Aller au contenu
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

@  — 

Ce qui manque dans la plupart des lecteurs de flux RSS, c’est un moteur de recherche de flux. Google Reader disposait de cette fonctionnalité, mais maintenant qu’il s’est suicidé, il faut trouver autre chose…

Je vous propose 2 solutions que j’utilise…

La première, c’est le moteur de recherche de Feedly. Je ne vais pas étaler une fois de plus mon amour pour ce service avec lequel je vous bassine depuis presque 1 an, mais il se trouve que Feedly autorise la recherche thématique et par mot clé.

feedly

La seconde solution s’appelle CTRLQ/RSS et se présente sous la forme d’un moteur de recherche classique qui retourne uniquement flux RSS. L’outil utilise les API de Google Feeds et gère parfaitement les opérateurs Google comme :

  • site:korben.info – Retourne tous les flux RSS d’un site
  • tech site:nytimes.com – Pour trouver tous les flux RSS en rapport avec un sujet précis sur un site donné.
  • allintitle:revision3 – Pour trouver les podcasts de Revision3
  • etc.

instantrss

Amusez-vous bien !

@  — 

Infrastructure de mutualisation, c’est le petit nom dénué de toute originalité qu’ont donné les services de renseignements français à une immense base de données qui collecte sans répits l’ensemble de nos échanges électroniques.

On s’en doutait un peu, et un PRISM à la française était évident, mais cette fois, les journalistes du Monde ont officialisé le truc ce matin dans un article. Infrastructure de mutualisation, c’est moche donc j’appellerai ça FRENCH1984.

FRENCH1984
Source

Donc le dispositif FRENCH1984 est localisé boulevard Mortier à Paris, dans les sous-sols de la DGSE. On nous dit bien que c’est sur 3 niveaux et qu’il y a un supercalculateur capable de traiter énormément de données collectées depuis plusieurs postes avancés en Métropole et dans les régions d’outre-mer…

Donc en gros, quand vous appelez Tata Suzanne, qui appelle sa copine Monique, qui envoie un email à son gendre François qui lui-même balance un SMS à John qui vit à New York, nos amis fonctionnaires de la Direction Centrale du Renseignement Intérieur (DCRI), de la Direction Nationale du Renseignement et des Enquêtes Douanières (DNRED), de la Direction de la protection et de la sécurité de la défense (DPSD), de la Direction du renseignement militaire (DRM), de la cellule Tracfin de Bercy, et du Service du renseignement de la Préfecture de Paris en sont virtuellement informés.

Je dis virtuellement, car une base, ça se consulte. Rassurez-vous, jusqu’à preuve du contraire, ce sont uniquement les métadonnées qui sont conservées (Mais qui va croire ça ?). Donc on sait qui appelle qui, à quelle heure et depuis où… et tout ceci dans la plus grande illégalité (ou absence de cadre légal) puisque nos députés ont bien pris soin de ne jamais légiférer sur ce sujet précis.

Je soupçonne quand même les services américains d’avoir rencardé les journalistes du Monde, histoire de montrer que ce genre d’écoute nationale et à grande échelle se pratique ailleurs qu’aux États-Unis, en Libye, en Tunisie et en Chine. Bien joué.

On le savait. On s’en doutait. Mais toujours sans preuves réelles. Ou en tout cas, en s’imaginant que derrière, ce genre d’espionnage national était ciblé sur certaines personnes et demandé par un juge. Mais en réalité, c’est la fête du slip à fonctionnaire-land ! Pas de cadre légal, tout est dissimulé. Osons le dire, FRENCH1984 est encore plus hors des clous de la légalité que PRISM.

Bref, c’est un triste constat, une réalité et malheureusement, à part organiser une immense soirée mousse-dban dans les 3 niveaux sous-terrain de la DGSE, pour le moment, on se retrouve tous au pied du mur.

Ce qui m’étonne, c’est qu’ils parlent de communications électroniques (SMS, emails, Facebook, appels téléphoniques…etc), mais je ne vois pas pourquoi un tel système n’enregistrerait pas aussi :

  • Les déplacements de votre véhicule tracé grâce à sa plaque d’immatriculation et aux milliers de radars et caméras présents sur nos routes
  • Nos demandes de papiers officiels et autres démarches administratives
  • Nos réservations de billet de train, d’avion…etc
  • Nos transactions bancaires (CB, virements…etc)
  • Qui envoie du courrier postal à qui.

En tout cas, je serai à la tête de ce bidule, j’aurai intégré tout ça là dedans déjà.

Alors faut-il voir uniquement des désavantages à cette surveillance nationale des citoyens ?

Et bien je dis NON, il y a quand même beaucoup d’avantages.

  • C’est un fait, on a stoppé définitivement le terrorisme grâce à ce système.
  • Évidemment, toutes les magouilles financières de nos politiques, de nos banques et autres escrocs sont immédiatement découvertes et sanctionnées.
  • Nous ne serons plus obligés de conserver nos logs durant 12 mois sur nos serveurs, puisque FRENCH1984 s’en charge.
  • Plus besoin de s’offrir des abonnements de sauvegarde dans le cloud super onéreux. Si vos données sont perdues, il y a surement moyen de demander aux services de renseignements français ou américain, une copie de nos données. Même chose si on oublie un mot de passe ou l’adresse d’un site auquel on s’est connecté… Je suis certain qu’ils l’ont en stock.
  • Si des jeunes punks veulent faire la révolution, on saura les cueillir à 6h du matin avant même qu’ils aient eu le temps d’écrire sur leurs pancartes.
  • On va aussi pouvoir localiser plus facilement les sans-papiers qui se cachent et même arrêter les Français qui les aident.
  • On va pouvoir arrêter les fumeurs de Cannabis avant même qu’ils commencent grâce à la détection de la requête Google « Comment rouler un joint »
  • Si un jour, on a la chance de pouvoir vivre à nouveau sous l’occupation, un tel système nous permettra de traquer des terroristes de la trempe de Jean Moulin !
  • Et surtout, on va pouvoir faire chanter ceux qui se rebellent un peu en sortant des dossiers sur eux, grâce à tous les petits secrets collectés au fil des années.

Bref, c’est top ! Manque plus que la caméra dans le salon, la puce RFID/GPS sous cutanés et un visa obligatoire pour sortir de son village et on sera au poil !

En tout cas, je me demande si la personne qui a vendu la mèche aux journalistes du Monde devra s’enfuir à Hong Kong ou demander l’asile politique à l’Équateur. En tout cas, en ce qui concerne Snowden, ça a l’air tendu pour lui, car Manuel Valls, notre ministre de l’Intérieur n’est pas « favorable » à la venue du lanceur d’alerte américain chez nous. Pourtant, son grand-père (à Manu) a caché des prêtres persécutés pendant la guerre civile espagnole… Il devrait comprendre ce que c’est que d’être traqué et de voir ses droits les plus élémentaires bafoués (même par une démocratie).

Mais bon, ainsi va la vie… Il faut croire que les valeurs se perdent lorsqu’on gagne en pouvoir.

Alors maintenant, moi j’avoue, je sèche… J’ai beau prôner le chiffrement depuis des années, expliquer les darknets, montrer comment utiliser des logiciels anonymisants… je pense que le combat est maintenant politique et juridique. Des associations comme la Quadrature du Net nous montrerons peut être la voie, mais elles auront besoin de tout le monde pour remettre un peu d’ordre dans ce joyeux bordel qui piétine notre vie privée et nos droits de citoyens.

Si vous avez des idées légales et non violentes, je suis preneur.

@  — 

Voici un court métrage d’animation très sympathique réalisé par les étudiants de Supinfocom (Valenciennes) qui raconte l’histoire d’un monde à la dérive suite à la disparition mystérieuse de tous les lapins de la planète.

C’est bien barré comme j’aime !

 

@  — 

Attention si vous diffusez de la bannière via OpenX, des chercheurs en sécurité viennent de découvrir plusieurs vulnérabilités assez moches. Celles-ci peuvent être utilisées par un attaquant pour faire tourner du code PHP (CVE-2013-3514), lancer des attaques XSS (CVE-2013-3515) et ainsi compromettre un système vulnérable.

Par exemple, il est possible via un simple GET HTTP de récupérer le contenu d’un fichier en local. Par exemple le fichier /etc/password.

Logo de la plateforme publicitaire OpenX
Ou lancer un code PHP…

Capture d'écran du code vulnérable dans OpenX
Et je vous passe la XSS qui permet de récupérer le cookie d’un admin.

OpenX a réglé le problème sur son dépôt SVN dans la révision de code 82710. Les fichiers concernés sont :

  • https://svn.openx.org/openx/trunk/www/admin/plugin-preferences.php
  • https://svn.openx.org/openx/trunk/www/admin/plugin-index.php
  • https://svn.openx.org/openx/trunk/www/admin/plugin-settings.php

Et un fichier diff est disponible ici.

@  — 

Dans une présentation qui sera faite à la Black Hat en juillet, le chercheur en sécurité Jeff Forristal de BlueBox Labs, expliquera en détail l’exploitation du bug de sécu Android n°8219321. Officialisée en février de cette année par Google, cette faille permet à un attaquant de modifier le code d’un APK sans casser la signature numérique de celui-ci.

Concrètement, cela signifie qu’il est parfaitement possible de cacher dans une application légitime et reconnue comme telle par Android, un malware qui aurait alors accès au système du téléphone. Je vous laisse imaginer les dégâts et les fuites d’info que cela peut permettre.

Cette vulnérabilité est effective depuis la version 1.6 d’Android alias Donut. Cumulés depuis 4 ans, ce sont donc plus de 900 millions de téléphones qui sont touchés, soit 99% du parc Android. On en saura plus dans quelques semaines lors de sa conf baptisée « Android: one root to own them all » et sur le site de BlueBox Labs.

Espérons que les constructeurs et Google patchent rapidement cette faille.