Autoblog de korben.info

Ce site n'est pas le site officiel de korben.info
C'est un blog automatisé qui réplique les articles de korben.info

Wifi ouvert – Attention aux faux hotspot ! (+ une démo avec un module Arduino)

Thu, 26 May 2016 07:30:22 +0000 - (source)

Vous kiffez le hotspot wifi gratuit ? Les FreeWifi et ce genre de trucs offerts par votre opérateur ? C'est bien, mais êtes vous certains que vous vous connectez vraiment sur un vrai spot et pas sur un truc destiné à pomper tous vos mots de passe ?

C'est difficile de le savoir mais pour vous montrer à quel point de genre de chose est simple à mettre en oeuvre, je vais vous présenter le petit montage de Kevin, qui m'a envoyé la vidéo suivante. On peut y voir un faux "vrai" hotspot FreeWifi, qui est le même portail captif que celui de Free. En s'y connectant, l'OS de l'imprudent va afficher automatiquement la page de connexion (demande de login / mot de passe) au réseau.

On peut faire ça avec n'importe quelle machine mais lui a choisi le module ESP8266 NodeMCU qui est une board compatible Arduino intégrant une puce wifi et tout ce qu'il faut pour brancher un câble micro-USB.

Après vous pouvez utiliser ce module ESP8266 dans sa version 01 qui est un peu plus petit mais il faudra vous débrouiller avec le port GPIO.

Le module tiens dans la main est peut-être alimenter en 5v avec une batterie externe et vous vous en doutez, peut-être planqué n'importe où.

Dans l’exemple le module intègre un serveur HTTP, un serveur DHCP et un DNS menteur qui redirige tous les domaines vers le serveur web. Et il est possible avec un petit bout de JavaScript de rediriger les gens sur l'url wifi.free.fr pour faire encore plus vrai dans la barre d'adresse. Evidemment, on peut "copier" n'importe quel autre type de portail captif.

Ensuite, les mecs rentrent leurs identifiants et toutes les données récupérées sont stockées dans un fichier texte dans la mémoire interne (de 3 Mo).

Niveau firmware, Kevin a utilisé celui d'Arduino qui est parfaitement utilisable avec l'IDE (environnement de devà Arduino. Mais il est aussi possible de développer ça en MicroPython et faire des mises à jour via OTA (Over the air). Il y a pas mal d'exemples ici. Au-delà de ça, ce module ESP8266 est compatible avec tout ce qui se branche sur Arduino. Par exemple, Kevin a réalisé une station météo avec des batteries li-on, un double relais 230V avec un module relai Arduino.

Bref, c'était l'occasion pour moi de vous présenter ce module mais aussi les risques associés aux bornes wifi publiques.

Et encore un grand merci à Kevin pour ses précieux renseignements.

Cet article merveilleux et sans aucun égal intitulé : Wifi ouvert – Attention aux faux hotspot ! (+ une démo avec un module Arduino) ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.


Un outil pour imprimer et polir des objets 3D

Wed, 25 May 2016 10:33:20 +0000 - (source)

Si vous faites de l'impression 3D, vous serez peut-être intéressé par ce nouveau projet baptisé Polysmooth & Polysher qui se compose d'un filament spécial PVB compatible avec n'importe quelle imprimante 3D et d'une machine qui permet de polir l'objet imprimé.

Ce plastique étant sensible à l'éthanol ou l'isopropanol, la machine lui balance des micros gouttelettes (en aérosol) d'alcool, ce qui a pour effet de dissoudre légèrement la surface de l'objet imprimé en 3D et de le rendre lisse.

Et voici ce que ça donne :

Bon moi j'ai plus de sous cette année, mais c'est un projet Kickstarter qui a déjà largement éclaté son objectif et qui pourrait vous plaire.

Merci à Kageno pour l'info.

Cet article merveilleux et sans aucun égal intitulé : Un outil pour imprimer et polir des objets 3D ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.


Prêtez et emprunter gratuitement grâce au site Mutum

Wed, 25 May 2016 10:11:17 +0000 - (source)

On a tous chez nous des tas d'objets dont on se sert presque pas, voire pas du tout. Vélo, jeux, appareils de cuisine, tente, enceintes, livres, tondeuse, escabeau, raquettes, appareil à crêpes, rollers, karcher, escabeau, skis, sac à dos...... Il suffit de regarder autour de vous, et vous allez en trouver plein !

Jonathan et ses associés, lecteurs de Korben, ont imaginé un excellent concept de prêt et d'emprunt d'objets entre particuliers. Sur leur site Mutum (mon code parrain c'est a2tSdTtd), vous pourrez référencer les objets que vous souhaitez mettre à disposition autour de vous, fixer une caution pour ceux qui ont de la valeur et établir un calendrier de prêt.

Si vous cherchez à emprunter un objet, il vous suffit de faire une petite recherche et de réserver l'objet qui vous intéresse via le site. Il n'y a pas d'argent en jeu, mais une monnaie virtuelle baptisée le Mutum que vous gagnerez en prêtant vos objets et que vous dépenserez en empruntant les objets des autres. Le site Mutum ne prend pas de commission et tout est gratuit. D'ailleurs, on ne peut pas spéculer avec le Mutum puisqu'il n'est pas convertible en véritable argent et se périme au bout d'un an.

C'est top pour faire des économies, s'entraider entre voisins, et lier des contacts avec les gens autour de chez vous.

À expérimenter !

Un outil pour imprimer et polir des objets 3D

Cet article merveilleux et sans aucun égal intitulé : Prêtez et emprunter gratuitement grâce au site Mutum ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.


La Nuit du Hack 2016 c’est bientôt ! Pensez à réserver votre place !

Tue, 24 May 2016 13:34:08 +0000 - (source)

Je ne sais pas ce que vous faites du 2 au 3 juillet, mais moi je serai du côté de Disneyland Paris pour assister à la Nuit du Hack 2016. Ça va démarrer le samedi à partir de 9h avec une journée-conférences et de Bug Bounty dont voici le détail :

10h00 : Keynote : À venir.

10h30 : Ouverture Bug Bounty

10h45 : (FR) Windows 10 - Security and Privacy par Paul Hernault

11h30 : (EN) Tails - Security, Maintainability and Usability, pick three! par Julien Vosin

12h15 : (FR) Microservices hacking & security par Clad

13h00 : Pause

13h45 : Bounty time

14h00 : (EN) A Dozen Years of Shellphish: From DEFCON to the DARPA Cyber Grand Challenge par Antonio Bianchi

14h45 : (FR) Review of the ZigBee security of a famous French set-top box par Renaud Lifchitz

15h30 : (EN) An In-Depth Dive into the Ethereum Protocol par Lefteris Karapetsas

17h00 : Bounty Time

17h15 : (FR) House intercoms attacks: when frontdoors become backdoors par Sébastien Dudek

18h00 : (EN) Improvised LockPicking tools par Till Lenze et Alexandre Triffault

18h45 : (FR) Turning a GPS-based dating application into a tracking system par Julien Szlamowicz et Julien Legras

19h30 : (EN) Developing x64dbg par Duncan Ogilvie

21h00 : Bounty Time

21h15 : (FR) Mass-pwning with a small IoT spy bug par Damien Cauquil

22h00 : (EN) Trust No One. ATMs and their dirty little secrets par Olga Kochetova

Évidemment, comme d'habitude ces 24h seront aussi l'occasion de participer à des challenges, d'assister à un CTF avec les meilleures équipes de hackers, sans oublier les ateliers qui vous permettront d'expérimenter de nouvelles choses (lockpicking, Arduino, vie privée, robotique, analyse de malware...etc.).

YesWeHack sera aussi présent pour mettre en relation les recruteurs et les experts en sécurité qui cherchent du boulot, et si vous emmenez vos enfants, sachez qu'ils ne s'ennuieront pas grâce à l'espace NDH Kids où ils apprendront à bidouiller des tas de trucs.

Lors de cette Nuit du Hack, vous pourrez aussi alerter d'éventuels problèmes de sécurité lors du confessionnal Zataz (Hâte de voir Damien Bancal en aube blanche). Quant à moi, je me baladerai là bas donc on aura le temps de papoter et faire des photos dans tous les sens.

Si tout ça vous plait, sachez que jusqu'au 1er juin, la place est à 50 €. Après cette date, ça passera à 66 €.

Pour vous inscrire c'est par ici.

Cet article merveilleux et sans aucun égal intitulé : La Nuit du Hack 2016 c’est bientôt ! Pensez à réserver votre place ! ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.


Bibliovore – Lisez vos livres électroniques sous Windows 10 sans vous faire mal aux yeux

Tue, 24 May 2016 11:30:00 +0000 - (source)

Jusqu'à présent, le seul logiciel trop méga cool que je connaissais pour gérer ma bibliothèque de livres électroniques, c'était Calibre. Puis là, je viens de tomber par hasard sur Bibliovore, un outil de gestion de bibliothèque numérique pour Windows 8.x / 10 uniquement.

Voici les fonctionnalités :

Il est assez joli et si vous avez une tablette Surface, je pense que ça va vous être bien utile !

Bonne lecture à tous !

Cet article merveilleux et sans aucun égal intitulé : Bibliovore – Lisez vos livres électroniques sous Windows 10 sans vous faire mal aux yeux ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.


Attention au PasteJacking (et merci de ne pas copier coller cet article)

Tue, 24 May 2016 08:18:51 +0000 - (source)

La technique n'est pas nouvelle et j'ai déjà abordé le problème en 2015. En gros, il est possible avec un simple bout de javascript, de mettre autre chose dans le presse-papier de l'ordinateur en cas de copier coller.

Cela peut poser de nombreux soucis notamment sur les sites qui donnent des lignes de commande que les gens copient et collent machinalement. J'ai déjà mis en garde sur le sujet donc je ne reviendrai pas dessus (aller lire l'article linké ci-dessus). Par contre, pour ceux qui veulent comprendre comment ça fonctionne, sachez qu'un bout de code baptisé PasteJacking est disponible sur Github.

Voici le code en question :

<html>
<body>
Copy the text below and run it in your terminal for totally not evil things to happen.
</br>

<p>echo "not evil"</p>
<script>
function copyTextToClipboard(text) {
var textArea = document.createElement("textarea");

//
// *** This styling is an extra step which is likely not required. ***
//
// Why is it here? To ensure:
// 1. the element is able to have focus and selection.
// 2. if element was to flash render it has minimal visual impact.
// 3. less flakyness with selection and copying which **might** occur if
// the textarea element is not visible.
//
// The likelihood is the element won't even render, not even a flash,
// so some of these are just precautions. However in IE the element
// is visible whilst the popup box asking the user for permission for
// the web page to copy to the clipboard.
//

// Place in top-left corner of screen regardless of scroll position.
textArea.style.position = 'fixed';
textArea.style.top = 0;
textArea.style.left = 0;

// Ensure it has a small width and height. Setting to 1px / 1em
// doesn't work as this gives a negative w/h on some browsers.
textArea.style.width = '2em';
textArea.style.height = '2em';

// We don't need padding, reducing the size if it does flash render.
textArea.style.padding = 0;

// Clean up any borders.
textArea.style.border = 'none';
textArea.style.outline = 'none';
textArea.style.boxShadow = 'none';

// Avoid flash of white box if rendered for any reason.
textArea.style.background = 'transparent';
textArea.value = text;

document.body.appendChild(textArea);

textArea.select();

try {
var successful = document.execCommand('copy');
var msg = successful ? 'successful' : 'unsuccessful';
console.log('Copying text command was ' + msg);
} catch (err) {
console.log('Oops, unable to copy');
}

document.body.removeChild(textArea);
}

document.addEventListener('keydown', function(event) {
var ms = 800;
var start = new Date().getTime();
var end = start;
while(end < start + ms) {
end = new Date().getTime();
}
copyTextToClipboard('echo "evil"\n');
});

</script>
</body>

</html>

Pour que ça fonctionne, il faut que la victime fasse un CTRL+C (ou CMD + C sous OSX). Si elle fait un clic droit "copier", ça ne fonctionnera pas.

Cet article merveilleux et sans aucun égal intitulé : Attention au PasteJacking (et merci de ne pas copier coller cet article) ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.


RSyncOSX – Une interface graphique OSX pour RSync

Tue, 24 May 2016 07:23:49 +0000 - (source)

Si vous êtes sous Mac et que vous voulez sauvegarder et synchroniser des données entre vos ordinateurs ou avec un serveur distant, une bonne solution est d'utiliser le logiciel libre Rsync.

Mais tout le monde n'est pas à l'aise en ligne de commande. C'est pourquoi Thomas Evensen a créé RsyncOSX qui est ni plus ni moins qu'une interface graphique (GUI) pour RSync.

Il permet donc de faire des sauvegardes incrémentales (ou non d'ailleurs) et des restaurations, soit localement (disque USB par exemple), soit vers des serveurs distants (votre NAS, un serveur web à l'autre bout du monde...etc.). Bref tout pareil qu'avec RSync mais en mode clickodrome.

À garder dans votre boite à outils.

Sinon, dans le même genre, j'utilise AASync qui fait grosso modo la même chose (via SFTP) sauf qu'il est payant.

Cet article merveilleux et sans aucun égal intitulé : RSyncOSX – Une interface graphique OSX pour RSync ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.


Fast.com – Outil de mesure ou moyen de pression ?

Mon, 23 May 2016 11:30:32 +0000 - (source)

Voici un outil de plus pour mesurer le débit de votre connexion internet. Proposé par Netflix, ce site sans pub et au look ultra minimaliste n'est pas outil de diagnostic.

En effet, Fast.com ne permet ni mesure de latence, ni ping, ni même le débit montant (upload). Non, c'est uniquement une mesure du débit descendant (download) entre votre ordinateur et les serveurs de Netflix qui est proposée. Pratique et simple à utiliser pour les Internautes non techniques et probablement un bon moyen de "négocier" avec certains FAI.

En effet, il semblerait que Netflix ait quelques soucis concernant ses débits, dus à des accords de peering qui tarderaient à venir avec certains fournisseurs d'accès en France et ailleurs dans le monde.

Je suppose donc (mais ce n'est que mon avis) que Netflix souhaite avec cet outil, faire pression sur ces FAI au travers de leurs abonnés, pour que le débit vers son site s'améliore. On peut d'ailleurs lire ceci dans leur FAQ :

Pourquoi Netflix propose-t-il Fast.com ?

Nous souhaitons que nos utilisateurs puissent évaluer la vitesse fournie par leur FAI de façon simple et rapide, sans publicité.

Que faire si la vitesse n'est pas celle pour laquelle je paie ?

Si les résultats obtenus via l'outil Fast.com et d'autres tests indiquent souvent que la vitesse est inférieure à celle pour laquelle vous payez, vous pouvez parler de ces résultats à votre FAI.

Après c'est aussi possible qu'ils s'en servent pour collecter de la donnée (sur les débits) mais comme ils le font déjà via leur site, je ne vois pas vraiment ce que ça va apporter de plus.

Hmm... On verra ce que ça donne. En attendant, ça nous fait un outil de mesure supplémentaire à bookmarker.

Cet article merveilleux et sans aucun égal intitulé : Fast.com – Outil de mesure ou moyen de pression ? ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.


Une ambiance nature dans votre téléphone ou votre navigateur pour vous relaxer

Mon, 23 May 2016 08:30:01 +0000 - (source)

Vous vous rappelez de Noizio sous OSX qui permet de se détendre en écoutant et combinant des sons de la nature ?

Et bien voici Noisli, qui fait la même chose sous iOS, Android et Chrome. Noisli permet de combiner des sons comme la pluie, le feu, le vent, le chant des oiseaux, et de vous les jouer sur une durée de votre choix.

Vous pouvez aussi enregistrer vos mix pour les rejouer plus tard et pour ceux qui son chez Free Mobile, vous pouvez lire toutes ces merveilleuses ambiances sonores offline.

Génial si vous voulez méditer un peu ou décompresser en fermant les yeux dans les transports. Attention quand même au bruit de la pluie qui peut provoquer une envie pressante ;-)).

a voir ici.

PS : Les trolls c'est bon, mangez-en !

Cet article merveilleux et sans aucun égal intitulé : Une ambiance nature dans votre téléphone ou votre navigateur pour vous relaxer ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.


Ransomware TeslaCrypt – Le déchiffrement est enfin possible

Mon, 23 May 2016 07:16:38 +0000 - (source)

La société ESET ayant remarqué que le ransomware TeslaCrypt était en fin de vie, ils se sont connectés sur le chat du site de paiement de TeslaCrypt pour demander avec culot aux cybercriminels, la clé universelle (master key) de déchiffrement du malware.

Et c'est avec surprise que ces derniers ont accepté de la donner à ESET, mais aussi de la poster sur leur site (aujourd'hui disparu). C'est une excellente nouvelle. Cela veut dire que si vous avez été frappé par TeslaCrypt et que vous avez conservé votre disque avec les données chiffrées, vous pouvez à nouveau y avoir accès.

Pour cela, il suffit de télécharger cet utilitaire mis en ligne par ESET qui vous permettra de déchiffrer vos fichiers victimes des versions 3.0 à 4.2 de TeslaCrypt.

Comme quoi, c'est toujours utile de garder une copie de ses fichiers chiffrés, on ne sait jamais. Si vous êtes curieux au sujet des ransomwares, je vous invite à lire ces articles et si vous êtes victime d'une de ces saloperies, mais que vous ne savez pas laquelle, allez lire celui-ci.

Source

Cet article merveilleux et sans aucun égal intitulé : Ransomware TeslaCrypt – Le déchiffrement est enfin possible ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.


Powered by VroumVroumBlog 0.1.32 - RSS Feed
Download config articles