Catégorie : Internet

Hackers : 16 – Sony 0

16, c’est le nombre de sites appartenant à Sony et à ses filiales qui ont été hackés ces derniers temps.

Le chiffre à été atteint hier, lorsqu’un site de Sony (encore un) au Portugal à été hacké. L’attaque à été revendiquée par le même hacker que lors des ciblages sur Sony Europe, ce dernier se qualifiant d’ailleurs de « Grey Hat ».

Petite explication : vous avez le Black hat, le hacker qui ne sert « que » ses intérêts ou qui sert des intérêts privés d’un groupe de personne.
Vous avez ensuite le White hat qui s’impose comme quelqu’un qui met ses capacités aux service de l’intérêt général (avertir d’un danger sur tel ou tel site, sécuriser tel ou tel point, telle ou telle donnée, etc. etc.)

Le Grey Hat, c’est donc un peu des deux, il sert des intérêts privés mais ces derniers sont compatibles en partie avec l’intérêt général.

Le hacker, Idahc pour être précis, à informé qu’il existait au moins trois façons de hacker le site qu’il à lui même hacké : l’injection SQL, le XSS et l’injection par iFrame. C’est pas mal tout ceci quand même, je trouve que cela fait beaucoup de failles possibles.

Sur le XSS, pour résumer, Wikipédia nous dit que :

« Le principe est d’injecter des données arbitraires dans un site web, par exemple en déposant un message dans un forum, mais aussi par des paramètres d’URL, etc. Si ces données arrivent telles quelles dans la page web transmise au navigateur (par les paramètres d’URL, un message posté, etc.) sans avoir été vérifiées, alors il existe une faille : on peut s’en servir pour faire exécuter du code malveillant en langage de script (du JavaScript le plus souvent) par le navigateur web qui consulte cette page. »

Sur l’injection par iFrame, en gros, c’est une attaque qui permet de charger du code dans le navigateur, l’espace d’un temps. Sous quelques navigateurs, Internet Explorer en particulier, l’attaque consiste à faire rediriger un site vers un autre site qui lui peut contenir du code malicieux, le navigateur ne contrôle pas la redirection automatique et part gaiement se suicider sur la page corrompue.

Informations transmises, revenons-en au sujet :

Il n’y à eu « aucune » donnée sensible publiée, Idahc à récupéré un dump des adresses mails contenues de la base de donnée de SonyMusic.pt, il peut cependant dumper toute la base et donc obtenir l’ensemble des données qui y sont présentes (nom, prénom, adresse?, e-mail, etc. etc.). Un dump, c’est une copie partielle ou totale d’une base d’information.

Après un hack des Anonymous, puis d’on ne sait pas qui encore, puis de la LulzSec et maintenant de Idahc, Sony n’est définitivement pas débarrassé de ses problèmes de sécurité informatique.

[Source de l’information]  (anglais)

Quand Arte parle de Hacking.

La chaine de télévision Arte diffusait un dossier contenant deux reportages sur le domaine du hacking, j’estime qu’un petit billet est nécessaire pour vous expliquer ce qu’il s’est raconté lors de ces deux reportages :

1er reportage : Les nouveaux maîtres du monde : la guerre invisible.

« Séduits par leur aptitude à maîtriser le cyberespace, les États font les yeux doux aux hackers. Rencontre avec ces génies de l’informatique qui préparent la guerre de demain. »

Je vais essayer d’être bref, il se fait tard et un article de 100 pages n’est pas forcément ce que vous recherchez, résumons donc les idées abordées.

Ce premiers reportage proposait de découvrir Internet et le Hacking comme une « arme de destruction massive », il à été question de la future guerre numérique, des virus et des dégâts qu’ils peuvent causer (un point sur Stuxnet à été fait, en long en large et en travers).
Stuxnet est un énorme virus qui à causé beaucoup de dégâts, vous pouvez trouver plus de détails sur l’encyclopédie Wikipédia : http://fr.wikipedia.org/wiki/Stuxnet.

Le ton et la trame de fond de ce premier reportage était « grave » : la guerre froide, l’impact d’un virus à l’échelle mondiale, etc. etc. Le reportage à quand même pas mal tourné autour des Etats-Unis et du scénario « Die-Hard » like : une attaque de grande envergure sur les réseaux, la bourse, le courant […] aux Etats-Unis est-elle possible ou pas? Si oui, quels seraient les impacts de tout ceci. Qui sont les ennemis des Etats-Unis sur la toile ? (la Chine, les pays d’Afrique du Nord ou bien la Russie…oui, c’est un peu cliché)

Le reportage était quand même pas mal vous trouverez les reportages en streaming, les adresses sont présentes dans le billet. Seuls point que j’ai trouvé négatifs : la voix off (qui devait venir de chez TF1, à la façon qu’elle avait de tourner ses phrases :p) et les quelques « bourdes histoire d’attirer le badaud quitte à raconter de grosses stupidités », comme par exemple « Pirater un F35 (ndlr : un avion de chasse) en plein vol avec un autre avion et faire stopper les moteurs du F35, c’est véritablement pas compliqué » (ouais, enfin faut pas pousser non plus la) ou bien encore le fait que les USA ne faisaient pas d’espionnage industriel parce qu’ils sont gentils…par contre les chinois en font et c’est parce qu’ils sont méchants…bref, un reportage parfois tourné comme une éloge des USA aux USA par les USA, etc. etc.

Si vous souhaitez visionner ce reportage : http://videos.arte.tv/fr/videos/la_guerre_invisible-3945070.html

2nd reportage : Hackers : ni dieu, ni maître

Que serait Internet sans eux ? Une immersion instructive dans la vaste communauté des hackers.

D’un côté, il y a les « black hats » (chapeaux noirs), les délinquants virtuels mus par l’appât du gain ; de l’autre, les « white hats » (chapeaux blancs) ou pirates bienveillants. Les hackers forment une vaste communauté aux profils diversifiés. Capables de modifier la une d’un journal sur le Net ou de piéger le ministre de l’Intérieur, ils sont aussi les seuls à savoir protéger les entreprises des menaces informatiques. Inventeurs des logiciels libres – permettant d’échapper à la toute-puissance de Bill Gates ou de Steve Jobs -, ils sont aussi, grâce à l’exploration des failles informatiques, à l’origine de la sécurisation des achats en ligne. Beaucoup n’ont qu’un bac en poche mais les services secrets et les responsables politiques se disputent leurs faveurs… À contre-courant des idées reçues, ce film raconte la génération hackers, entrée dans l’arène politique et médiatique à l’occasion du débat sur Hadopi.

Ce reportage à pas mal nuancé le premier qui parlait du « danger Internet » et, surtout, à présenté une visions des hackers que peu de monde présente dans les médias actuels. Les hackers sont considérés comme des personnes dangereuses pour tout le monde, alors qu’il existe un autre monde dans le hacking: celui d’un monde ou Internet n’aurait pas existé si les hackers n’avaient pas été là.

Le reportage explique quelque chose que vous avez déjà lu sur ce blog : un hacker n’est pas forcément méchant mais, sans eux : pas de sécurité sur Internet, pas de compte de banque sur le Net, pas d’impôts en ligne, certainement moins de logiciels ouverts et libres car les protocoles n’auraient jamais été ouverts…

Je ne vous en dit pas plus, l’article est là pour vous donner un avant gout de ce que vous devez voir.

Si vous souhaitez visionner ce reportage : http://videos.arte.tv/fr/videos/hackers_ni_dieu_ni_maitre-3945076.html

Contribuez à cet article, partagez, copiez, retweetez, ces reportages valent la peine d’être vus et sont vraiment accessibles à tout le monde

La Hadopi n’est pas chouchoutée à l’ONU.

Don’t fuck with the Internets!

C’est en quelque sorte l’avis qu’a rendu l’ONU il y à bientôt une semaine, dans un langage plus soutenu, cela donne :

 » Le Rapporteur Spécial considère que couper des utilisateurs de l’accès à Internet, quelle que soit la justification avancée, y compris pour des motifs de violation de droits de propriété intellectuelle, est disproportionné et donc contraire à l’article 19, paragraphe 3, du Pacte International relatif aux Droits Civiques et Politiques »

Le rapport, consultable à cette adresse [PDF] vise les pays qui seraient tentés de déconnecter ses citoyens du monde de l’Internet.

Ce n’est pas tout, le rapporteur (et donc le rapport) s’oppose également aux mesures de filtrage ou censure disproportionnées, le rapporteur se dit « profondément préoccupé par les mécanismes de blocage et de filtrage de plus en plus sophistiqués utilisés par les Etats pour la censure. » Le rapport s’oppose aussi aux lois ACTA et directement à la loi HADOPI, qui vend la coupure de l’accès Internet comme ultime sanction contre un internaute français qui aurait téléchargé et partagé des œuvres protégées par le droit d’auteur.

Jugeant ces mesures obscures et disproportionnées, le rapporteur demande aux états plus de transparence (explication des raisons du blocage, publication de la liste des sites filtrés) et invite sin die les gouvernements à retirer les lois qui permettraient la suspension de l’accès a Internet.
Le rapport fait déjà effet, en Australie la quasi totalité des lobbys ont changé de position et renoncent à demander la suspension de l’accès à Internet pour les abonnées incriminés. [Source : Numérama]

En France, la loi à déjà tranché, expliquant que seul un juge pouvait déconnecter un Internaute…cependant, de plus en plus (et d’ailleurs, d’une façon de plus en plus étrange, voir dangereuse) de politiques souhaitent rendre la suspension de l’accès à Internet sans le contrôle d’un juge possible, il en va de même pour le blocage de sites, comme nous l’a démontré la proposition de loi de Mr Frédéric Lefebvre : .

Je trouve que c’est une début de grande victoire pour Internet, l’ONU qui explique noir sur blanc qu’il ne faut pas déconnecter les citoyens du monde numérique, c’est une grande claque au G8, à la LOPPSI, à la HADOPI etc. etc.

Merci donc à l’ONU pour ce signal fort 🙂

Deezer, musique gratuite et illimité…ou pas.

Petit bille rapide pour vous parler d’un point qui me dérange, pour rester poli.
Deezer vient de décider de limiter l’écoute gratuite à cinq heures par mois.

Je ne reviendrais pas sur le pourquoi du comment de cette décision, Numérama le fait très bien

J’aimerais juste revenir sur l’aspect technique de tout ceci.

Deezer est une société, son but c’est d’avoir du client et de faire du chiffre d’affaire, c’est un fait, Deezer n’est pas mère Theresa…Je doute cependant de la viabilité de leur choix.

Pourquoi ?

Bien, premier point, d’ordre technique : comment limiter à cinq heures par mois l’écoute sur Deezer ?

Selon moi, deux solutions : le cookie ou l’adresse IP

Le cookie, c’est un petit fichier qui est stocké dans votre ordinateur et qui conserve en mémoire votre passage sur un site. Ce fichier peut s’effacer manuellement et même de façon automatisée depuis pas mal de temps. Si Deezer choisi le cookie comme solution, un simple nettoyage des cookies suffira à faire sauter la protection.

L’adresse IP, cet identifiant unique qui vous permet de naviguer et d’être reconnu à un instant T par votre opérateur. Chez Free, l’adresse IP d’un client est fixe, c’est-à-dire que c’est toujours la même. Chez Orange, l’adresse IP est dynamique, c’est-à-dire qu’elle change après un certain laps de temps, inférieur à un mois d’ailleurs.

Si Deezer choisit l’adresse IP, selon votre fournisseur d’accès, vous n’aurez plus le même accès au site, pour certains, vous ne pourrez plus écouter gratuitement de musique, pour d’autres, puisque l’adresse IP change, vous ne verrez aucune différence entre l’ancien et le nouveau Deezer. La société crée donc une inégalité d’accès entre ses clients.

Je ne vois pas d’autres moyens pour que Deezer limite les heures d’écoute, si vous en voyez, je suis preneur (ce billet n’est pas exhaustif)

Dernier point : le système de rémunération de Deezer. Numérama avait fait un article dessus il me semble. La rémunération d’un artiste est dérisoire, il me semble que l’exemple était fait avec Rihanna, qui touchait une part ridicule de chaque écoute sur le site.

J’aime les artistes, c’est un fait, pas les voleurs encore une fois, pas les sites qui se disent rémunérer les artistes alors que la réalité semble différente. Le moment arrivera ou il faudra songer à trouver une vraie rémunération pour les artistes, équitable et juste…c’est une affaire de temps.

Apple, l’infrarouge et les concert.

J’aurais pu ajouter et les clients Apple, mais en fait non puisque la firme n’a pas pensé à eux.

Selon les informations du New York Times (en anglais) Apple serait en train de déposer un brevet pour interdire l’enregistrement de concerts et, à une échelle plus étendue, de tout évènement qu’une personne ou un groupe ne voudrait pas voir enregistré avec un produit « i » (iphone, ipad, toussa).

Parler Mac sur un blog, c’est toujours hyper compliqué parce que ça part en troll assez rapidement, faites gaffe, les informations qui suivent sont sérieuses 🙂

Comment Apple compte faire?

L’idée est relativement simple, la plupart des produits « i » sont équipés d’un capteur infrarouge. Un groupe souhaitant interdire un enregistrement (donc, se tirer une balle dans le pied) peut contacter Apple (et, of course, aligner les $) afin que la firme vienne (ou fournisse) installer un capteur infrarouge sur la scène. Lors du début de l’enregistrement, si l’i-phone/pad/… détecte ce capteur…l’enregistrement se désactivera. Simple, tellement simple qu’on se demande presque ce qu’Apple à foutu pour ne pas y penser avant.

Bon, c’est bien mignon tout ça, mais c’est quoi l’embrouille?

Bien, pour être exact, il faut parler d’embrouilles : la première, c’est (encore) cette (foutue) manie (de mer**) qu’a Apple : tu achètes un produit Apple, tu te fais contrôler par Apple, tu manges Apple.

L’exemple le plus flagrant reste pour moi Apple et les applications pour Iphone : vous voulez installer une application  qu’Apple n’a pas accepté? Si vous ne crackez pas votre mobile, c’est impossible (bon, maintenant le Jailbreak semble quand même bien rentré dans les mœurs de chacun 🙂 )

Donc, à nouveau, la firme à la pomme décide de brider ses utilisateurs sans qu’ils aient l’occasion de s’exprimer. Ok, c’est pour bloquer l’enregistrement de concerts, donc bloquer l’enregistrement pirate, mais c’est ça aussi justement la magie d’un concert. T’as TON live, il est POURRI, mais c’est TON live, filmé avec TON téléphone, tu peux dire : « j’y étais »…et bien la, non.

Second point, moins drôle d’un coup : comme le souligne Cabusar (que je salue au passage) dans son article que vous DEVEZ lire, le risque de voir cette technologies débarquer dans un contexte de censure « à la sauce des révolutions arabes de ce moment » existe. Imaginez des véhicules militaires avec des infrarouges montés, … et un génocide dans le plus grand des silences. (Je sais pas vous, mais moi je pense d’ailleurs que ca risque plus d’être utilisé comme ça que dans les concerts)

Flattr, kézako?

Logo de Flattr

Je vous avais promis une petite présentation de Flattr, je profite de la soirée pour le faire.

Pour les curieux

ou tout simplement ceux qui ont remarqué l’icone dans chacun de mes billets (et sur le côté du blog), il existe un bouton Flattr.
Ok, mais Flattr, c’est quoi exactement?

Bien, je ferais court pour pas trop vous saouler : Flattr, c’est un site de micro-financement en ligne.

Le concept ne parle peut être pas forcément, voici donc Flattr, avec un peu plus d’explications :

Vous écoutez un artiste, lisez un blog, un livre, enfin…une création de l’esprit quoi et vous vous demandez « comment lui montrer que j’aime ce qu’il fait »?
La réponse qui vient assez souvent c’est « acheter ses œuvres » et en soi, vous avez raison.
Sauf que…sauf que si vous achetez un CD à la Fnac par exemple, c’est plus de 90% du prix qui NE VONT PAS dans la poche de l’artiste. WTF?

Et oui…une énorme partie du prix de la vente ne tombe pas dans la poche de l’artiste ou des artistes, créateurs, auteurs, toussa…

Moi, j’aime les artistes, pas les voleurs, alors j’ai Flattr 🙂 (bon, ok ça fait un peu slogan quand même mais l’idée c’est exactement ça, je m’explique après): Flattr, c’est un peu comme aller à la cueillette des fruits et légumes : du producteur au consommateur directement.

Par exemple, moi : je crée et rédige des billets / articles, ces derniers sont publiés également sur Flattr et, si un utilisateur le souhaite (et dispose d’un compte Flattr), il peut me verser de l’argent directement. Du producteur au « consommateur » (je n’aime vraiment pas ce terme…)

Combien?

Et bien, c’est à l’utilisateur de décider : un utilisateur Flattr peut définir un montant mensuel à verser lors d’un clic sur un bouton Flattr. Imaginons que, par mois, vous versez deux euros aux contenus que vous aimez, si vous n’aimez qu’un contenu, les deux euros lui reviennent, si vous en aimez deux, chacun aura alors un euro, etc. etc… Si vous n’utilisez pas votre montant mensuel, il est alors reversé à des associations caritatives (la croix rouge, Médecins sans frontières, …).

En gros, pour clôturer la petit présentation : Flattr est un outil qui vous permet de financer directement les personnes/artistes que vous aimez. La création d’un compte ne nécessite rien de bien particulier et il faudra, de temps en temps, verser un peu d’argent sur votre compte Flattr, afin d’en verser à ceux que vous aimez. Le site se propose donc d’être une micro-alternative au financement de la création et s’impose comme une juste rémunération des artistes.

Pour finir, les gens derrière Flattr ne sont pas des débutants…sauf si vous considérez qu’avoir participé à l’expérience « The Pirate Bay », c’est insignifiant 🙂

Si vous êtes tentés, c’est ici que ca se passe : http://flattr.com/