Et si demain votre TV se faisait pirater via les ondes ?

Après le gros piratage du vendredi 12 mai 2017, où de grosses sociétés se sont fait rançonner leurs précieux fichiers, ce serait au tour des “Smart TV” de se faire pirater, via un virus injecté par les ondes TV ?

Les Smart TV contiennent un ordinateur embarqué. Ce n’est plus une TV comme celle de papa maman.

Un chercheur équipé d’un émetteur a prouvé pouvoir prendre possession de l’ordinateur se trouvant dans la TV Samsung, et à partir de là, utiliser la TV pour se faufiler plus loin dans le réseau des appareils de la maison. Lisez plutôt (article en anglais)

https://arstechnica.com/security/2017/03/smart-tv-hack-embeds-attack-code-into-broadcast-signal-no-access-required/

… 

The proof-of-concept exploit uses a low-cost transmitter to embed malicious commands into a rogue TV signal. That signal is then broadcast to nearby devices. It worked against two fully updated TV models made by Samsung. By exploiting two known security flaws in the Web browsers running in the background, the attack was able to gain highly privileged root access to the TVs. By revising the attack to target similar browser bugs found in other sets, the technique would likely work on a much wider range of TVs.

“Once a hacker has control over the TV of an end user, he can harm the user in a variety of ways,” Rafael Scheel, the security consultant who publicly demonstrated the attack, told Ars. “Among many others, the TV could be used to attack further devices in the home network or to spy on the user with the TV’s camera and microphone.”

Posted in Informations générales, Internet niouzes, Serveurs | Leave a comment

Piqûre de rappel : alerte aux ransomwares (rançongiciels) ! L’antivirus c’est VOUS !

Ces derniers temps arrivent chaque jour un à plusieurs e-mails, qui ne sont pas détectés par les antispams et antivirus.

Ces messages sont libellés en français et se ressemblent tous. (jusqu’à la prochaine fois)

Ils annoncent pour la plupart une facture non attendue, provenant d’un tiers inconnu.

Ici on a deux variantes: ceux qui contiennent une pièce jointe (par exemple .DOC, .PDF, .JS ou .ZIP) et ceux qui contiennent juste un lien de téléchargement (souvent dropbox)

  1. N’ouvrez pas la pièce jointe.
  2. Ne téléchargez pas la pièce jointe.
  3. Si vous l’ouvrez quand même, et que Windows vous demande d’exécuter quelque chose, refusez.
  4. Enfin faites régulièrement les mises à jour de vos logiciels Windows, Office, Adobe Reader, Flash, Java,  et ceci uniquement depuis les sources autorisées (sites des éditeurs ou mises à jour automatiques).
  5. Ne jamais mettre à jour un lecteur vidéo parce qu’un site vous demande de le faire ! Virus garanti !
  6. Avez-vous une copie de vos fichiers importants en un autre endroit ?

Les rançongiciels ou ransomwares représentent un “marché” juteux. Ne le financez pas !

Voici un exemple d’aujourd’hui:

Réception d’un e-mail que voici:

Faites comme je dis et ne faites pas comme je fais. Ne téléchargez pas le lien.

Celui-ci contient un fichier ZIP. Ce ZIP contient un bout de programme et une image imitant le logo d’authenticité Norton

Le fichier 610625.js contient un logiciel hostile qui n’est pas le virus. Au contraire il va se connecter sur un site internet, télécharger le virus et puis lancer l’exécution.

Ce fichier 610625.js est détecté par un seul antivirus sur 45.

A ce stade donc sachez que l’antivirus c’est vous, et ne prenez pas le risque de voir tous vos documents, photos, et autres dossiers séquestrés contre paiement d’une rançon de 1000€ ou plus, ou même définitivement effacés.

Je répète: avez-vous une copie récente de vos fichiers ? En cas de cambriolage ou d’incendie, cette copie sera-t-elle préservée ?

 

Posted in Informations générales, Internet niouzes | Leave a comment

Belfius: quand une app demande trop de droits

J’ai contacté Belfius par téléphone le 19 avril et par e-mail le 20 avril (directmobile@…)
Apparemment ma question les embête car j’attends toujours une réponse.

Voici la question:

Pourquoi la mise à jour de l’application Belfius Mobile sur Android exige-t-elle le droit d’accéder aux pièces jointes des mails ? en plus de tous les droits qu’elle avait déjà…

Voici la capture d’écran

Update 26 avril: j’ai eu un contact hier soir. Ca va peut-être bouger.

Update: d’après les explications fournies par Belfius: utilisation d’un kit de développement pour envoyer des messages signés par fingerprint ; tests insuffisants n’ayant pas mis en évidence ce problème ; ce kit est probalement la cause de ce message uniquement sous Android 5 ; … Bref je désinstalle l’app. Il n’y aura probablement plus de mise à jour de cet article.

Posted in Informations générales, Internet niouzes | Leave a comment

Les mouchards sont partout autour de nous !

Pas besoin de chercher aussi loin que votre voiture hyper-connectée. Une “simple” machine à café De Longhi Magnifica S ECAM 22.110.B ainsi que toutes les autres de la marque, comptabilisent le nombre de cafés, le nombre de litres de café, le nombre de détartrages effectués.

En cas d’appel au SAV, inutile de faire croire que vous faites un détartrage tous les 50 cafés quand ce n’est pas vrai.

Un jour votre consommation de caféine sera aussi transcrite dans votre dossier médical.

Ces machines coûtent environ 450 euros dans le commerce de détail belge, 278 euros via Amazon (lien) à la date où j’écris cet article.

Pour relever les compteurs il faut être bien informé et avoir les manuels de service ou trouver sur Internet (lien youtube) : allumer la machine en tenant les 2 boutons enfoncés comme indiqué, ensuite les compteurs sortent en comptant d’abord les unités, puis les dizaines, puis les centaines, puis les milliers. Je ne sais pas si la machine explose après 9999 cafés.

 

Posted in Bricolage, Fun, Informations générales | Leave a comment

Scubapro Galileo (Sol, Luna, Terra), SmartTrak, LogTrak, Infrarouge, Uwatec

J’ai commencé la plongée en 2000, et mon premier ordi de plongée était un Aladin Pro, un peu le standard du marché à l’époque où en dehors de Uwatec et Suunto, les rares autres fabricants étaient peu connus dans nos contrées.

Uwatec vendait fort cher un accessoire de connexion, la Memomouse, et j’avais fabriqué un interface série que voici, avec un ampli-op 741, une diode et une résistance.

Associé à cet interface, j’ai utilisé le logiciel Wlog.

J’ai changé d’ordi en optant vers l’Air-Z de la même marque, le logiciel fonctionnait tout aussi bien ; puis il n’y a plus eu de port série sur les PC, il a fallu bricoler ; il y a aussi eu les changements de pile comme celui relaté dans un précédent article.

Je me suis fait plaisir avec l’acquisition du modèle Galileo Sol. Celui-ci communique par infra-rouges ce qui en 2017 est un peu à contre-courant.

En fait c’est tellement exotique que Microsoft a supprimé le support de l’infrarouge dans Windows 10. Mauvaise surprise donc. Une des grosses mises à jour de W10 a réintroduit ce support.

Il faut aussi un adaptateur infra-rouge sur le PC. C’est aussi devenu quelque chose d’inexistant. On fait d’office appel à des adaptateurs USB (“dongle”).

Soit vous achetez celui de Scubapro, bien cher, soit vous faites votre petit marché parmi les autres marques… pour découvrir que quasiment plus personne n’en produit.

Donc si vous ne voulez pas payer 60€ pour un petit truc-bidule USB, dépêchez-vous. J’ai acheté celui de la marque Lindy et il fonctionne. Quelques références: Bechtle Lindy eBay

Quant à la partie software, c’est la jungle totale. Deux logiciels sont fournis: SmartTrak et LogTrak.

SmartTrak m’a l’air le plus abouti des deux, c’est plus convivial. Les logbooks sont enregistrés dans un format non documenté mais qui est une base de données Access avec un mot de passe facilement trouvable sur Internet. Malheureusement ce logiciel qui ne tourne que sous Windows est en cours d’abandon par Scuba. J’en tiens pour exemple le fichier Help qui est compatible avec Windows XP mais pas avec Windows 10, et que Scuba ne fournira pas dans une version rendue compatible.

LogTrak semble être écrit en Java et HSQLDB (un gestionnaire de base de données en mémoire), c’est donc portable sur d’autres plateformes que  Microsoft.
Je lui trouve beaucoup moins de fonctionnalités.
Il ne demande même pas où sauver ses logbooks, et quand on les trouve (dans c:\users\<user>\.jtrak) on ne trouve qu’un fatras d’ordres SQL qui constituent les logbooks ! Quel non-sens.

Subsurface semble être mon futur choix.

J’ai fait un compte-rendu dans plouf.be que je reproduis ci-dessous:

Je ne comprends pas la logique de Scuba avec ses logiciels.
SmartTrak est mieux foutu que LogTrak, à mon avis. (ST, LT dans la suite du texte)
J’ai eu un échange de mails avec le support Scuba (via les US !) parce que la fonction Help de SmartTrak ne fonctionne plus dans Windows10 : format de fichier Help obsolète.
Réponse: il n’est pas prévu de mise à jour. SmartTrak sera abandonné et il restera LogTrak.

J’ai un peu creusé le cambouis et
– les 2 programmes ont des formats de fichier tellement différents que j’imagine mal Scuba proposer une migration de l’un vers l’autre.
– ST utilise un format MS-Access avec un mot de passe que tu peux trouver partout sur internet.
– LT ne demande pas où stocker ses données. C’est boulet quand on a plusieurs PC ou bien qu’on squatte celui d’un ami sur le bateau. Elles paraissent se trouver dans C:\Users\(user)\.jtrak\DB_V4\jtrak.script On y trouve en format SQL toute l’information pouvant composer plusieurs logbooks. Ils semblent avoir utilisé HSQLDB sous Java (https://fr.wikipedia.org/wiki/HSQLDB)
– si vous avez un Galileo et que vous n’avez pas encore acquis un adaptateur infrarouge, dépêchez-vous de le faire. Ca devient rare sur le marché et les Chinois n’en fabriquent apparemment plus.

Concernant le fichier Help il faur récupérer winhlp32.exe d’un Windows XP et ouvrir le fichier help de Scuba.
En tout cas j’ai testé ST et LT il est hors de question que je continue à utiliser cette daube de LT.

Evidemment pour Scuba, c’est plus faciile à supporter, c’est entièrement écrit en Java et il faut un produit qui fonctionne aussi sur mac….

Sinon investigue du côté de divelog.de pour exporter toutes tes plongées ; et jette un oeil sur subsurface où Linus Torvalds a trempé (ses palmes)
Subsurface peut même réimporter ce que tu as mis sur ton compte divelog.de.
Dommage que Subsurface ne semble par lire le Galileo…
(Correction, tu dis à Subsurface que c’est un Aladin 2G par exemple, et comme l’IrDA est vu comme un port série, ça fonctionne !)
 

Posted in Informations générales, Plongée | Leave a comment

Qui possède un compte Yahoo depuis 2013 ou avant ?

En 2013, Yahoo s’est fait pirater à grande échelle. C’est en 2016 qu’on apprend une fuite de données qui se compte en milliards d’enregistrements !

Si vous aviez un compte chez Yahoo à ce moment, vous pouvez considérer que votre mot de passe est exposé sur la place publique.

Depuis quelques semaines, Yahoo force les utilisateurs à changer leur mot de passe.

Ce que Yahoo ne dit pas, c’est que votre mot de passe est cramé, et que si vous utilisez le même mot de passe sur tout autre service ou site web, il faut le changer sans délai.

Yahoo utilise des techniques obsolètes et trouées: pourquoi Yahoo avait tout faux, en plus de se faire pirater ?

Un bon article à lire: I’ve closed my Yahoo account because…

Posted in Informations générales, Internet niouzes | Comments Off on Qui possède un compte Yahoo depuis 2013 ou avant ?

Mots de passes hachés ? Salés ??? (en anglais: hashed, salted)

Les études en cryptographie sont très poussées et nombreuses. Ce n’est pas le but de cet article.

Imaginons que je crée un site web où tous les utilisateurs doivent s’enregistrer, fournir une adresse e-mail et un mot de passe de leur choix.

Si mon site se fait pirater et que ma liste d’utilisateurs est dérobée, je cours une grande responsabilité vis-à-vis de tous ceux qui m’ont confié leur identité et un mot de passe de leur choix. N’oublions pas que madame Michu utilise toujours le même mot de passe partout car c’est pour elle le seul moyen de ne pas l’oublier !

100% stupide: les mots de passe sont enregistrés tels quels dans la liste d’utilisateurs.

99,9% stupide: on va les transformer sous une forme évidente, par exemple en transformant Password en drowssaP ou bien en Qbttxpse. (Avez-vous trouvé ?)

C’est ici qu’interviennent les algorithmes de hashage (du moins bon au meilleur: MD4, MD5, SHA1, SHA2). Ces algorithmes transforment une donnée de n’importe quelle longueur en un résultat de longueur fixe sans aucune corrélation visible.

Voici quelques exemples avec MD5 :

a -> 0cc175b9c0f1b6a831c399e269772661
b -> 92eb5ffee6ae2fec3ad71c777531578f
aa -> 4124bc0a9335c27f086f24ba207a4912
bb -> 21ad0bd836b90d08f4cf640b4c298e7c
?? -> 5f4dcc3b5aa765d61d8327deb882cf99

et ainsi de suite. Mais au fait, que vaut le ?? ci-dessus. Facile, demandez 5f4dcc3b5aa765d61d8327deb882cf99 à Google.

Un bon hash interdit toute collision, de telle manière qu’il soit impossible de trouver deux données différentes qui donnent le même hash. Il doit être imprévisible de savoir ce qui a changé dans la donnée si le hash change, et aucun renseignement ne doit filtrer dans aucun sens. Le hash n’indique pas la longueur de la chaîne d’entrée, ni aucun autre renseignement.

On va se croire un peu plus malin, et enregistrer les hash des mots de passe dans le fichier d’utilisateurs. Quand la personne se connecte et présente son mot de passe, on le hashe, on compare les hash, s’ils diffèrent, le mot de passe présenté est faux.

C’est ce qui est arrivé chez Yahoo qui s’est fait pirater en 2013, et s’est fait dérober un demi-milliard ou deux milliards de comptes, peu importe le nombre exact. Les mots de passe étaient bêtement stockés sous forme hashée MD5.

En fait ça n’offre aucune protection, puisqu’il existe des listes avec des centaines de milliers de mots, courts et longs, figurant ou non dans les dictionnaires, avec leur hash correspondant. Voyez par exemple cette page https://md5db.net/explore/B408 d’un site qui contient 65000 autres pages similaires, toutes indexées par Google et autres outils de recherche.

Si on prend un mot de passe ne figurant dans aucun dictionnaire, et dont le hash est  c53e479b03b3220d3d56da88c4cace20, croyez-vous être plus sûr ? Rien n’est moins sûr car à nouveau quelqu’un y a pensé avant vous ! (L’exemple est le hash de P@$$w0rd)

C’est ici qu’on ajoute du sel. Le sel est un nombre aléatoire, vraiment aléatoire et suffisamment long qu’on va inclure dans le processus.

Pour l’exemple disons que le sel est un nombre entre 0000 et 9999. Au hasard 2016, et le mot de passe “aa”.

md5("aa") -> 4124bc0a9335c27f086f24ba207a4912

Ajoutons du sel et on hache une deuxième fois
md5("20164124bc0a9335c27f086f24ba207a4912")
   -> 66863812d410807765bac7856ef334c2

Et dans ce cas-ci, même pour un mot de passe aussi pauvre que “aa”, Google ne trouve plus aucun résultat pour le hash 66863812d410807765bac7856ef334c2 que nous venons de produire.

Saler les hash est aussi très important: si deux utilisateurs utilisent le même mot de passe, grâce au sel aléatoire, leurs mots de passe hachés n’auront aucune ressemblance.

Je n’ai plus qu’à enregister dans mon fichier d’utilisateurs le sel (2016) et le hash final (66863812d410807765bac7856ef334c2) ; au moment où l’utilisateur se connecte on refait le même processus de hashage, mais on connaît la valeur à utiliser pour le sel et reproduire le même hashage pour vérifier si le mot de passe est correct.

En réalité on prend des valeurs beaucoup plus longues et complexes pour le sel et pour le hashage.

Dans un système Unix/Linux, les mots de passe sont stockés dans un fichier /etc/shadow .

root:~# adduser exemple
Adding user `exemple' ...
...
Enter new UNIX password: secret
Retype new UNIX password: secret
...
Is the information correct? [Y/n]


root:~# grep exemple /etc/passwd /etc/shadow
/etc/passwd:exemple:x:1002:1002:,,,:/home/exemple:/bin/bash
/etc/shadow:exemple:$6$ztDVi3xQ$2KXD9LWl36eVah8lvEpiDBi.Y5SaCuzqr8bFXRNMPPHtxZ5wzOdTLOeB3tDgPZ4zR9lVmEA0e9PAT/1tjfjRP0:17205:0:99999:7:::

Le signe “$” délimite les champs. Par convention $6$ indique qu’on va hasher avec sha-512, un successeur de MD5 plus robuste, et que les champs séparés par “$” sont le sel et ensuite le mot de passe hashé.

On voit aussi que les chaînes de caractères ne sont pas constituées d’hexadécimal (16 catactères possibles, de 0 à 9 et de A à F) mais de base64 (64 caractères possibles de 0 à 9, de A à Z, de a à z, ainsi que / et .) .

Le sel est ici une enfilade de 8 caractères. Ce qui fait 64 ^8 possibilités, soit 281474976710656, ou 281000 milliards de possibilités. En 2016, personne n’oserait imaginer d’enregistrer toutes les 281000 milliards de variantes hashées, de tous les mots du grand Larousse.

Vérifions mon mot de passe ci-dessous:

root:~# mkpasswd -m sha-512 secret ztDVi3xQ
$6$ztDVi3xQ$2KXD9LWl36eVah8lvEpiDBi.Y5SaCuzqr8bFXRNMPPHtxZ5wzOdTLOeB3tDgPZ4zR9lVmEA0e9PAT/1tjfjRP0

 

Posted in Informations générales, Serveurs | 1 Comment

The Useless Box – l’objet inutile par excellence

Toujours chez Banggood, voici mon dernier achat: The Useless Box au prix d’environ 9 €.

L’objet arrive en kit, la partie électrique est déjà assemblée et la boîte est à construire soi-même.

Le boîtier est en acrylique que j’ai choisi de couleur rouge, une feuille de protection est collée sur une face ce qui garantit une finition polie sans la moindre petite griffe après enlèvement de cette feuille.

Les panneaux sont assemblés avec de petites vis et écrous.

L’usinage est de très bonne qualité, j’aurais envie de dire au 1/100è de millimètre.

Voici les photos à différentes étapes du montage, et finalement une vidéo.

img_0474 img_0476 img_0477 img_0480 img_0481 img_0482 img_0483 img_0484 img_0488 img_0489

-> Vidéo

Posted in Bricolage, Fun | Comments Off on The Useless Box – l’objet inutile par excellence

Thermomètre digital Made in China

Chez Banggood pour 3,5€ vous pouvez acheter un thermomètre/thermostat digital précis au 1/10 de degré près.

Lien vers l’article de leur catalogue

Ce thermostat affiche la température et peut commander un appareil de chauffage ou de refroidissement via un relais.

img_0473

Il fonctionne juste comme on s’y attend. On peut même régler l’hystérèse et des temporisations
Il faut prévoir une petite alimentation 12V.

Voici le mode d’emploi:

thermometre-digital-banggood1
thermometre-digital-banggood2Excellent rapport qualité/prix !

Posted in Bricolage | Comments Off on Thermomètre digital Made in China

Etes-vous unique ? Oui ! Pouvez-vous être anonyme ? Heu… Lisez plutôt !

Je vous conseille la visite du site https://amiunique.org (Am I Unique ?) pour y constater que lors de vos périgrinations sur Internet, vous possédez une sorte d’empreinte digitale unique, qui permet à un site de vous suivre (“de vous tracker” comme on dit), et ce, même si vous effacez vos cookies.

Chaque navigateur internet (Firefox, Chrome, Internet Explorer, Safari, …) , lors de chaque connexion vers un site visité, annonce des tas de renseignements sur votre PC. Ce sont des numéros de versions, des listes de plugins, la langue, le décalage horaire, les dimansions de l’écran, etc. L’ensemble de ces caractéristiques vous rend unique.

Qu’un site sache que c’est un utilisateur qui revient (et non pas quelqu’un qui vient pour la 1ère fois) n’est pas nouveau. Il y a déjà les cookies pour mémoriser cela. Comme les gens effacent leures cookies et que les annonceurs (friands de “tracking”) ne veulent pas lâcher leur proie, et sont passés aux super-cookies enregistrés derrière votre dos par Adobe Flash. Si vous avez coché l’option par laquelle Flash doit demander la permission avant de fonctionner, ça ne vous a jamais perturbé qu’autant de sites sans animation Flash visible vous demandent néanmoins de pouvoir activer Flash ?

A partir du moment où c’est une agence de publicité qui vous “tracke” et non tel site A ou B, cette agence de pub qui place des espaces publicitaires sur de nombreux sites peut croiser les résultats (c’est le même utilisateur belge francophone qui va voir Les 3 Suisses et La Redoute) et si le site transmet des infos précises (Les 3 Suisses informent que je cherche des chaussettes noires), voilà de quoi remplir le Big Data.

Le plus gros annonceur est Google, rappelez-vous. Et il sait “mieux que vous” quels sont vos centres d’intérêt…

Démonstration:

– on fait une recherche Google. On s’intéresse à des chaussettes noires (donc Google le sait) et on va examiner le 1er des résultats fournis. En passant la souris sur le lien retourné on voit apparaître une adresse sur le site 3suisses.fr

amiu1amiu1c
– On fait un clic-droit sur ce lien pour le sauvegarder

amiu3

– Le lien est “par magie” devenu une adresse “google.be” et non plus “3suisses.fr”

amiu2amiu2c
– La preuve: quand on le colle dans la barre d’adresses c’est bien un lien vers Google qui veut absolument savoir sur lequel des résultats vous avez cliqué. Il en prend note et vous renvoie vers les 3 Suisses.

amiu4C’est ainsi que Google sait quelles sont les réponses qui ont le plus de succès parmi celles présentées, mais aussi qui a cliqué sur quoi. Même si vous avez fait un logoff de votre compte Google/Gmail/Google+.

Avec les outils standards, non il n’y a pas d’anonymat. Essayez avec le mode “Private” de votre navigateur, et ce n’est pas mieux.

Posted in Informations générales, Internet niouzes, Serveurs, Utilitaires | Comments Off on Etes-vous unique ? Oui ! Pouvez-vous être anonyme ? Heu… Lisez plutôt !