Qui possède un compte Yahoo depuis 2013 ou avant ?

En 2013, Yahoo s’est fait pirater à grande échelle. C’est en 2016 qu’on apprend une fuite de données qui se compte en milliards d’enregistrements !

Si vous aviez un compte chez Yahoo à ce moment, vous pouvez considérer que votre mot de passe est exposé sur la place publique.

Depuis quelques semaines, Yahoo force les utilisateurs à changer leur mot de passe.

Ce que Yahoo ne dit pas, c’est que votre mot de passe est cramé, et que si vous utilisez le même mot de passe sur tout autre service ou site web, il faut le changer sans délai.

Yahoo utilise des techniques obsolètes et trouées: pourquoi Yahoo avait tout faux, en plus de se faire pirater ?

Un bon article à lire: I’ve closed my Yahoo account because…

Etes-vous unique ? Oui ! Pouvez-vous être anonyme ? Heu… Lisez plutôt !

Je vous conseille la visite du site https://amiunique.org (Am I Unique ?) pour y constater que lors de vos périgrinations sur Internet, vous possédez une sorte d’empreinte digitale unique, qui permet à un site de vous suivre (“de vous tracker” comme on dit), et ce, même si vous effacez vos cookies.

Chaque navigateur internet (Firefox, Chrome, Internet Explorer, Safari, …) , lors de chaque connexion vers un site visité, annonce des tas de renseignements sur votre PC. Ce sont des numéros de versions, des listes de plugins, la langue, le décalage horaire, les dimansions de l’écran, etc. L’ensemble de ces caractéristiques vous rend unique.

Qu’un site sache que c’est un utilisateur qui revient (et non pas quelqu’un qui vient pour la 1ère fois) n’est pas nouveau. Il y a déjà les cookies pour mémoriser cela. Comme les gens effacent leures cookies et que les annonceurs (friands de “tracking”) ne veulent pas lâcher leur proie, et sont passés aux super-cookies enregistrés derrière votre dos par Adobe Flash. Si vous avez coché l’option par laquelle Flash doit demander la permission avant de fonctionner, ça ne vous a jamais perturbé qu’autant de sites sans animation Flash visible vous demandent néanmoins de pouvoir activer Flash ?

A partir du moment où c’est une agence de publicité qui vous “tracke” et non tel site A ou B, cette agence de pub qui place des espaces publicitaires sur de nombreux sites peut croiser les résultats (c’est le même utilisateur belge francophone qui va voir Les 3 Suisses et La Redoute) et si le site transmet des infos précises (Les 3 Suisses informent que je cherche des chaussettes noires), voilà de quoi remplir le Big Data.

Le plus gros annonceur est Google, rappelez-vous. Et il sait “mieux que vous” quels sont vos centres d’intérêt…

Démonstration:

– on fait une recherche Google. On s’intéresse à des chaussettes noires (donc Google le sait) et on va examiner le 1er des résultats fournis. En passant la souris sur le lien retourné on voit apparaître une adresse sur le site 3suisses.fr

amiu1amiu1c
– On fait un clic-droit sur ce lien pour le sauvegarder

amiu3

– Le lien est “par magie” devenu une adresse “google.be” et non plus “3suisses.fr”

amiu2amiu2c
– La preuve: quand on le colle dans la barre d’adresses c’est bien un lien vers Google qui veut absolument savoir sur lequel des résultats vous avez cliqué. Il en prend note et vous renvoie vers les 3 Suisses.

amiu4C’est ainsi que Google sait quelles sont les réponses qui ont le plus de succès parmi celles présentées, mais aussi qui a cliqué sur quoi. Même si vous avez fait un logoff de votre compte Google/Gmail/Google+.

Avec les outils standards, non il n’y a pas d’anonymat. Essayez avec le mode “Private” de votre navigateur, et ce n’est pas mieux.

Suisse, Andorre: attention aux tarifs GSM !

[Article original écrit en mai 2016 et modifié en novembre 2016]

Attention si vous voyagez en Suisse: la Suisse n’est pas l’Europe.
Et si le Royaume-Uni sort de l’Europe, ça s’appliquera aussi pour eux ?
Tarifs de roaming data de l’opérateur belge Scarlet: Un film de 700 MB, c’est 7000€ !

tarifs_roaming_scarlet

 

Edit 4 novembre 2016:

L’offre actuelle de BASE n’est pas très différente: c’est 3 fois moins cher pour la Suisse, mais pour Andorre c’est encore plus cher: 14,52€ par MB ! Les frontaliers doivent apprécier !! Remarquez que le reste du monde est à 9,5€ par MB…

base-clipboard-1

Répondez honnêtement: utilisez-vous le même mot de passe sur différents sites ?

Bonjour, tout est dans le titre.

Si la réponse est oui, je vous encourage à aller visiter le site https://haveibeenpwned.com/ sans délai et d’y introduire votre adresse mail.

En ce qui me concerne j’ai une grosse alerte en rouge foncé parce que mes données personnelles ont fuité un jour de chez Dropbox.com.

Imaginons que j’aie utilisé le même mot de passe sur Dropbox que sur d’autres sites. Dans ce cas tous ces autres sites pourraient être visités sous mon identité par les pirates ou ceux qui ont acheté les fichiers à ces pirates.

Je ne vais pas rentrer dans les détails. Les sites bien tenus ne peuvent jamais mémoriser votre mot de passe en clair, ainsi en cas de fuite de données, les données sont plus difficilement exploitables. Il semble que ce soit le cas chez Dropbox. Mais quand même la fuite est inexcusable.

Autre chose: si votre mot de passe se trouve dans un quelconque dictionnaire il est mauvais. Sans discussion.

Compilation chronologique de photos provenant de plusieurs photographes ou appareils

A la fin d’un voyage ou évènement, on peut trouver agréable de visionner toutes les photos dans l’ordre chronologique, quelle que soit la personne qui a pris la photo, quel que soit l’appareil utilisé.

Je vais utiliser 2 logiciels freeware pour ce faire:

  • xnview pour corriger les heures lorsque l’appareil n’était pas à l’heure, ainsi que pour remettre les photos dans la bonne orientation
  • renexif pour renommer les fichiers à la volée.

A la fin, on obtient toutes les photos dans un seul répertoire, celles-ci étant dans l’ordre chronologique quand on les trie par nom.

Avant de commencer les manipulations, je recommande de prendre une copie de sécurité de toutes vos photos.

En général les téléphones sont à l’heure. Ils reçoivent l’heure exacte par internet ou par les satellites GPS et peuvent se calibrer automatiquement.

Par contre, les appareils photos sont restés à l’heure d’hiver quand on est en été, ou le contraire, ou bien ils sont à l’heure de Bruxelles quand on se trouve à Pointe-à-Pitre. Le tout assaisonné de quelques minutes et secondes de dérive.

On sera bien avisé de mettre une montre à l’heure exacte au cours du séjour et de faire une photo de cette montre avec chacun des appareils photos. Ainsi il sera possible de calculer la différence de temps entre la montre et l’heure enregistrée dans la photo. Excel est très doué pour faire des soustractions de dates. Toutes les photos de l’appareil en question devront subir la même addition ou soustraction de temps.

C’est ici que xnview intervient. Ouvrir le répertoire avec les photos de cet appareil, sélectionner toutes les photos (et rien que des photos .JPG) et ouvrir le dialogue suivant: Tools > Change Timestamp…

Dans l’exemple ci-dessous on va ajouter zéro jour, zéro heure, une minute et cinq secondes aux deux photos sélectionnées. L’heure de référence est le champ EXIF “Date Taken” et la nouvelle heure sera écrite dans les trois champs Date Taken, Date Digitized et Date Modified.

En cliquant sur les captures d’écran, celles-ci s’ouvrent dans un nouvel onglet, et la combinaison de touches control-W permet de fermet un onglet.

21092016_114233
21092016_114426

On peut profiter d’avoir xnview ouvert pour remettre toutes les photos dans la bonne orientation.

Les sélectionner (ne sélectionner que des .JPG), et depuis le même menu Tools > JPEG Lossless transformations > Rotate based on EXIF value

21092016_114534A ce stade il faut faire un choix quant au format souhaité pour les noms des fichiers.

Quand il y a plusieurs photographes et qu’on veut leur octroyer le crédit de leurs photos, on peut mettre leur nom ou leurs initiales dans les noms de fichiers.

Exemple: 20160921-213456_FDM_IMG12345.JPG pour une photo de FDM dont le nom original était IMG12345.JPG.

On va exécuter RenExif séparément pour les photos de chacun des photographes. Utiliser le bouton “Search” pour sélectionner le bon répertoire, sélectionner le format souhaité et cliquer sur “Run RenExif”.

21092016_114919Voyez le modèle de réécriture du nom de fichier avec _FDM_ dans le format.

Après les différents RenExif, regrouper toutes les photos dans un seul et même répertoire.

Si on ne tient pas à mettre les initiales du photographe, on peut d’abord mettre toutes les photos ensemble, et puis lancer RenExif pour tout traiter en un seul lot.

Le résultat est semblable à ceci

21092016_115113On a maintenant toutes les photos dans l’ordre chronologique quand on les trie par leur nom.

 

 

 

 

 

 

 

 

Alors ? Phishing de la part de Paypal ? (ou pas) ?

Bonjour, on va à la pêche aujourd’hui (ou pas)…

Tout d’abord, ne pas confondre Paypal et Ραурɑl … Je vous renvoie à mon article Collections de liens où vous trouverez quelque chose sur les homoglyphes…

J’ai donc reçu un mail de Paypal (et c’est très probablement un message authentique, car autour de moi tous ceux qui ont un compte Paypal l’ont reçu aussi)

On vous l’explique et on vous le chante sur tous les tons: quand vous recevez un mail de ce genre, redoublez de prudence.

Quels sont les signes pouvant déterminer le vrai du faux ? Contrôlez ceci:

  • les liens dans le message: passez la souris sur les liens sans cliquer, examinez scrupuleusement l’adresse web sous-jacente
  • les liens qui vous envoient vers un site web qui requiert vos login/password sont douteux
  • pour les experts, on peut examiner quel est le serveur mail qui vous a transmis ce message

Vous êtes probablement connectés (authentifiés) en permanence à Facebook, Gmail, Hotmail, etc. Un site malveillant peut utiliser ces authentifications pour faire des choses désagréables derrière votre dos, comme publier du spam sous votre nom à vos contacts. C’est une raison supplémentaire pour ne pas visiter des sites web à partir de liens reçus par e-mail.

La recommandation la plus sécurisante est d’ouvrir une nouvelle fenêtre de navigateur en mode privé (control-shift-P), et d’aller visiter le site de votre banque ou Paypal en tapant son adresse ou via vos favoris.

Passons maintenant à l’objet de cet article, à savoir un mail douteux reçu aujourd’hui.

30082016_154025Renvoyer vers paypal-communication.com est une méthode digne des pirates.

S’ils avaient fait les choses comme il faut, ils auraient utilisé communication.paypal.com qui se trouve dans leur “propriété”.

gyroSi je peux vous donner un très mauvais conseil, le nom communication-paypal.com (avec le trait d’union) est disponible à la vente à l’heure où j’écris cet article …

C’est MAL mais ce n’est pas tout.

La gestion de serveurs mail, c’est un de mes hobbies, on va regarder d’un peu plus près cette chose horrible que sont les en-têtes SMTP et qui n’ont presque plus de secrets pour moi.

Return-Path: <bounce-HP2v200000156db21b0408489e3f4bbe5cfc0250@mail.paypal.be>
...
Received: from mta107b.pmx1.epsl1.com (mta107b.pmx1.epsl1.com [142.54.244.107])
      (using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
      (No client certificate requested)
      by v2.dmmail.eu (Postfix) with ESMTPS
      for <fredericXdemees.net>; Tue, 30 Aug 2016 13:07:13 +0200 (CEST)
...
Reply-To: "noreply@mail.paypal.be"
      <noreply-HP2v200000156db21b0408489e3f4bbe5cfc0250@mail.paypal.be>
Subject: =?UTF-8?Q?Mise_=C3=A0_jour_des_contrats_d'utilisation_PayPal?=
From: "PayPal" <paypal@mail.paypal.be>
To: fredericXdemees.net
Date: Tue, 30 Aug 2016 11:07:13 +0000

Que faut-il comprendre là-dedans ? Le message a été déposé sur mon serveur mail par une machine qui appartient à epsl1.com et non paypal.com. Encore un possible signe d’usurpation.

C’est encore MAL mais ce n’est pas encore tout.

En cas de doutes sur un message reçu se prétendant de chez eux, Paypal recommande de le retransférer à l’adresse spoof@paypal.fr . Ce que j’ai donc fait. J’ai retransféré l’e-mail en le précédant de ceci :

Bonjour,

J'ai reçu cet e-mail qui semble authentique ou bien est un phishing très
bien imité.
Néanmoins les liens redirigent vers
https://epl.paypal-communication.com/...

paypal-communication.com n'est pas paypal.com

J'aurais pu avoir confiance dans communication.paypal.com mais
paypal-communication.com ne me garantit pas que je vais voir une page
authentique de paypal.

De la même manière je n'aurais aucunement confiance dans une adresse telle
que service-paypal.com ou similaire.

S'il s'avère que ce mail est authentique, svp n'utilisez pas les méthodes
et procédés des truands, sinon plus personne ne s'y retrouvera.

Au plaisir de vous lire,

Frédéric De Mees
Belgique


La réponse de Paypal est arrivée un peu plus d’une heure plus tard:

Subject:   Votre question à la parodie et le phishing (KMM57008107V61779L0KM) :ppMC 
From:   spoof@paypal.fr 
Date:   Tue, August 30, 2016 14:57 
To:   "Frederic De Mees" <fredericXdemees.net> 
Priority:   Normal 

Bonjour Frederic De Mees, 

Le site internet que vous signalez est frauduleux. Ce type de site vous 
incite à entrer des informations personnelles telles que des numéros de 
cartes bancaires, des codes PIN ou des mots de passe.

Si vous avez saisi des informations financières ou personnelles sur un 
site frauduleux : 

• Changez immédiatement votre mot de passe et vos questions secrètes. 
• Contactez votre banque ou la société qui a émis la carte bancaire 
associée à votre compte PayPal et informez-les de la situation. 
• Examinez votre historique de transactions PayPal pour vous assurer 
qu'il ne présente aucune transaction non autorisée.

Pour en savoir plus sur les sites frauduleux et sur la sécurité en 
ligne, cliquez sur le lien Sécurité en bas de chaque page PayPal.

Cordialement,

PayPal

Copyright © 1999-2016 PayPal. Tous droits réservés. 
PayPal (Europe) S.à r.l. et Cie, S.C.A. Société en Commandite par 
Actions 
Siège social : 22-24 Boulevard Royal L-2449, Luxembourg 
RCS Luxembourg B 118 349

Conclusion, c’est un faux !

(et pourtant c’est un vrai, mais Paypal l’ignore)

 

 

 

 

Scarlet, il est temps de renouveler votre matériel !

Ce 6 août, nous subissons une panne d’internet pour la troisième fois en un an !
Ce n’est pas une panne franche, la synchro VDSL est ok et la vitesse est tout-à-fait correcte (70 mégabits) mais certains sites sont accessibles et d’autres pas.

Cette panne semble affecter une grande partie de l’est de Bruxelles et de la périphérie Est.

Après un redémarrage de la Scarlet Box (une Bbox 3 Belgacom – sans le logo Belgacom), on a de nouveau des sites injoignables, parfois les mêmes, parfois des autres.

J’ai l’impression qu’un équipement en amont n’est pas capable de mémoriser toutes les tables de routage, par exemple un vieux routeur doté de trop peu de RAM.

Alors, Mesdames et Messieurs de Belgacom Proximus, vous le faites exprès ou quoi ? Vous voulez torpiller votre filale low-cost ? C’est plus facile de faire fuir les clients que de les mettre dehors… il suffit de bien laisser pourrir la situation.

Au même moment, les clients Belgacom Proximus dans les mêmes quartiers n’éprouvent pas de problème.

Le fait que le problème est survenu 2 fois avant aujourd’hui, chaque fois “réparé” (avec un tube de pritt ?) que le support répond invariablement que je suis le seul jusque quand on leur met le nez devant l’évidence, me fait dire que Scarlet n’a plus les finances ou la compétence pour faire une réparation définitive.

C’est grave et on doit en tirer les conclusions.

Pannes: le 27 janvier, 18 juillet, et aujourd’hui 6 août avec des prémices le 5 août.

Voir https://forum.adsl-bc.org/viewtopic.php?f=11&t=94041 et https://www.facebook.com/ScarletBelgium/posts/10153915064129423

 

Edit 8 août: Scarlet a posté ceci sur sa page Facebook
Beste Frederic en Jonas,

Er is momenteel een storing in de regio Halle-Wezembeek-Kraainem. Het betreft dezelfde storing als einde juni.

• Proximus werkt aan een oplossing.
• Het is voorlopig niet bekend wanneer het probleem opgelost zal worden.

Matteo, jouw klantgegevens konden we niet vinden op basis van je naam, maar gezien je in Halle woont is de kans groot dat je ook getroffen bent door de storing.

mvg
Scarlet

et
Jullie zijn inderdaad eveneens getroffen door de storing op de met een storing kampende LEX/BAS MSR02MAR7/02HAL en MSR02MAR7/02WEZ. Proximus werkt aan een oplossing 🙂

Ca confirmerait mes prédictions ?

Comment (ne pas) se faire rançonner par le virus locky – méthode pas à pas

Bonjour,

Assez régulièrement, il m’arrive de recevoir un mail suspect qui passe entre les mailles de l’antispam et de l’antivirus.

Le dernier en date a été reçu aujourd’hui à 06h39.

1Tous les trucs sont bons pour faire croire qu’il faut ouvrir la pièce jointe.

2Ouvrons donc cette pièce jointe. C’est un .ZIP qui contient un .JS

3

Je ne suis pas (tout-à-fait) fou, j’ouvre donc la pièce jointe avec un éditeur de texte plutôt que de l’exécuter. C’est un “javascript” contenant une cinquantaine de lignes de programme volontairement plus ou moins incompréhensible.

En voici un fragment :

4J’ai surligné en jaune ce qui nous intéresse. En collant ensemble tout ce qui est sélectionné ça donne une adresse de téléchargement à partir d’un site brésilien.

à 18h00, soit 12 heures après la campagne de spam, il s’avère que le site en question contient toujours ce logiciel malfaisant et participe donc à la propagation de ce virus.

Je récupère un échantillon de ce fichier, et je le sauve dans un fichier x.x sur mon pc.

5L’envoi de ce fichier sur le site virustotal.com me confirme que c’est un échantillon du virus Locky. (clic sur l’image pour l’agrandir)

6Si vous exécutez ce virus, vous allez perdre vos photos, documents, dossiers, etc.
Le tout vous sera hypothétiquement restitué contre une rançon de plusieurs centaines d’euros. Ne soutenez pas le business-model des truands et faites gaffe. Rappelez-vous que les anti-virus sont des passoires, et seul votre comportement judicieux vous protègera.

Avertissement: tous les disques externes, clés USB, partages de fichiers qui sont connectés à votre ordinateur seront aussi encryptés.

Plus d’informations sur Locky et les “ransomwares” (“rançongiciels”)
http://www.cert.ssi.gouv.fr/site/CERTFR-2016-ALE-001/CERTFR-2016-ALE-001.html
http://forum.malekal.com/ransomware-locky-dridex-empire-t54467.html
https://securelist.com/blog/research/73989/ctb-locker-is-back-the-web-server-edition/
https://twitter.com/hashtag/Locky?src=hash

Edit 24 mars:
1) Hier soir aucun antivirus ne détectait le javascript* et 35 antivirus sur 57 ne détectaient pas le virus lui-même. Aujourd’hui soir Windows Defender détecte le javascript. Comme quoi les antivirus sont toujours une guerre en retard.
* Le script en pièce jointe du mail, écrit en javascript, a pour but de télécharger le virus depuis le site brésilien et ensuite de l’exécuter.
2) La Libre Belgique parle justement des rançongiciels ce jour.

nouveau document 93_1

Edit 25 mars:
SANS.ORG relate ceci:

–Three More US Hospitals Infected with Ransomware (March 22 & 23, 2016) Three more US hospitals have disclosed that their systems were hit with ransomware. Methodist Hospital in Henderson, Kentucky information systems director Jaime Reid said the cause of the “Internal State of Emergency” at the hospital was Locky ransomware. Chino Valley Medical Center and Desert Valley Hospital in California were also struck with ransomware; both were operating normally by Wednesday, March 23. http://krebsonsecurity.com/2016/03/hospital-declares-internet-state-of-emergency-after-ransomware-infection/ http://www.bbc.com/news/technology-35880610 http://arstechnica.com/security/2016/03/kentucky-hospital-hit-by-ransomware-attack/ http://www.nbcnews.com/tech/security/three-u-s-hospitals-hit-string-ransomware-attacks-n544366

Edit 1 avril 2016:
US-CERT publie un article d’alerte: TA16-091A: Ransomware and Recent Variants

 

 

Tracking, Big Data, on veille sur vous…

Ce matin, un mail de LinkedIn. “Peut-être connaissez-vous cette personne-ci, celle-là, et encore un tel ou une telle.”

Comment LinkedIn a-t-il pu me retracer jusqu’à d’improbables anciennes relations telles que:

  • un directeur de l’Institut Européen d’Innovation et de Technologie (EIT) – ça date de 2009-2010
  • un parent d’élève de la même classe qu’un de mes enfants, il y a aussi environ 5 ans
  • un animateur de comité de quartier (Verregat à Laeken, où j’habitais avant)
  • la fille de la locataire d’un appartement qui a appartenu à ma maman
  • un prof de tennis qui a enseigné à mes enfants, il y a plutôt dix ans que cinq, et devenu entretemps directeur du Primerose
  • un compagnon de plongée sous-marine, qui faisait partie d’un même voyage, et croque-mort de profession

Mes e-mails ne transitent pas par un des grands noms de ce monde. Pas de Yahoo, Hotmail ou Gmail pour moi.  Au moins une de ces personnes ci-dessus possède sa boîte mail ailleurs que chez ceux-là, à savoir chez Scarlet. Les échanges e-mail entre cette personne et moi vont directement de mon serveur à celui de Scarlet, et vice-versa.

La fuite des contacts de mon carnet d’adresses n’est pas envisageable non plus: ces gens ne s’y trouvent pas.

Je n’ai de lien Facebook avec aucune de ces personnes. En fait, je ne trouve aucun fil conducteur commun.

Comment LinkedIn a-t-il fait son data mining ? Je serais bien intéressé de le savoir, mais je risque bien d’être déçu…