Aller au contenu
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

@  — 

Black Desert est un MMORPG coréen qui devrait sortir sur PC cette année et qui est en train de bluffer tout le monde.

En effet, rien que l’éditeur de perso, c’est une tuerie.

Pearl Abyss qui développe ce jeu vient de mettre en ligne une vidéo qui donne un bon aperçu de ce que les joueurs vont pouvoir faire pour créer leur propre personnage. Vous allez voir, ça va très loin dans la customisation, et ça va en faire rêver plus d’un.

Même si vous n’êtes pas trop MMO, rien que pour vous créer des avatars, ce jeu vaudra le coup 😉

Source

@  — 

Voici une vidéo qui m’a bien fait sourire ce matin. Il s’agit d’une opé réalisée par Vodafone qui « aide » les gens à faire des trucs pour la première fois.

Et dans celle-là, ils emmènent An et Ria, 2 mamies (néerlandaises ?) de pas loin de 80 ans, à Barcelone, en jet privé s’il vous plait. Pour cela, elles vont devoir prendre l’avion, chose qu’elles n’ont jamais faite, et le résultat est très drôle. Y compris la fracture de la hanche à la fin sur la plage.

https://www.youtube.com/watch?v=zD2NtzEPBcA

En tout cas, elles ont l’air au point sur l’iPad les super mamies. 😉

Source

@  — 

Je vous rassure, il n’y a pas que votre grand-mère qui stresse à cause de l’arrêt du support de Windows XP.

Non, il y a aussi l’IRS, c’est-à-dire le Trésor Public / Impôts américain. Oui, car même s’ils sont en train de migrer vers Windows 7, ils ont encore 110 000 PC, soit 53% de leur parc qui est sous Windows XP.

Alors que faire ?

Et bien durant une réunion sur le budget, ce lundi, John Koskinen, le trésorier en chef a annoncé qu’il prendrait 30 millions de dollars sur le budget de l’IRS pour financer la fin de cette migration, et qu’une partie de cet argent (plusieurs millions) sera reversé à Microsoft pour disposer d’un support personnalisé pour une année supplémentaire.

Bien joué Microsoft !

Maintenant, j’ai 2 inquiétudes par rapport à ça…

1/  Les Américains encore sous XP vont-ils réclamer un accès aux patchs et mises à jour que Microsoft mettra à disposition de l’IRS ? Après tout, c’est financé avec l’argent public alors autant les filer à tout le monde.

2/ Savoir que 53% du parc informatique de l’IRS tourne encore sur un OS qui a maintenant pas loin de 13 ans, qui n’a plus aucun support et qui doit contenir pas mal de failles non publiques, ça laisse envisager pas mal de possibilités pour qui veut légèrement faire baisser la facture niveau impôts 😉

En tout cas, que les Américains soient rassurés, ils paieront quand même bien leurs impôts cette année 😉

Je ne sais pas sur quels OS tournent les postes des agents du Trésor Public en France mais j’ose espérer qu’ils sont déjà tous passés sur Windows 7. (Non, ils ne sont pas encore sous Linux si c’est ça la question)

Source

@  — 

Il n’y a pas que le Heartbleed bug dans la vie pour s’amuser ! Non, il y a aussi cette faille XXE qui permet d’exploiter certains parsers XML qui interprètent aveuglement n’importe quelle DTD fournie avec un document XML.

Résultat, il est alors possible d’accéder à des fichiers locaux, de forger des requêtes côté serveur, de réaliser un déni de service via un RFI,  voire même d’exécuter du code à distance.

Bref, c’est moche. Surtout quand on apprend que la team Detectify est tombé sur une faille de ce type sur les serveurs de Google. En effet, en fouillant un peu, ils sont tombé sur la galerie de boutons pour la Google Toolbar qui permet à chacun de personnaliser sa propre toolbar avec des nouveaux boutons simplement en uploadant son propre XML customisé.

L’équipe de Detectify a tout simplement lu les spécifications de cet outil et conçu spécialement pour l’occasion un fichier XML permettant de conduire une attaque XXE. Une fois fait, ils ont uploadé le fichier XML sur les serveurs de Google et taaadaaaa…

googlexxe_passwd_blurred_873

googlexxe_hosts_blurred_873

Comme vous pouvez le voir sur les captures-écran, ils ont forgé leur XML pour obtenir du serveur, le contenu des fichiers /etc/passwd et /etc/hosts présents sur l’un des serveurs en production de Google.

  
 
   ]>&xxe;

Évidemment, Google a été prévenu, a corrigé la faille et va même leur filer 10 000 $ dans le cadre de leur programme de bug bounty.

Dans tous les cas, si vous utilisez un parser XML dans vos projets, vérifiez qu’il soit bien patché contre ce genre d’attaque.

@  — 

Si vous cherchez à renouveler votre stock de fake mails, voici un petit nouveau qui vient d’entrer dans la course et qui ne manque pas d’humour.

Au programme, plusieurs noms de domaine, dont certains très cons, pour faire marrer les copains…

On a donc :

Oui, je sais, grosseteub, c’est pas le truc qui va remporter la palme du bon goût… 😀

Vous entrez l’alias de votre choix, puis votre vraie adresse email et à vous le fake mail parfait à donner aux potes ou sur les sites web que vous fréquentez. Cela permet de masquer sa vraie adresse avec un truc un peu original.

De nombreux autres domaines sont prévus prochainement par la team d’InspireMoi.