Korben - Upgrade your mind

Atlas – Le Windows 10 optimisé

@Korben — 11 février 2023

Windows des gamers ? En tout cas, c’est comme ça que son créateur présente Atlas, mais honnêtement, je pense que ça conviendra à tous ceux qui cherchent un système d’exploitation rapide et allégé en bidules inutiles.

Hé oui, car Atlas est une version totalement transformée de Windows 10. Les transformations ne sont pas esthétiques donc si vous êtes fans de tuning, faudra repasser. Par contre, elle est optimisée afin d’améliorer les performances globales du système Windows et réduire au maximum la latence dans les jeux vidéos. Tous les logiciels préinstallés et les composants inutiles ont été retirés, ce qui permet également de réduire fortement la taille de l’ISO et de l’installation sur le disque dur.

Capture d'écran du bureau d'Atlas - Le Windows 10 optimisé

Pour être plus précis, voici ce qui a été retiré de cette version de Windows :

Le TPM (Trusted Platform Module)
Windows Defender
Les espaces de stockage
Les disques eMMC
Les configurations de disques RAID
BitLocker
La biométrie (reconnaissance du visage/empreinte digitale)
La reconnaissance vocale
Les points de restauration et de réinitialisation du système

L’un des points forts d’Atlas est son respect de la vie privée. Pas de tracking et des politiques de groupe servant à minimiser la collecte de données. La sécurité n’a pas non plus été oubliée.

Atlas est vraiment cool, car totalement open source. Cela veut dire que tout est documenté et que tout le code se trouve sur Github.

Évidemment, il y a quelques bugs résiduels. WSLv2 n’est pas supporté (uniquement la v1), et vous serez contraint de l’utiliser en anglais, car les langues alternatives semblent ne pas vouloir s’installer sauf si vous avez de la chance. Et évidemment, ce n’est pas un Windows cracké. Il vous faudra l’activer comme d’habitude. Mais il est parfaitement utilisable sans clé.

On est donc sur un Windows légèrement dégradé, mais tellement performant. Je l’ai installé et rien que l’install, c’est super rapide, sans étapes superflues. Et comme je l’utilise dans une VM, c’est encore mieux puisque très léger à l’exécution et super rapide au boot.

Après l’installation, l’OS va lancer des tas de scripts d’optimisation. Laissez-le faire et patientez jusqu’à ce qu’il ait terminé et vous demande de vous déconnecter.

Si le projet vous intéresse, c’est par ici.

Windows

CryptBoard – L’outil de partage de fichiers et de textes chiffrés pour les crypto-sérieux

@Korben — 10 février 2023

À tous les crypto anarchistes qui me lisent, voici un projet libre que vous pouvez héberger sur votre propre serveur, qui va vous permet de faire des « dingueries » comme dirait Elisabêth Borne. Cet outil s’appelle CryptBoard et n’est plus ni moins qu’un presse-papier chiffré permettant de copier-coller de manière sécurisée du texte et des fichiers et de les partager entre différentes machines.

Conçu pour permettre un excellent anonymat, CryptBoard utilise un chiffrement hybride RSA + AES côté client. Ainsi, le client fait une demande d’autorisation anonyme au serveur, et obtient un UID aléatoire du serveur puis chaque message est chiffré en AES avec une clé aléatoire de 256 bits.

Cette clé AES aléatoire est ensuite chiffrée par la clé RSA publique de l’utilisateur, et envoyée au serveur. Une fois que le destinataire reçoit le message du serveur, il déchiffre la clé AES avec sa clé privée RSA, puis décode le message codé AES

Les utilisateurs doivent partager leur UID et leur clé publique RSA via un lien ou un QR code pour pouvoir s’écrire et se lire, mais la clé privée, elle n’est pas partagée avec le serveur ni avec les autres clients.

Capture d'écran de l'interface CryptBoard

De plus, l’intégrité de la clé publique et de l’UID peut être vérifiée visuellement en inspectant l’avatar généré à partir du hachage de la clé publique et de l’UID.

Ça parait un peu complexe raconté comme ça (lol) mais cette façon de faire permet de résoudre certaines problématiques liées au partage de fichiers ou de texte entre certaines machines et VM, ou machines contrôlées à distance, sans jamais avoir à rogner sur la sécurité. Et comme CryptoBoard se présente sous la forme d’un site web, pas besoin d’installer un outil pour partager des secrets comme des mots de passe.

Si vous voulez plus d’infos sur le chiffrement, cliquez ici. Son code est dispo sur Github, vous pouvez donc l’auditer ou l’améliorer si ça vous chante.

Exemple de partage de fichier chiffré avec CryptBoard

Pour l’installer sur votre machine, vous devrez disposer de Docker et suivre la procédure suivante :

Tout d’abord, clonez le code comme ceci :

git clone https://github.com/MihanEntalpo/cryptboard.io.git

Installez Docker et Docker Compose si ce n’est pas déjà fait. Ainsi que Nginx.

Créez ensuite le fichier de config comme ceci :

cp web-app/.env.docker.example web-app/.env.docker

Et générez les clés privées et publiques nécessaire comme ceci :

ssh-keygen -t rsa -b 4096 -m PEM -f jwtRS256.key
# Ne mettez pas de passphrase
openssl rsa -in jwtRS256.key -pubout -outform PEM -out jwtRS256.key.pub

2 fichiers seront alors créés : jwtRS256.key et jwtRS256.key.pub

Ajoutez le contenu de ces fichiersdans les variables JWT_PUBLIC_KEY et JWT_PRIVATE_KEY dans le fichier .env.docker en utilisant les commandes suivantes :

LINE=$(cat ./web-app/jwtRS256.key | tr '\n' '$' | sed 's|\$|\\\\n|g;s|^|JWT_PRIVATE_KEY=|g'); sed -i "s|^JWT_PRIVATE_KEY.*|$LINE|g" -i ./web-app/.env.docker

LINE=$(cat ./web-app/jwtRS256.key.pub | tr '\n' '$' | sed 's|\$|\\\\n|g;s|^|JWT_PUBLIC_KEY=|g'); sed -i "s|^JWT_PUBLIC_KEY.*|$LINE|g" -i ./web-app/.env.docker

Définissez les variables SERVER_HOST et SERVER_PORT dans le fichier .env.docker pour pointer vers votre Nginx puis créez l’image Docker comme ceci :

./build-docker-images.sh

Et lancez le Docker Compose comme ceci :

./docker-compose.sh up -d

Rendez-vous ensuite sur l’URL http://127.0.0.1:PORT/ pour voir si tout roule. Configurez ensuite Nginx en tant que reverse-proxy pour ce serveur local et activez SSL si nécessaire en utilisant le fichier conf/nginx/docker-proxypass.conf comme modèle pour votre configuration Docker.

Assurez-vous de définir le bon nom d’hôte, le port de proxy_pass, l’emplacement des fichiers de journal et les fichiers de clé et de certificat LetsEncrypt.

Et si vous avez la flemme de faire tout ça, et bien l’outil reste utilise ici : https://cryptboard.io

Sécurité

ImHex – L’éditeur hexadécimal des gens qui bossent encore à 3h du mat’

@Korben — 9 février 2023

Que vous soyez développeur, chercheur en sécu ou simple bidouilleur, vous avez besoin de 2 choses dans la vie pour être équilibré et heureux :

Une bonne hygiène personnelle
Et bien sûr d’un éditeur hexadécimal qui tient la route

Alors pour l’hygiène, je ne peux pas trop vous aider. Mais pour l’autre truc, on va causer sérieux avec ImHex. Il s’agit d’un éditeur hexa conçu pour, je cite, « les gens qui tiennent à leurs rétines« .

Capture d'écran de l'interface d'ImHex affichant un fichier hexadécimal

En effet, cet éditeur, dispo sous macOS, Linux et Windows, a été conçu pour apporter un maximum de confort visuel, notamment pour ceux qui travaillent tard le soir. Il dispose de nombreuses fonctionnalités très cool comme des capacités de patching et de gestion des patchs, la recherche de tous types de chaines de caractères, la mise en surbrillance colorée, les bookmarks, du désassemblage, un visualisateur de constantes…etc. Ainsi que pleins d’outils pratiques comme une calculatrice, une table ASCII, ou un démangleur LLVM qui permet de rendre lisibles les noms et fonctions chiffrées par le compilateur LLVM.

ImHex utilise également un modèle de langage inspiré du C++ et prend en charge de nombreux types de données, tels que les tableaux, les pointeurs, les énumérations, les champs binaires, les formats little et big endian, les conditions et bien plus encore…

Et évidemment, différents thèmes sont disponibles, y compris un thème clair pour ceux qui préfèrent et vous pouvez régler la taille et l’aspect de la police de caractère utilisé par l’outil.

Illustration de deux personnes travaillant tard le soir sur un ordinateur

Capture d'écran d'un code hexadécimal affiché dans l'éditeur ImHex

À découvrir ici !

Merci à Letsar pour le partage !

Développement

Pour ne plus tomber dans le piège des fake news

@Korben — 8 février 2023

C’est l’ami Rémouk qui me l’a fait remarqué lors du dernier Webosaures : Google News a intégré une section sur son site pour mettre en avant uniquement les « Fact Check« .

Ces articles, rédigés par des médias considérés comme sérieux, reprennent les fausses affirmations qui trainent sur le net, et tentent d’en démêler le vrai du faux.

Infographie montrant les étapes pour vérifier une information avant de la partager

Si je vous en parle aujourd’hui, c’est que je trouve ça cool pour plusieurs raisons. Tout d’abord, j’en peux plus de ces fake news, de ces ramassis de conneries et de tout ce que les assombris du bocal relaient toute la journée sur leurs réseaux sociaux ou sur des médias douteux.

Je pense vraiment qu’on devrait faire fermer tous ces sites qui font la promotion de ces fausses informations tant cela fait des dégâts dans notre société. Et également, dans le respect et avec beaucoup de tendresse, écarteler les gens qui relaient ces fake news.

Si je trouve ça bien que Google mette ce genre de chose en avant, c’est parce qu’il faut se rendre à l’évidence : La plupart des gens sont de grosses feignasses quand il s’agit de vérifier une information.

Par manque de temps bien sûr, et parce qu’à l’école, on ne leur a jamais vraiment appris à faire preuve d’esprit critique ou à aller au-delà de ce qu’on peut lire. Et même si je me souviens avoir appris à décomposer un article de presse, je n’ai jamais dans le cadre scolaire, appris à comprendre et analyser une information ou à déterminer la fiabilité d’un relai d’information.

Ainsi, dans la tête de la plupart d’entre nous, un article sur FranceTV Info, sur JeanMarcMorandini, sur FranceSoir, ou encore sur une page Facebook quelconque, a la même valeur, la même crédibilité car : « Vue sur Internet ».

Capture d'écran d'un tweet contenant une fausse information

Donc comme les gens sont ce qu’ils sont, et qu’on ne va pas se transformer en debunkeur du jour au lendemain, encore moins en croisant des sources, c’est plutôt cool qu’on mette ce genre d’information directement sous le nez de tout le monde.

Je tiens d’ailleurs à saluer les journalistes qui font, contre vents et marées, ce travail abominable de fact checking qui consiste dans la plupart des cas, à rappeler des évidences scientifiques en le sourçant pour se faire ensuite insulter sur Twitter par des centaines d’abrutis.

Alors même si je sais que les esprits les plus stupides proclament à longueur de journée que « EUX, font leurs propres recherches » et que l’ouverture de leur bouche est inversement proportionnelle à leur ouverture d’esprit, la vérité, c’est qu’ils cherchent que dalle et se contentent de répéter bêtement les âneries de leurs influenceurs hyper-stars (je vous laisse deviner lesquels).

Alors pour ceux qui peuvent encore être un peu sauvés, car pas dans la croyance, et qui se posent effectivement des questions, j’ai ce qu’il vous faut.

Grâce à Google, vous allez pouvoir vérifier si toutes les « informations » que Tata Corinne ou votre collègue Thierry relaient sur Facebook / Twitter / TikTok sont fondées. Ou si c’est juste un énorme étron mental qu’ils tentent d’insérer dans votre cerveau sans même en avoir conscience. Cela se passe sur ce site qui est tout simplement un moteur de recherche de fact checking.

Photo d'un groupe de personnes discutant des fake news lors d'un événement

Vous tapez le sujet qui vous tracasse et vous aurez des informations vérifiées et contre-vérifiées par des professionnels afin de pouvoir vraiment comprendre de quoi il en retourne.

Bref, vous n’aurez plus d’excuse pour lutter contre la bêtise qui vous entoure !

Et au nom de tous, merci d’avance pour vos efforts.

Service web

Comment Incogni appuie les exigences de la CNIL

@Korben — 7 février 2023

— Article en partenariat avec Incogni —

Si vous ne le savez pas encore, depuis février 2022 la CNIL (Commission nationale de l’informatique et des libertés) a publié un rapport qui vise à encadrer un peu mieux le traitement de données par toutes les organisations qui effectuent des activités commerciales avec. Cela implique donc par exemple les data brokers dont j’ai déjà parlé sur ce site.

Pour résumer, les data brokers vont récupérer vos informations personnelles (depuis différents services et base de données) et essayer de les croiser pour obtenir une fiche la plus complète possible à votre propos. De l’adresse mail, à l’adresse physique en passant par vos mots de passe ou vos données bancaires. Cela dans le but de les revendre à prix d’or à des démarcheurs ou d’autres organismes. Selon le data broker cette recherche va aller de simplement récupérer des informations légales (que vous avez données à divers services/sites) jusqu’à l’illégalité pure et simple (hack de base de données, etc.). Bref le panel est large et croyez-moi, VOS infos sont chez des dizaines d’entre eux (voir mon test personnel d’Incogni).

Ce sont ces revendeurs et ces acheteurs qui sont entrés un peu plus dans le collimateur de la CNIL depuis début de l’an dernier. Avec un rappel prononcé de leurs obligations en décembre 2022. Ce qu’il faut savoir c’est que ce genre de pratique n’est PAS interdite par le RGPD, ce n’est donc pas aussi simple que de dire qu’il faut tous les épingler, il existe une marge de manoeuvre.

La première chose qui leur est demandée est justement de s’assurer de la légalité des données. Notamment qu’elles ont bien été récoltées avec l’accord de la personne. Dans la majorité des cas ce sera que la personne a bien validé ou coché la case des conditions générales & Co lorsqu’elle s’est inscrite ou qu’elle a rempli un formulaire. Pour ceux qui refusent ces transmissions de données dès l’inscription, cela ne doit bien entendu jamais se retrouver chez un data broker, et encore moins être revendu par ce dernier.

Le second point c’est que les données ne soient pas conservées plus longtemps que ne le demande la CNIL. À savoir 3 ans après la fin de l’acte qui a généré la relation commerciale (que ce soit l’achat sur un site e-commerce, la délivrance d’une prestation diverse, la fin d’une garantie …). De plus, tout ce qui a trait à la gestion d’un contentieux, à la comptabilité, etc. (bref toute la paperasse administrative) doit être exclu par défaut et ne pas être partagé.

Là où le règlement de la CNIL va plus loin, c’est dans le fait que les acquéreurs des données doivent eux aussi s’assurer que tout est légal. Et nous en informer (dans un délai d’un mois), en citant leur source, si ce n’est pas le cas. Nous dire à qui ils ont acheté nos informations en somme et nous demander notre accord. Et ça, c’est plutôt cool parce que ça permet de savoir où nos infos ont trainé.

Schéma des exigences de la CNIL pour la protection des données

Ils doivent pouvoir prouver que nous avons donné notre consentement pour tout démarchage. C’est parfois inscrit de manière explicite dans les conditions générales ou les formulaires que nous validons en créant un compte quelconque. En vous inscrivant sur WhatsApp, vos données sont partagées avec Facebook & Co. Ce genre de choses. Dans le cas inverse à lui de recueillir votre assentiment. Et si vous n’êtes pas d’accord, il doit respecter votre demande de retrait/modification de sa liste.

Bref, ça, c’est la théorie. Pas toujours simple à faire respecter ou difficile à gérer au cas par cas. Comment vraiment savoir qui a quoi ? À qui avez-vous donné les droits de partage sur tel site en 2017 ? Etc. Si vous préférez déléguer ou prendre les devants, il y a Incogni.

Comme je l’ai déjà expliqué dans d’autres articles, le job d’Incogni va être proactif, avant même que les sociétés aient à vous contacter. Vous lui indiquez les données que vous acceptez de partager et celles que vous ne voulez plus voir sur le web et il va faire le taf à votre place.

Capture d'écran du tableau de bord d'Incogni montrant les fonctionnalités de conformité à la CNIL

Il commencera par analyser le contenu de ce que possèdent des dizaines de data brokers sur vous. Et ensuite il les contactera pour leur demander de supprimer ce qui ne vous convient pas. De cette manière les acheteurs n’auront déjà plus accès à ces informations lorsqu’ils vont acquérir une base de données.

Et si les data brokers ne font pas le boulot ? Incogni va continuer à les harceler régulièrement. Et si cela ne suffit toujours pas ? Alors vous pourrez peut-être vous tourner vers la CNIL. Mais, pour 5-6€/mois, le service de Surfshark est plutôt pratique. J’ai pris quelques minutes pour mettre en place mon test et depuis ce sont des dizaines de brokers qui m’ont retiré de leurs listes. Et qui continuerons, car l’outil veille au grain pour le cas où ils me réintégreraient en scred.

Testez Incogni !

Sécurité