Si vous êtes fan de domotique et pas trop occupés à essayer de comprendre pourquoi vous n'avez plus accés à vos fichiers aujourd'hui...courage, les éditions Eyrolles vous proposent de gagner un des 10 exemplaires mis en jeu du livre de mon ami Cedric Locqueneux, que vous connaissez sans doute pour son blog maison-et-domotique.com.

L'ami Cedric a chaussé ses bottes de chevalier de la domotique et a réussi un livre qui simplifie l'accès à la discipline; A la fois simple à appréhender pour le néophyte et bourré d'astuces techniques pour le connaisseur, pour qu’il permette à n’importe qui de profiter des avantages d’une « maison intelligente ».

Le livre s’articule autour des trois sujets principaux liés à la domotique: les économies d’énergie, la sécurité, et le confort. Chaque partie est scindée en deux, l’une centrée sur les objets connectés, l’autre sur la domotique. En effet, selon les besoins, un objet connecté pourra être suffisant. Pour ceux qui voudront aller plus loin, en revanche, une solution domotique pourra être plus adaptée.

Pour tenter de gagner le livre, ça se passe avec Kontest:

Sachez aussi que les 50 premiers à laisser un commentaire sur la fiche Amazon du livre auront droit à un conseil personnalisé de la part de l'auteur.

Cet article merveilleux et sans aucun égal intitulé : Passionnés de domotique, 10 exemplaires du livre “Le Guide de la Maison et des Objets Connectés” à gagner ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Si vous ne connaissez pas encore Cogimix, c’est le moment d’aller y jeter un œil. Ce service made in France permet de composer des playlists musicales à partir de différents sites à savoir YouTube, Dailymotion, Soundcloud, Jamendo, Deezer et Vimeo.

Idéal pour avoir accès à tous vos morceaux préférés même lorsqu’ils se trouvent éparpillés sur différents services.  Une section Morceaux Populaires vous permettra de faire de nouvelles découvertes et si vous aimez les playlists de vos amis, vous pourrez les suivre dans Cogimix.

Le service vient de subir une sacrée mise à jour à la fois ergonomique et fonctionnelle. On peut maintenant associer un message lorsqu’on envoie un morceau à un ami, ajouter des tags à vos playlists ou encore les classer dans des sous-dossiers. Un truc qui me manque ou alors j'ai pas trouvé, c'est la possibilité d'aller sur la page du morceau source (youtube, soundcloud...etc) pour en savoir plus. J'ai aussi parfois quelques ratés inexplicables sur le lancement de certains morceaux dans ma playlists mais après un rechargement de la page, pas de problème.

Et pour ceux qui le souhaitent, il est toujours possible d'écouter des web radio ou encore d’associer son compte Jamendo ou Deezer pour récupérer ses playlists. Après pour l’association avec Dropbox, celle-ci est encore en beta et fait un peu flipper, car vous donnez l’accès à l’intégralité de votre Dropbox et Cogimix vous permettra de jouer tous les morceaux musicaux qui s’y trouvent. Je ne sais pas si c’est possible, mais à leur place, je proposerais plutôt de préciser un répertoire précis (ou je créerai un dossier Cogimix dans Dropbox) où se trouvent les MP3 de l’utilisateur. Ça serait un poil moins flippant. ;-)

En tout cas, c’est à tester d’urgence ! Avec un outil comme ça, plus besoin d'avoir Spotify surtout qu'il existe une version mobile sur le Play Store Android. Et bravo à toute l’équipe qui a bossé sur cette nouvelle version que je préfère de très loin à l’ancienne !

Cet article merveilleux et sans aucun égal intitulé : Cogimix – Pour centraliser votre recherche musicale et toutes vos playlists ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Si vous voulez passer dans la cour des grands et vous mettre à Vim pour éditer les fichiers présents sur votre machine Linux ou votre serveur, voici MiniVim, une déclinaison de Vim (en gros, un .vimrc aux petits oignons) qui fera surement du plaisir à votre petit cœur.

Sylvain, le développeur de MiniVim, a souhaité donner une nouvelle approche à Vim en proposant une version légère, portable (pas de plugin, un seul fichier) et tout aussi pratique qu'un IDE à la SublimeText. En effet, comme vous pouvez le voir dans la démo ci-dessous, il a mis le paquet sur l'aspect visuel, mais aussi sur les raccourcis clavier qui se veulent parfaitement accessibles (du genre CTRL S pour sauver votre document).

L'outil est top et permettra aux débutants de se mettre progressivement à Vim, mais aussi aux barbus qui voudraient mettre un peu de folie dans leur vie, d'aller piocher quelques idées de config dans le .vimrc de MiniVim.

Pour Sylvain, hip hip hip hourra !

Cet article merveilleux et sans aucun égal intitulé : MiniVim – Le chainon manquant entre Vim et SublimeText ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Vous êtes quelques-uns à m'avoir demandé d'écrire un article sur le nouveau malware qui fait rage en ce moment : Locky. Et bien voilà.

Qu'est-ce que Locky ?

Locky est ce qu'on appelle un ransomware, c'est-à-dire un malware (pour Windows) qui prend en otage vos fichiers en les chiffrant et qui vous réclame une rançon à payer pour pouvoir déchiffrer vos précieuses données. Apparu en février 2016, Locky serait l’œuvre des mêmes personnes qui ont lâché le ransomware Dridex en 2015. Locky se répand actuellement comme une trainée de poudre dans toute l'Europe, notamment en France et en Allemagne. Et cerise sur le gâteau, il évolue chaque semaine en utilisant de nouvelles méthodes de propagation.

Comment Locky se propage-t-il ?

Comme la plupart des ransomwares, Locky se diffuse par email (envoyés grâce à un botnet) dans lesquels se trouve une pièce jointe mortelle. Le sujet de ces emails suit toujours la même syntaxe (pour le moment), à savoir "ATTN: Invoice J-XXXXXXX". Le corps du message contient un message correctement rédigé, parfois en français, qui nous demande de payer rapidement une facture, et la pièce jointe est au format "invoice_J-XXXXXX.doc".

Quant au nom de l'expéditeur, ce n'est jamais le même. Il doit s'agir du propriétaire d'une des machines détournées via le botnet pour l'envoi de ces spams.

Le fichier Word (.doc) attaché contient un texte étrange qui indique d'activer les macros pour pouvoir le lire. Je vous rassure, si les macros sont activées, le texte ne sera pas réellement déchiffré (hé oui). Par contre, le ransomware Locky sera rapidement téléchargé et installé sur l'ordinateur.

Quels sont les dégâts qu'il engendre ?

À partir de là, le ransomware commence à chiffrer les fichiers en fonction de leur extension et affiche dans le bloc note, un message réclamant de l'argent

Voici les fichiers qui sont chiffrés et dont l'extension est changée en .locky (d'où le nom du malware...) :

.m4u | .m3u | .mid | .wma | .flv | .3g2 | .mkv | .3gp | .mp4 | .mov | .avi | .asf | .mpeg | .vob | .mpg | .wmv | .fla | .swf | .wav | .mp3 | .qcow2 | .vdi | .vmdk | .vmx | .gpg | .aes | .ARC | .PAQ | .tar.bz2 | .tbk | .bak | .tar | .tgz | .gz | .7z | .rar | .zip | .djv | .djvu | .svg | .bmp | .png | .gif | .raw | .cgm | .jpeg | .jpg | .tif | .tiff | .NEF | .psd | .cmd | .bat | .sh | .class | .jar | .java | .rb | .asp | .cs | .brd | .sch | .dch | .dip | .pl | .vbs | .vb | .js | .asm | .pas | .cpp | .php | .ldf | .mdf | .ibd | .MYI | .MYD | .frm | .odb | .dbf | .db | .mdb | .sql | .SQLITEDB | .SQLITE3 | .asc | .lay6 | .lay | .ms11 (Security copy) | .ms11 | .sldm | .sldx | .ppsm | .ppsx | .ppam | .docb | .mml | .sxm | .otg | .odg | .uop | .potx | .potm | .pptx | .pptm | .std | .sxd | .pot | .pps | .sti | .sxi | .otp | .odp | .wb2 | .123 | .wks | .wk1 | .xltx | .xltm | .xlsx | .xlsm | .xlsb | .slk | .xlw | .xlt | .xlm | .xlc | .dif | .stc | .sxc | .ots | .ods | .hwp | .602 | .dotm | .dotx | .docm | .docx | .DOT | .3dm | .max | .3ds | .xml | .txt | .CSV | .uot | .RTF | .pdf | .XLS | .PPT | .stw | .sxw | .ott | .odt | .DOC | .pem | .p12 | .csr | .crt | .key

Le fond d'écran de Windows est lui aussi remplacé, affichant la même demande.

Locky supprime aussi les sauvegardes interne ("shadow copies") que Windows fait par l'intermédiaire de son VSS (Volume Snapshot Service), rendant impossible toute récupération.

Enfin, si la victime visite l'un des liens (HTTP classique ou .onion sur Tor) indiqué dans le message, elle tombera sur une page lui indiquant comment acheter puis payer avec des Bitcoins la modique somme de 0,5 BTC (200 € environ) à 1 BTC (400 € environ) pour obtenir un "déchiffreur" baptisé Locky Decryptor PRO. Déchiffreur dont l'efficacité n'a pas été prouvée.

Là où ça pose de vrais problèmes, notamment dans les entreprises, c'est au niveau des disques réseaux partagés. Locky chiffre aussi tout ce qui l'intéresse sur ces partages réseau. Et quand on sait que la plupart du temps, c'est à cet endroit qu'est partagée toute l'intelligence collective d'une société, il y a de quoi avoir de grosses suées froides.

Comment se protéger contre Locky ?

Comme je le disais dans mon dossier sur Cryptolocker, il n'y a pas 36 000 façons de se protéger de ce genre de choses. Tout d'abord c'est un problème entre la chaise et le clavier. À savoir acquérir le réflexe de ne JAMAIS ouvrir une pièce jointe envoyé par mail, et ayant une extension et une provenance douteuse. Même si vous reconnaissez l'adresse de l'expéditeur, soyez tout aussi méfiant car cela peut très bien être usurpé. Ensuite, je vous recommande de vous équiper d'un vrai antivirus : Norton, Kaspersky, ESET, F-Secure...etc. Évitez les AV gratuits (la plupart sont des paniers percés) ou les petits outils de désinfection qui vous promettent monts et merveilles. Toutefois, l'antivirus n'est pas une solution miracle. Il peut vous protéger mais il ne faut pas non plus lui accorder toute votre confiance. C'est à vous d'être vigilant sur ce que vous ouvrez sur votre ordinateur.

Faites régulièrement les mises à jour de votre OS et de vos outils. N'activez jamais les macros dans vos outils bureautiques sauf si vous savez ce que vous faites. Au pire, en cas de doute et de nécessité absolue d'ouvrir une pièce jointe, passez plutôt par une simple visionneuse de document pour ouvrir vos pièces jointes plutôt qu'un Word ou un Excel.

Si vous avez des employés, ou si vous êtes administrateur réseau dans une société, faites immédiatement une réunion d'information auprès des employés pour les avertir et rappeler ces bonnes bases. Ensuite, concernant les partages réseau, passez en revue les droits d'accès (et on arrête de se loguer partout en tant qu'Administrateur de domaine, s'il vous plait ) et placez les données importantes en sécurité.

Enfin, et c'est de loin le meilleur conseil de ma liste : Faites des sauvegardes !!! Ailleurs que sur un partage réseau accessible à Locky évidemment. Ainsi, en cas d'infection, vous pourrez toujours récupérer vos données.

Comment savoir si vous êtes infecté par Locky ?

Vu ce que je viens de vous décrire, vous comprendrez qu'une infection par Locky saute aux yeux. Toutefois, pour en être certain, vous pouvez toujours vérifier que les clés de base de registre...

• HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Locky
• HKCU\Software\Locky\id
• HKCU\Software\Locky\pubkey
• HKCU\Software\Locky\paytext

...ou les fichiers suivants sont visibles sur votre poste.

• C:\Users\(username)\AppData\Local\Temp\ladybi.exe
• C:\Users\(username)\Documents\_Locky_recover_instructions.txt

Si c'est le cas, félicitations, vous êtes dans la merde.

Comment s'en débarrasser ?

Maintenant si vous êtes infecté par ce malware, contrairement à ce que conseille le FBI : Ne payez pas la rançon. Vous allez perdre de l'argent et vous ne reverrez pas plus vos données, car rien n'indique que le déchiffreur en question soit efficace. De plus, payer c'est encourager les cybercriminels à continuer ce genre d'opérations de chantage.

Concrètement, si votre ordinateur est infecté par Locky, je vous recommande les étapes suivantes :

• Faites le deuil de vos données. Soyez fort !
• Mettez de côté les disques durs infectés (ou faites en une copie) pour le jour très hypothétique où quelqu'un arrivera a pondre un outil pour récupérer vos datas.
• Achetez de nouveaux disques durs ou formatez les anciens et repartez d'une sauvegarde saine ou réinstallez un Windows tout propre sur votre machine.
• Puis reportez-vous au point "Comment se protéger contre Locky ?" de cet article.

Conclusion

Vous l'aurez compris, il n'y a pas de remède miracle contre Locky. C'est pourquoi, il faut que chacun prenne le temps d'informer ses amis, sa famille, ses collègues au sujet de ce malware afin d'enrayer sa propagation. Pour cela, je vous invite à leur partager cet article (ou un autre, peu importe) qui leur sera surement utile et qui les aidera peut être à éviter la catastrophe.

Sources :

• http://community.hpe.com/t5/Security-Research/Feeling-even-Locky-er/ba-p/6834311
• http://blog.fortinet.com/post/a-closer-look-at-locky-ransomware-2
• https://nakedsecurity.sophos.com/2016/02/17/locky-ransomware-what-you-need-to-know/
• https://www.proofpoint.com/us/threat-insight/post/Dridex-Actors-Get-In-the-Ransomware-Game-With-Locky
• http://www.symantec.com/connect/blogs/locky-ransomware-aggressive-hunt-victims
• https://blogs.forcepoint.com/security-labs/locky-ransomware-encrypts-documents-databases-code-bitcoin-wallets-and-more
• http://phishme.com/locky-a-new-encryption-ransomware-borrowing-ideas-from-the-best/
• https://www.sensepost.com/blog/2016/understanding-locky/

Voici quelques astuces de la communauté pour se protéger contre Locky:

De Faco:
Bonjour,

juste inscrit, premier post.

Je suis admin réseau est j'ai eu le cas hier, donc je vais préciser un peu ( avec mes connaissance actuelles).

-Le message peux être en bon français (pas comme quand j'écris ^^), c'était le cas chez moi.
-La pièce jointe peu être un .doc avec Macro, un .exe ou un .zip (pour ma part, c’était un zip).
-Il s'attaque bien aux partages réseau (mes sauvegardes étaient de samedi, ouf ! )
-Avec un serveur windows, vous pouvez bloquer son action avec des restrictions de fichier. je vous donne les extensions que je filtraient plus la petite nouvelle "*.locky" :

filescrn.exe filegroup add /filegroup:"CryptoLocker" /members:"*.aaa"

filescrn.exe filegroup modify /filegroup:"CryptoLocker" /members:"*.aaa|*.cryptotorlocker*|*.ecc|*.encrypted|*.exx|*.ezz|*.frtrss|*.vault|*restore_fi*.*|*want your files back.*|confirmation.key|cryptolocker.*|decrypt_instruct*.*|enc_files.txt|help_decrypt*.*|help_restore*.*|help_your_file*.*|how to decrypt*.*|how_to_decrypt*.*|how_to_recover*.*|howtodecrypt*.*|install_tor*.*|last_chance.txt|message.txt|readme_for_decrypt*.*|recovery_file.txt|recovery_key.txt|vault.hta|vault.key|vault.txt|*@gmail_com_*|*.*exx|*.*oshit|*.*nochance|*.*locked|*.*kraken|*.*kb15|*.*enc*|*.*darkness|*.*crypto|*.*AES256|*.*cry|*@india.com*|*cpyt*|*crypt*|*decipher*|*install_tor*.*|*keemail.me*|*qq_com*|*ukr.net*|*restore_fi*.*|*help_restore*.*|*how_to_recover*.*|*.exx|*@freespeechmail.org|*.*silasw9pa@yahoo.co.uk|*.*@mail2tor.com|*.*@scramble.io|*.locky" /Nonmembers:".~lock.*.odt#"

Beaucoup de programmes font des fichiers lock quand ils ouvrent des documents, cela peux donc poser problème. Donc dans le filtre de fichier, rajouter les "/Nonmenbers" afin de ne pas avoir de problème (ex ici avec un fichier .odt)

++

Edit :
Vous pouvez aussi faire des restrictions logiciels à l'aide de GPO en bloquant les exe et autres zip dans les différents dossiers temp de windows (utilisateur/systeme). Pareil, avec parcimonie, certains programmes colle des exe ou autre dans ces dossiers et ne sont pas des menaces, à identifier et autoriser.

De Sebiiiii:
Comme Faco, je m'inscrit enfin, pour relater mon expérience pro.
Un client a eu locky il y a 2 semaines.
Il est arrivé sans doute par PJ, sur un poste qui avait été désinfecté 2 semaines auparavant (sans doute restait-il un rootkit quelque part, eset antivirus pro ne l'a pas détecté et l'antivirus a été désinstallé dans cet intervalle de 2 semaines)
Oui, il va vraiment chercher tous les partages réseau, donc si votre "sauvegarde" est juste une copie sur un partage réseau, ce n'est pas bon du tout.
Pour le cas de mon client, un des serveurs hébergeant un programme spécifique n'était pas sauvegardé (une base gestion commerciale mdb de 700 Mo, alors que toutes les autres sonnées, plus de 2.5To, étaient correctement sauvegardées.)
Pas le choix, pas le temps d'attendre un décrypteur autre, la rançon (4 bitcoin dans leur cas) a été payée, en retenant son souffle quand à "l'honnêteté" du ransompirate.
Ouf, le système est automatisé, ça se voit, et les données ont été décryptées par l'exécutable envoyé.

Bref, pas glop, mais pour le business l'important est d'avoir récupéré les données.

De Jobpilot:
Nous avons été infecté par locky.
Comme c'est une personne assez importante dans l'entreprise qui à ouvert le fichier word et cliquer sur activer les macros (y a des giffles qui se perdent) ça nous à chiffrer plein de fichiers sur tous les shares réseaux ou il avait accès.

Ils nous a fallut 40min pour nous rendre compte qu'il y avait un problème.
Ils nous à fallut 5min pour isoler la machine (il était propriétaire des fichiers chiffrés) + 1h pour tester si d'autres machines (120 pc) étaient contaminé (si il y a des fichiers en .locky sur le disque dur C c'est qu'elle est contaminé) heureusement il était le seul contaminé.

Nous utilisons rsnapshot qui nous fait un snapshot des partages réseaux (1.3to) toutes les heures, donc à bloqué les deux serveurs qui font tourné rsnapshot.
après j'ai fait un script qui à chercher sur les serveurs de fichiers les .locky et qui les efface et un autre qui à fait un rsync -au depuis le dernier snapshot non contaminé en direction des serveurs de fichiers.

Bien sur les sauvegardes ne sont accessible que en sftp ou rsync. Résultat on a perdu peut être dans certain cas 40min de travail, par contre il nous a fallut tous le reste de la journée pour que tout rentre dans l'ordre.

Pour éviter les fichiers office piégé j'ai bloquer sur l'antispam (clearos) les fichiers office avec macro et ça à l'air de bien jouer.

Vous pouvez suivre toute la discussion et les astuces des Korbenautes sur le fil de discussion dédié.

Pour aller un peu plus loin dans les virus qui foutent la panique, mon dossier sur Cryptolocker:

Comprendre Cryptolocker et ses clones

Cryptolocker et ses dérivés comme CryptoWall, TorrentLocker, Synolocker ou CTB-Locker sont des chevaux de Troie d'un nouveau genre, qui prennent en otage les fichiers de la victime en les chiffrant.
Je vous ai concocté un petit dossier sur Cryptolocker et ses dérivés, et j'y ai ajouté une série d'outils pour éliminer le malware et récupérer vos données. J'espère que ça vous plaira....

lire la suite

Cet article merveilleux et sans aucun égal intitulé : Locky – Tout ce qu’il y a à savoir sur le malware du moment ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Depuis quelques semaines, pour une raison que j'ignore, j'ai de gros soucis avec YouTube. Impossible de regarder une vidéo en HD tellement ça met de temps à charger. Alors en attendant que ça revienne comme avant (foutu peering), j'ai trouvé un site qui s'appelle ProxFree qui fait office de proxy entre vous et YouTube.

Ceux qui étaient chez Free quand il y avait ce genre de soucis doivent connaitre. ProxFree dispose de plusieurs options intéressantes : Choix de la localisation du serveur proxy (plus c'est prêt de chez vous, plus c'est rapide), choix de l'IP de connexion à YouTube (pratique si vous voulez mater des vidéos censurées dans votre pays), et des trucs qui permettent de refuser les cookies, les scripts et de cacher votre user agent ou votre referer.

A bookmarker car diablement pratique ! ProxFree.

Cet article merveilleux et sans aucun égal intitulé : ProxFree – Pour contourner les limitations de Youtube (débit ou blocage par pays) ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.