Madchat

Un post assez rapide pour vous parler d’un site des plus utiles quand vous vous intéressez de près ou de loin à la sécurité informatique (j’ai l’impression que j’ai déjà dit un truc comme ça moi…).

Il s’agit de Madchat, un site (ou plutôt un dépôt)  qui vous propose de télécharger un peu tout ce qui a rapport avec la sécurité.

Que vous vous intéressiez à la cryptographie à l’administration système (Linux ou Windows)  ou à plein d’autres choses vous y trouverez votre bonheur.

Il fournit également de très bons emags, du plus ancien à de l’un peu plus récent, un seul regret, le fait que ne s’y trouvent pas Hackademy Magazine ni HZV Magazine des très bons HackerzVoice (oui encore eux) et que vous trouverez sur leur site. Je recommande également d’aller faire un tour dans leur cave.

Et en parlant de magazines je vous propose également l’excellent 42 plein d’insolites geekesques à tendance très WTF.

Publicités
Catégories :Sécurité Étiquettes : ,

Moteurs de recherche et vie privée

23 juin 2010 2 commentaires

À l’heure de twitter, facebook et autres google, le respect de la vie privée devient un thème de plus en plus abordé avec par exemple de beaux graphiques montrant l’évolution de la considération de notre bien aimée vie privé par facebook.

Mais si après tout nous choisissons ce que nous mettons sur notre facebook, en toute connaissance de cause (je ne parle pas ici de la photo de vous en train de vous ridiculiser après une soirée bien arrosée, mise par l’un de vos si sympathiques amis), il en va tout autrement de la plupart des moteurs de recherches. Pour le démontrer il suffit de prendre l’exemple de Google qui peut sans trop de soucis associer votre adresse IP avec l’ensemble de vos recherches, phénomène encore accentué si vous possédez un compte mail chez eux, puisqu’alors il aura accès à des informations plus privées sur vous.

Donc Google (entre autres, je ne tiens pas à stigmatiser Google tout particulièrement, Yahoo! et autres Bing devant faire relativement la même chose, mais je préfère parler de ce que je connais mieux) peut savoir que Mme A aime les films pornographiques suédois, que M. B à l’intention de s’acheter une piscine et que M. C est passionné de photographie sportive.

D’ailleurs si vous voulez lire un article assez intéressant sur le sujet, je vous conseillerais celui-ci :

Google, the leading Internet search engine, automatically collects its users’ search terms in connection with their IP addresses. Google states that, after collection, it retains the personally identifiable information for 18 months, and then « anonymizes » the data linking search terms to specific IP addresses by erasing the last octect of the IP address.

On December 17, 2008, Yahoo announced that it would erase the last octect of the IP address after 90 days. The search engine company previously retained the data for for 13 months.

Microsoft makes search query data anonymous after 18 months by permanently removing cookie IDs, the entire IP address and other identifiers from search terms.

Fort de ce constat, certains ont décidé de se distinguer comme des moteurs de recherche que « respectent votre vie privée » (je tiens d’ailleurs à rappeler que le mode de navigation privée de Firefox ne va en rien dans ce sens, seul votre ordinateur ne gardera aucune trace de votre passage).

Je vais vous parler ici de deux d’entre eux, tout d’abord Ixquick, qui vous l’annonce d’ailleurs de manière très visible sur sa page d’accueil :

  • Ixquick Protège Votre Vie Privée !
  • le moteur de recherche le plus confidentiel au monde.

Derrière ces annonces aguicheuses, qu’en est-il vraiment ?

Tout d’abord ce qu’il faut savoir c’est que ixquick n’est pas un moteur de recherche en tant que tel, mais plutôt un méta moteur, c’est à dire qu’il va chercher ses résultats dans les autres moteurs de recherche. De cette façon vous ne donnez votre adresse IP associée à une recherche qu’à un seul moteur de recherche tout en bénéficiant des résultats de l’ensemble d’entre eux. Depuis janvier 2009 ixquick n’enregistre plus les adresses IP. Il n’utilise les cookies qu’à des fins de conservation de la configuration du moteur de recherche, lesquels sont périmés au bout de 90 jours. Il propose également de multiples services destinés à la protection de la vie privée telle que la navigation en https, et il peut également faire office de serveur mandataire (qui ne supporte cependant pas le javascript pour des raisons de sécurité). Il est également l’un des rares à utiliser la méthode POST au lieu de la méthode GET (les termes de la recherche ne sont pas dans l’URL donc plus difficile pour les outils de statistique de savoir la recherche que vous avez effectuée pour arriver sur un site).

Vous pourrez trouver toutes les informations concernant leur traitement de la vie privée ici lecture fort intéressante mais qui ressemble un peu trop à de la propagande à mon goût, un peu plus de finesse dans le propos aurait plus correspondu avec le message qu’ils veulent faire passer, mais bon je ne suis pas un pro de la comm’, ils doivent savoir mieux que moi ce qu’ils font.

En face de ce qui m’a semblé être un mastodonte en matière de vie privée se place un autre moteur de recherche pour vous protéger, j’ai nommé Yauba. Yauba est un vrai moteur de recherche, dont la seule prétention est de respecter votre vie privée et qui se targue d’avoir la plus courte politique de confidentialité de tous les grands services internet dans le monde. Je vous la retranscrirai donc ici dans son intégralité :

Nous ne conservons aucune information qui vous identifie personnellement. Point final.

Oui, c’est aussi simple que ça, une promesse simple, ce moteur de recherche n’essaie pas d’en faire des tonnes, et personnellement je trouve que ce n’est pas forcément plus mal. Dans la pratique cela se traduit par

  • pas de cookies (aucun, même pas pour la configuration, il n’y a pas de configuration)
  • pas d’informations personnelles enregistrées
  • pas d’informations personnelles transmises aux sites tiers lors de la navigation.

Après libre à vous de choisir votre moteur de recherche, personnellement j’opterai pour Yauba dont les résultats présentés sous forme de concepts m’a bluffé (je vous laisse la découvrir par vous-même, son explication n’ayant rien à faire dans cet article), j’utiliserais peut être de temps en temps Ixquick pour sa fonction de serveur mandataire, mais j’avoue que sa politique de confidentialité sous forme de propagande m’a pas mal rebuté ce qui est dommage parce que les services proposés sont vraiment intéressants. Mais je ne vous cache pas que malgré tout ça je reste attaché à Google, principalement pour Gmail et Greader, deux services dont je ne peux plus vraiment me passer, n’ayant pas encore trouvé d’alternative prenant grâce à mes yeux.

Catégories :Sécurité, Test Étiquettes : , ,

Tout ce que vous avez toujours voulu savoir sur le café…

… sans jamais oser le demander.

Comme beaucoup de monde (oserais-je dire de geek sans tomber dans le stéréotype ?) je bois du café, voici une infographie qui nous en apprend un peu plus sur cette boisson (drogue ?) aux multiples effets.

15 Things about Coffee
[Source: Homeowners Insurance]

J’ai personnellement appris quelques trucs en lisant ça, comme le fait que le café nous faisait nous sentir plus heureux en augmentant notre niveau de dopamine.

Mais comme il est rappelé, cette boisson doit être consommée avec modération (avouez, vous en connaissez tous un qui s’appelle comme ça) puisqu’elle cause une dépendance physique et qu’une overdose peut être mortelle, même si la probabilité d’ingurgiter 100 tasses de café en 4heures est à peu près aussi grande que celle de manger un bol entier de pépins de pommes (qui vous causerait une attaque cardiaque à coup sûr).

Catégories :IRL Étiquettes :

Le pare-feu OpenOffice (via Pollux’s Blog)

17 juin 2010 3 commentaires

Une information que je ne pouvais décemment pas laisser passer, enfin l’arrivée de ce logiciel que Mme Albanel nous avait tant vanté, et que tous devraient installer pour se prémunir contre le téléchargement illégal.

Et ne vous y trompez pas ce n’est en rien un faux pare-feu qui y ressemble seulement et fait que pour la blague, celui-ci est pleinement fonctionnel qui affiche de beaux graphiques en pour montrer les paquets droppés/acceptés.

Pour les spécificités techniques, je vous laisse lire la source. Je mettrais juste le schéma descriptif de la solution :

A savoir cependant que cette solution est d’une grande lenteur (une dizaine de paquets par seconde selon l’auteur) mais ce n’est pas cela qui va nous arrêter dans notre lutte perpétuelle contre le piratage, n’est-il pas ?

Donc pour les plus intéressés d’entre-vous, pour le téléchargement ça se passe par ici. Et si vous pouvez y ajouter quelques fonctionnalités, ça n’en sera que mieux

Catégories :Humour, Sécurité Étiquettes : ,

Korben victime d’une attaque DDoS (via Journal du Hack)

Je précise que d’après les dernières infos tirées sur le forum, l’attaque est toujours en cours mais le serveur semble résister.
Toujours est-il que pendant un long moment le blog et le forum étaient inaccessibles, de quoi effrayer tous les adeptes (dont je commence doucement à faire partie)

Korben victime d'une attaque DDoS Korben a été victime d’une attaque DDoS hier (mardi 15 juin 2010). Deux questions: Qui en est l’auteur, et pourquoi? -Le gouvernement pour ses propos sur Waka? -Le sénateur Masson pour ses propos sur les dires du politique sur l’anonymat des blogueurs? -Orange pour se venger du billet à propos du célèbre failware? Heureusement Korben a les compétences pour faire face. J’espère que ça ne va pas le démotiver car ça prouve que se qu’il publie à un i … Read More

via Journal du Hack

Catégories :Sécurité Étiquettes : ,

Bonjour la vuln

Juste un petit post pour vous faire part de la mise en ligne très récemment d’un nouveau site, surfant sur la vague des Bonjour Madame, Bonjour Poney, Bonjour Serveur, je vous présente Bonjour la Vuln.

Créé par Hackerzvoice, co-organisateur de la nuit du Hack, ce site se propose de vous montrer tous les jours un screenshot d’une vulnérabilité. Il vient de débuter donc pour le moment pas beaucoup d’archives mais le concept me semble assez sympa, en espérant qu’il reste dans la même veine que celle d’aujourd’hui.

Je ne saurais que trop vous conseiller de lire le HZV Magazine, et Hackademy Magazine, mais aussi de farfouiller dans leur cave où peu trouver une grosse quantité de choses très intéressantes pour qui s’intéresse de près ou de loin à la sécurité informatique.

Edit : il semblerait que Bonjour la vuln n’existe plus, il n’aura pas résisté très longtemps, c’est bien dommage

Catégories :Sécurité Étiquettes : , ,

Test ZenWalk

ZenWalk est une distribution GNU/Linux historiquement basée sur Slackware et utilisant le gestionnaire de paquet Netpkg, qui fournit les principales fonctionnalités d’APT (utilisé par Debian et ses dérivés).

Il utilise l’environnement XFCE pour une volonté de légèreté, je ne suis parsonnellement pas très fan mais bon pourquoi pas…

En tout beaucoup de bonnes choses sur le papier, une volonté d’être user-friendly, voyons donc ce que ca donne réellement.

Pour info, pour ce test, comme pour tout mes tests suivants, j’utilise VirtualBox tout fraichement sorti des dépôts d’Ubuntu 10.04, sans configuration particulière, et en allouant à la machine un disque de 8G, ainsi que 512M de RAM.

L’installation s’est déroulée sans aucun problème, rien de bien particulier à signaler, pour ceux qui se posent des questions le manuel sur le site officiel est très bien fait. Vous pouvez créer des utilisateurs dès l’installation, ce qui est assez bien fait, celà évite le adduser dès le premier démarrage. À noter que l’installateur propose de prendre les paquets sur le CD ou sur un répertoire du disque et ne permet pas de les prendre directement depuis un serveur, ce qui permettrait d’être à jour dès l’installation.

Lors du premier redémarrage on tombe donc sur un classique gdm qui laisse la place à un tout aussi classique XFCE (je vous ai déjà dit que j’aimais pas?) totalement fonctionnel. Je décide donc de tester la rapidité de la chose en lancant le navigateur web (Firefox en l’occurence), un message d’erreur m’annonce que suite à une erreur d’entrée sortie, le logiciel ne peut se lancer. J’essaie donc de lancer d’autres applis pour savoir d’où peut venir le problème, le reste se lance sans aucun soucis (pidgin, transmission… ), le problème viendrait donc de Firefox himself.

La première solution à ce problème (enfin celle qui me semble la plus logique) est la mise à jour. Après un petit passage par le man e Netpkg, j’apprend que pour la mise à jour un simple

netpkg upgrade

suffit pour mettre la distribution à jour. Ce que je m’empresse donc de faire. Le CD récupéré étant assez ancien, cette mise à jour me prend pas mal de temps, et se termine par des messages fort peu explicites concernant les fichiers de configuration

would you like to mv xxx/xxx/xxx.conf to ?

1) see diffs

2) yes

3) no

4) delete

(je vous le fait de mémoire, je ne l’ai plus devant les yeux). Je me dis que la meilleure solution est le yes (je n’ai pas encore touché aux fichiers de conf, je n’ai donc rien de particulier à garder, et je fais assez confiance aux développeurs pour nous en avoir pondu de très bon). D’ailleurs à ce propos, les gens qui ont développé ce genre de choses n’ont pas pensé à ceux qui utilisent un portable avec une bète config en azerty, parce que devoir taper shift + 2 pour les 20 fichiers de conf qu’on doit mettre à jour, c’est vraiment pas très pratique, d’autant plus qu’à la fin on ne fait plus vraiment attention à ce que l’on fait. Et suite à ça quelle ne fut pas ma surprise de voir défiler un certains nombre de segmentation fault suivis d’un retour sur prompt.

Un second lancement de la commande de mise à jour me redemande de confirmer pour exactement les même fichiers de conf et me renvoie exactement les mêmes segfault, peu importe la réponse donnée. Je me décide donc à redémarrer la machine, voir ce que ça donne (oui je sais, mauvais habitude de Windows), donc hop déconnexion, premier mauvais signe tous les lettres de tous les messages sont remplacés par de magnifiques petits carrés… pas très compréhensible du coup le message d’erreur qui s’affiche. De toute façon pas trop le choix, un seul bouton, je clique dessus, la machine redémarre. Au redémarrage, le clavier est repassé en qwerty (alors qu’il était en bon vieux azerty après l’install) et le GDM est… comment dire… moche… Tout est ratatiné, illisible, un peu comme si j’étais dans une très mauvaise résolution, ce qui n’était pas le cas. J’entre login/mdp ils sont acceptés mais rien ne se passe, pas de lancement de XFCE.

Redémarrage brutal de la machine (pas le choix je n’ai plus le contrôle) , le boot commence bien jusqu’à un message me demandant de choisir le runlevel… Hummm bizarre, jamais été face à un tel message. Bon je tente le 3…

INIT  : entering runlevel : 3

INIT : no more processes left in this runlevel

Et toujours le même message pour les runlevels 1 et 5 (pas testé les autres).

Conclusion : ZenWalk, une distribution qui se veut user friendly, et il est vrai que l’installation est vraiment très simple et le système assez fonctionnel avec toutes les applications qu’il faut de base (voire même un peu trop).

Mais voila soit je n’ai vraiment pas eu de chance, soit il y a effectivement quelques problèmes de stabilité. Et il me semble aussi dommage pour une distrib qui se veut grand public, il soit recommandé de faire les mises à jour en console.

Je n’ai pas eu le temps de tester XNetPkg, l’installateur graphique,mais aux vues de quelques screenshots, il me semble nettement moins complet que le Synaptics d’Apt. Et notamment pas la possibilité d’afficher les paquets par catégorie, ce qui est la fonction que j’utilise le plus sous Synaptics.

Donc je dois avouer que cette première expérience ne me pousse pas trop à remettre ca avec cette distribution, même s’il est possible qu’elle possède de nombreux avantages.

Catégories :Linux, Test Étiquettes : ,