 Your new post is loading...
Your new post is loading...
Je suis tombé ce matin sur cet article de l'Electronic Frontier Foundation (EFF) qui regrette la décision de Mozilla d'intégrer le support des DRM (tel que préconisé par le W3C) dans les prochaines versions de Firefox. Baptisée EME pour Encrypted Media Extension, cette techno va permettre à des distributeurs de contenu comme Google, Netflix, Amazon, Microsoft et d'autres de diffuser leurs trucs avec DRM. Comme nous l'a expliqué Robin Berjon il y a peu de temps, les discussions du W3C autour de l'EME sont encore en cours et il ne s'agit pas d'un DRM en tant que tel, mais plutôt d'une spécification qui va permettre de faire fonctionner des DRM via HTML5. On le sait tous, les DRM, ça ne sert à rien. Ça n'évite pas le piratage, ça ne protège pas les œuvres, pire, ça incite même les gens à pirater ou contourner ces verrous numériques pour pouvoir lire un contenu sur un OS ou un appareil qui ne supporte pas tel ou tel DRM. Je vomis les DRM et nous sommes nombreux à le faire. Et Mozilla qui vient donc d'annoncer le support de l'EME et qui se prend une volée de bois vert. Scandale ! Comment une société prônant le logiciel libre, l'ouverture et la défense de la vie privée peut-elle accepter cela ? C'est en substance la position de l'EFF et de beaucoup d'autres barbus sur la toile. Mais à mon sens, la décision de Mozilla est parfaitement logique et est motivée principalement par les internautes eux-mêmes. Je m'explique.
Si vous êtes un gros utilisateur de Facebook et que vous passez la journée à lurker les enfants de vos amis et le statut marital de vos ex, alors vous allez adorer THE SOCIAL FIXER !
Je viens de découvrir grâce à l'ami Yoan un petit périphérique USB baptisé USB Rubber Ducky qui va vous permettre de jouer au petit hacker ou de rendre fous vos amis. Alors comment ça fonctionne ? Et bien il s'agit d'une clé USB qui a la particularité de se comporter exactement comme un clavier dès que vous la branchez. Mais pas n'importe quel clavier.... Un clavier qui écrira tout seul le code que vous lui aurez dit d'écrire à l'avance. Comme n'importe quel clavier, Ducky est reconnu par les OS modernes (Linux, Mac et Windows) et profite de cette confiance aveugle qu'on les OS en les claviers afin de balancer des payloads à la vitesse hallucinante de mille mots par seconde.
Face à l'inaction des constructeurs suite à la divulgation de la faille Master Key dans Android, les entreprises Duo Security et System Security Lab de la Northeastern University (NEU SecLab) ont décidé de réagir en mettant en ligne un patch qui permet de corriger la faille.
Avec les galères que rencontrent les possesseurs de câbles lightening noname sur le nouvel iOS 7, Apple réussit à forcer la main de ses clients pour qu'ils achètent des câbles officiels et certifiés Apple. Évidemment, le prix n'est pas du tout le même.
Mais tout ceci est en passe de changer puisque la société iPhone5mod qui fabrique des petits câbles pour iPhone et autres accessoires, a réussi à cracker le schéma d'authentification de la puce contenue dans le cable. Ainsi, leurs câbles de couleur, qui brillent dans le noir, qui s'enroulent ou leurs docks passent haut la main le bridage d'Apple.
Voici un projet Kickstarter qui devrait vous plaire... ou au contraire vous transformer en Brigitte Bardot de la blatte !
Le Washington Post nous explique que les services de renseignement américain (NSA, FBI et compagnie) disposent d'un accès direct pour piocher des infos directement sur les serveurs de grandes entreprises du web comme Microsoft, Yahoo, Google, Facebook, PalTalk, AOL, Skype, YouTube, Apple...etc.
Inspiré du protocole Bitcoin, voici venu Bitmessage, un protocole p2p de communication conçu pour échanger des messages chiffrés avec un ou plusieurs correspondants (en broadcast).
Totalement décentralisé et entièrement libre (sous licence MIT), Bitmessage utilise une authentification forte qui empêche quelqu'un de mal intentionné de se faire passer pour quelqu'un d'autre et qui permet de protéger les données de toutes tentatives de sniffing. Pour sécuriser nos échanges, PGP/GPG est une excellente solution, mais malheureusement, même si le contenu du message est chiffré, on sait avec qui vous échangez et surtout, vous êtes obligé de passer par des serveurs ou relais email classiques. Bitmessage permet de s'affranchir de tout ça. De plus, il ne nécessite pas pour les plus débutants de saisir les concepts de clés publiques, clés privées. Ses concepteurs l'ont orienté "email", mais à vrai dire, Bitmessage se rapproche plus d'un petit "net send" vu qu'on ne peut pour le moment, y faire transiter que du texte. N'empêche, c'est plutôt sympa d'avoir un outil de plus comme celui-ci à notre disposition pour échanger en toute sécurité, loin des yeux indiscrets.
Ils sont forts chez Google ! Lors de la conférence Google IO d'hier, ils ont présenté une intégration plutôt bluffante de Wallet (l'équivalent de PayPal sauce Google) dans Gmail. Le concept ? Pouvoir insérer de l'argent dans un e-mail comme on insère une photo. Mamamia Luigi !
On dirait que l'idée folle de Ken Hayworth qui souhaite transférer son cerveau dans un ordinateur pour devenir immortel, a fait son chemin. Dmitry Itskov
Ça arrive, ça arrive... Voici le "Liberator", un petit pistolet qui peut tirer différents types de munitions grâce à ses barillets interchangeables et qui a la particularité d'être la première arme imprimée en 3D. Elle n'a pas encore été testée par peur que ça leur pète à la tronche j'imagine, mais les auteurs du site Defense Distributed ont déclaré que lorsque celle-ci sera testée et reconnue fonctionnelle, ils en publieront les plans sur leur site.
Le Liberator est composé de 16 pièces de plastique et contient tout de même un morceau de métal faisant office de percuteur, ainsi qu'un petit bloc d'acier permettant de rendre l'arme "visible" par les détecteurs de métaux (et donc légale aux États-Unis)
Hervé Gaymard (UMP), auteur d'un rapport sur le prix du livre des livres numériques, d'une proposition de loi sur l'exploitation numérique des livres anciens (et introuvables) et expert en techniques de squat vient d'envoyer une jolie lettre parfumée à Aurélie Filippetti, la ministre de la Culture pour expliquer ceci
Je ne sais pas si certains d'entre vous ont prévu d'aller faire un peu de tourisme en Israël prochainement, mais soyez informés que votre vie privée risque d'en prendre un coup. En effet, les agents de sécurité de l'aéroport Ben Gurion sont maintenant accrédités pour demander à lire les emails des touristes et leur refuser l'accès au pays si ces derniers refusent. D'après les instances officielles, cette pratique resterait toutefois exceptionnelle, mais les défenseurs de droits civils dénoncent une violation de la vie privée et un recul pour la démocratie puisque le touriste qui a dépensé plusieurs centaines d'euros pour son voyage pourra difficilement refuser une telle demande de peur qu'on lui refuse l'accès au territoire, sacrifiant ainsi une grosse somme d'argent et ses vacances. Le zèle des agents de sécurité Israeliens ferait presque passer les agents de sécurité américains pour des gros branleurs... C'est dire ! Et tu habites où, et comment s'appelle ta mère, et tu fais quoi dans la vie, et tu voyages seul, et tu as quoi dans ta valise, et tu préfères le poulet ou le jambon, et tu préfères les chiens où les chats...Etc.,etc.. Je ne vous raconte pas les durées d'attente avant d'embarquer. Bref, c'est vraiment triste qu'on en arrive là. Je me demande d'ailleurs si ce genre de pratique sera un jour mise en place chez nous ou aux États-Unis. (Pour voir si vous transportez des armes de guerre qu'on appelle DivX ?) L'histoire ne dit pas si les mails sont consultés offline sur le PC ou le mobile, ou online, ou si on doit communiquer ses identifiants de messagerie aux agents.... Ce qui est vraiment con, c'est qu'il est très facile de partir avec du matos propre, connecté sur une boite mail à la con, et de faire le changement vers sa véritable boite mail une fois passé les agents de sécurité.
|
L'EFF qui défend les droits des internautes aux États-Unis a interrogé des géants du web pour leur demander quelles sécurités étaient mises en place sur leurs services pour protéger les données personnelles de leurs utilisateurs. Depuis les preuves apportées par Snowden sur la surveillance massive, le chiffrement est au coeur de toutes les discussions. À la fois entre les internautes et la société, mais aussi en interne avec des liaisons chiffrées entre les data centers, sans oublier la transmission sécurisée des cookies.
Après les révélations de Snowden, Jacob Appelbaum connu pour être dans le noyau dur des hacker à l'origine de Tor, a fait une apparition au Parlement Européen en septembre de cette année pour expliquer à nos députés comment fonctionne la surveillance massive des citoyens.
Vous vous croyez protégé de toute forme de tracking car vous avez désactivé ou filtré le JavaScript, flash, les cookies...etc. ? Eh bien détrompez-vous, car même si vous avez mis en place ce plugin qui permet de brouiller les pistes face à des méthodes de tracking non traditionnelles comme Panopticlik, il est toujours possible de vous suivre. Comment ? Et bien tout simplement en détournant l'utilisation des ETag.
Il y a quelques sites que j'aime bien comme Pastebin qui permet au tout-venant de publier des documents texte sans avoir besoin de se créer le moindre compte.
Le plus souvent, des pirates l'utilisent pour diffuser le résultat de leur pêche, mais on trouve aussi pas mal de code source ou des infos sympas que des gens mal informés mettent sur ces sites, pensant que les données ne seront lues que par eux.
Bref, c'est un immense fourre-tout dans lequel j'ai souvent plaisir à plonger.
C'est alors que j'ai appris l'existence d'un moteur de recherche nommé Canary.pw qui indexe les données contenues sur ces sites de partage de texte à la Pastebin.
Pour combattre, les outils de reconnaissance automatisée de caractères employés par les gouvernements et les pirates pour agréger de l'information, Sang Mun, fraichement diplômée de l’École de Design de Rhode Island a mis au point une série de polices que ces systèmes ne peuvent reconnaitre.
Il l'a baptisé ZXX, du même nom que la classification utilisée par les archivistes de la Bibliothèque du Congré américain pour désigner un livre qui ne contient pas de contenu linguistique. En tout c'est 6 déclinaisons (Sans, Bold, Camo, False, Noise, et Xed) que vous pouvez télécharger ici et utiliser afin de tromper les outils d'analyse.
Robert Hansen, du site WhitehatSec a mis en ligne sur son blog, une interview passionnante. Durant plusieurs jours, il a eu l'occasion d'échanger avec un black hat, c'est à dire un hacker qui pratique son art illégalement essentiellement pour l'argent. Il a pu lui poser toutes les questions qu'il avait en tête et ainsi mieux connaitre l'envers du décor. J'ai trouvé intéressant de vous la retranscrire ici en français. Merci à Robert Hansen qui a réalisé cette interview.
Bitcoin, le protocole qui permet d'échanger de la monnaie virtuelle de manière sécurisée et anonyme inquiète de plus en plus les gouvernements. En effet, même si ce n'est encore que le début, l'alternative décentralisée Bitcoin représente un moyen de se passer du système bancaire actuel. Seulement, pour gérer son porte-monnaie de bitcoins, les gens font souvent appel à des services de "wallet" qui s'occupe de stocker leur petite fortune à leur place. Cela fait perdre tout intérêt à la décentralisation et on a vu ces derniers mois, plusieurs de ces services de pote-monnaie en ligne se faire "cambrioler".
Les Masterlock sont des cadenas qui permettent de définir une combinaison de 3 nombres allant de 0 à 40. Cracker un Masterlock en testant toutes les combinaisons demanderait beaucoup de temps puisqu'il faudrait essayer 64 000 suites. Il y a 2 moyens de récupérer une combinaison de Masterlock perdue. La première consiste à écrire à Masterlock en leur communiquant le n° de série du cadenas, votre identité et une photo du cadenas non attaché avec n° de série visible. La seconde option consiste à cracker la combinaison en suivant cette méthode qui allie doigté et mathématiques, exploitant une faille dans le système de Masterlock. Il existe même une application Android baptisée Lock Hero qui vous y aidera.
Bonjour, nous interrompons nos programmes pour un flash spécial. Une faille découverte dans Linux, il y a plus de 2 ans, fait maintenant parler d'elle. La cause ? Ce petit code source qui permet d'exploiter cette faille et dont le résultat peut faire très mal. Un utilisateur Linux qui dispose d'un compte sans droit particulier sur une machine (y compris en exploitant, par exemple, une autre faille dans une application web) peut lancer cet exploit et ainsi obtenir les mêmes privilèges que le compte root.
Cela affecte les versions du kernel Linux de la 2.6.37 à la 3.8.8 qui ont été compilées avec l'option CONFIG_PERF_EVENTS. Un patch a été mis en ligne le mois dernier et la correction sera bientôt intégrée aux versions stables du kernel disponibles ici. Le truc, c'est que rien dans le descriptif de ce patch, n'indiquait la correction d'une faille hautement critique.Du coup, peu de personnes ont patché leur Linux .
Le moins que l'on puisse dire avec le rapport Pierre Lescure, c'est que l'ancien président de Canal+ n'a pas chômé... Plus de 700 pages rédigées avec des tas d'idées très convenues, pour "sauver" la culture en France et éponger soi-disant, le téléchargement illégal. (Le rapport est disponible ici) Je l'ai parcouru et j'ai lu les conneries (ou pas) des médias et voici ce que j'en ai retenu...
Si comme moi, vous avez pour tradition de jurer à tout bout de champ (avec classe bien entendu) et bien vous devrez changer vos habitudes si vous comptez vous équiper de Google Glass. En effet, l'outil de conversion voix vers texte utilisé par la lunette magique est lui aussi frappé par ce maudit puritanisme qu'impose les sociétés américaines à leurs utilisateurs (voir ici avec Apple). En effet, même si cet outil est capable de reconnaitre plusieurs langues, différents accents et des phrases complexes, il lui est impossible de traduire les gros mots. Et pour cause, Google a implémenté un filtre dans sa technologie qui censure les jurons.
Quelques jours après que des hackers se soient amusés à rooter les Google Glass, la firme de Mountain View a mis en ligne le code source du noyau Linux utilisé par la lunette magique. Évidemment, ce code ne contient pas les applications Made by Google, un peu comme on peut l'expérimenter sur Android (qui est open source) et les applications Gmail, Google Apps, GDrive, Google Play...etc. qui sont fermées.
Alors ce root ? Coup d'épée dans l'eau ?
|
