Aller au contenu
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

@  — 

Vous en avez marre de devoir garder une vieille bécane sous Windows juste pour faire tourner ce vieux logiciel qui ne marche que sous XP ? Ou alors vous aimeriez bien tester la dernière version de Windows 11 mais vous n’avez pas envie de vous embêter à l’installer sur une vraie machine ? Dans les deux cas, j’ai la solution qu’il vous faut !

Grâce au projet open-source Windows dans un conteneur Docker, vous allez pouvoir faire tourner n’importe quelle version de Windows directement dans Docker, le tout avec une accélération KVM et même un affichage dans votre navigateur web si besoin.

Pour faire simple, il vous suffit de récupérer l’image Docker dockurr/windows, de la démarrer avec quelques options bien choisies, puis de vous connecter sur le port 8006 avec votre navigateur. Et là, magie, l’installation de Windows va se lancer automatiquement ! Vous n’avez plus qu’à vous détendre le temps que ça se termine. Une fois sur le bureau, votre installation de Windows est prête à l’emploi. Vous pouvez commencer à bricoler dessus comme sur une vraie machine. Le pied !

Par défaut c’est Windows 11 qui sera installé, mais vous pouvez très facilement choisir une autre version en passant la variable d’environnement VERSION dans votre fichier docker-compose.yml. Vous avez l’embarras du choix :

  • win11 : Windows 11 Pro
  • win10 : Windows 10 Pro
  • ltsc10 : Windows 10 LTSC
  • win81 : Windows 8.1 Pro
  • win7 : Windows 7 SP1
  • vista : Windows Vista SP2 (pour les nostalgiques)
  • winxp : Windows XP SP3 (carrément old-school)
  • 2022 : Windows Server 2022
  • 2019 : Windows Server 2019
  • 2016 : Windows Server 2016
  • etc…

Et si vous voulez pousser encore plus loin, sachez qu’il est même possible d’installer une version allégée de Windows comme Tiny11 ! Pour ça, il vous suffit de passer la valeur tiny11 à la variable VERSION. Idéal pour avoir un Windows léger qui tourne comme une horloge dans un conteneur.

Ça se lance via Docker Compose : 

version: "3"
services:
  windows:
    container_name: windows
    image: dockurr/windows-arm
    devices:
      - /dev/kvm
    cap_add:
      - NET_ADMIN
    ports:
      - 8006:8006
      - 3389:3389/tcp
      - 3389:3389/udp
    stop_grace_period: 2m
    restart: on-failure

Ou directement comme ceci : 

docker run -it --rm --name windows -p 8006:8006 --device=/dev/kvm --cap-add NET_ADMIN --stop-timeout 120 dockurr/windows

Bon par contre, le viewer VNC accessible dans le navigateur c’est surtout pratique pendant l’installation. Pour une utilisation plus sérieuse, mieux vaut utiliser un vrai client RDP en se connectant sur l’IP du conteneur Docker avec l’utilisateur docker. Il y a de très bons clients RDP dispos, que ce soit pour Android, iOS, Linux (rdesktop) ou même Windows où c’est carrément intégré à l’OS.

Évidemment, ne vous attendez pas à des miracles niveau performances, on parle d’un Windows qui tourne dans un conteneur Docker quand même ^^. D’ailleurs par défaut le conteneur a le droit à seulement 2 cœurs de CPU et 4 Go de RAM, ce qui correspond à la config minimale requise par Windows 11. Mais ça reste largement suffisant pour faire des tests ou utiliser des vieux logiciels.

Si jamais vous avez besoin de plus de ressources, vous pouvez augmenter ça facilement en ajoutant les variables d’environnement RAM_SIZE et CPU_CORES dans votre docker-compose.yml. Pareil si vous voulez augmenter la taille du disque virtuel qui fait 64 Go par défaut, c’est possible en passant l’option DISK_SIZE. Par exemple pour avoir un disque de 256 Go :

environment:
DISK_SIZE: "256G"

Enfin, si vous voulez bidouiller plus en profondeur, sachez qu’on peut même passer des périphériques entiers (disques, clés USB…) au conteneur pour que Windows puisse y accéder directement. Je vais pas m’étendre plus, je vous laisse aller consulter la doc.

Bref, vous l’aurez compris, ce projet est une petite merveille pour tous ceux qui ont besoin de faire tourner Windows dans un environnement isolé et facile à mettre en place. Que ce soit pour tester une appli, monter un labo ou même utiliser un logiciel qui ne tourne que sous Windows, ça peut dépanner dans plein de situations.

Et le meilleur dans tout ça ?

C’est que le projet ne contient que du code open-source et n’embarque aucun élément propriétaire. Les clés de licence utilisées dans le projet sont celles fournies par Microsoft à des fins de test. Donc a priori, c’est totalement légal. Après c’est sûr, faudra pas venir se plaindre si Microsoft n’est pas content qu’on fasse tourner Windows dans un conteneur Docker… 😀

Merci à Lorenper

@  — 

Les emails HTML, c’est vraiment la plaie. Les clients mails ne les gèrent pas forcement bien et en plus, ils peuvent carrément être dangereux pour votre sécurité.

Histoire de vous expliquer ça plus clairement, on va prendre un exemple assez courant en entreprise. Votre chef reçoit un email tout a fait anodin, du style qu’il n’y a plus d’encre dans l’imprimante et vous le transfère pour que vous vous en occupiez. Vous recevez son mail, il est bien envoyé depuis la boite mail de ce dernier, et il est même signé cryptographiquement… Tout va bien. Sauf qu’une fois qu’il arrive dans votre boite mail, le contenu inoffensif disparait pour laisser place à un bon vieux mail de phishing, genre demande de changement de mot de passe sur un serveur, un certificat à installer, voire une demande de virement… On peut tout imaginer.

Cette mauvais surprise est possible grâce au CSS contenu dans les emails HTML. Ainsi, quand un mail est transféré, sa position dans le DOM change, ce qui permet d’appliquer des règles CSS spécifiques. Un petit malin peut alors planquer dedans des éléments qui n’apparaitrons que dans certaines conditions. C’est ce qu’on appelle des « kobold letters« , en référence à ces bestioles mythologiques fourbes et insaisissables.

Malheureusement, quasiment tous les clients mails qui supportent le HTML sont vulnérables à ce genre de coup fourré. Par exemple, Thunderbird se fait avoir en beauté. Il suffit de jouer avec les sélecteurs CSS en fonction de la position de l’email dans le DOM après transfert. Hop, l’attaquant planque le kobold letter avec un display: none, et quand le mail est transféré, il le fait apparaître à nouveau avec un display: block !important.

Et voilà, le piège est tendu !

<!DOCTYPE html>
<html>

<head>
    <style>
        .kobold-letter {
            display: none;
        }

        .moz-text-html>div>.kobold-letter {
            display: block !important;
        }
    </style>
</head>

<body>
    <p>This text is always visible.</p>
    <p class="kobold-letter">This text will only appear after forwarding.</p>
</body>

</html>

Côté Outlook en version web app (OWA), c’est un poil plus tordu vu que c’est un webmail. Mais en bricolant un peu les sélecteurs CSS en fonction des classes ajoutées par OWA, on arrive à nos fins de la même manière. Comme pour Thunderbird, le kobold letter ne se pointera alors qu’après un transfert d’email, ni vu ni connu je t’embrouille !

Gmail, quand à lui, a une parade intéressante : il vire tout le CSS quand on transfère un mail. Donc techniquement, pas de kobold letters possibles. Enfin presque… on peut quand même planquer un kobold letter en CSS, et il apparaîtra directement après transfert vu que le style sera dégagé. Par contre, impossible de faire l’inverse, càd afficher un truc dans le mail original et le planquer après transfert. C’est déjà ça de pris !

Voilà… ce genre de failles n’est pas nouveau puisque des trucs similaires ont déjà été signalés mais l’idée des kobold letters, c’est de se concentrer sur un scénario d’attaque spécifique en observant plusieurs clients mails qui pourraient laisser passer ce type de phishing.

Alors, que faire ? Bah déjà, si vous pouvez vous passer complètement des emails HTML ou les afficher dans un mode restreint, foncez ! Sinon, les clients mails pourraient faire des compromis à la Gmail comme virer le CSS au transfert. Ça casserait pas mal de trucs niveau mise en page mais ça limiterait bien les risques.

Voilà, y’a pas vraiment de remède miracle tant que les clients mail n’auront pas évolué. Donc soyez extrêmement vigilant car ce genre d’attaque de phishing ciblée n’arrive pas qu’aux autres.

Source

@  — 

Imaginez un monde où vos précieux cookies d’authentification, ces petits fichiers qui vous permettent de rester connecté à vos sites préférés, seraient à l’abri des vilains pirates informatiques. Et bien, mes chers amis geeks, ce monde est sur le point de devenir réalité grâce à notre cher Google et sa nouvelle fonctionnalité révolutionnaire pour Chrome : Device Bound Session Credentials (DBSC) !

Fini le temps où ces satanés cybercriminels pouvaient subtiliser nos cookies et prendre le contrôle de nos comptes en un clin d’œil. Avec cette nouvelle fonctionnalité qui arrive dans Chrome et qui s’appelle Device Bound Session Credentials (DBSC), vos cookies seront liés cryptographiquement à votre appareil, rendant leur vol aussi utile qu’un sabre laser sans piles.

Lors d’un processus d’authentification, une paire de clés publique/privée unique est générée en utilisant la puce TPM (Trusted Platform Module) de votre appareil. Ainsi, la clé privée reste bien au chaud dans votre machine, impossible à exfiltrer, tandis que la clé publique est partagée avec le serveur. Comme ça, même si un hacker met la main sur vos cookies, sans la clé privée associée, il ne pourra pas accéder à vos comptes.

Bien sûr, DBSC ne sera pas parfait dès le départ et les chercheurs en sécurité tenteront sûrement de trouver un moyen de contourner cette protection comme à chaque fois, mais Google est confiant.

Kristian Monsen, ingénieur de l’équipe Chrome Counter Abuse, affirme que DBSC devrait « considérablement réduire le taux de réussite des malwares voleurs de cookies« . Les attaquants seront donc obligés d’agir localement sur l’appareil, ce qui rendra la détection et le nettoyage plus efficaces. En gros, ça va leur mettre des bâtons dans les roues comme jamais !

Selon leur calendrier prévisionnel, DBSC devrait être pris en charge, fin 2024, par environ la moitié des appareils Desktop équipés de Chrome. En attendant le grand jour, vous pouvez déjà tester DBSC en allant dans chrome://flags/ et en activant le flag « enable-bound-session-credentials » sur Windows, Linux et macOS.

Bonne nouvelle non ?

Source

@  — 

C’est vachement pratique de pouvoir récupérer sa chambre d’hôtel après une grosse journée, simplement en passant par le terminal qui se trouve dans l’entrée de l’hôtel. On tape son nom, on paye et paf, on récupère son numéro de chambre et le code pour y accéder. Sauf que ce que vous ignorez peut-être, c’est que ce même terminal vient potentiellement d’exposer votre code d’accès à des personnes mal intentionnées…

C’est exactement ce qui s’est passé dans un hôtel IBIS Budget à Hambourg, en Allemagne. Lors d’un congrès de hackers, la société Pentagrid a remarqué une faille de sécurité pour le moins inquiétante dans le terminal de check-in. Ainsi, en entrant une série de tirets à la place du numéro, le terminal liste toutes les réservations avec leur numéro, la date d’arrivée prévue et le prix total du séjour. Puis en sélectionnant une réservation, on accède directement au numéro de chambre et au code d’accès de la porte.

Dans l’hôtel en question, pas moins de 87 réservations étaient ainsi exposées, soit près de la moitié des 180 chambres de l’établissement !

Vous imaginez le désastre si ces codes tombaient entre de mauvaises mains ? Adieu vos effets personnels, surtout dans un hôtel bas de gamme comme celui-ci qui n’est pas équipé de coffres-forts dans les chambres. Et je vous parle pas des agressions en pleine nuit ! C’est la porte ouverte à toutes les fenêtres comme dirait l’autre.

Fort heureusement, Pentagrid a immédiatement signalé cette faille à la chaîne hôtelière Accor, propriétaire des hôtels IBIS. Le problème a depuis été corrigé, mais il aura fallu quand même plusieurs échanges et relances de la part des hackers pour que des actions soient entreprises de la part d’Accor.

Mais comment une telle faille a-t-elle pu se produire ? Et bien d’après les informations fournies par Pentagrid sur leur blog, il semblerait que le terminal de check-in ait une fonction de recherche des réservations qui nécessite uniquement le numéro de réservation pour afficher le numéro de chambre et le code d’accès. Donc c’est pas un bug, c’est une feature qui a mal tournée…

Le pire dans tout ça, c’est que de base, les numéros de réservation ne sont pas une donnée très sécurisée puisqu’on les retrouve sur toute la paperasse comme les factures…etc qui peuvent ensuite être récupérées dans une poubelle par exemple. Donc n’importe qui pourrait mettre la main dessus et accéder à votre chambre.

C’est pourquoi les auteurs de cette découverte recommandent aux hôtels de mettre en place une vérification supplémentaire pour accéder aux informations de réservation, comme un code PIN qui serait communiqué séparément au client. Les terminaux devraient aussi supprimer automatiquement les réservations dès que les informations ont été imprimées ou consultées.

En attendant, si vous séjournez dans un hôtel IBIS Budget prochainement, n’allez pas vous amuser à vérifier que la faille a été corrigée sur le terminal de check-in parce que vous ne voulez pas finir en prison pour piratage (lol).

En tout cas, sachez-le, la prochaine fois que je dors à l’IBIS, je vous attendrais de pied ferme en embuscade dans mon peignoir façon biopic DSK par Liam Neeson.

Source

@  — 

Vous aimez créer des stickers pour épater vos amis sur les réseaux sociaux ? Mais vous en avez marre de passer des heures sur Photoshop pour un résultat pas toujours au top ? J’ai ce qu’il vous faut !

Le site web StickerBaker est une vraie petite pépite pour générer des stickers personnalisés en quelques clics grâce à l’intelligence artificielle.

Concrètement, vous uploadez une photo de votre trombine, vous entrez une petite description façon prompt et bim, l’IA vous génère un sticker sur-mesure avec un rendu digne des plus grands graphistes. Pas besoin d’être un crack en dessin ou en retouche d’image, StickerBaker s’occupe de tout !

Mais alors StickerBaker, ça peut servir à quoi concrètement ? Et bien comme je le disais, créer des stickers complètement barrés à partir de vos photos pour amuser la galerie et mettre l’ambiance dans la conversation WhatsApp du jeudi soir ! Mais ça peut aussi permettre à des artistes, graphistes ou même des marques de prototyper rapidement des designs de stickers avant une prod plus poussée. Plutôt que de partir d’une feuille blanche, autant utiliser l’IA pour générer des premiers jets et itérer à partir de là. Ça peut faire gagner un temps fou.

Sous le capot, le site utilise le modèle Albedo XL et des techniques de machine learning comme les LoRA (Learning Rate Adaptation) pour comprendre votre prompt et générer un visuel qui déchire. Les plus geeks d’entre vous apprécieront les performances de l’engin : un sticker généré en 10 secondes max grâce aux cartes graphiques Nvidia A40. Ça envoie du lourd !

Et le must du must, c’est que StickerBaker est un projet open source, le code est dispo sur GitHub. Ça veut dire que la communauté peut mettre la main à la pâte pour améliorer l’outil. Vous pouvez par exemple bidouiller le code pour modifier les styles de stickers générés. Un vrai bonheur pour les devs qui veulent comprendre comment ça marche derrière.

Autre bon point, vos photos sont supprimées direct après le traitement. Pas de stockage chelou des données ou d’utilisations douteuses derrière, StickerBaker est clean de ce côté là. C’est toujours appréciable de nos jours.

Après, faut pas se leurrer, on est encore loin d’une app grand public. L’interface est rudimentaire et il faut un minimum biberonné à l’anglais et à l’univers des IA générative pour pas être largué. Mais c’est un premier pas encourageant vers la démocratisation de ces technologies.

Au final, StickerBaker c’est une chouette démo techno qui montre tout le potentiel de l’IA générative appliquée au domaine des stickers et du graphisme. Le projet n’en est qu’à ses débuts mais mérite clairement d’être suivi de près. Ça pourrait bien révolutionner notre manière de créer des visuels à l’avenir, qui sait ? En tout cas, moi j’ai hâte de voir les prochaines évolutions de ce genre d’outils !

Merci à Lorenper pour l’info.