ont pas réussi à pratiquer d’attaque MITM, car la vérification des certificats TLS se fait bien.Maintenant vous savez…

Merci à Nicola pour le partage.


Travis Touch – Traducteur Électronique Intelligent avec 105 langues

Traductions faciles & Hotspot Internet

105 Langues

Travis Touch est le traducteur intelligent par excellence qui tient dans la paume de votre main. Créez des liens significatifs avec les personnes que vous rencontrez. Que ce soit pour vos loisirs ou les affaires, Travis Touch permet un monde sans barrières linguistiques, traduisant à partir de 105 langues, plus que n’importe quel autre appareil.

Travis Touch écoute ce que vous dites, le traduit dans la langue sélectionnée et lit la traduction en temps réel par son haut-parleur. Votre interlocuteur peut alors s’exprimer dans sa propre langue et Travis traduira pour vous.

En Savoir +



Installer le shell Bash (Linux) sous Windows 10

L’année dernière, ça ne vous a pas échappé, Bash a fait son apparition sous Windows 10. C’est pour moi, la meilleure chose qui soit arrivée à Windows depuis un moment, car ça permet de lancer des outils Linux et de développer ses propres scripts Shell directement sous Windows. Le pied !

Mais même si c’est parfaitement fonctionnel, il faut quand même…

Lire la suite


Plus de 60 idées pour votre Raspberry Pi

Nous sommes nombreux à nous être procuré un petit ordinateur Raspberry Pi pour nous lancer dans des projets de ouf malade… C’est très cool, mais à part le classique Media Center XBMC, qu’avez-vous fait avec votre Raspberry Pi ?

Si vous séchez niveau idées, voici une petite sélection…

Lire la suite


Une astuce pour rendre Windows 10 plus rapide

Si vous trouvez que Windows 10 est un peu lent, que vos applications ne se lancent pas très vite, que vos compilations prennent du temps, voici une petite astuce débusquée par Brominou pour accélérer le bouzin.

Cliquez dans la zone de recherche de la barre Windows et tapez le mot clé « Performances ». Puis cliquez sur « Régler l’apparence et les performances de Windows » …

Lire la suite


Changer d’adresse IP rapidement

Une petite astuce pour ceux qui ne connaissent pas. Comment changer d’adresse IP à la volée.
Il suffit d’en demander une nouvelle à son provider si celui-ci accepte les IP dynamiques. Pour vérifier que vos manipulation ont eu l’effet escompté, vérifiez quelle est votre adresse IP….

Lire la suite