Korben - Site d'actualité geek et tech

Retour sur la GameCamp 2017, le grand rassemblement de l’industrie du jeu vidéo en France

1

Mercredi dernier a eu lieu le GameCamp 2017. Il s'agit d'une réunion réservée aux professionnel.le.s des métiers du Jeu vidéo. Florian Belmonte qui m'accompagne parfois sur ce genre d'événements, a pu rencontrer et partager un moment avec certaines de ces personnes.

Voici son récit. Merci à lui.

(suite…)

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin

2 failles découvertes au niveau de NTLM – Pensez à patcher votre Windows

1

Si vous évoluez dans un environnement Windows, prenez le temps de lire cet article. 2 failles ont été découvertes dans le protocole de sécurité NTLM de Windows qui permettraient à un attaquant de créer des comptes administrateurs sur un domaine et donc d'en prendre le contrôle.

Pour rappel, NTLM (NT Lan Manager) est un ancien protocole utilisé pour ajouter sur un réseau des machines Windows. Depuis Windows 2000, Kerberos a remplacé NTLM mais ce dernier est évidemment toujours supporté par Microsoft et encore utilisé partout.

Voici une démo d'exploitation de ces failles portant sur le relai LDAP et RDP :

Heureusement, Microsoft a patché ces failles donc pensez bien à faire vos mises à jour avant que ce soit encore le bazar au prochain malware ;-)

Pour en savoir plus sur la faille et comment vous protéger, je vous invite à lire l'article de Preempt.

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin

Retour d’expérience sur de l’intégration continue – #RJTalk

Julien Breux, CTO chez BAP (Bureaux à Partager) a fait une conf lors du dernier RJDay et le thème devrait vous intéresser. Il s'agit d'un retour d’expérience et de bonnes pratiques sur la mise en place d'un processus d’intégration continue et de mise en ligne dans le cloud, de la nouvelle plateforme de location de bureaux pour les pro.

Les technos abordées vont de Symfony 3 à Google Cloud Platform en passant par GitHub, CircleCi et GoLang.

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin

Internet toujours menacé partout dans le monde

26

Sale temps pour Internet en ce moment. Et par ricochet pour la démocratie, la liberté et la vie privée des gens.

Tout d'abord aux États-Unis, les opérateurs comme Comcast, Verizon et AT&T ont dépensé depuis 2008, 572 millions de dollars en lobbying pour enterrer les lois de protection de la neutralité du net qu'avait mis en place le gouvernement Obama. L'objectif de ces opérateurs est de pouvoir augmenter leurs profits en segmentant les usages d'Internet. Par exemple pour un forfait pas cher, vous ne pourrez aller que sur Facebook à la vitesse d'un escargot. Et pour débrider YouTube ou d'autres sites, il faudra prendre le forfait du dessus et ainsi de suite.

Les géants du net comme Amazon, Twitter, Netflix et des associations comme l'EFF et d'autres se mobilisent donc aujourd'hui dans une action baptisée Battle for the Net pour informer les gens de l'importance de la neutralité du net. Et ne vous y trompez pas, ce n'est pas un problème américano-américain uniquement, car en France aussi, nos chers opérateurs tentent des trucs en ce sens. Il convient donc d'être extrêmement vigilant.

En Russie et en Chine, c'est aussi très tendu avec de nouvelles lois qui interdisent l'utilisation de Tor et surtout celles des VPN. Quand on sait qu'en Chine, le VPN est le seul moyen pour les gens (Chinois, mais aussi expat' ou touristes) de passer au travers du Grand Firewall Chinois, ça va compliquer la vie de pas mal de monde. Certains ne pourront plus échanger avec leurs amis ou leur famille à l'étranger, d'autres ne pourront plus travailler dans de bonnes conditions quant à l'accès libre à l'information, je n'en parle même pas.

Enfin, et je garde le meilleur pour la fin, en France aussi ça commence à se tendre sérieusement avec l'arrivée du "projet de loi sur la sécurité publique et contre le terrorisme". Malheureusement, comme durant les quinquennats précédents, on a encore à faire à un gouvernement qui souhaite ficher, surveiller et piétiner la vie privée de milliers, si ce n'est de millions de français au travers de la mise en place de plusieurs fichiers, de traitements de données d'enregistrement et de réservation, d'écoute des communications, de l'obligation de révéler ses identifiants internet, ou encore de géolocalisation de personnes. Et malheureusement, une fois encore, la CNIL qui est l'un des derniers remparts contre ce genre de dérives, a été totalement ignorée. C'est totalement inadmissible. Mais c'était aussi totalement prévisible.

Internet et par extension notre société Humaine est un être vivant dont nous sommes les petites cellules utiles et constructives. Et malheureusement, les gouvernements, les lobbys et autres sangsues politiciennes qui se succèdent au fil des années, en sont le cancer.

La question qui se pose maintenant, c'est qu'attendons-nous pour le combattre ?

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin
Découvrez Amazon Renewed

Le programme de produits reconditionnés certifiés fiables par Amazon

Les produits disponibles sur Amazon Renewed ont été testés et certifiés pour ressembler et fonctionner comme des produits neufs par des fournisseurs qualifiés et ils sont couverts par une garantie limitée de 1 an. Achetez des smartphones, des ordinateurs de bureau, des ordinateurs portables, des tablettes, des appareils électroménagers, des consoles de jeu, du matériel de bureau et bien plus

Vous y trouverez toutes les catégories habituelles de la boutique officielle, Smartphone, Ordinateurs portables, Audio, Bricolage ou encore Jeux Vidéos

A découvrir ici

Retour sur la 15e Nuit du Hack

0

Le 24 juin dernier c'était la XVe Nuit du Hack. Une fois encore un excellent cru, même si malheureusement, je n'ai pas pu aller jusqu'au bout avec mes 40° de fièvre.

Tant pis, je me rattraperai l'année prochaine, mais heureusement, Nowtech.tv était là et je peux donc me consoler avec la super émission qu'ils ont réalisée là bas.

Merci Marion, merci Jérôme !

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin

L’authentification double facteur (2FA), oui mais pas n’importe comment !

31

Il y a un truc simple que vous devez absolument faire sur tous les services que vous utilisez (ou au moins ceux que vous jugez comme cruciaux), c'est activer l'authentification double facteur appelée aussi 2FA. Le concept est simple, une fois activé, en plus de votre mot de passe, on vous demandera un code unique valide sur une durée limitée. Ce code unique est parfois envoyé par email, parfois par SMS, et parfois disponible dans une application dédiée rien qu'à ça.

C'est très important d'activer l'authentification double facteur, car en cas de vol de mot de passe (via une attaque man in the middle, un phishing ou autre), il n'y a plus de barrière qui s'oppose au criminel qui veut se connecter sur l'un de vos comptes. Et cela peut avoir des conséquences dramatiques comme le vol d'argent (PayPal, la banque...etc.), ou l'usurpation d'identité (Twitter, Facebook, votre boite mail...etc.).

L'envoi de code par SMS ou email est la méthode la plus courante, car la plus commode. Il suffit d'avoir as à votre boite mail ou à votre carte SIM avec le bon numéro de téléphone et c'est réglé.

,MAIS si j'écris cet article aujourd'hui, c'est pour vous décourager d'utiliser l'authentification double facteur autrement qu'avec une application dédiée. Et je vais vous expliquer pourquoi.

Prenons d'abord l'exemple de la boite mail. Si un quelqu'un prend le contrôle de votre boite mail, il pourra tout faire, y compris réinitialiser vos mots de passe sur tous vos sites préférés et lorsqu'un code 2FA lui sera demandé, il le recevra direct par mail. Donc ça ou rien c'est presque la même chose.

Le code 2FA reçu par SMS est-ce qu'il y a de plus pratique et c'est ce que la plupart des gens choisissent. Il suffit d'avoir accès à une SIM avec son numéro et c'est bon. Évidemment, le jour où vous changez brusquement de numéro de téléphone, vous l'avez dans l'os. Et là, ça dépendra des sites. Pour certains, ce sera mort et perdrez à tout jamais votre compte. Pour d'autre, il y aura toujours moyen de récupérer un mot de passe et de faire sauter le 2FA (mais à quoi bon avoir mis cette protection dans ce cas ?) et dans d'autres cas, l'accès pourra vous être rendu, mais toutes les données de votre compte seront effacées. Ce qui peut aussi être problématique.

Mais je vous déconseille aussi d'activer le 2FA par SMS.

Pourquoi ?

Et bien pour 2 raisons...

La première, c'est que certains ont trouvé le moyen d'exploiter une faille dans le protocole SS7 des réseaux mobiles afin de détourner des SMS. Comme l'explique cet article, des gens se sont fait piller leur compte en banque juste comme ça à cause de cette faille.

Mais il n'est pas nécessaire d'aller aussi loin dans la technique quand on peut compter sur la négligence de nos opérateurs téléphoniques (et ça, c'est la seconde raison). En effet, je vois souvent des articles ou des tweets qui expliquent qu'un criminel à trompé le call center d'un opérateur pour se faire envoyer une copie de la carte SIM de sa victime et ainsi lui dérober de l'argent.


C'est moche hein. C'est donc aussi pour ça que je vous déconseille de vous faire envoyer vos codes 2FA par SMS.

Alors que nous reste-t-il ?

Et bien la dernière option, c'est une application qui vous génère des codes 2FA à la volée. Et là sans être infaillible, c'est déjà un peu plus costaud, car si quelqu'un veut accéder à vos comptes, il devra, en plus de récupérer votre mot de passe, vous voler votre téléphone et connaitre le code pour le déverrouiller. Bien sûr si vous n'avez mis aucune sécurité de verrouillage à votre smartphone, que votre application 2FA ne vous réclame pas de code PIN ou de mot de passe et qu'en plus, vos mots de passe de sites web sont enregistrés dans votre navigateur, je ne peux rien faire pour vous. Limite, vous méritez de vous faire piller votre compte bancaire.

Notez que quand vous activez l'authentification double facteur pour l'utiliser via une app, il faut être très précautionneux. En effet, le site vous fournira une clé ou un QR code qu’il faudra conserver en sécurité quelque part pour que si vous perdez votre téléphone ou que vous le formatez, vous puissiez toujours accéder à votre compte.

Il existe masse d'applications 2FA donc loin de moi l'idée de vous en conseiller une ultime... Mais évitez Google Authenticator ou FreeOTP qui ne permettent pas de configurer un code de verrouillage (Pin ou mot de passe). Évitez aussi toutes les apps qui vous force à stocker vos configs 2FA dans le cloud en échange de la création d'un compte chez eux.

De toutes celles que j'ai testées, mes préférées sont Authy et LastPass Authenticator (qui propose un backup sur votre compte Lastpass, mais vous n'êtes pas obligé de l'activer).

Voilà... Donc pour résumer :

  • Activez l'authentification 2FA partout si c'est dispo.
  • Ne demandez jamais à recevoir de code 2FA par email.
  • Ne demandez jamais à recevoir de code 2FA par SMS.
  • Utilisez uniquement une application 2FA qui propose une protection PIN ou mot de passe.
  • Évitez les applications qui stockent vos 2FA dans le cloud.
  • Pensez bien à conserver en lieu sûr vos clés secrètes ou QR code 2FA pour les réactiver en cas de perte, de panne ou de formatage de votre mobile.
  • Vous pouvez aussi opter pour les systèmes 2FA physiques mais cela fera l'objet d'un probable autre article car je n'en ai pas encore testé réellement.

Je pense que j'ai tout dit !

Bonne activation de 2FA à tous !!

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin

  • DANS TON CHAT (BASHFR)

    <LinuXP> De ttes facons c'est qu'une salope!
    <LeBidule> oO
    <LinuXP> a cause d'elle j'ai pas eu mon année!
    <LeBidule> Heu... Je dirais plutot a cause de Wow nan?
    <LinuXP> Ben justement... C'est cte conne qui me l'a acheter pour anniv' :/

    -- http://danstonchat.com/4109.html
  • RSS Emplois sécurité

  • Site hébergé par
    Agarik Sponsor Korben
  • Selection de contenus

  • 5 Live CD Linux pour faire du clustering

    Si vous possèdez une floppée d’ordinateurs dont vous ne savez que faire, pourquoi ne pas vous lancer dans du clustering ?
    Le clustering pour ceux qui ne savent pas est une technique qui consiste a mettre en réseau plusieurs ordinateurs afin de partager entre eux un traitement informatique ou une tâche plus ou moins balèze

    Comment s’installer un petit VPN maison

    quand on n’est pas un gros barbu

    Je pars en déplacement à la fin de la semaine, et comme je n’aurai qu’une connexion d’hôtel probablement vérolée, ça m’a pris comme une envie de pisser de me monter un petit VPN.
    Mais j’avais quelques exigences dignes d’une princesse monégasque !