Je casse, tu paies

La dernière guerre Israélo/palestinienne a fait 2 100 morts dans la bande de Gaza – essentiellement des civils – et 73 côté israélien, des soldats pour la quasi-totalité.

Et maintenant les citoyens de l’Union européenne vont dépenser 450 millions d’euros pour rebâtir en Palestine, sans broncher.

On se fout pas de notre gueule?

J'aime(5)Ferme-la !(0)

Debian Jessie permet de choisir son environnement de bureau à l’ installation

L’installeur de la prochaine Debian (8) permet de choisir choisir son environnement de bureau dès l’étape d’ installation.

Cela permet de beaucoup simplifier l’installation de Debian avec son environnement préféré. Sur Debian 7, il faut installer l’environnement de bureau par défaut, installer l’environnement de bureau désiré, puis désinstaller l’environnement de bureau par défaut. Cela est un frein pour les débutants et inutilement compliqué.

Cela permet aussi de limiter le besoin de fragmentation de la distribution comme ce qu’on voit avec Ubuntu (Gnome), Xubuntu (XFCE), Kubuntu (KDE), Lubuntu (LXDE), etc…

Les environnements de bureau proposés à l’installation sont :

  • Gnome
  • Xfce
  • KDE
  • Cinnamon
  • MATE
  • LXDE

jessie1

J'aime(13)Ferme-la !(0)

HADOPI est toujours là, et partie pour rester

Fleur Pellerin l’a annoncé mardi dans les colonnes du Monde : elle n’entend ni supprimer la Hadopi, ni transférer ses compétences au Conseil supérieur de l’audiovisuel (CSA), comme cela avait été imaginé par le rapport Lescure puis promis par Aurélie Filippetti. En clair, l’institution en charge de la riposte graduée n’est pas prête de disparaître.

La nouvelle ministre de la Culture a également insisté sur le fait que la priorité était « la lutte contre la contrefaçon commerciale, et notamment le renforcement des moyens juridiques et policiers contre les plates-formes de piratage, en partenariat avec les institutions européennes et judiciaires ».

On pouvait déjà lire cette intention dans la lettre que François Hollande avait écrite à l’ALPA à la veille de son élection.

je vous invite à visiter le site web de l’ Association de Lutte Contre la Piraterie Audiovisuelle , c’est l’avenir du contenu.

 

J'aime(3)Ferme-la !(0)

Chrome donne tous vos mots de passe à Google

En utilisant le navigateur Google Chrome et en vous connectant à votre compte Google avec Chrome (« Menu » / « Se connecter à Chrome… »), Google synchronise par défaut les données du navigateur avec son cloud.

Cela comprend les favoris, l’historique et l’ensemble des mots de passe mémorisés localement. C’est utile pour récupérer ou partager ses préférence entre plusieurs appareil mais pourquoi donc cela est-il fait sans chiffrement, de telle sorte que Google, et tous les services qui en demandent l’accès NSA, etc.. aient un accès tout trouvé à vos secrets, accès et historique de navigation?

Je vous conseille d’utiliser plutôt la solution de Mozilla Firefox  appelée « Sync » qui fait la même chose (sauvegarde dans le cloud et partage de votre historique, favoris et mots de passe entre appareils) mais de telle sorte que vous seul puissiez en connaître le contenu.

Enfin, on savait déjà l’appétit de Google pour vos infos personnelles. Chrome n’est qu’un moyen pour leur core business, il ne faut pas l’oublier.

J'aime(13)Ferme-la !(1)

Finfisher, l’outil d’intrusion allemand

Finfisher est une société qui vent des outils d’intrusion (en gros des virus, malware et autres outils de piratage) avec l’aval du gouvernement Allemand. Grâce à leur gamme de logiciels, décrits dans ce document, les acheteurs peuvent envoyer une demande d’installation de malware à un utilisateur (SMS proposant une mise à jour sur un téléphone, email avec pièce jointe executable, demande d’installation d’un faux plugin Firefox, insertion d’un applet java dans une page web, modification de mise à jour en ligne pour Mac OSX, etc…). Ce malware, non détecté par la plupart des antivirus, va permettre d’espionner intégralement le PC à distance.

De ce je comprends des docs, les méthodes employées sont connues :

  • envoi d’une mise à jour pour un logiciel. Si le logiciel ne fait pas de vérification de signature pour s’assurer que le contenu de la mise à jour provient bien de l’éditeur et n’a pas été altérée, c’est bingo.
  • pièces jointes exécutable dans les mails, en utilisant l’écriture inversée utf-8 pour masquer le « .exe »
  • infection du MBR du disque dur principal en bootant sur une clé USB. Utile pour récupérer les clés de chiffrement.
  • copie de l’intégralité de la RAM du pC et déblocage d’une session Windows/Mac/Linux par le port Firewire.
  • interception SSL (surement avec un certificat installé par le malware)
  • copie des mots de passes stockés dans le navigateur web

Ce qui est plus inquiétant, c’est qu’une une entreprise ou l’état Belge aurait acheté pour 500’000€ de licences à Finfisher qui semblent toujours actives. On peut savoir pour quoi faire?

On prend un risque très fort à vouloir garder des failles ouvertes pour espionner les autres sans craindre de se faire espionner soi même.

 

J'aime(1)Ferme-la !(0)

La vidéoconférence par WebRTC est elle sécurisée?

Actuellement, le schéma WebRTC actuellement proposé par moult sites web comme Talky.io, vLine etc… est similaire. C’est le serveur web qui est responsable de la première mise en relation des clients et de leur authentification.

Le premier utilisateur rejoint une « salle » identifiée par une URL et chaque client qui se connecte à cette URL se joint à la « salle » de visioconférence.

Cela pose un problème de sécurité. Qu’est ce qui m’assure que :

  • le serveur web ne va pas s’interposer entre les clients pour enregistrer toutes les conversations? (il s’assurer que l’IP d’échange de données est bien celle de chaque correspondant)
  • qu’un client caché n’est pas aussi présent dans la salle? (il faudrait vérifier et comprendre le code source livré par le site web à chaque exécution)
  • que mon correspondant ou moi-même ne sommes pas l’objet d’un MITM sur un nœud de connexion réseau. Par exemple, un routeur de mon FAI ou de mon réseau local pourrait relayer la vidéo.

Ces problèmes sont présents actuellement dans les services proposés au grand public. Je vous invite à lire cet article : WebRTC Security – an overview & privacy/MiTM concerns (including a MiTM example) pour aller plus loin sur le sujet.

J'aime(0)Ferme-la !(0)