PROJET AUTOBLOG

Korben

Site original : Korben

⇐ retour index

Un smartphone Android acheté, une backdoor chinoise offerte

mercredi 16 novembre 2016 à 10:21

Trop fort les Chinois !

Les chercheurs en sécu de Kryptowire viennent de découvrir une backdoor bien planquée dans le firmware de la plupart des smartphones chinois petit budget vendus aux États-Unis. Et que fait cette backdoor ? Et bien elle collecte des infos comme le journal des appels, les SMS, la liste des contacts, l'historique de géolocalisation, les données des applications...etc. et balance tout discrètement toutes les 72 heures à un serveur localisé en Chine.

Ahahah, sacrée opération d'espionnage à grande échelle. D'ailleurs, ce serait environ 700 millions d'appareils qui seraient concernés par ce problème. Le firmware en question aurait été mis au point par la société AdUps Technology localisée à Shanghai et équiperait des téléphones de la marque ZTE, Huawei...etc.

Le plus beau là-dedans, c'est que ce même firmware permet d'installer et de mettre à jour à distance des applications directement sur le téléphone, mais aussi de lancer des commandes root à distance. Toujours d'après les chercheurs qui l'ont analysé, ce serait une backdoor intentionnelle et non pas une erreur de programmation ou une faille de sécurité. En tout cas, une chose est sûre, la backdoor ne peut pas être supprimée ou désactivée.

Ça me rappelle Carrier IQ qui en 2011 avait fait parlé de lui, avec une backdoor de ce genre. D'ailleurs, AdUps va beaucoup plus loin que Carrier IQ.

adups_security_analysis_figure1-copie

Maintenant reste à savoir si ces données récupérées le sont à des fins de tracking publicitaire ou à des fins d'espionnage étatique. En tout cas, AdUps a réagi en expliquant que cette fonctionnalité n'était pas destinée au marché américain mais uniquement au marché chinois pour aider les fabricants de smartphones à monitorer les comportements des utilisateurs.

Lolilol

source

Cet article merveilleux et sans aucun égal intitulé : Un smartphone Android acheté, une backdoor chinoise offerte ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Une faille dans Cryptsetup permet d’obtenir un accès root sur certaines machines Linux

mercredi 16 novembre 2016 à 09:47

Hector Marco de l'université d'Écosse de l'Ouest et Ismaël Ripoll de l'école polytechnique de Valence en Espagne, ont révélé l'existence d'une faille de sécurité dans Cryptsetup, qui permet de récupérer un shell de secours en root sur certains systèmes.

Cryptsetup pour ceux qui ne connaitraient pas, est un outil utilisé pour chiffrer des systèmes de fichiers sous Linux, qui implémente le standard LUKS (Linux Unified Key Setup). C'est ce qui est utilisé par exemple, par défaut sous Debian et Ubuntu lorsque vous activez le chiffrement de votre disque dur.

A priori, la faille se situerait dans un script livré dans le package Debian cryptsetup  <= 2:1.7.2-3. Si vous êtes sous Fedora, vous êtes aussi concerné, car Cryptsetup est utilisé par Dracut, un outil qui permet de générer des systèmes de fichier en RAM (initramfs).

La faille CVE-2016-4484 est facile à exploiter. Il suffit d'avoir un accès à une console sur la machine, et lorsque le mot de passe LUKS est demandé, il suffit d'appuyer sur la touche "Entrée" un grand nombre de fois jusqu'à ce qu'un shell apparaisse. On ne peut pas faire plus simple. J'avoue je n'ai pas encore testé, mais les chercheurs à l'origine de la découverte disent que ça ne prend pas plus de 70 secondes.

Voici une démonstration :

En effet, une fois que le nombre maximum de mots de passe erronés est atteint, la séquence de boot se poursuit normalement et un autre script présent dans Cryptsetup prend le relai et balance un shell BusyBox ou initramfs.

Le risque d'exploitation est élevé dans les lieux publics où il y a des bornes Linux (Distributeurs de billets, bornes dans les aéroports...etc.) car il suffit de rebooter la machine en douce (et y brancher un clavier) sans parler de certaines instances Linux accessibles en ligne comme celles proposés par le Cloud Ubuntu, qui d'après ces mêmes chercheurs pourraient être exploitées à distance sans aucun accès physique. Vous trouverez plus de détails sur cette faille ici.

Bref, autant dire que ça ne sent pas très bon. Pour le moment, seul Debian a patché le truc, sans réagir publiquement, et les chercheurs ne sont pas d'accord avec la façon dont ce patch a été implémenté. D'après eux, le problème est plus général que ça, et viendrait du faire que la séquence de boot GNU/Linux est trop permissive avec les erreurs.

Et si vous ne voulez pas attendre, les chercheurs proposent le patch suivant à appliquer sur le script "scripts/local-top/cryptroot" :

screen-shot-2016-11-15-at-2-53-40-pm

Source

Cet article merveilleux et sans aucun égal intitulé : Une faille dans Cryptsetup permet d’obtenir un accès root sur certaines machines Linux ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Librevault

mercredi 16 novembre 2016 à 07:29

Disponible sous Windows, macOS et Linux, Librevault est une application qui permet de synchroniser vos données entre plusieurs machines, sans avoir à passer par un serveur tiers. Fini donc les Google Drive et autres Dropbox pour synchroniser vos datas. Avec Librevault, vous pouvez reprendre la main là dessus, sans avoir à configurer quoi que ce soit de complexe.

screenshot-2016-11-16-07-25-08

L'outil fonctionne sur un principe de P2P, tout comme BTSync ou encore Syncthing, et a la particularité de tout chiffrer AES-256 en respectant le principe de Zero Knowledge et de transmettre les données en utilisant TLS v1.2. Ainsi la synchronisation peut se faire sur un réseau local ou via Internet.

Librevault est, comme son nom l'indique, sous licence libre et encore en version alpha. J'ai d'ailleurs rencontré quelques crashs sous Mac et Windows.

Vous pouvez le télécharger ici :

Cet article merveilleux et sans aucun égal intitulé : Librevault ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Mesta Fusion – Le radar automatique qui ne laisse rien passer

mardi 15 novembre 2016 à 12:15

Je lisais un article à la dernière fois sur tous les nouveaux radars qu'on va voir apparaitre aux bords de nos routes français en 2017 et l'un d'entre eux a retenu un peu plus mon attention. Il s'agit du MESTA FUSION.

Développé par la société française Morpho, ce super radar au nom de robot venu du futur pour tous nous exterminer, est capable de relever plusieurs infractions en même temps. Si vous grillez un feu rouge, en excès de vitesse, tout en dépassant sur une ligne blanche et qu'en plus vous ne respectez pas la distance de sécurité avec le véhicule devant vous, tout en tournant à gauche ou à droite alors que c'est interdit, vous serez bon pour 5 infractions d'un coup.

Nouveau radar Safran, modèle Morpho, reportage du 02 09 2015.

Nouveau radar Safran, modèle Morpho, reportage du 02 09 2015.

Et n'espérez pas pouvoir rouler trop lentement non plus, car il sait aussi relever les vitesses trop lentes.

Voici de quoi il est capable pour le moment :

Je dis "pour le moment", car comme il est évolutif, il sera à terme capable de détecter le téléphone au volant, l'absence de ceinture de sécurité...etc. Niveau perf il est d'ailleurs très impressionnant, car il peut contrôler simultanément jusqu’à 32 véhicules répartis sur 2 x 4 voies dans les deux sens. Et il sait faire la distinction entre une voiture, un camion, une moto...etc. et peut donc verbaliser les excès de vitesse en fonction du type de véhicule, et cela sur une distance de 200 mètres et pour des vitesses allant de 0 à 300 km/h.

Impressionnant !  N'espérez pas lui échapper, car sa marge d'erreur n'est que de 1%.

Niveau technologie, il dispose d'un radar tracker multi cibles (type Dopler) et de caméras haute résolution. Dès qu'il flashe, les données sont ensuite chiffrées et envoyées directement via réseau sécurisé en ADSL, ou 3G. Il pourra être mis à jour à distance ou directement sur place par un opérateur et comme il tournera un plein régime, il est même équipé d'une clim pour se refroidir en plein soleil.

mesta-fusion

Les mecs l'ont installé à Astana dans la capitale du Kazakhstan afin de contrôler la vitesse, le feu rouge, l'interdiction de tourner et le débordement sur une voie de bus, et l'engin a relevé 1229 infractions en une semaine de test.

Dingue ! Si vous voulez le voir de plus près, sachez qu'il est en test sur l'A15 au niveau de Pierrelaye (Val d'Oise).

Et dire qu'il suffirait que tout le monde respecte le code de la route, pour que toute cette économie du flash s'écroule. Ah mais ça n'arrivera jamais, car l'erreur est humaine et Mesta Fusion est le robot parfait pour que nous n'oubliions jamais ça.

Cet article merveilleux et sans aucun égal intitulé : Mesta Fusion – Le radar automatique qui ne laisse rien passer ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Concours MyMusicTeacher – Apprenez la guitare

mardi 15 novembre 2016 à 11:34

Ça vous dirait de prendre des cours de guitare ? Ça tombe bien, car les copains de MyMusicTeacher que j'ai eu le plaisir de croiser à Metz il y a quelques semaines m'ont proposé de vous offrir des abonnements à leur plateforme.

Pour ceux qui ne connaitraient pas encore MyMusicTeacher, il s'agit d'une application multi OS (PC, Mac, iOS, Android) qui vous permet d'apprendre "vraiment" la guitare, à la manière d'un jeu vidéo. L'utilisateur accède à un parcours d'apprentissage en plusieurs étapes, soit plus de 2600 cours et exercices disséminés sur 15 chapitres.

Au début de l'apprentissage, ce sont de simples vidéos de cours en HD filmées avec 3 caméras pour avoir différents points de vue, puis ça enchaine sur des exercices interactifs et correction temps réel. Car oui, MyMusicTeacher utilise le micro de votre ordinateur / tablette / smartphone pour détecter le son et pouvoir vous dire si vous jouez bien ou comme un gros nul.

exercice_mymusicteacher_france

Au début, ça démarre avec les bases comme apprendre à tenir sa guitare, s'accorder, lire une partition (principe de la tablature) puis ça enchaine sur des choses de plus en plus difficiles. Pour les guitaristes déjà amateurs, ils proposent même des packs de missions où on peut apprendre des techniques avancées comme : le tapping, le sweep picking, le shredd, les gammes, le fingerpicking, etc.

parcours_apprentissage_mymusicteacher_2

Jazz, Rock, Classique, Blues, Pop, Metal, Reggae et Folk. On y retrouve des morceaux connus et le catalogue s'enrichit chaque semaine.

morceaux_mymusicteacher

Ils sont d'ailleurs plus de 26 000 inscrits sur la plateforme et tous les mercredis et dimanches à partir de 20h, l'utilisateur peut se connecter à MyMusicTeacher, et rencontrer Frank, un vrai prof en chair et en os qui donnera un cours et à qui il est possible de poser des questions. Top ça !

cours-video-mymusicteacher

Niveau tarif, les cours en direct, vidéos replay des cours, chapitre 1 du parcours et pack de mission saisonnier sont gratuits à l'inscription, mais pour tout débloquer, il faudra s'abonner pour 19.90€ par mois sans engagement. Il est aussi possible d'acheter les chansons et chapitres à l'unité.

Une nouvelle version va arriver très très prochainement avec un nouveau design, un tracking de la progression plus poussé, l'indication en temps réel des doigts à placer, une détection optimisée pour les mobiles moins récents et pas mal de bugs corrigés.

Bon, et pour le concours, voici ce que vous propose MyMusicTeacher :

Attention, ça ne rigole pas, car le médiator est fabriqué à la main par Riki Le Plectrier, ce qui en fait un objet unique.

mediators_riki_le_plectrier

Et concernant les jeux de cordes, c'est de la marque Six Buddy qui a comme concept de proposer ses jeux de cordes dans les bureaux de tabac pour que tous les musiciens puissent en acheter, même dans un village où il n'y a pas de magasin de musique.

Et si vous voulez essayer l'appli avant la fin du concours, utilisez le code cadeau KRBN77X1 qui vous donnera le droit à 1 semaine d'essai sur MyMusicTeacher

Cet article merveilleux et sans aucun égal intitulé : Concours MyMusicTeacher – Apprenez la guitare ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.