Aller au contenu
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

@  — 

Vous en avez marre des logiciels de stéganographie qui ne tiennent pas vraiment leurs promesses en matière de sécurité et de furtivité ?

Ne cherchez plus, voici SecretPixel, un excellent outil pour planquer vos données sensibles dans des images afin de pouvoir ensuite les transmettre en toute discrétion.

Alors qu’est-ce qui fait de SecretPixel un outil si balèze comparé aux autres ? Déjà, il combine un chiffrement AES-256 de ouf pour vos données, avec une clé de session elle-même chiffrée avec RSA. Rien que ça, ça veut dire que seul le détenteur de la clé privée RSA pourra déchiffrer vos infos cachées. Niveau sécurité, on est donc au top.

Mais ce n’est pas tout ! Avant d’être chiffrées, vos données sont compressées avec zlib, ce qui réduit leur taille et minimise les schémas détectables par les outils de stéganalyse (oui c’est comme ça qu’on dit). Et pour vraiment brouiller les pistes, SecretPixel utilise un générateur de nombres pseudo-aléatoires pour déterminer les pixels qui vont accueillir vos bits cachés. Vos données sont ainsi éparpillées dans toute l’image, rendant leur détection quasi impossible, même avec des outils comme zsteg.

Le processus de chiffrement garantit que les données cachées restent confidentielles, tandis que la compression et la distribution aléatoire des données rendent extrêmement difficile pour les outils de stéganalyse de détecter la présence d’informations intégrées. L’utilisation d’un générateur de nombres aléatoires avec amorçage ajoute une couche de sécurité supplémentaire, car le schéma des données intégrées ne peut pas être prédit sans connaître l’amorce.

En prime, SecretPixel stocke aussi le nom original de votre fichier caché dans l’image. Comme ça, quand vous l’extrairez, il aura toujours son petit nom. Pratique non ?

Et vu qu’il est écrit en Python, vous pouvez l’utiliser sur n’importe quel système, tant que vous avez Python d’installé.

SecretPixel est conçu pour fonctionner avec une variété de formats de fichiers image : PNG, BMP, TGA et TIFF. Il est important de noter que le format d’image hôte choisi peut avoir un impact sur l’efficacité du processus de stéganographie. Les formats sans perte comme PNG et TIFF sont préférables pour garantir qu’aucune donnée n’est perdue pendant le processus d’intégration.

Maintenant, pour mettre la main sur ce petit bijou, rien de plus simple. Clonez le dépôt GitHub ou téléchargez le code source. Assurez-vous d’avoir Python 3 et les packages requis, et c’est parti !

git clone https://github.com/x011/SecretPixel.git

cd SecretPixel

pip install -r requirements.txt

Avant de jouer à cache-cache avec vos données, vous allez avoir besoin d’une paire de clés RSA – une clé privée et une clé publique. Pas de panique, les dev ont pensé à tout avec un script Python pour vous faciliter la tâche. Lancez donc generate_keys.py qui va vous générer une paire de clés RSA de 4096 bits en un clin d’oeil.

python generate_keys.py

Choisissez une phrase de passe bien corsée pour votre clé privée. Elle sera chiffrée avec AES-256 pour une protection maximale. Une fois le script terminé, vous aurez deux fichiers tout beaux tout chauds : myprivatekey.pem (votre clé privée chiffrée) et mypublickey.pem (votre clé publique, à partager sans modération).

Maintenant, passons aux choses sérieuses. Pour planquer un fichier dans une image, lancez cette commande :

python secret_pixel.py hide host.png secret.txt mypublickey.pem output.png

Avant d’intégrer des données, l’image hôte ne doit pas contenir de contenu stéganographique antérieur ou de métadonnées sensibles qui pourraient entrer en conflit avec les nouvelles données ou révéler leur présence. En sélectionnant et en préparant soigneusement l’image hôte, vous améliorerez considérablement la sécurité et l’indétectabilité des données intégrées dans l’image.

De plus, l’image hôte servant de support pour les données cachées, afin de maintenir l’intégrité du processus de stéganographie et éviter la détection, il est crucial que l’image hôte soit suffisamment grande pour accueillir le fichier caché. En règle générale, l’image hôte doit avoir une capacité (en octets) au moins trois fois supérieure à la taille du fichier à cacher pour garantir que les modifications sont subtiles et largement dispersées.

Et hop, votre secret.txt est incrusté incognito dans host.png en utilisant votre clé publique mypublickey.pem. L’image résultante output.png a l’air innocente, mais elle cache bien son jeu !

Pour exfiltrer votre fichier caché d’une image, c’est tout aussi simple :

python secret_pixel.py extract carrier.png myprivatekey.pem [extracted.txt]

Votre fichier caché ressort de carrier.png grâce à votre clé privée myprivate.pem. Si vous ne fournissez pas de nom de fichier pour le .txt se sortie (extracted.txt), l’outil utilisera le nom du fichier qu’il aura conservé.

Bonne carrière d’agent secret à tous !

Merci à Lorenper

@  — 

Imaginez-vous un instant dans la peau d’un Stormtrooper, ces soldats de l’Empire galactique reconnaissables entre mille avec leur armure blanche immaculée. Votre nom est TK-FNG, et aujourd’hui ce n’est vraiment pas votre jour de chance puisque vous vous retrouvez coincé dans un ascenseur en compagnie de votre supérieur hiérarchique, le grand, l’unique, le terrifiant Dark Vador en personne.

Déjà que la situation n’est pas des plus confortables, voilà que le Seigneur Sith se met à faire quelque chose de très surprenant. Mais je ne vous en dis pas plus et je vous laisse le regarder…

Ça a été réalisé par le talentueux Peter Haynes et ce dernier n’en est pas à son coup d’essai, puisqu’il est également le créateur de la série web AFK qui suit les mésaventures d’un groupe de gamers propulsés dans l’univers de leur jeu vidéo préféré.

Pour info, le rendu graphique de ce court métrage, chaque détail, des reflets sur l’armure du stormtrooper à la fluidité des mouvements de Dark Vador a été entièrement réalisé grâce à Unreal Engine 5.1 et Iclone.

Chouette non ?

Source

@  — 

En France nous avons la chance d’avoir un Internet qui n’est pas censuré, hormis quelques sites web bloqués de manière très peu efficaces via DNS. Évidemment, comme dans toutes les grandes démocraties, on doit quand même être un petit peu surveillé. Toutefois, si vous vous trouvez dans un endroit où vous avez besoin de contourner du filtrage, du blocage et de sécuriser vos connexions, je vous présente aujourd’hui Hiddify qui va vous faire zizir.

Le projet Hiddy se compose d’un client, mais surtout d’un serveur baptisé Hiddify-Manager qui vous permet de créer votre propre serveur VPN et d’en fournir les accès à vos amis ou collègues. L’outil prend en charge plus de 20 protocoles, dont Reality et Telegram proxy, pour contourner le filtrage, ce qui en fait une solution totalement optimisée pour le contournement de la censure dans des pays un peu chauds sur le sujet comme la Chine, la Russie ou encore l’Iran.

L’outil est vraiment chouette, en plus il est multiplateforme (codé avec Flutter), il est décentralisé, et surtout totalement open source et gratuit.

Parmi les principaux atouts de Hiddify-Manager, on peut citer son installation flash éclair les doigts dans le nez, la prise en charge de Xray et Sing-box, la mise à jour et la sauvegarde automatique, ainsi que la connexion à Cloudflare via l’API de ce dernier. Comme je le disais plus haut, Hiddify-Manager intègre également un proxy Telegram, du DNS over HTTPS (DoH), de la gestion des utilisateurs à l’aide d’un bot Telegram et un WARP dédié pour contourner certaines restrictions.

Il est également possible de l’utiliser avec plusieurs noms de domaines, de configurer automatiquement les adresses IP de vos CDN et donc de gérer plusieurs configurations actives.

Grâce à Hiddify-Manager, vous pourrez aussi mettre une limite de temps et de trafic (QoS) pour chaque utilisateur, leur afficher des pages dédiées pour qu’ils puissent visualiser leur conso data, mais également leur proposer les fichiers de config et les clients dédiés nécessaires pour rejoindre votre réseau.

Hiddify Manager est surtout conçu pour résister à la détection des organismes en charge de filtrer le net tout en évitant les attaques habituelles sur le serveur. Mais bien que les possibilités de détections soient réduites au max, n’oubliez pas quand même de désactiver tous les ports, sauf le 22, 80 et 443.

Côté client, disponible sur Google Play, mais également sous macOS et Windows, Hiddify-Next vous permettra de vous connecter facilement au réseau Hiddify que vous aurez monté, en utilisant une variété de protocoles comme Vless, Vmess, Reality, TUIC, Hysteria, SSH…etc. Notez qu’il est possible de s’y connecter avec d’autres clients VPN comme Sing-box, Streisand, ShadowRocket et bien d’autres.

Voilà y’a plus qu’à déployer ça sur n’importe quel serveur Ubuntu ou directement dans le cloud chez Oracle, OVH, Azure et j’en passe !

Pour vous lancer, tous les tutos sont ici. Amusez-vous bien !

Merci à Lorenper

@  — 

Vous avez vu Voice Engine d’OpenAI ? C’est un modèle d’IA qui est capable de générer des voix synthétiques ultra-réalistes à partir d’un simple échantillon audio de 15 secondes. Seulement 15 secondes, oui !

Concrètement, ça veut dire qu’avec cette IA, on peut créer des voix qui ressemblent à s’y méprendre à celles de vraies personnes. Genre on donne un petit extrait de notre voix, et hop, l’IA peut générer un discours entier qui sonne exactement comme nous. C’est à la fois fascinant et un peu flippant, vous trouvez pas ?

OpenAI sont à la pointe de la recherche dans le domaine et ils nous pondent régulièrement des trucs de malade comme Sora. Concernant Voice Engine, ils ont développé la techno fin 2022 et l’ont intégré dans leur API de synthèse vocale ainsi que dans les fonctionnalités vocales de ChatGPT.

Voici les 15 secondes de vraie voix :

Et voici l’audio qui a été généré à partir de ça :

Mais attention, comme un grand pouvoir implique de grandes responsabilités (coucou Peter !), OpenAI joue la carte de la prudence. Ils sont bien conscients que cette technologie pourrait être utilisée à des fins pas très catholiques, genre pour créer des deepfakes audio et induire les gens en erreur. Du coup, ils la déploient pour l’instant à petite échelle, juste auprès de quelques partenaires de confiance.

Et ces partenaires, ils en font quoi de Voice Engine ?

Eh bien figurez-vous qu’ils développent des applications plutôt cools ! Par exemple, Age of Learning l’utilise pour générer des contenus audio éducatifs avec des voix naturelles et expressives. Ou encore HeyGen qui s’en sert pour traduire des vidéos dans différentes langues en conservant la voix du locuteur d’origine. D’ailleurs c’est ce que j’utilise pour ma chaine Youtube en anglais et je peux vous dire que ça coûte une couille. Ça peut aussi aider les personnes non-verbales à communiquer avec une voix unique grâce à Livox. Et même redonner la parole à des patients ayant perdu l’usage de la voix, comme le fait l’institut Norman Prince Neurosciences de Lifespan.

Rassurez-vous, OpenAI a mis en place des garde-fous, comme l’interdiction d’utiliser Voice Engine pour imiter quelqu’un sans son consentement, l’obligation d’obtenir l’accord explicite du locuteur original, ou encore le watermarking des contenus générés pour pouvoir en tracer l’origine. Ils suggèrent également d’abandonner progressivement l’authentification vocale comme mesure de sécurité, mais également d’explorer des réglementations qui permettraient de protéger l’usage des voix dans l’IA, de sensibiliser le public aux deepfakes et de développer des techniques pour tracer l’origine des contenus audio et visuels.

Bref, Voice Engine c’est à la fois excitant et inquiétant. Ce que je vois, c’est que ça ouvre des perspectives folles en termes d’applications, mais ça soulève aussi pas mal de questions sur l’avenir.

Je vous invite à checker l’article d’OpenAI qui détaille leur approche avec plein d’exemples.

Source

@  — 

Tremblez, chers lecteurs, Big Brother arrive et il n’a pas le sens de l’humour !

Figurez-vous que nos honorables députés s’apprêtent, le 10 avril prochain, à adopter définitivement une loi qui risque de transformer le web français en cimetière de la liberté d’expression. Le projet de loi « visant à sécuriser et réguler l’espace numérique« , aussi rassurant que le sourire d’un crocodile, nous promet en effet une toute nouvelle terreur juridique : le délit de, je cite, « outrage en ligne« .

Ainsi, si jamais vous osez publier un contenu créant une « situation intimidante, hostile ou offensante » envers un quidam (mais surtout envers une personne de pouvoir, j’imagine), vous voilà bon pour un an de vacances à l’ombre et 3750 euros d’amende ! Et quand on vous dit « en ligne« , c’est large : réseaux sociaux, forums, et même les groupes WhatsApp privés, tout y passe ! À ce tarif, autant fermer Twitter.

Par contre, pas de panique si vos propos relèvent déjà d’infractions comme le harcèlement, les menaces ou les injures raciales. Ce nouveau délit exclut bizarrement ces cas-là… Cherchez l’erreur.

À l’origine de ce chef-d’œuvre, on retrouve donc notre champion Loïc Hervé, sénateur centriste autoproclamé grand pourfendeur du cyberharcèlement.

mdrrrrr…. il a l’air de kiffer Wikipédia en tout cas.

Et son idée géniale c’est de s’inspirer de l’outrage sexiste, déjà en vigueur, mais en retirant allègrement le côté sexuel. Résultat, un propos isolé un peu taquin ou un trait d’humour acide pourra vous valoir de goûter au régime des prisons françaises. Vive la proportionnalité et la bouffe de merde !

Mais le pire, c’est que la notion d’outrage en ligne est tellement vague et subjective qu’elle pourrait s’appliquer à peu près à tout et n’importe quoi. Et « Situation intimidante, hostile ou offensante« , ça vous parle ? Non ?

Normal, c’est du grand n’importe quoi juridique, comme le soulignent les avocats Tewfik Bouzenoune et Arié Alimi. Ce dernier qualifie d’ailleurs cette loi de « nouvel outil extrêmement lourd de restriction de la liberté d’expression« .

Et pour couronner le tout, sachez que les flics pourront vous mettre direct une prune de 300 euros, façon amende forfaitaire, sans passer par la case tribunal. La team Police / Politique de Twitter va kiffer. Plus besoin d’aller chouiner dans les jupes d’Elon dès qu’ils sont vexés. Un petit signalement et hop !

Super pratique pour embastiller les emmerdeurs sans s’embarrasser de la présomption d’innocence. La Défenseure des droits elle-même, Claire Hédon, s’alarme de ce « pouvoir considérable » confié aux forces de l’ordre et des risques « d’arbitraire » et « d’erreurs ». Mais bon, comme dit Robert, « pas vu, pas pris » !

Le plus savoureux dans tout ça ?

C’est que les députés avaient déjà courageusement supprimé ce délit liberticide lors de l’examen du texte. Mais c’était sans compter sur les sénateurs qui l’ont réintroduit en force en Commission mixte paritaire tel un zombie législatif. Internet, ça leur fait tellement peur ^^, faut les comprendre.

Alors oui, certains diront qu’il faut bien lutter contre les trolls et autres harceleurs du web. C’est certain, mais fallait-il vraiment pour cela pondre un texte aussi mal fichu et potentiellement ravageur pour la liberté d’expression ? Fallait-il sacrifier notre liberté de ton, notre droit à l’humour même acide ? J’ai comme un doute.

Toutefois, une petite lueur d’espoir subsiste : le Conseil constitutionnel pourrait bien censurer cet article 5 bis mal embouché, et ce pour deux raisons. D’abord parce qu’il porte une atteinte disproportionnée à notre droit fondamental de dire ce qu’on pense. Ensuite parce que ces fameuses « amendes forfaitaires » sont normalement réservées aux délits « aisément constatables ». Autant dire qu’avec une infraction aussi nébuleuse et piégeuse, ça risque de coincer sévère.

En attendant, si ce texte indigne devait entrer en vigueur en l’état, je vous parie que l’autocensure deviendra la règle sur les réseaux sociaux français. Plus personne n’osera égratigner le moindre puissant de peur de finir au trou. Formidable victoire de la liberté sur l’obscurantisme, n’est-ce pas ?

Merci en tout cas à Mediapart pour son article et espérons que cela contribuera à faire reculer nos élus avant qu’il ne soit trop tard. La démocratie s’accommode toujours très mal de ce genre de lois scélérates même quand elles sont maquillées en croisade vertueuse.