Je vais vous raconter une petite anecdote que j'ai pu constater hier de mes propres yeux. Vous le savez Wikileaks a révélé que la NSA utilisait ses interceptions pour surveiller et parfois saboter des contrats initiés par des entreprises françaises dites d'importance vitale pour la France (CAC 40 et compagnie).

On ne connait malheureusement pas le nom de ces entreprises françaises espionnées mis à part Airbus qui en début d'année a porté plainte contre X pour espionnage. En effet, nos amis allemands (le BND plus exactement) auraient aidé la NSA à espionner des hauts responsables français et entre autres, Airbus. La connaissance en détail des appels d'offres ainsi dérobés aurait pu favoriser certaines entreprises américaines, laissant Airbus sur le carreau.

Si j'en crois cet article d’Air Journal daté de 2013, Airbus fait très attention à sa sécurité et cherche à se protéger des espions. Et pourtant...

Hier, justement, j'étais chez Airbus pour inauguration de l'A350 XWB vendu à Vietnam Airlines. J'ai eu la chance de visiter l'usine de production et de voir les prochains appareils en cours de fabrication.

C'était très impressionnant ! Et quoi qu’on en dise, Airbus est une belle boite qui est largement capable de dépasser les entreprises concurrentes aux États-Unis ou ailleurs. C'est donc vraiment regrettable qu'Airbus ou d'autres se fassent piller ou saboter comme ça. Bon à priori, ils font ce qu'il faut pour leur sécurité et ça a l'air de payer puisqu'ils viennent de signer un contrat de 18 milliards de dollars pour la vente de 45 A330 à la Chine (China Aviation Supplies).

Bravo les gars. Et pourtant ce que j'ai vu hier m'a un peu scotché. Comme je rentrais de Toulouse en avion, je me suis retrouvé à côté d'un monsieur très sympa qui rentrait d'un rendez-vous important avec l'une des divisions d'Airbus les plus sensibles et qui, tenez-vous bien, a sorti un Chromebook et s'est mis à rédiger des documents et des emails pros sur Google Docs et Gmail. Vous savez, la version Google Apps pour Entreprise où on peut mettre en haut à gauche et en gros, le logo de sa boite...

Cette entreprise dont Airbus est cliente est cotée en bourse et pèse lourd dans le tissu économique français. Elle bosse avec des gros industriels et des services publics ET POURTANT... Elle héberge directement aux États-Unis tout son savoir-faire et tous ses échanges professionnels. C'est très flippant quand même...

Malheureusement, ce n'est qu'un exemple parmi tant d'autres... Nombreuses sont les sociétés comme celle-ci qui n'ont aucune notion de sécurité ou de protection de leurs données vis-à-vis de puissances étrangères ou d'entreprises concurrentes.

Les mecs bossent dur, s'arrachent pour décrocher de super contrats et mener de super projets et foutent tout chez Google (donc dans les tuyaux de la NSA) parce que c'est "plus pratique". C'est quand même un sacré gâchis. Et leurs clients ne savent malheureusement rien de tout cela, car j'imagine que ce n'est pas stipulé  en clair dans leurs contrats que "Tous les documents et emails échangés seront stockés dans des data-center situés aux États-Unis et soumis au contrôle de la NSA".

Alors que faire ? Et bien si vous êtes une société de service, vous pouvez toujours basculer sur des solutions hors cloud ou à minima hors-sol US et surtout vous passer de Google Apps. Vous pouvez aussi inclure dans vos contrats une charte qui protège vos clients des yeux de la NSA en imposant un niveau de sécurité (hébergement, chiffrement...etc.) minimal. Et si vous êtes une société cliente, pourquoi n'exigeriez-vous pas de vos contractants, ce genre de charte, histoire d'être sûr qu'il n'y a pas de fuite trop facile de votre savoir-faire ou d'informations plus ou moins confidentielles ?

Et n'allez pas croire que vous n'êtes pas concerné, car trop petit pour intéresser la NSA. Je pense que ce conseil vaut aussi pour les petites boites, les PME, les startups ou les indépendants.

Parlez-en à votre boss ou votre DSI car je pense que c'est important et dans certains cas, ça peut même être un facteur de compétitivité différenciant.

Cet article merveilleux et sans aucun égal intitulé : Vous protéger de l’espionnage industriel, c’est bien. Vous assurer que vos partenaires le sont aussi, c’est mieux. ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Si vous aimez les jeux vidéo, je suis certain que vous êtes déjà resté bloqué sur Twitch pour regarder d'autres gamers s'éclater sur leurs jeux préférés. J'avoue c'est assez addictif... C'est un peu comme regarder un match de foot finalement.

Et bien si vous êtes développeur, voici LiveCoding.tv, une plateforme qui reprend le concept de live stream de Twitch mais qui l'applique au code. En gros, vous regardez d'autres développeurs coder pépère leurs apps, leurs sites ou leurs jeux et vous expliquer ce qu'ils font et comment ça fonctionne.

C'est assez magique et en plus des sessions en direct, vous pouvez aussi vous repasser des streams en replay. Pour les non-anglophones, il y a aussi des streams tournés par des francophones.

Vous pouvez aussi échanger avec le streamer et les autres connectés dans un chat, et bien évidemment, commencer vous aussi à diffuser vos propres sessions de coding.

A tester !

Source

Cet article merveilleux et sans aucun égal intitulé : LiveCoding – Le Twitch des développeurs ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Je sais qu'il y a pas mal d'application comme celle-ci sur tablette et smartphone, mais je vais en faire abstraction pour vous parler de Stellarium, un logiciel libre qui permet de se repérer dans les étoiles.

Plus de 600 000 astres y sont référencés, vous pouvez repérer les constellations, vous plonger dans la Voie lactée, observer le ciel à partir de n'importe quel endroit sur terre ou sur une autre planète, ou repérer les satellites...etc., etc. Des plugins sont également disponibles pour régler votre télescope ou placer des satellites artificiels.

Stellarium vous permettra de vous initier seul ou en famille à l'astronomie avec l'ordinateur sous la main.

Stellarium est dispo sous Linux, OSX, Windows.

Source

Cet article merveilleux et sans aucun égal intitulé : Stellarium – Apprenez à observer et comprendre le ciel ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Les amis, maintenant que les politiques ont une trouille bleue de se faire rapper ce qu'il leur reste de cheveux par des mini-drones tueurs, ils souhaitent RÉGLEMENTER l'usage des drones.

"Réglementer", dans le cas du drone, ça veut dire imposer tellement de règles à la con qu'il sera impossible de piloter un drone ailleurs que dans sa chambre à coucher. Pour protester contre cela, une pétition est en cours.

Toutefois, s'entrainer à poser un mini-drone sur la tonsure d'un député n'est pas une chose simple et demande beaucoup d'entrainement. Heureusement, pour cela, mes copains de ImmersionRC, Fat Shark et LuGus Studio ont mis au point un jeu / une simulation pour piloter des multirotors en mode FPV (First Person View) à fond la caisse sur son PC avec une vraie manette de droniste (ou un clavier...).

Baptisé LiftOff, ce jeu se veut aussi réaliste que possible, tout en conservant le côté divertissant de la course de drones.

Démonstration :

Actuellement, le jeu est dans la zone tampon Greenlight de Steam et il ne tient qu'à vous de l'aider à sortir de là en cliquant sur YES. J'ai hâte de le tester !

Liftoff, enfin un bon moyen de s'entrainer à piloter sans tuer ses enfants !

Cet article merveilleux et sans aucun égal intitulé : Lifoff – Pour s’entrainer au pilotage de drones ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Tor, c'est génial pour préserver son anonymat... Pourtant, quand on utilise ce réseau, on s'expose à des noeuds de sortie qui peuvent nous espionner. Pour contrer cela, le réseau est capable de s'autoréguler avec l'appui d'environ 10 noeuds un peu spéciaux qui ont l'autorité de déclarer si un noeud de sortie est mauvais en lui donnant le marqueur "Badexit". (Oui Tor n'est pas si décentralisé que ça...)

La chercheuse en sécurité Chloe a décidé de mettre en place un petit stratagème pour voir si les noeuds de sortie espion (pratiquant du Man In The Middle) étaient fréquents ou rares. Elle a alors mis en place un faux portefeuille Bitcoin en ligne, auquel elle a accédé avec des mots de passe unique à travers TOR, et a noté si le mot de passe était réutilisé ensuite par des humains (captcha oblige...).

Ainsi, sur 137 319 noeuds de sortie testés durant 1 mois, seuls 99 271 noeuds étaient fonctionnels, et son serveur hébergeant le faux portefeuille Bitcoin a enregistré 650 visiteurs uniques, 12 tentatives de logins échouées (mauvais mot de passe) et 15 logins réussis, car réutilisant le mot de passe qu'elle avait utilisé la première fois.

Vu le nombre de visiteurs uniques, il y a donc pas mal de sniffing, dont certains qui n'hésitent pas à franchir le pas et utiliser les identifiants collectés. Le plus inquiétant, c'est que dans les 15 noeuds-espions, 2 étaient des noeuds marqués comme fiables par le réseau TOR (ceux marqués avec le G à la fin de la ligne).

https://globe.torproject.org/#/relay/09A880567B0839B4085C2EC14002DE34AAFE8548 was using password d25799f05fsbtc 2 times!(G)
https://globe.torproject.org/#/relay/27D0D46ABB0DA73E36CA806FDF51F9CD184277AA was using password 105fa77052sbtc 2 times!
https://globe.torproject.org/#/relay/45E77FDAED9A699944CFBEE6AE5CBFD4407D2536 was using password 09ac7f6731sbtc 2 times!
https://globe.torproject.org/#/relay/27D0D46ABB0DA73E36CA806FDF51F9CD184277AA was using password 17643fec94sbtc 2 times!
https://globe.torproject.org/#/relay/27D0D46ABB0DA73E36CA806FDF51F9CD184277AA was using password 2bfea92deesbtc 2 times!
https://globe.torproject.org/#/relay/27D0D46ABB0DA73E36CA806FDF51F9CD184277AA was using password 32a244ff44sbtc 2 times!
https://globe.torproject.org/#/relay/27D0D46ABB0DA73E36CA806FDF51F9CD184277AA was using password a43dce8b07sbtc 2 times!
https://globe.torproject.org/#/relay/286779D08B62BC183398CCF7396F8A901291AB5A was using password b25ba441adsbtc 2 times!
https://globe.torproject.org/#/relay/286779D08B62BC183398CCF7396F8A901291AB5A was using password e082d1f137sbtc 2 times!
https://globe.torproject.org/#/relay/286779D08B62BC183398CCF7396F8A901291AB5A was using password e70103ddc2sbtc 2 times!
https://globe.torproject.org/#/relay/3CE6388A27B8CF405B449A435F6D0AD5C7F82DCF was using password ddb7f96f8csbtc 2 times!
https://globe.torproject.org/#/relay/3CE6388A27B8CF405B449A435F6D0AD5C7F82DCF was using password f88824b8b4sbtc 2 times!
https://globe.torproject.org/#/relay/5C83EF015106B21132BC602639FAF8D693330A7C was using password 485038d86esbtc 2 times!(G)
https://globe.torproject.org/#/relay/816CBF7FCF565F87195C6618FB2FAF8AE71B99F4 was using password 1962b91610sbtc 2 times!
https://globe.torproject.org/#/relay/816CBF7FCF565F87195C6618FB2FAF8AE71B99F4 was using password 7c2dd2d40dsbtc 2 times!

Attention, tout cela ne veut pas dire que Tor est un mauvais réseau. Cela veut surtout dire que si vous utilisez Tor, il vaudrait mieux pour vous que vous utilisiez des connexions chiffrées (SSL) et ne rien faire passer en clair. En utilisant Tor, vous attirez aussi l'attention sur les sites que vous visitez.

Notez que Chloe a prévu de sortir un petit framework qui permettra à chacun de monter son propre site de phishing pour débusquer les noeuds-espions et les remonter à TOR qui les bloquera alors hors du réseau.

Hâte de tester ça !

Je profite aussi de cet article sur TOR pour relayer cette campagne de dons lancée par l'association Nos Oignons pour, je cite:

+ Faire connaître l'asso !
+ Boucler le budget 2015
+ Avoir des sous en plus pour ouvrir de nouveaux relais Tor en France
+ Participer à la défense des droits individuels à l'intimité numérique, spécialement dans le contexte français actuel

Si vous voulez les soutenir et ainsi aider au développement du réseau TOR, rendez-vous ici.

Cet article merveilleux et sans aucun égal intitulé : Badonions – Comment traquer les noeuds de sortie TOR qui nous espionnent ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.