Il a 22 ans, s'appelle Aktarer Zaman et il a mis au point un comparateur de billets d'avion qui permet d'obtenir des tarifs de folie.

La technique utilisée par Skiplagged.com et baptisée "hidden city" n'est pas orthodoxe, mais complètement légale. Son moteur permet de réserver des vols avec escale sauf qu'au lieu d'aller jusqu'au bout, vous vous arrêtez en chemin.

En gros, il récupère des vols qui durent longtemps (ceux dont personne ne veut), et indique les escales. À vous ensuite de descendre à l'escale. Ça fonctionne surtout sur les vols en provenance des États-Unis, mais par exemple, si vous partez de Chicago et que vous souhaitez aller à Paris, vous pouvez choper un vol Chicago -> Dubai avec escale à Paris et descendre à Paris. Le tout pour 529 €. Soit environ 63% d'économie par rapport à un Chicago -> Paris classique (Chiffres annoncés par Skiplagged)

Par contre, ça ne fonctionne pas à tous les coups et qu'avec des allers simples et sans bagage en soute. En tout cas c'est très malin.

Malheureusement pour Aktarer Zaman, son site n'est pas du goût de tout le monde. En effet, United Airlines et Orbitz, 2 compagnies américaines, ont déposé plainte contre lui pour concurrence déloyale et lui réclame 75 000 $ (de revenus soi-disant perdus)

Dans une interview, le créateur de Skiplagged a expliqué qu'il ne faisait pas de profit avec son site et que cette méthode du Hidden City était connue depuis longtemps, mais peu accessible aux gens, car compliquée.

En tout cas, maintenant grâce aux compagnies aériennes, il dispose d'une jolie publicité. Espérons pour lui que ça ne lui coute pas trop cher.

Source

Cet article merveilleux et sans aucun égal intitulé : Un comparateur de billets d’avion poursuivi pour être trop malin ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Je pars en déplacement à la fin de la semaine, et comme je n'aurai qu'une connexion d'hôtel probablement vérolée, ça m'a pris comme une envie de pisser de me monter un petit VPN.

Mais j'avais quelques exigences dignes d'une princesse monégasque !

1. Je n'ai pas envie de chercher un VPN de confiance (pour peu que ça existe...)
2. Je n'ai pas envie de payer trop cher
3. Je ne veux pas de VPN à l'étranger
4. Je veux uniquement de l'Openvpn
5. Et je n'ai pas envie de me faire chier avec de la config de serveur trop pénible

Oui, car sur ce dernier point, pour se monter un openvpn maison, on est obligé de se le coller sur le serveur, de générer les certificats, modifier des tas de fichiers de config, et évidemment transporter son fichier .ovpn sur les clients qu'on souhaite configurer. C'est faisable, mais ça peut faire peur aux plus débutants.

Alors, comment faire pour avoir le VPN, l'argent du VPN et le cul de l'admin sys ?

Voici une technique qui vous permettra de mettre en place en 30 secondes chrono, un openvpn les doigts dans le nez sans avoir besoin de grandes connaissances.

Etape 1 - connectez-vous en SSH sur votre serveur (moi j'ai pris un VPS chez OVH à 2 balles par mois) et installez Openvpn avec un petit : sudo apt-get install openvpn (ou commande équivalente sur votre Linux)

Etape 2 - Téléchargez sur votre serveur le package Openvpn Access Server pour votre distrib (Redhat, Fedora, CentOS, Ubuntu, Debian, OpenSuse) et installez le. Pour mon ubuntu j'ai fait un petit : dpkg -i openvpn-as-2.0.11-Ubuntu14.amd_64.deb

Etape 3 - À la fin de l'install, Openvpn AS vous indiquera 2 URL HTTPS à noter dans un coin. Celle pour l'Admin et celle pour les clients.

Etape 4 - Un utilisateur nommé "openvpn" a été automatiquement créé sur votre système. Il ne reste plus qu'à lui attribuer un mot de passe. Pour cela, entrez la commande suivante pour spécifier ce mot de passe : passwd openvpn

Etape 5 - Loguez vous ensuite sur l'URL Admin (via votre navigateur) avec l'utilisateur admin openvpn. Dans cette interface, vous verrez la config complète de votre VPN. Il n'y a rien à toucher pour que ça fonctionne, mais si vous voulez paramétrer un peu, c'est par ici que ça se passe. Ensuite, toujours sur votre serveur en SSH, créez-vous un nouveau compte utilisateur qui vous servira d'utilisateur VPN (non admin). Pour cela, faites un "adduser XXXX" (remplacez XXX par votre nom d'utilisateur). Et ajoutez ce nouvel utilisateur dans la section User Management de l'interface admin d'Openvpn AS.

Etape 6 - Enfin, à partir de l'ordinateur ou du smartphone sur lequel vous vous configurez un client OpenVPN, connectez-vous à l'URL Client via un navigateur et installez le logiciel client qu'on vous propose et qui va bien pour votre OS. Récupérez ensuite le fichier .ovpn proposé par le serveur web d'Openvpn AS et importez-le dans le client... OU dites au client de récupérer directement la config depuis le serveur, en utilisant uniquement le login et le mot de passe de votre compte VPN. Dans ce dernier cas, vous aurez un avertissement vous expliquant que le certificat que vous récupérez n'est pas sûr. Vous pouvez l'ignorer si vous êtes dans un environnement que vous considérez comme sain.

Etape 7 - Et paf, vous voilà connecté. Durée de l'opération, moins de 5 minutes, tout au clickodrome ou presque et 0 prise de tête avec des fichiers de config. Un truc que j'ai oublié de préciser : Openvpn AS n'accepte que 2 connexions user en simultannée. Au delà faut payer une licence.

Voilà... J'ai essayé d'être le plus précis et le plus succinct possible. Toutefois si y'a des trucs qui vous échappent dans mes explications ou si vous avez des compléments d'information à apporté à ce modeste tuto, n'hésitez pas !

Cet article merveilleux et sans aucun égal intitulé : Comment s’installer un petit VPN maison quand on n’est pas un gros barbu ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Vous vous souvenez de cette infographie mise en ligne par l'EFF qui nous donnait des indications sur la sécurité des différents logiciels de messagerie chiffrés ?

Et bien tout ça se précise grâce à Edward Snowden. En se basant sur les documents de la NSA que le lanceur d'alerte a rendu public, Jacob Appelbaum et Laura Poitras ont présenté lors d'une conférence au CCC, les outils qui sont résistants à la NSA et ceux qui ne le sont pas du tout.

Cela date de 2012, alors c'est à prendre avec des pincettes, car ce qui était indéchiffrable à l'époque par la NSA, l'est peut-être aujourd'hui... Mais ça n'en reste pas moins intéressant.

Dans ces documents, les gens de la NSA expliquent que les messages chiffrés avec TrueCrypt (qui n'est plus sûr d'utiliser aujourd'hui - Edit : On me dit que la version 7.1a est sûre. Je vous laisse seuls juges), PGP ou via OTR sont ceux qu'ils ne peuvent pas déchiffrer. Le "pire" pour la NSA semble être l'utilisation combinée de Tor, de l'outil de messagerie CSpace et ZRTP (le protocole chiffré de VoIP utilisé par le RedPhone et Signal) qui n'offre aucune accroche pour remonter à la source ou écouter les conversations.

A contrario, les mails chiffrés qui passent par des services tiers comme Mail.ru sont déchiffrables de manière "modérée" (Comprenez : "C'est pas facile mais on sait faire"), et les connexions VPN ou tout ce qui passe par HTTPS est totalement transparent pour la NSA. Skype, Facebook, Hotmail, Gmail ou votre fournisseur de VPN...etc. Tout ça, c'est transparent pour eux.

En 2012, l'agence américaine surveillait plus de 20 000 connexions VPN à l'heure et interceptait (et crackait) plus de 10 millions de connexions HTTPS par jour (surtout celles qui concernent le login sur les sites).

Et en ce qui concerne Tor, c'est un peu difficile pour eux, mais pas impossible s'ils s'en donnent les moyens avec des malwares installés en local chez les cibles surveillées ou sur les noeuds de sortie. Et cerise sur le gâteau, ils disposent également d'un programme capable de déchiffrer le protocole SSH. Je vous laisse imaginer les possibilités derrière sur tout ce qui est serveur et routeurs... (Kim Jong Un, si tu me lis...)

Vu qu'ils y travaille depuis plusieurs années, le chiffrement AES est peut être maintenant cracké par la NSA (Mais rien n'indique que c'est le cas) et à mon avis, ce n'est pas le seul sur lequel ils travaillent. Et il y a encore pas mal de travail pour les fournisseurs de service et les développeurs de logiciels pour proposer des outils qui soient "NSA proof".

En attendant, avec toutes les mauvaises habitudes que nous avons tous prises, c'est comme si on se baladait en slip sur la toile. Je pense qu'à moins que vous utilisiez PGP massivement, on peut considérer que la NSA a déjà mis la main sur tous vos emails, toutes vos conversations Skype, tous vos messages Facebook, tous vos mots de passe web, et tous vos accès serveur (SSH/FTP...etc.). (Edit : Vu ce qu'on sait, je pars du principe qu'ils ratissent large, et aspire tout ce qui passe dans les tuyaux, peu importe qui vous êtes... Donc même si vos mots de passe n'ont pas été attrapés par la NSA ou un autre, je considère quand même que c'est suffisamment "potentiellement" le cas pour prendre certaines mesures)

Si ça vous chagrine, ce que je vous invite à faire (et ça vaut aussi pour moi), c'est de prendre le temps réfléchir aux données en ligne que vous voulez sécuriser et vous donner les moyens de le faire. Par exemple, en quittant Gmail, en auto-hébergeant certains trucs, en apprenant à utiliser correctement PGP, en changeant régulièrement vos mots de passe et surtout en informant vos proches.

Ce serait une bonne résolution pour 2015, vous ne pensez pas ?

Source

Cet article merveilleux et sans aucun égal intitulé : Nous sommes tous à poil (ou presque) face à la NSA ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Si vous êtes curieux du monde qui vous entoure, en plus particulièrement des données qui transitent depuis et vers votre téléphone, via les ondes radios, voici une application Android qui exige que votre téléphone soit rooté mais qui va vous permettre de collecter et analyser ces données.

Pourquoi faire me direz vous ? Et bien tout simplement avoir une bonne vue d'ensemble de votre sécurité, et savoir si vous passez via de faux relais mobiles (IMSI catchers), si vous êtes trackés, ou victime d'attaque via SMS ou SS7.

Toutes les données collectées sont ensuite remontées à la communauté et vous pouvez voir dans quel état de "sécurité" est la zone où vous vous trouvez, grâce aux données partagées par tous et mises en ligne sur le site gsmmap.org.

SnoopSnitch fonctionne uniquement avec des téléphones possédant un chipset Qualcomm et une ROM stock Android rootée. (Avec Cyanogen, ça ne fonctionne pas)

Voici quelques terminaux avec lesquels SnoopSnitch fonctionne :

• Samsung S3 Neo (GT-I9301I)
• LG G2 (LG-D802)
• Sony Xperia Z1 (C6903)
• Samsung S5 (SM-G900F)
• Motorola Moto E (Moto E)
• Samsung S4 (Variante de Qualcomm)

Et voici quelques terminaux avec lesquels ça ne fonctionne pas :

• Tous les appareils sans chipset Qualcomm
• Tous les appareils sans rom stock
• Les Samsung Galaxy S2 & S3
• Les Nexus 5
• Les Huawei Ascend Y300

Pour que ça fonctionne, SnoopSnitch va passer des appels téléphoniques vers un numéro spécial qui sera toujours "occupé", ce qui ne vous coûtera donc pas un rond (sauf si votre opérateur facture même les appels qui n'aboutissent pas ;-)). L'application enverra aussi des SMS vers un numéro invalide ce qui ne devrait pas vous coûter un rond non plus. C'est grâce à ces faux appels et faux SMS, que SnoopSnitch saura détecter les relais étranges ou autres trucs louches.

Dispo sous licence GPL, SnoopSnitch est téléchargeable ici :

• APK pré-compilé (SHA1: 32c6188d5a6c9b273a0a4dd0a99ae8496853f8b3)
• APK pré-compilé sur le Google Play Store
• Source Code: git clone https://opensource.srlabs.de:/git/snoopsnitch.git

Plus d'infos ici : https://opensource.srlabs.de/projects/snoopsnitch

Cet article merveilleux et sans aucun égal intitulé : SnoopSnitch – Evaluez la sécurité des relais mobiles qui vous entourent ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Ho Ho Ho !

J'espère que vous allez bien profiter de ces quelques jours de break qui s'annoncent. Famille, amis, et bonne bouffe... L'essentiel quoi.

Profitez bien. Je vous souhaite à tous de passer d'excellentes fêtes !

K.

Ps : Et n'oubliez pas que vous avez encore quelques jours pour me poser vos questions.

Cet article merveilleux et sans aucun égal intitulé : Edito du 24/12/2014 ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.