PROJET AUTOBLOG


Korben

Site original : Korben

⇐ retour index

Webosaures spécial rachat de Github

vendredi 8 juin 2018 à 06:53

Hier pendant la pause déj, avec l’ami Remouk, nous avons enregistré un nouvel épisode des Webosaures.

L’occasion était trop belle de ne pas parler de Github, de Microsoft et des risques de la centralisation des données.

Voici donc le replay pour ceux que ça intéresse. Et pour ceux qui voudraient voir les lives et interagir avec nous lors des prochaines sessions, abonnez-vous !


Le logiciel malveillant BackSwap trouve des moyens novateurs pour vider les comptes bancaires



contenu proposé par ESET sécurité

BackSwap est un logiciel malveillant bancaire qui utilise une nouvelle technique pour contourner les mesures de protection des navigateurs dédiés

Nous avons d’abord remarqué que le groupe à l’origine de ce logiciel bancaire malveillant diffusait ses projets antérieurs – l’un d’entre eux étant un logiciel bancaire malveillant volant de la cryptomonnaie en remplaçant les adresses de portefeuille dans le presse-papiers – en janvier de cette année. Le groupe s’est concentré sur les logiciels malveillants visant le presse-papiers pendant quelques mois et a finalement introduit la première version du logiciel bancaire malveillant, détectée par ESET le 13 mars dernier sous le nom de Win32/BackSwap.A …

Lire la suite



Attention à ne pas uploader de trucs sensibles sur Prnt.sc (Lightshot)

mercredi 6 juin 2018 à 08:00

Je ne sais pas ce que vous utilisez pour faire vos captures écran et les partager avec vos contacts, mais si vous utilisez Lightshot, faites attention.

En effet, Lightshot permet d’uploader automatiquement sur leurs serveurs des captures écran pour les partager en ligne via leur service https://prnt.sc/ .

Suite à cet upload, ce que vous obtenez alors c’est une simple URL publiques comme celle-ci par exemple : https://prnt.sc/jrfslz

On pourrait la penser aléatoire mais en fait, pas du tout, car si j’envoie juste derrière une autre image, j’obtiens une séquence qui se suit plus ou moins. Ex :  https://prnt.sc/jrfsyt

Entre mes 2 uploads, comme vous pouvez le voir, il y a eu pas mal d’autres gens qui ont aussi partagé des photos ou des screenshots : m1, m2, m3, […], yq, yr, ys…

On comprends donc qu’en entrant une suite de chiffres et de lettres de 1 à 6 caractères, il est très facile d’aller mater les screenshots / photos d’autres personnes. Et on y trouve à boire et à manger. Des captures écran de jeux vidéo, des messages d’erreur mais aussi des captures de conversation Skype ou des données plus personnelles comme des adresses postales et des noms. Pas très GDPR compliant tout ça d’ailleurs.

Bravo la sécu et clap clap à Naïm Gallouj qui a pointé du doigt ce souci. Notez aussi qu’un POC (pas testé de mon côté) permet de récupérer les images en suivant les séquences.

Des services comme Dropbox proposant le même genre de fonctionnalité, balancent comme ID une chaîne aléatoire de genre 100 caractères, ce qui rend plus compliqué la « découverte » de contenus partagés.

Lightshot de son côté a fait très light… et une fois encore, ça rejoint ce que j’expliquais dans ce post un peu énervé.

En attendant, je vous conseille de changer de crèmerie pour le partage de vos screenshots.

Merci à Charles pour l’info


Le logiciel malveillant BackSwap trouve des moyens novateurs pour vider les comptes bancaires



contenu proposé par ESET sécurité

BackSwap est un logiciel malveillant bancaire qui utilise une nouvelle technique pour contourner les mesures de protection des navigateurs dédiés

Nous avons d’abord remarqué que le groupe à l’origine de ce logiciel bancaire malveillant diffusait ses projets antérieurs – l’un d’entre eux étant un logiciel bancaire malveillant volant de la cryptomonnaie en remplaçant les adresses de portefeuille dans le presse-papiers – en janvier de cette année. Le groupe s’est concentré sur les logiciels malveillants visant le presse-papiers pendant quelques mois et a finalement introduit la première version du logiciel bancaire malveillant, détectée par ESET le 13 mars dernier sous le nom de Win32/BackSwap.A …

Lire la suite



A lire si vous avez prévu d’acheter un Mac d’occasion

mardi 5 juin 2018 à 22:16

Oyez oyez ! Si vous écumez Le Bon Coin, eBay, ou les brocantes à la recherche de votre prochain Mac d’occasion, ARRÊTEZ TOUT et lisez cet article.

Vous n’êtes pas sans savoir qu’Apple a fait sa petite keynote hier. Et parmi toutes les annonces merveilleuses de la firme à la pomme que je n’ai pas encore eu le temps de regarder en détail, nous avons eu le droit à un teasing sur macOS 10.14 alias Mojave (oui comme le désert).

Toutefois, vous vous en doutez, cette nouvelle version ne fonctionnera pas sur certains modèle de Macbook et iMac plus anciens. Adieu donc les mises à jour et autres fonctionnalités dans le vent. Édit : les maj de sécurité resteront possibles.

Donc si vous avez prévu d’acheter un Mac d’occasion, attention au modèle que vous choisissez car selon son millésime, vous ne pourrez pas le mettre à jour vers Mojave.

Cela s’explique par l’ancienneté du matos mais comme il n’est pas rare de trouver en occaz des Mac de 2009, 2010 ou 2011 parfaitement fonctionnels, certaines personnes pourraient se faire avoir. Notez donc bien que si le matos est plus ancien que 2012, 2013 et dans certains cas 2015, vous l’avez dans l’os pour la MAJ vers Mojave.

Voici donc la liste du matériel qui supportera Mojave.

Comme tous les possesseurs de Mac < 2012 vont vendre leurs machines en masse dans les jours qui viennent avant qu’elles ne perdent trop de valeur, vous risquez d’être déçu au moment de vouloir faire la mise à jour.

Par contre, si vous n’avez rien à cirer de Mojave, c’est aussi une info à connaître pour négocier le prix à la baisse 😉

Source



Original Xiaomi WiFi HomePlug

45,79 €

Le Xiaomi WiFi Homeplug est à la fois un répéteur et un routeur internet.
Composé d’une base centrale à brancher par ethernet à votre box internet, il peut communiquer avec pas moins de 7 plug disposés dans les différentes pièces de votre maison ou appartement pour étendre votre couverture réseau.

Compatible avec la plupart des routeurs du marché, le HomePlug de Xiaomi a une fréquece de 2.4GHz et une vitesse de transmission de 300Mbps.

Vous pouvez gagner jusqu’à 40% de wifi en plus dans les pièces les plus éloignées de votre box internet.


Et pour les grandes habitations, pour couvrir plus de pièces vous avez la possibilité d’étendre la couverture avec des Plugs supplmentaires.


En Savoir +

Petit point sur le rachat de Github par Microsoft

lundi 4 juin 2018 à 12:20

J’ai écris ce matin un super long article sur le rachat de Github par Microsoft, prenant bien le temps de développer tous mes arguments. Malheureusement, suite à un crash de ma machine + auto-sauvegarde non fonctionnelle (ce que je n’avais pas vu) et bien j’ai tout perdu comme un couillon. Erreur de noob. Ouin.

Donc, comme ça m’a un peu dégouté, mais je vais quand même vous faire un résumé qui sera un peu plus brut de décoffrage, moins bien tourné, moins sourcé et argumenté mais tant pis.

Microsoft rachète Github. Ca fait hurler dans les chaumières parce que c’est « Microsoft ».

La communauté Github

Je comprends l’émoi mais il ne faut pas oublier le contexte :

source

Alors que va faire Microsoft ?

Après si quelques développeurs se barrent du service, je pense que ça ne va pas trop inquiéter Microsoft qui de toute façon va pouvoir continuer à adresser un marché de professionnels qui ont des gros besoins techniques pour leurs équipes de devs.

Sur le coup, on peut dire que Microsoft a bien joué car ils récupèrent un outil aux fonctionnalités incontournables pour compléter leur gamme de services, tout en mettant la main sur une communauté ultra riche de développeurs, et une bibliothèque de codes tout aussi riche.

Maintenant les options qu’ont les développeurs qui utilisent Github :

Enfin, la dernière option serait qu’émerge un Mastodon du Git qui offrira à la fois de la décentralisation mais aussi la possibilité de retrouver les contenus via des moteurs de recherches ou des sites. Cela pourrait par exemple se faire sur une base de Mango, un git décentralisé utilisant IPFS…

Ce serait l’idéal, c’est sûr.

Disons donc que les options pour ceux qui veulent fuir Microsoft restent pour le moment assez standards.

Heureusement, la résilience est une chose magnifique et je suis certain que dans quelques mois, tout le monde se sera un peu calmé sur le sujet à part une poignée d’anti-microsoftiens bloqués et en boucle depuis 1998.

Voilà pour le résumé express avec pas mal de listes à la place de jolies phrases et moins de pincettes. Mais globalement, ça résume bien ma pensée sur tout ça. Je comprends parfaitement les inquiétudes de certains utilisateurs de Github mais on reste dans une configuration assez simple d’une boite privée qui achète une autre boite privée.

Heureusement, Internet est grand et chacun trouvera rapidement son bonheur.

En tout cas, j’ai hâte de voir comment tout ceci va évoluer.

Activer l’option « Effacer les données après 10 mots de passe erronés » est-il risqué ?

vendredi 1 juin 2018 à 09:57

Je viens de lire une réflexion intéressante sur le site de Daring Fireball concernant l’option d’iOS qui active un effacement total de l’iPhone après 10 entrées de mots de passe erronés.

En ce qui me concerne, ayant des enfants et un ou deux potes bien boulets, je n’ai jamais activé cette option de peur que cela efface toutes mes données après que ces êtres chers à mon cœur se soient emparés de mon téléphone.

Toutefois, j’ignorai qu’iOS imposait un délai d’attente de plus en plus long entre chaque saisie de mot de passe erroné. En effet, après le 5ème essai, iOS oblige à 60 secondes de pause avant d’entrer à nouveau un code. Après le 6ème essai erroné, c’est 5 minutes qui sont imposés. Puis après le 7ème essai, c’est 15 minutes… et ainsi de suite.

Ainsi, pour pouvoir entrer 10 codes erronés, il faudra (d’après les essais de John Gruber de Daring Fireball) patienter au total 3h. Autant dire qu’il y a peu de chance que votre enfant ait la patience ou l’opportunité de rester plus de 3h avec votre téléphone à tenter de le déverrouiller.

Ainsi, objectivement, il n’y a *pas* vraiment de raison de ne pas activer cette option qui peut servir dans certains cas un peu extrêmes à « protéger » votre vie privée. De plus, avec les sauvegardes qu’il est possible de mettre en place (iCloud ou en local avec iTunes), même si un effacement total de votre iPhone survenait, ce ne serait pas un drame.

J’ai donc décidé d’activer l’option tant redoutée quand on est parent.

Et j’aurai encore appris un truc aujourd’hui.