Tristan Nitot qui rejoint MyCozyCloud, c'est la grosse news du jour. Mais l'autre grosse news c'est cette révélation de The Intercept (via Snowden) qui explique dans un article que la CIA (avec l'aide de chercheurs en sécurité) travaille depuis des années sur les sécurités mises en place par Apple. Et chaque année, ces mêmes chercheurs font la démonstration de leurs découvertes lors d'un rassemblement secret baptisé : Jamboree.

Les chercheurs ont mis au point pour le compte de la CIA, une version modifiée de Xcode (l'outil de dev d'Apple) qui permet d'injecter une backdoor dans n'importe quelle application crée avec cet outil. D'après ces mêmes chercheurs, cette version modifiée d'Xcode permet sur iOS de dérober les mots de passe et les messages et de les envoyer discrètement à un serveur qui "écoute".

Mis à part ça, ils ont aussi réussi à modifier une version de OSX Updater (pour faire les mises à jour), ce qui leur permet d'installer des keyloggers et autres petites joyeusetés à distance sur les ordinateurs.

Bref, bonne ambiance, même si ça ne veut pas dire que chez Apple, c'est cette version qui est proposée au téléchargement pour les développeurs. Après dans l'absolu, pourquoi pas. Il suffirait qu'un agent de la CIA (ou un complice) se fasse embaucher chez Apple (ou chez un développeur tiers) et s'infiltre sur le projet Xcode ou sur des projets utilisant Xcode pour que l'ensemble des logiciels compilés pour iOS et OSX soit corrompu avec la porte dérobée de la CIA.

Cela ne vous aura pas échappé... La vraie question que tout le monde se pose c'est : Y'a t-il une porte dérobée dans Angry Birds ? ^^

À ce sujet, on est dans le flou, mais j'espère que Tim Cook va auditer son code rapidement et porter plainte contre la CIA (BAH QUOI, ON PEUT RÊVER ?).

Si vous voulez plus de détails là dessus et les documents, je vous invite à jeter un oeil à l'article de The Intercept.

Cet article merveilleux et sans aucun égal intitulé : CIA / Apple – Le ver serait-il aussi dans la pomme ? ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

La société de pentest Sakurity a découvert une vulnérabilité assez chaude dans Facebook qui permet de profiter d'un manque de protection contre les attaques CSRF (Cross Site Request Forgery) lors de la connexion, de la déconnexion, ou de la connexion via des applications tierces (Bit.ly, Vimeo, Stumbleupon...etc.) à Facebook.

En gros, pour vous la faire simple, en forgeant une URL malicieuse, un vilain pirate peut lier son compte Facebook au vôtre, via le Facebook Login d'un site tiers et ensuite voir la main sur votre profil Facebook (Changer le mot de passe, l'email, lire les messages privés...Etc.).

Cette faille est connue depuis 1 an et Sakurity a depuis longtemps prévenu Facebook qui n'a strictement rien fait pour la corriger, car ils expliquent que ce sont aux développeurs des sites tiers de faire en sorte que ça n'arrive pas en respectant les meilleurs pratiques de FB et en utilisant le paramètre "state" du login OAuth. Du coup, Sakurity est monté d'un cran et propose un outil baptisé Reconnect ainsi qu'un tuto pour permettre à tous les affreux qui veulent aller en prison de choper les accès Facebook d'innocentes victimes. C'est moche, c'est à la limite de la prise d'otage, mais espérons que ça fasse rapidement réagir Facebook et les sites tiers.

En attendant, pour vous protéger de ça, il n'y a pas grand-chose à faire mis à part : NE PAS CLIQUER SUR DES URLs FACEBOOK qui vous seraient envoyées via les réseaux sociaux, via SMS, messagerie instantanée, emails...etc. Et évidemment, évitez de surfer sur des sites louches qui pourraient embarquer la même "astuce" avec un bon gros bouton Facebook Connect.

Et si vous êtes développeur et que vous avez intégré du Facebook login sur vos sites et outils, pensez à vérifier que cet exploit CSRF n'est pas possible chez vous.

Source

 

Cet article merveilleux et sans aucun égal intitulé : Un outil pour pirater des comptes Facebook ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Tristan Nitot, ex-Mozilla qui pendant 12 ans a aidé à la démocratisation du navigateur Firefox est un fervent défenseur du logiciel libre. Ce que j'aime bien chez Tristan, c'est qu'il se bat chaque jour pour des idées (le logiciel libre, la vie privée...etc.) sans tomber dans les pièges de ce combat.

Le piège c'est d'adopter la posture du barbu extrémiste qui respire, mange et chie du libre, sans se poser une seule fois la question : "Comment je fais pour que Madame Michu respire, mange et chie, elle aussi, du logiciel libre ?"

Dire à Madame Michue qu'elle est la reine des connasses parce qu'elle ne compile pas son Lynx sur FreeBSD ou qu'elle utilise les outils Gmail au lieu d'installer son propre serveur de mail, ce n'est pas servir la cause du logiciel libre. Au contraire, concevoir et porter un navigateur comme Firefox pour amener le logiciel libre au niveau d'exigence du grand public, c'est beaucoup plus utile et bien sûr beaucoup plus difficile.

Il faut adopter des techniques marketing, il faut suivre le mouvement de la concurrence non libre, il faut être bon techniquement et savoir garder les choses simples comme dans les pubs Herta. Et surtout, il faut continuer à porter un message d'ouverture sans saouler tout le monde. Pas simple !

Et c'est ce que Tristan et sa team ont fait.

Maintenant que la page Mozilla se tourne pour lui, il aurait pu très bien aller bosser dans un boite qui n'a rien à faire de l'open source et du logiciel libre. Mais au fond de son petit coeur de biker, ce n'est pas l'objectif... A quoi bon vivre si on ne peut pas faire évoluer le monde dans le bon sens, même un tout petit peu ?

Et vous le savez comme moi, ce combat n'est pas terminé. Avec les révélations Snowden, le grand public a découvert les méfaits de la centralisation. Nos messages et nos comportements en ligne sont détournés, analysés et stockés par les polices du monde entier. Nous sommes clairement sur un Internet surveillé et nos espaces de liberté ont tendance à se réduire chaque jour. Malheureusement, pour la plupart des gens, c'est trop tard. Difficile de changer ses habitudes et de basculer sur des outils moins bien que ceux de Google, ceux de Microsoft ou encore ceux d'Apple.

Et je ne parle pas de Facebook qui est le passage obligé de quasiment tous les internautes (Oui, je sais pas toi, c'est pas la peine de laisser un commentaire pour le dire. Je te décerne d'office un prix pour cet acte de résistance ^^).

Vous en tant que bidouilleur, vous savez vous y intéresser, vous savez comment rester maitre de vos données, mais ce n'est pas le cas de vos parents, votre petit frère, vos amis, votre nana ou votre mec...etc.

Alors que faire ? (Et je suis certain que Tristan s'est posé les mêmes questions)

Et bien pour Tristan, ça se matérialise par :

• 1/ L'écriture d'un bouquin grand public pour expliquer comment reprendre en main les choses
• 2/ L'arrivée en tant que C3P0 © (Cozy Cloud Chief Product Officer) chez MyCozyCloud.

Cozy pour ceux qui ne lisent pas assez assidument mon site, c'est cette solution clés en main qui s'installe sur un ordi et qui permet d'avoir ses agendas, ses mails, ses fichiers, ses contacts et des tas d'applications en local chez soi. Cozy c'est ouvert, c'est libre, c'est gratuit, et ça permet surtout de se passer des géants américains sans rien payer.

Après Cozy, c'est encore loin d'être parfait. Ce n’est pas forcement évident à installer quand on n'y connait rien et ce n’est pas non plus hyper sexy / ergonomique.Mais c'est déjà ça et ça a le mérite d'exister. Maintenant, là où ça va devenir intéressant, c'est que les mecs ont un peu de sous, et que Tristan va pouvoir faire sa magie pour transformer "Cozy, le truc de barbus", en "Cozy, le truc que ma mère va pouvoir installer seule".

C'est ça le véritable challenge. Et comme Mozilla, ça ne se fera pas sans vous. Si les bidouilleurs désertent, c'est mort. Si au contraire, vous commencez à vous y intéresser, à développer ou à porter des applications pour Cozy et à soutenir, même moralement le projet, je pense qu'au final, ça peut donner un truc cool et aider enfin à la décentralisation d'Internet comme le rêvent pas mal de monde. J'ai la même conviction et je pourrai tenir exactement le même discours pour le moteur de recherche Qwant, par exemple.

Une nouvelle version relookée de Cozy et avec pas mal de nouvelles fonctionnalités devrait arriver prochainement, donc je vous en reparlerai, mais l'un des enjeux se situe au niveau du market d'applications. Donc si vous développez des trucs cool, pensez à eux.

Voilà je m'arrête là sur le sujet. Je tiens à dire à Tristan que j'ai beaucoup apprécié son travail sur Mozilla et j'espère qu'il fera encore mieux avec Cozy. Oui j'aime mettre la pression ;-).

Cet article merveilleux et sans aucun égal intitulé : Cozy, le nouveau combat de Tristan Nitot (ex-Mozilla) pour la décentralisation d’Internet ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Après une mise à jour du client uTorrent, des utilisateurs se sont rendu compte que celui-ci avait installé sur leur machine Windows et à leur insu, un malware. Ce malware baptisé EpicScale tourne en tâche de fond sur l'ordinateur pour miner des cryptomonnaies (Bitcoin, LiteCoin, DogeCoin...etc). Et vous vous en doutez, ça fait ramer l'ordi !!

Cette installation forcée n'a pas eu lieu sur l'intégralité des 150 millions de clients uTorrent présents dans le monde mais ça vaut quand même le coup de vérifier, surtout que pour pas mal d'antivirus, cet outil est légitime (et donc non détecté).

Malheureusement, en plus de l'installation en mode fourbe, la désinstallation de cette merde n'est pas propre. Alors si vous êtes vous aussi infecté, voici comment faire.

Rendez-vous tout d'abord dans les paramètres, Ajout/Suppression de programme et désinstallez le machin baptisé "EpicScale Application"

Ensuite, ouvrez un explorateur de fichier en ayant pris soin d'activer l'affichage des fichiers cachés, et rendez-vous dans le répertoire C:\ProgramData\. Supprimez le sous-dossier EpicScale.

Faites une vérif aussi dans les dossiers C:\Program Files et C:\Program Files (x86) et supprimez les répertoires EpicScale si vous en trouvez.

Lancez ensuite l'éditeur de base de Registre (Exécuter -> Regedit). Rendez-vous ensuite dans la clé de registre "HKEY_CURRENT_USER\Software" et supprimez "EpicScale".

Même chose ici : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run (et supprimez la clé EpicScale si elle s'y trouve).

Voilà, en toute logique, vous devriez êtes débarrassé de ce truc.Source

Cet article merveilleux et sans aucun égal intitulé : Comment supprimer EpicScale ? (le malware présent dans uTorrent) ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Grace Hopper était une informaticienne qui a bossé pour la Marine Américaine (et IBM) et qui a inventé entre autres, le premier compilateur et ensuite langage de développement COBOL.

Voici son histoire en BD.

 

Photo et source

Cet article merveilleux et sans aucun égal intitulé : La vie de Grace Hopper ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.