Si vous connaissez l'anglais et que vous voulez apprendre un peu de vocabulaire dans des langues étrangères, je vous présente Backwords.

Cette application disponible uniquement sous Mac (désolé ^^), affichera chaque jour, sur votre fond d'écran, un mot dans la langue sélectionnée. Au total, ce sont plus de 15 000 mots proposés, donc de quoi vous occuper.

Backwords permet de passer au mot suivant si vous connaissez déjà le mot du jour et propose des mots de vocabulaire Chinois, Japonais, Coréen ou Néerlandais.

Pratique donc pour mémoriser quelques idéogrammes qui pourront vous servir dans la vie de tous les jours, que vous aimiez les animes ou que vous voyagiez.

Si vous êtes développeur et que tout ce qui est administration système vous donne des boutons, j'ai découvert un truc qui s'appelle ServerLess et qui je pense va vous intéresser.

ServerLess est un mouvement "spirituel" (bon j'exagère un peu, mais vous voyez l'idée) qui permet de redonner le pouvoir aux développeurs qui souhaitent se concentrer uniquement sur leur code. Je ne suis pas développeur (d'où ma découverte tardive de ce truc), mais j'ai trouvé ça passionnant, ce qui explique cet article d'aujourd'hui.

Cette technologie permet de faire abstraction de tout ce qui concerne l'hébergement et le déploiement de votre application. Grâce à l'approche ServerLess, vous allez pouvoir développer directement des applications qui vont supporter un trafic en production et que vous n'aurez pas besoin de scaler. Pas besoin non plus de provisionner des serveurs et de payer des ressources non utilisées. Pas besoin de mettre à jour un Linux… Bref, plus besoin de se concentrer sur des actions à peu de valeur ajoutée pour vos utilisateurs.

Et le secret de tout ça c'est AWS Lambda, Microsoft Azure, Google Cloud Platform ou encore IBM OpenWhisk qui proposent des offres FaaS (Function As A Service) permettant de faire exécuter votre code sur une infrastructure de calcul à haute disponibilité et de faire effectuer au provider du service toute l'administration des ressources de calcul, y compris la maintenance du serveur et du système d'exploitation, le dimensionnement des capacités et la mise à l'échelle automatique, le déploiement du code et des correctifs de sécurité, ainsi que la surveillance et la journalisation du code.

Il existe aussi OpenFaaS, un projet open source qui permet de packager n'importe quoi en fonction ServerLess

(Merci Benoit)

ServerLess exploite donc ce concept de FaaS pour redonner une entière autonomie aux développeurs et leur fera surtout gagner du temps. Et même si je suis plutôt partisan de gérer soi-même son serveur et éviter de tout mettre chez Amazon, Google ou un autre, il faut reconnaître que le côté "J'ai plus qu'à coder et basta !" fait saliver. Cela peut-être aussi intéressant pour du déploiement en test, car la plupart des fournisseurs FaaS proposent des offres gratuites en dessous d'un certain nombre de requêtes mensuelles. Par exemple, chez Amazon, c'est 1 million de requêtes offertes ainsi que 400 000 Go-secondes de temps de calcul par mois.

Le Framework ServerLess que vous pouvez trouver ici permet donc de déployer facilement votre code chez le provider de votre choix, en configurant automatiquement les paramètres qui vont bien, le langage que vous utilisez, et les plugins ServerLess dont vous avez besoin. Et ensuite, c'est easy :

#Install serverless globally
npm install serverless -g

#Login to your Serverless account
serverless login

#Create a serverless function
serverless create --template hello-world

#Deploy to cloud provider
serverless deploy

#Function deployed! Trigger with live url
http://xyz.amazonaws.com/hello-world

L'approche ServerLess a déjà été adoptée par des gros comme Coca Cola, Expedia, Reuters, ou encore EA. Et pour le coup, vous ne paierez que ce que vous consommerez.

Bref, à tester à l'occasion.

Et si vous restez sur votre faim après la lecture de cet article d'introduction, je vous invite à lire celui-ci beaucoup plus détaillé sur le sujet.

Il n'y a pas beaucoup d'infos, mais c'est dans un tweet que fail0verflow qu'on ne présente plus, a publié il y a quelques jours cette photo d'une Nintendo Switch avec un joli Linux dessus.

D'après fail0verflow, son exploit utilise un bug situé dans la rom nécessaire au boot, ne nécessite aucune puce et qui plus beau encore, ne peut pas être patché sur les Switch sorties jusqu'à présent.

Bien que Nintendo propose depuis l'année dernière, un programme de Bug Bounty pour justement récompenser ce genre de découverte et corriger ses vulnérabilités, il semble que certains préfèrent s'amuser avec des homebrews et éventuellement plus tard, avec des jeux piratés sur des consoles rootées.

Affaire à suivre, surtout si effectivement, l'impossibilité de patcher s'avère vraie.

Vous connaissez sans doute ces petits emojis tout en texte construits à base de parenthèses et autres caractères ASCII.

Comme ce petit joyeux…

\ (•◡•) /

ou encore ce gros musclé…

ᕦ(ò_óˇ)ᕤ

Et bien, il existe un constructeur d'emoji texte nommé oji à installer comme ceci :

npm i -g oji

Lancez ensuite oji et vous n'aurez plus qu'à sélectionner les petits morceaux de votre emoji et laisser libre cours à votre créativité.

Ça ne sert pas à grand-chose donc c'est méga indispensable. 😉

Et si comme moi, vous n'avez aucun talent de création en emoji text, voici 2 sites qui vous en donneront des tous tout fait, tout beau.

• https://www.lennyfaces.net
• https://textfac.es

Zerodium, spécialisé dans l'achat / revente de vulnérabilité 0day a fait hier, une annonce sur son compte Twitter.

Si pour vous tout ceci n'est qu'un amas de gros mots techniques, je vous explique. En gros, Zerodium propose 45 000 $ en échange d'un 0day (une vulnérabilité non patchée et non connue) fonctionnant avec les distribs Linux les plus connues (Fedora, Ubuntu, Debian, CentOs et Red Hat Entreprise).

À titre de comparaison, ils avaient, il y a quelques années, proposé 1,5 million de $ pour un 0day touchant iOS 10.

45 000$ c'est une belle somme et ça pourrait tenter pas mal de monde. Mais ce business reste un business de merde, et je vais vous expliquer pourquoi.

Premièrement, s'ils lancent cet appel, c'est qu'ils ont des clients. Probablement des gouvernements ou des boites privées puissantes. L'objectif de ces clients, c'est de pouvoir s'introduire sur des machines Linux pour les véroler ou en sortir des informations. Y'a pas vraiment de mystère.

Le premier problème, c'est que par définition, celui qui vendra son 0day à Zerodium se fera arnaquer. 45 000$ un 0day qui sera surement revendu avec une doc d'utilisation, le double de son prix (voire plus) à 2, 3, 4…10 ou 100 clients, j'appelle ça se faire arnaquer 🙂

Bon, ça c'était pour la blague.

Maintenant ce qui est grave c'est-ce que ce 0day va permettre.

Repensez aux révélations Snowden, repensez à votre vie privée et à votre vie tout court. Un 0day Linux qui grosso modo peut ouvrir une porte sur un grand nombre de serveurs est un sacré problème, y compris si vous n'avez pas de machine Linux sous la main. Car vous ne le savez peut-être pas, mais toutes vos données et votre activité en ligne circulent ou se retrouve stockées sur des machines Linux. Donc même si vous êtes un utilisateur lambda, cela vous concerne totalement.

Pensez ensuite aux gens qui pourraient souffrir directement d'une telle arme. Les activistes, les opposants politiques, les gens qui travaillent dans les entreprises et qui ont des secrets industriels à défendre, les gouvernements au travers de ses soldats ou de ses agents sur le terrain, sans parler de ceux qui se retrouveraient en position de subir un chantage ou une humiliation à cause de données dérobées via de tels moyens.

Le champ des possibilités est vaste et même si on est totalement dans les hypothèses, celles-ci sont parfaitement plausibles, car déjà vues.

Et je ne vous parle pas, le jour où le 0day est enfin découvert et annoncé publiquement, du bad buzz que cela peut ensuite avoir sur Linux, sur les sociétés touchées, sur les serveurs non patchés subissant les ravages des scripts kiddies et bien sûr de la surcharge de boulot non prévue pour les admin sys et la communauté Open Source.

J'ai beau retourner le problème dans tous les sens, vendre une telle vulnérabilité à un tiers qui est tout sauf de confiance, c'est un peu comme vendre une kalachnikov à un intermédiaire, sans savoir qui va l'utiliser, ni quand et contre qui, tout en espérant qu'on ne sera pas l'une des victimes.

Maintenant c'est sûr, 45 000$ c'est une belle somme. On peut s'en payer des jolies choses avec 45 000$… Une belle voiture, des travaux pour la maison, faire la fête pendant 1 an, ou arrêter de bosser quelques temps.

Mais s'il y a un truc que vous ne pourrez pas vous payer avec ces 45 000$, ce sera une éthique. Car oui, quoi qu'en disent les pubs à la TV et quoi qu'en disent les médias qui s’esclaffent sur la proposition de Zerodium, la notion d'éthique reste à mon sens primordiale.

Car toute l'année, que ce soit mes copains de YesWeHack, ou d'autres hackers de par le monde, on se casse le cul à sécuriser la planète, à remonter le niveau de compétence des gens et des boites dans un seul but : Que chacun puisse évoluer dans le cyberespace avec une relative tranquillité d'esprit.

Tout n'est pas parfait, c'est sûr, mais ça va dans le bon sens pour servir l'intérêt général, grâce aux efforts de chacun. Malheureusement, l'initiative de Zerodium est à l'opposé de ces efforts.

Seulement, pour contrer de telles pratiques qui n'ont comme but que de faire du pognon au détriment de l'intérêt général, il n'y a malheureusement que 3 possibilités.

– Soit les Américains décident que Zerodium va dans le sens contraire de leurs intérêts, et décident d'interdire de telles pratiques. Mais j'imagine que cela n'arrivera jamais, car ils sont surement leurs premiers clients et ont probablement négocié quelques exclusivités mondiales avec eux.

– Soit je trouve une planche à billets magique, et je propose x3 en pognon pour racheter les 0day avant qu'ils ne tombent entre de mauvaises mains pour ensuite les offrir à la communauté open source dans un cadre de divulgation coordonnée de vulnérabilités.

– Soit, j'en appelle au bon sens, en ayant conscience du côté bisounours de la chose, en expliquant aux gens que tout ceci est éthiquement malsain et que la seule option quand on découvre une vulnérabilité sur un site, un soft, un service (peu importe), c'est de la remonter à celui qui est impacté par ce problème pour qu'il puisse patcher au plus vite.

Pour le moment, à moins que vous ne soyez tous Milliardaires, c'est cette dernière possibilité qui est à notre portée à tous. Et cela peut se faire de 2 façons :

– Via un principe de CVD (Divulgation Coordonnée de Vuln) en passant par une plateforme non-profit comme Zerodisclo.com

– En passant par le Security.txt ou le programme de Bug Bounty de l'organisation / site / projet impacté pour remonter au plus vite la vuln.

Vous voilà informé. N'oubliez pas que la vraie richesse débute quand vous amassez toutes ces petites choses qui ne peuvent pas s'acheter.

À vous de voir maintenant ce que vous préférez.