Hier, je vous présentais Ring développé par Savoir-Faire Linux et pendant que je faisais mes recherches, je suis tombé sur une autre de leur production. Ça s'appelle SFLvault et c'est un serveur de stockage chiffré d'identifiants et un gestionnaire d'authentification.

En gros, un LastPass à autohéberger et utilisable en ligne de commande. Pas d'interface sexy, mais une gestion de groupe, de services et d'utilisateurs multiples, ainsi qu'une commande qui permet via un terminal de s'authentifier facilement.

Le gestionnaire d'authentification supporte des saisies d'identifiants pour ssh, mysql, sudo, su, postgres, vnc...etc et vous pouvez bien évidemment développer vos propres plugins. Il est aussi possible de mettre en cascade plusieurs services.

Par exemple, si j'ai enregistré une connexion SSH (avec user sshadmin et mot de passe toto) et un mot de passe root (utilisable avec sudo) sous l'ID de service 58, il suffit que je tape ceci dans mon terminal pour obtenir immédiatement une connexion SSH valide et être en root sur mon terminal.

sflvault connect 58

Vault passphrase: [enter your passphrase] Authentication successful
Trying to login to server1.example.com as sshadmin ...
sshadmin@server1.example.com's password: [sending password...] Last login: Tue Nov 18 17:36:44 2008 from yourmachine.example.com

[sshadmin@server1 ~]$ su root
Password: [sending password...] [root@server1 sshadmin]#

C'est magique ! Évidemment le projet est libre et les sources sont ici.

Pour installer le serveur, c'est par ici que ça se passe. Et pour l'installation du client, rendez-vous sur la home du projet.

Des membres du groupe AnonSec ont mis en ligne un dump de 250 GB contenant les noms, adresses emails et numéros de téléphone de 2414 employés de la NASA, ainsi que 2143 plans de vol et 631 vidéos capturées à partir des drones, avions et radars de l'agence spatiale américaine.

Dans un "zine" mis en ligne sur Cryptobin, la petite équipe de têtes brûlées explique qu'il y a 2 ans, ils sont entrés dans le réseau de la NASA grâce à un mot de passe admin laissé par défaut, et qu'au fil du temps, grâce à un sniffer de paquets bien planqué, ils ont pu récupérer énormément de logins et mots de passe.

Ils auraient ainsi pu prendre le contrôle de très nombreux serveurs et postes clients, ont pu mapper le réseau de la NASA et découvert tout un tas de détails passionnants sur les missions privées et publiques de l'agence spatiale (y compris des vidéos prises lors de celles-ci), sur les avions, drones et bases aéronautiques.

 

Mais là où ça devient tendu, c'est que les petits malins auraient réussi en infiltrant les réseaux du centre de recherche de Glenn, du centre de vol spatial de Goddard et du centre de recherche aéronautique de Dryden, à mettre la main en root sur 3 serveurs NAS utilisés pour conserver (backup) les plans de vol des drones. Les NAS étaient programmés pour exfiltrer en toute discrétion ces plans de vol hors du réseau de la NASA.

Et en étudiant ces logs, les hackers ont remarqué que certains plans de vol n'avaient pas encore eu lieu. Il s'agissait de plan de vols planifiés pour les jours à venir. Ils ont alors remplacé un des plans de vol "pour voir" et arriva ce qui devait arriver. Le drone qui a décollé ce jour-là a bien utilisé le plan de vol modifié par les AnonSec.

Avant cela, il y a eu débat interne au sein du groupe de hackers pour savoir si le risque en valait la chandelle, car jouer avec un drone à 222,7 millions de dollars au-dessus du sol américain, c'était se faire ficher immédiatement comme groupe terroriste, sans parler du risque de tuer des gens en crashant la bête au mauvais endroit.

Mais la fièvre du jeu a eu raison des hackers qui auraient modifié le plan de vol pour envoyer le drone faire un plongeon dans l'océan. Heureusement pour la NASA, l'opérateur qui surveillait le vol a pu reprendre la main avant que le pire arrive. Voici la trajectoire qu'a prise le drone suite à ce plan de vol.

Suite à ça, la NASA aurait lancé un audit pour corriger ses failles de sécurité et à bouter les affreux hors de son réseau. Dans son texte, AnonSec explique que leur but premier était de montrer que le gouvernement américain utilisait ses drones pour manipuler le climat et provoquer des pluies afin de combattre les effets des émissions de Co2.

Ahem...

La NASA n'a pas encore réagi officiellement.

Edit : ça y est, la NASA vient de réagir. Ils expliquent que tout ça serait juste un bon gros mytho et que les données publiées étaient déjà des données publiques. Très étrange toute cette histoire.

SFLphone est un client SIP/IAX2 qui a subi une importante mutation l'année dernière. Relooké et rebaptisé Ring, ce logiciel libre (licence GPLv3) est devenu une véritable plateforme de communication.

Ring permet d'échanger avec vos contacts, en texte, audio et vidéo, le tout de manière chiffrée (AES 128 en point à point) et en reposant sur une architecture décentralisée (OpenDHT).

Maintenu par la société québécoise Savoir-Faire Linux et sa communauté, ce logiciel de VoIP est disponible sous Linux, OSX, Windows et depuis quelques jours sous Android. Pour ceux qui utilisent encore SIP, sachez qu'il est toujours possible de configurer un compte SIP dans Ring et le mode IAX2 compatible PBX devrait lui aussi être remis en place dans les semaines qui viennent.

Un excellent outil pour tous ceux qui veulent se séparer de Skype ou autres clones centralisés.

Télécharger Ring ici.

Si vous avez une clé USB qui traine, pourquoi ne pas vous constituer une petite collection de logiciels portables ? Le concept n'est pas nouveau et je suis certain que vous êtes déjà équipé de ce genre de truc, mais pour ceux qui voudraient garder en poche, une collection d'outils pratiques, il existe des trucs tout faits comme Lupo PenSuite.

Cette suite d'outil est destinée à simplifier la vie de son utilisateur. Une fois téléchargée et déployée sur une clé USB d'1GB minimum, vous aurez à votre disposition plus de 160 outils et jeux portables dont voici la liste. Et si quelque chose vous manque, vous pourrez ajouter très simplement le soft de votre choix à cette collection. Des fichiers de langues sont également disponibles si vous voulez passer tout ça en français ou autre.

La Lupo PenSuite existe en 3 versions. Une version complète de 990 Mb, une version allégée de 350 Mb et une version Zero de 5 Mb qui est une coquille vide dans laquelle vous devrez ajouter vous-même vos softs.

Notez que si votre antivirus vous déclenche des alertes, ce sont des faux positifs... Tout est expliqué ici.

À télécharger ici.

Si vous adorez les GIF animés et que vous souhaitez les personnaliser pour leur donner un peu plus d'impact, voici GIF n Text, un service qui offre quelques outils pour retoucher vos Gifs.

Vous pouvez par exemple changer leur taille, ajouter du texte ou une image qui se déplace frame par frame, changer le sens de lecture, accélérer ou ralentir l'animation, modifier la frame de départ et celle de fin...etc. Bref, y'a de quoi jouer, facilement, sans se galérer avec un outil pro.

Voici mon image initiale :

Et voici celle que j'ai modifiée en quelques secondes :

Gif n Text vous propose aussi des pages recensant les GIF qui font de la vue et les derniers Gifs modifiés (et publics).

Attention, y'a un peu de NSFW (Not safe for work) dessus...