Sur la recommandation de Wiserix, je me suis intéressé le week-end dernier à un outil baptisé Pwnagotchi qui je pense devrait vous plaire.
Pwnagotchi a pour fonction d’observer les réseaux wifi autour de vous et de collecter de la data sur ces derniers, notamment des « handshakes » qui permettent de tester la sécurité de votre réseau.
Conçu comme un Tamagotchi, vous devrez nourrir Pwnagotchi avec un max de données et pour cela, vous devrez le promener un peu partout pour qu’il soit « heureux ». Evilsocket, le développeur derrière Pwnagotchi a utilisé une Raspbian et un Raspberry Pi Zero ainsi qu’un écran e-ink (encre électronique) pour son projet.
Pwnagotchi progress and better demo, waking up, doing recon (napping) sending an association frame (for PMKID grabbing), deauthing a couple of stations and capturing an handshake. RaspberryPi0w + ePaper display + nexmon + bettercap + Pwnagotchi software itself. #hacktheplanetpic.twitter.com/NhI2FKnj4b
Mais surtout, il a mis au point un système d’apprentissage (Deep Learning présenté comme une fonctionnalité « AI ») capable d’évaluer l’environnement Wifi et de modifier seul ses paramètres avec d’augmenter la capture de données nécessaires pour tester la robustesse de clés WPA. Pwnagotchi est même capable d’envoyer des paquets d’association ou de forcer de la désauthentification (deauth) afin de capturer les nouveaux « handshakes ».
Ensuite les fichiers .pcap récupérés peuvent être récupéré manuellement, ou explorés via bettercap. Mais surtout, il est possible de les traiter via différents plugins fournis avec le Pwnagotchi, comme onlinehashcrack qui enverra vos PCAP à un service de dictionnaires capable de vous sortir (ou pas) le mot de passe du réseau wifi en question.
Il y a beaucoup de plugin, mais tout est expliqué ici.
J’ai pour ma part installé Pwnagotchi sur un Raspberry Pi3 B+ avec quelques bidouilles légères et ça tourne plutôt bien même sans écran e-ink (la vue de l’écran est accessible via une simple URL).
Bref, Pwnagotchi est un outil à tester si vous vous adonnez au Wardriving ou si vous voulez tester vos réseaux. En tout cas, l’aspect AI ainsi que l’aspect matériel Tamagotchi en font un outil très attachant.
Je voulais un Shell Linux sous macOS pour balancer quelques commandes et faire des tests dans une VM, mais je vous avoue que je trouve la GUI Virtualbox un peu lourdingue pour ça. Surtout que je n’ai pas besoin de GUI, juste d’un Shell.
J’ai donc regardé Docker d’un peu plus près et je dispose maintenant d’un conteneur Linux fonctionnel sous Mac, accessible directement depuis mon Terminal.
Une fois Docker fonctionnel, ouvrez un terminal et lancez la commande suivante.
docker run -it -v ~/Downloads:/Down r-base bash
Cette commande a pour effet de lancer un bash Linux de base en mappant le dossier ~/Downloads de votre mac avec le répertoire /Down fraichement créé pour l’occasion dans la VM Linux. Notez que si vous avez des besoins spécifiques sur le mapping, vous pouvez aller gratter ça dans les préférences de Docker.
Je suis en train de jouer un peu avec Ghidra hier soir et je me suis dit que ce serait sympa de vous expliquer comment le faire tourner sous mac.
Ghidra est un outil de reverse engineering mis au point par la NSA qui permet d’analyser toute sorte de binaires. Le framework semble avoir été massivement adopté et validé par la communauté des reversers, en faisant un outil incontournable. C’est un outil développé en java qui est donc capable de tourner aussi bien sous Linux que macOS et Windows.
En voulant le déployer sur mon MacBook, je suis tombé par hasard sur un launcher qui permet de ne pas trop se prendre la tête avec l’install du JDK sur votre système et d’avoir une jolie app Ghidra dans le répertoire /Applications de votre mac, comme n’importe quel logiciel pour macOS.
Alors comment ça fonctionne ? Et bien, vous devez tout d’abord récupérer les fichiers présents sur le Github du launcher. Ensuite, décompressez le fichier Ghidra-OSX-Launcher-Template.tgz pour récupérer Ghidra.app. Et placez l’application dans votre dossier /Applications sur votre Mac.
Ensuite, téléchargez OpenJDK pour macOS ici ainsi que Ghidra ici. Décompressez tout ça dans un coin, puis ouvrez Ghidra.app en faisant un clic droit dessus, puis « Afficher le contenu du paquet« .
Placez alors dans le dossier Ghidra.app/jdk, tout le contenu d’OpenJDK. Puis dans le répertoire Ghidra.app/ghidra, tout le contenu du zip de Ghidra. Je vous mets mon arbo pour que vous puissiez voir comment tout cela se positionne. Ce n’est pas très compliqué.
Et voilà ! Il ne vous reste plus qu’à double cliquer sur Ghidra.app pour que l’outil se lance proprement. Vous pourrez même copier cette application sur d’autres ordinateurs Apple sans avoir à refaire toute l’opération.
Cette semaine, j’ai eu le plaisir d’être invité par Schneider Electric pour faire un petit tour au salon REXEL qui a eu lieu à Paris. La société spécialiste de la gestion de l’énergie et des automatismes y présentait 3 facettes de son métier : sa partie industrielle avec ses automates à destination des usines, chaines de montage, stades…etc.
Sa partie Building qui permet de rendre « intelligent » des bâtiments où les gens travaillent, en leur proposant via son programme EcoStruxure de l’optimisation en termes de gestion d’énergie, mais aussi en matière de confort de travail.
Wiser est un écosystème domotique qui permet de piloter son éclairage, son chauffage, ses volets roulants et bien sûr sa consommation énergétique, grâce à une batterie de modules à installer chez soi.
Que ce soit via l’application mobile ou la box tactile, vous pourrez tout contrôler et même faire des scénarios.
En matière de scénarios, si vous connaissez déjà un peu la domotique, vous ne serez pas dépaysé. Mais globalement il est possible de programmer des éclairages sur certaines heures, voire de programmer un réveil lumineux en douceur ou une veilleuse pour les enfants qui s’éteindra au bout de quelques heures. Niveau sécurité, il est aussi possible de simuler votre présence en allumant et éteignant des lumières chez vous pendant que vous êtes en vacances ou au boulot.
Côté volets roulant, et bien, c’est pareil. Vous pouvez les monter ou les baisser à heure fixe, en même temps, ou de manière indépendante. À la fois pour le matin, le soir, mais aussi à différents moments de la journée pour par exemple réduire la chaleur la journée quand il y a beaucoup de soleil. Évidemment, que ce soit pour les volets et la lumière, tout est aussi manipulable à la main avec des interrupteurs classiques.
Niveau chauffage, des robinets thermostatiques à installer sur les radiateurs et la connexion de la chaudière vous permettra de configurer des températures de consigne en fonction du moment de la journée ou de la semaine. Et si vous aérez, il est possible de couper automatiquement le chauffage dès que la température chute soudainement.
Enfin, sur la conso d’énergie pure, Schneider Electric propose un tableau connecté baptisé le Resi9 qui est remontera l’ensemble de votre consommation d’électricité sur l’application smartphone dédiée. De quoi garder un oeil sur la façon dont vous consommez l’énergie et ainsi mieux optimiser vos économies.
Évidemment, chaque scénario peut tenir compte de tous ces modules et vous pourrez par exemple programmer les classiques « Je suis à la maison », « je fais dodo », « je suis au boulot », mais aussi pourquoi pas des scénarios plus spécifiques pour d’autres ambiances dans des moments plus relax, plus intimes, plus sportifs ou lorsque vous voulez vous faire un petit moment cinéma !
De nombreux nouveaux modules vont arriver prochainement et compléter tout ce que je viens de vous décrire, mais ce qu’il faut retenir de l’écosystème Wiser, c’est qu’il est conçu pour celui qui ne veut pas s’embêter avec la technique. Vous ne pourrez pas connecter des modules Wiser sur vos propres systèmes domotiques DIY même si c’est du Zigbee et niveau scénario, pas possible de scripter les choses. Donc ça s’adresse au grand public et entreprises qui veulent automatiser des choses dans leurs maisons / bureaux, et ce sera moins le délire des bidouilleurs.
Notez aussi que les commandes et autres data, transiteront par les serveurs de Schneider Electric. Ça peut en refroidir certains, ce que je peux parfaitement comprendre, mais c’est un acteur qui n’est pas nouveau dans ce milieu et qui prend très au sérieux le sujet cybersécurité. Et en termes de fonctionnalité, cela apporte permet de contrôler à distance son installation, depuis n’importe où, simplement avec l’app, de centraliser les stats, d’assouplir le système de mises à jour…etc. Mais après, comme toujours c’est à chacun de faire son propre arbitrage.
Un autre avantage de la solution Wiser pour le coup, c’est l’évolutivité. Vous pouvez commencer avec quelques modules simples (la lumière par exemple) et étendre votre système avec de nouveaux appareils comme le contrôle des volets ou ceux permettant de piloter le chauffer, sans douleur et sans avoir à tout reconfigurer.
Et si vous êtes équipé d’un assistant vocal, typer Alexa d’Amazon ou Google Home, vous pourrez piloter tout ce système Wiser à la voix.
Les copains de Thinkerview que j’adore ont mis en ligne une looongue interview d’un autre mec que j’adore aussi : Bruno Gaccio ?
Si vous connaissiez les Guignols de l’Info, vous connaissez une partie du travail de Bruno Gaccio. Ce mec est auteur, humaniste, et a un talent fou et je pense que vous devriez prendre un peu de votre temps, au calme, pour écouter ce qu’il a à dire. Il y a matière à réfléchir sur pas mal de sujets, notamment sur la liberté d’expression, les médias, et la plongée en idiocracie que nous sommes en train de vivre.
