Alors qu'en Europe, on pond des lois sur le droit à l'oubli, aux États-Unis, c'est tout le contraire qui se passe... Par exemple, le 26 octobre dernier, Miranda, une jeune femme de 19 ans a percuté une voiture de police au feu rouge.  Pas de blessés, heureusement. Elle avait bu et surtout, elle était très occupée à envoyer des photos d'elle à poil, à son copain, via Snapchat.

Normal quoi...

La police de la ville de Bryan au Texas l'a bien sûr arrêté et elle a été libérée contre une caution de 2000 $, jeudi dernier.

Hormis une suite justifiée devant les tribunaux, l'histoire aurait pu se terminer là. Mais la police de Bryan en a décidé autrement, en choisissant de faire de Miranda quelqu'un d'illustre. Ils ont publié son mugshot (selfie de garde à vue) sur leur page Facebook, en donnant son nom, son âge, et tous les détails concernant les nichons à l'air et snapchat.

Clap Clap Clap la police... Je ne sais pas si on peut appeler ça une "bonne leçon", du non respect de la vie privée, de l'humiliation, ou du harcèlement en ligne / cyberbullying / slut-shaming comme ils disent, mais peu importe, ça me dérange.

D'un coup, sans l'avoir choisi, cette personne se retrouve propulsée star mondiale sur les réseaux, jetée en pâture à tous les tarés qui ont mis la main sur son Instagram, son Facebook, le nom de son université, et ses photos personnelles, y compris en maillot de bain, et qui se partagent tout ça, y compris dans les commentaires du message Facebook de la police de Bryan, qui bien sûr ne modère absolument rien.

Avant, dans la vie du village, quand on était "grillé", il suffisait de changer de village et recommencer une nouvelle vie. Maintenant, le village est planétaire et les gens qui pensent que Miranda retombera dans l'anonymat dans quelques jours, ne savent pas de quoi ils parlent. Elle va devoir porter cette "célébrité" honteuse toute sa vie et il y aura toujours un connard pour lui rappeler qu'elle conduisait alcolisée, ou qu'elle se photographiait à poil, même lorsqu'elle aura 80 balais.

Sachez le, sur le net, on n'a pas le droit à l'erreur, et aucun droit à l'oubli ne pourra arranger ça. Il faut simplement apprendre à vivre avec. Seulement, certains ne le supportent pas et ont parfois des réactions extrêmes (depression, suicide...etc.). Je souhaite à Miranda de bien le vivre et d'essayer d'en faire une force. À sa place, je monterais un business avec des t-shirts et des mugs estampillés "Sexy selfies don't ruin life. Cops do" ou un truc comme ça, histoire de renverser la vapeur et de transformer ça en force.

Quoiqu'il en soit, j'espère que cette double punition ne se généralisera pas dans tous les commissariats américains, car cela risque de faire pas mal de dégâts, beaucoup plus qu'un parechoc embouti.

Source

Cet article merveilleux et sans aucun égal intitulé : Une étudiante américaine affichée en ligne par la police ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Mubix (Rob Fuller) a publié sur son site un article intéressant où il explique, encore tout étonné, qu'il est possible de récupérer des identifiants (login + passwords) sur un ordinateur dont la session est verrouillée.

Pour cela, il a utilisé un Hak5 Turtle à 49,99 $ qui n'est ni plus ni moins qu'un mini-ordinateur qui permet de faire du man in the middle sur n'importe quelle machine. Voici d'ailleurs une explication plus détaillée de ce qu'est la Hak5 Turtle :

Comme c'est déjà prévu sur la Turtle, c'est easy à configurer. Il suffit d'activer les modules "serveur DHCP" ainsi que le module Responder de Laurent Gaffié.

Responder est un super outil capable de recevoir et de stocker toutes les demandes d'authentification (NTLMv1/NTLMv2/LMv2, NTLMSSP et authentification HTTP basique) qui passent par lui, que ce soit via HTTP/SMB/MSSQL/FTP/LDAP.

Là où ça devient vraiment moche, c'est qu'en pluggant cette clé Hak5 Turtle sur un ordinateur dont la session est verrouillée, il est possible de récupérer des tas d'identifiants et de mots de passe (chiffrés ou non). Comment ?

Et bien comme l'USB est plug and play, le système l'active immédiatement, et cela même si la session est lockée. Reconnue comme un adaptateur Ethernet par Windows ou macOS, ça passe donc comme une lettre à la poste, et comme l'Ethernet c'est plus rapide que le Wifi, l'OS a tendance à choisir ce mode de connexion pour transmettre ses données. Donc même si l'ordinateur est connecté en wifi, le simple fait de connecter cette clé USB Turtle, va faire en sorte que tout le trafic sortant passe par cet adaptateur.

Et ce qu'on a du mal à imaginer (et Mubix aussi d'ailleurs), c'est la quantité de trafic sortant qu'un ordinateur peut produire lorsqu'il est verrouillé. Pas besoin d'ouvrir un navigateur ou une application, non, non, l'OS va causer dans tous les sens, faisant parfaitement confiance à son réseau local, donc à la clé Turtle, et lui balançant des tas d'identifiants.

La fête quoi !

Mubix a réalisé ses tests avec une Turtle de Hak5, mais aussi avec une USB Armory qui est un poil plus cher (155 $) et qui permet de faire sensiblement la même chose en mode plus barbu, du moment que vous installez Responder et le serveur DHCP dessus.

Voici une démo de la clé USB Armory en action. En moins de 13 secondes, elle récupère des identifiants. Impressionnant !

Mubix a réalisé des tests sur :

• Windows 98 SE
• Windows 2000 SP4
• Windows XP SP3
• Windows 7 SP1
• Windows 10 (Enterprise et Home)
• OSX El Capitan / Mavericks

Et à chaque fois, il a pu récupérer des infos. Il n'a pas encore testé sous Linux.

Je vous rassure, il n'y a rien à faire pour empêcher ça... C'est d'office dans le système d'exploitation. C'est con hein ? ;-)

Cet article merveilleux et sans aucun égal intitulé : Récupérer des logins et mots de passe sur une machine verrouillée ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Hello,

Bon, la semaine fut agitée. Le site bien qu'en ligne a encore quelques petits bugs (flux rss, commentaires...etc.) sur lesquels je suis en train de travailler, donc pas d'inquiétude.

Autrement, le 2 et 3 novembre, je serai à la conf Cyber Security Alliance en Suisse (à Yverdon-les-Bains) et avec Freeman, on fera même la keynote d'ouverture. Si vous y êtes aussi, je serai ravi d'échanger avec vous.

Pas de pont de la Toussaint pour les warriors.

Ah sinon, j'ai terminé la série Luke Cage. Ça commence difficilement au début puis ça se bonifie. J'ai adoré les passages musicaux et l'ambiance Harlem, par contre niveau action, j'ai trouvé ça très répétitif. J'ai aussi attaqué Black Mirror saison 3 et comme d'habitude, c'est du très très bon qui fait réfléchir sur nos habitudes rapport aux outils numériques et les potentielles dérives futures. Je vous la recommande aussi.

Enfin, n'oubliez pas, on change d'heure ce week-end ! On dort 1h de plus, ce qui ne va pas changer grand-chose à ma dette de sommeil malheureusement.

Bon week-end de la Toussaint et bon repos à ceux qui en prennent.

K.

Cet article merveilleux et sans aucun égal intitulé : Edito du 28/10/2016 ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

En ce moment, je bosse des présentations pour des confs que je fais à gauche et à droite au sujet du Bug Bounty bien sûr, mais aussi de mon parcours de blogueur (ma vie, mon oeuvre, mon compte secret au Panama).

Avant je faisais ça avec douleur sur PowerPoint... Puis je suis passé à Keynote... C'était moins pénible, mais encore bien relou... Puis mon copain Bertrand de Cyberbougnat m'a parlé de Deckset, et là, ça a changé ma vie.

Bon, je vous le dis tout de suite pour ne pas vous faire perdre de temps, Deckset est un logiciel pour MacOS qui en plus est payant (30 €). Mais franchement ça vaut le coup.

Deckset permet de concevoir des présentations très rapidement, en les écrivant directement en Markdown dans votre éditeur de texte préféré. Pour la mise en page, c'est simple, il suffit de se familiariser avec Markdown et avec les syntaxes données ici pour par exemple ajouter un filtre sur une image, la caler à gauche ou à droite, ajouter des liens, des notes en pied de page, des formules mathématiques, des citations, des notes visibles uniquement du conférencier...etc.

Et voilà ! Comme disent les Américains.

Concernant les images, vous pouvez les appeler directement depuis un dossier ou une URL. Et rassurez-vous, dans ce second cas, si vous n'avez pas le Net pendant votre présentation, celles-ci sont automatiquement mises en cache, donc seront parfaitement visibles.

Ensuite vous choisissez un thème parmi les 15 proposés, et des couleurs qui vous plaisent et le tour est joué. Vous pouvez bien sûr exporter tout ça en PDF, ou dérouler la présentation directement depuis Deckset avec les notes du conférencier (en mode antisèche) sur le 2e écran.

L'avantage de Deckset, c'est que ça vous force à ne pas en mettre trop sur vos slides. Moi en général, je mets une phrase ou un mot par slide et je les enchaine pour rendre la présentation plus dynamique. De plus, votre présentation ne pèse plus rien, puisqu'il s'agit d'un simple fichier texte facilement transportable.

Là où Deckset me limite un peu, c'est sur les thèmes. Très peu sont à mon gout, donc j'ai tendance à toujours utiliser les mêmes, et j'ai vraiment hâte qu'ils en rajoutent ou qu'on puisse créer les autres. Je crois que c'est prévu dans une prochaine version.

Bref, si vous voulez changer un peu, et gagner du temps dans la préparation de vos exposés, je vous recommande cet outil.

Cet article merveilleux et sans aucun égal intitulé : Deckset – Pour faire des slides rapidement et sans douleur ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

EMP, si vous ne connaissez pas le terme, ça veut dire Electromagnetic Pulse. En français, on dit IEM pour Impulsion électromagnétique. Le principe est simple et consiste à envoyer en rafales des ondes électromagnétiques de très forte amplitude.

Cela a pour effet de parasiter, voire de griller les appareils électroniques, en plus de brouiller les télécommunications. Les militaires disposent de bombes permettant de créer des IEM et n'hésitent pas à s'en servir, mais je lis régulièrement dans la presse qu'une éruption solaire d'importance pourrait avoir le même effet sur nos appareils électroniques à l'échelle de la planète.

Cela parait compliqué, mais le Youtubeur FPS Weapons a mis en ligne un tuto qui explique comment réaliser son propre générateur d'IEM, pour le fun. Celui-ci permet de griller de petits appareils type smartphones ou autre. Je vous préviens tout de suite, n'essayez pas de faire ça chez vous, c'est quand même assez dangereux, car ça balance pas mal jus et vous pourriez vous électrocuter et mourir seul comme un con dans votre bureau, pendant que votre famille se gausse devant une émission d'Hanouna.

Et puis vous pourriez griller vos chers petits appareils, ce qui serait dommage.

Mais pour la science, c'est intéressant à regarder !

Source

Cet article merveilleux et sans aucun égal intitulé : Fabriquer son IEM ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.