Mettre à jour le plugin Flash sous Debian

J’ai récemment eu un petit problème avec Flash, Youtube m’avertissant que le plugin Flash n’était pas à jour !

Vous pouvez vérifier que vous avez la dernière version :
# update-flashplugin-nonfree --status
Flash Player version installed on this system : 11.2.202.406
Flash Player version available on upstream site: 11.2.202.425

En effet, une nouvelle version de Flash est disponible et fixe des problèmes de sécurité dont notamment le CVE-2014-9163 déjà en cours d’exploitation en décembre.

Vous pouvez mettre à jour par cette commande en root:
# update-flashplugin-nonfree --install

Il faudrait vraiment que le plugin Flash se mette à jour tout seul sous Debian à chaque nouvelle version d’Adobe !

J'aime(2)Ferme-la !(2)

Générer un mot de passe aléatoire avec OpenSSL

Parfois, on a besoin de générer un mot de passe aléatoire complexe.

Se pose alors la question comment en trouver un?
Oubliez la méthode de la frappe au hasard sur le clavier. C’est chiant et vous y verrez des motifs récurrents (genre « sdfsdf » :D).

Rien de plus simple avec OpenSSL. Par exemple, pour générer un mot de passe de 8 caractères :

$ openssl rand -base64 8 | cut -c 1-8
Q+0F+Hwb

Notez que ca doit marcher sous MacOS aussi.

Autre solution encore plus pratique, en utilisant la commande mkpasswd contenu dans le paquet whois. (appuyez juste sur entrée quand vous demande le Password :

$ mkpasswd
Password:
KELshv5A8StGo

Par défaut le mot de passe fait 13 caractères ce qui me semble robuste.

J'aime(2)Ferme-la !(0)

Transférer facilement ses fichiers avec une ligne de Python

Imaginez que vous devez partager un fichier de quelques Go avec quelqu’un qui est sur le même réseau Wifi que vous.

Votre PC est sous WindowsXP (lol) et l’autre sous un OS bizarre.

Pas de clé USB assez grande, pas de logiciel de transfert multiplateforme… Hum!

Installez Python sur votre machine, et lancez la commande suivante depuis le dossier que vous voulez partager:

  • Si vous avez Python2 : python2 -m SimpleHTTPServer 8080
  • Si vous avez Python3 : python3 -m http.server 8080

Ca va lancer un serveur web sur sur votre ordinateur qui partage tous les fichiers contenus dans le dossier d’où vous avez lancé python.

Vous pouvez y accéder depuis votre navigateur web à l’adresse http://0.0.0.0:8080 en local.
Remplacez 0.0.0.0 dans l’adresse par l’adresse IP réseau(wifi) de l’ordinateur partageant les fichiers (ex:http://192.168.0.4:8080) et communiquez celle-ci à l’autre ordinateur. Il devrait normalement pouvoir y accéder aussi depuis son navigateur web et télécharger vos fichiers.

Dès que vous arrêtez le programme python, le serveur s’arrête et vous ne partagez plus rien. Attention à ne pas lancer cette commande depuis n’importe où sous peine de partager tout le contenu de son ordinateur. Attention aussi au fait que tout le monde sur le réseau peut télécharger les données partagées dès lors qu’il connaît l’adresse.

Mais ça peut bien dépanner pour partager un film, de la musique ou des bricoles depuis un vieux PC.

J'aime(4)Ferme-la !(0)

Panopticon

Le panopticon est un type d’architecture carcérale imaginée à la fin du XVIIIe siècle. L’objectif de la structure panoptique est de permettre à un gardien, logé dans une tour centrale, d’observer tous les prisonniers, enfermés dans des cellules individuelles autour de la tour, sans que ceux-ci puissent savoir s’ils sont observés. Ce dispositif devait ainsi créer un « sentiment d’omniscience invisible » chez les détenus.

L’historien et philosophe Michel Foucault reprend le concept du Panopticon, en 1975, dans Surveiller et punir :

« Le vrai effet du Panopticon, c’est d’être tel que, même lorsqu’il n’y a personne, l’individu dans sa cellule, non seulement se croie, mais se sache observé. (…) Pas besoin d’armes, de violences physiques, de contraintes matérielles. Mais un regard qui surveille et que chacun, en le sentant peser sur lui, finira par intérioriser au point de s’observer lui-même : chacun, ainsi, exercera cette surveillance sur et contre lui-même. » […]


L’intérieur de la prison Presidio Modelo, à Cuba, construite sur le modèle du panoptique

C’est le même effet, à mon avis, que créent les croyances religieuses ou la surveillance électronique de masse.

J'aime(3)Ferme-la !(1)

Changer son adresse MAC

L’adresse MAC est un identifiant physique stocké dans votre carte réseau. Elle ressemble à ceci :

5E:FF:56:A2:AF:15

Elle est définie par le fabricant de votre carte réseau parmi les 248 (environ 281 000 milliards) d’adresses MAC possibles et donc unique au monde. C’est pourquoi on l’appelle souvent « adresse physique » car elle identifie de façon unique votre ordinateur.

Cette adresse est utilisée pour vous assigner un IP fixe, filtrer votre connexion réseau, vous traquer, lier une licence logicielle à votre ordinateur, ou vous donner seulement 15 minutes gratuites de wifi dans les aéroports…

Mais on peut la changer logiciellement. Sous linux, avec le logiciel macchanger vous pouvez générer une nouvelle adresse MAC de cette façon, en root dans un terminal :

# macchanger -A eth0

Remplacer eth0 par l’interface réseau qui vous intéresse: wlan0 pour le wifi par exemple.

Pour revenir à votre adresse MAC d’origine:

# macchanger -p eth0

J'aime(8)Ferme-la !(0)

L’Etat allemand va acheter des failles 0-day

Der Spiegel, dit avoir pris connaissance, au travers de documents secrets que le Service d’information Allemand (Bundesnachrichtendienst ou BND) a maintenant un budget de 4,5 millions deuros pour acheter des failles 0-day au marché noir pour craquer SSL et ainsi espionner ses citoyens.

Tout va bien. Ne paniquez pas.

D’un coté, ça prouve que SSL est assez sûr (si on ne fait pas confiance aux autorité de certification :D)

De l’autre, ça fout les boules sur la volonté de tous ces gouvernements de maîtriser leur population (NSA, DCRI, BND, ils font tous la même chose)

Est-ce que Vupen, fournisseur de 0-day, participera à cette entreprise de domination des masses?

 

J'aime(1)Ferme-la !(0)

Récupérer en clair tous les mots de passe Firefox avec un script Python

Firefox-Password-Recovery-MasterSaviez vous qu’il est relativement facile de récupérer en clair la liste des vos mots de passe Firefox si on accès à votre /home ?

Et bien regardez ce que fait ce le script python « ffpassdecrypt ».

Il a simplement besoin des fichiers key3.db, signons.sqlite et cert8.db

N’importe quel programme lancé avec vos droits utilisateur pourrait donc subtiliser vos mots de passe.

J'aime(3)Ferme-la !(0)

Corée du Sud : la surveillance provoque un exode de Kakao vers Telegram

En Corée du Sud, l’annonce de mesures répressives contre le réseau Kakao Talk pour en extirper des messages agressifs à l’encontre de la présidente du pays, Park Geun-hye, a eu d’intéressantes conséquences. Moins d’un mois plus tard, une partie des utilisateurs de cette application a littéralement fui pour adopter une concurrence proposant des sessions protégées de messagerie : Telegram.

La situation rend en tout cas Telegram relativement heureuse. Markus Ra, de l’équipe du support technique, a ainsi indiqué à The Verge : « Les gens viennent fréquemment vers Telegram à la recherche d’une sécurité supplémentaire, certains d’entre eux depuis des pays ayant des problèmes de censure. Ce qui nous rend particulièrement heureux, c’est que les utilisateurs restent après que les scandales de vie privée ont disparu ».

Bon Telegram est une application libre mais dépendants de serveurs opaques qui peuvent potentiellement déchiffrer les messages transmis. Donc un remake du scénario de 2010 où BBM a livré les messages de ses utilisateurs à l’Angleterre lors des attentats du métro à Londres est plausible.

Mais cela montre que lorsque la pression monte, les utilisateurs font le pas. Et que comme trop souvent, une fois le logiciel dans les moeurs par la masse, il reste. Allez, une petite backdoor imposée à Microsoft par les US et on passe tous sur Linux :)

Source PCinpact

J'aime(1)Ferme-la !(0)

Finfisher, l’outil d’intrusion allemand

Finfisher est une société qui vent des outils d’intrusion (en gros des virus, malware et autres outils de piratage) avec l’aval du gouvernement Allemand. Grâce à leur gamme de logiciels, décrits dans ce document, les acheteurs peuvent envoyer une demande d’installation de malware à un utilisateur (SMS proposant une mise à jour sur un téléphone, email avec pièce jointe executable, demande d’installation d’un faux plugin Firefox, insertion d’un applet java dans une page web, modification de mise à jour en ligne pour Mac OSX, etc…). Ce malware, non détecté par la plupart des antivirus, va permettre d’espionner intégralement le PC à distance.

De ce je comprends des docs, les méthodes employées sont connues :

  • envoi d’une mise à jour pour un logiciel. Si le logiciel ne fait pas de vérification de signature pour s’assurer que le contenu de la mise à jour provient bien de l’éditeur et n’a pas été altérée, c’est bingo.
  • pièces jointes exécutable dans les mails, en utilisant l’écriture inversée utf-8 pour masquer le « .exe »
  • infection du MBR du disque dur principal en bootant sur une clé USB. Utile pour récupérer les clés de chiffrement.
  • copie de l’intégralité de la RAM du pC et déblocage d’une session Windows/Mac/Linux par le port Firewire.
  • interception SSL (surement avec un certificat installé par le malware)
  • copie des mots de passes stockés dans le navigateur web

Ce qui est plus inquiétant, c’est qu’une une entreprise ou l’état Belge aurait acheté pour 500’000€ de licences à Finfisher qui semblent toujours actives. On peut savoir pour quoi faire?

On prend un risque très fort à vouloir garder des failles ouvertes pour espionner les autres sans craindre de se faire espionner soi même.

 

J'aime(2)Ferme-la !(0)

La vidéoconférence par WebRTC est elle sécurisée?

Actuellement, le schéma WebRTC actuellement proposé par moult sites web comme Talky.io, vLine etc… est similaire. C’est le serveur web qui est responsable de la première mise en relation des clients et de leur authentification.

Le premier utilisateur rejoint une « salle » identifiée par une URL et chaque client qui se connecte à cette URL se joint à la « salle » de visioconférence.

Cela pose un problème de sécurité. Qu’est ce qui m’assure que :

  • le serveur web ne va pas s’interposer entre les clients pour enregistrer toutes les conversations? (il s’assurer que l’IP d’échange de données est bien celle de chaque correspondant)
  • qu’un client caché n’est pas aussi présent dans la salle? (il faudrait vérifier et comprendre le code source livré par le site web à chaque exécution)
  • que mon correspondant ou moi-même ne sommes pas l’objet d’un MITM sur un nœud de connexion réseau. Par exemple, un routeur de mon FAI ou de mon réseau local pourrait relayer la vidéo.

Ces problèmes sont présents actuellement dans les services proposés au grand public. Je vous invite à lire cet article : WebRTC Security – an overview & privacy/MiTM concerns (including a MiTM example) pour aller plus loin sur le sujet.

J'aime(0)Ferme-la !(0)