Depuis quelques mois, je me suis mis à Snapchat, une application iOS / Android qui permet d'envoyer des photos et des vidéos à ses contacts et qui autorise uniquement une diffusion de quelques secondes. Ce délai écoulé, plus moyen (sans bidouiller) de récupérer ou de revoir la photo reçue.

Je l'utilise un peu comme des SMS pour dire un truc en vidéo au frangin ou envoyer une connerie à mon pote Paingout (non, pas ma bite ^^). Rien de confidentiel et uniquement pour se marrer.

Seulement, des chercheurs de la société Gibson Security ont trouvé une importante faille de sécurité dans Snapshat qui permet à partir de numéros de téléphone (générés à la suite) de récupérer les infos personnelles des utilisateurs du service comme leur nom complet ou leur pseudo.

Snapchat n'a pas levé le petit doigt pour corriger le problème, ce qui a poussé les chercheurs à expliquer leur méthode publiquement quelques semaines plus tard. Et ce qui devait arriver arriva.

LEAK !

Mis en ligne sur un site baptisé SnapchatDB.info (site malheureusement suspendu depuis quelques heures, mais un miroir est ici), une base SQL (dispo aussi en CSV) contenant 4,6 millions de comptes utilisateurs heureusement anonymisés en partie. Seuls le pseudo et le numéro de téléphone (censuré sur les 2 derniers chiffres) sont dispos.

J'ai regardé via ce site si mes infos étaient dedans, mais heureusement, le "pirate" n'a généré *QUE* des numéros US, récoltant uniquement les pseudos et numéros de nos amis américains. (Par contre, la NSA a dû tout récupérer déjà... ^^)

Cette base pourrait par exemple servir à recréer un service à la TrueCaller qui permet de retrouver les infos (pseudo, emails...etc.) d'une personne à partir de son numéro de téléphone (ou vice versa).

Après avoir refusé avec dédain l'offre de rachat de 3 milliards (oui, milliards) par Facebook, l'année commence mal pour Snapchat qui a clairement fait preuve de négligence. En général, quand on est prévenu par de gentils chercheurs en sécurité, il vaut mieux réagir rapidement plutôt que d'envoyer un communiqué comme ils l'ont fait :

"Théoriquement si quelqu'un était capable de soumettre une grosse quantité de numéros de téléphone par exemple tous les numéros d'une zone géographique ou tous les numéros existant aux États-Unis, , il pourrait se créer une base de données contenant tous les pseudos correspondants aux numéros de téléphone. Mais l'année dernière nous avons intégré plusieurs gardes fous qui rendent tout ceci plus difficile à faire."

"Plus difficile", mais pas impossible...Bref, un gros fail pour Snapchat et ses utilisateurs.

Cet article merveilleux et sans aucun égal intitulé : Snapchat laisse échapper 4,6 millions d’enregistrements ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

La décentralisation c'est l'avenir d'Internet. Et c'est en ce sens que vont les développeurs de BitMail, un client de messagerie totalement décentralisé (p2p) et chiffré qui est open source et fonctionne pour le moment uniquement sous Windows.

Secure P2P Email from Friend to Friend without relying on a central server.
Key- / Repleo-Exchange.
Full decentral Email-Network using the Echo Protocol.
Store Email for Offline-Friends in the P2P Network.
Chat and Instant Messaging is build in. Define & Add your friends.
Strong e2e Multi-Encryption (PGP-kind/AES over SSL: using libgcrypt).
Libspoton Integration.
Additional Security Layer with the GB-Feature for Emails.
Preventing Data Retention (VDS). WoT-less.
HTTP & HTTPS Connections.
Open Source. BSD License.

Pas d'installation nécessaire, car le soft est portable. Une fois que votre clé de chiffrement est générée, vous devrez spécifier l'adresse d'un serveur Bitmail ou faire tourner votre propre serveur Bitmail sur votre machine. Vous serez alors capable d'envoyer et de recevoir des messages sans passer par un serveur tiers, ce qui en cette période un peu sombre est plutôt un point fort. À noter que Bitmail peut être utilisé aussi bien en messagerie classique (genre email) qu'en discussion instantanée (chat).

À tester...

Sinon, dans le même style, je vous invite à tester BitMessage.

Source

Cet article merveilleux et sans aucun égal intitulé : Bitmail – La messagerie chiffrée et décentralisée ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Un passionné de laser s'est amusé à détourner un robot télécommandé en lui ajoutant des diodes lasers suffisamment puissantes pour rendre aveugle quelqu'un de trop curieux, lui bruler les cheveux et éclater les ballons qu'il transporte.

Un jouet transformé en véritable machine de guerre. Attention avec ce genre de laser, c'est très dangereux donc je vous déconseille d'essayer de reproduire ça chez vous.

Source

Cet article merveilleux et sans aucun égal intitulé : Le rayon de la mort ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Pour retirer de l'argent à un distributeur de billets, on pouvait jusqu'à présent soit utiliser une carte bancaire, soit une voiture bélier, soit de bons explosifs.

Mais ce temps est révolu car une nouvelle méthode vient d'être mise au jour. Les criminels viennent à bout des distributeurs de billets grâce à de simples clés USB. Présentée lors du CCC, cette technique ciblant une banque européenne consiste à percer soigneusement le distributeur puis à insérer dans un des ports USB de l'ordinateur une clé contenant un malware. Ce dernier infecte la machine et les criminels n'ont plus qu'à reboucher le trou pour que cela ne se remarque pas.

Ils peuvent alors revenir plusieurs fois de suite, taper un code à 12 chiffres secret et ainsi accéder à une interface spéciale qui permet de récupérer de l'argent sans carte et sans autorisation. Cette méthode nécessite de bien connaitre ce type de distributeurs (qui tourne sous Windows puisque le fichier de lancement se nomme hack.bat) et d'être un bon développeur / hacker.

Là où ça devient très fort, c'est que les hackers-voleurs ont mis en place un système de validation en 2 étapes dans leur malware. Pour qu'un des voleurs puisse retirer de l'argent, il doit appeler un complice et lui communiquer le code qu'il voit apparaitre à l'écran. Le complice entre alors ce code dans un logiciel de vérification et obtient une clé que le voleur présent sur place doit entrer à son tour. Cela permet d'éviter que les amis dérobeurs d'argent ne se court-circuitent les uns les autres. Impressionnant.

Les chercheurs à l'origine de cette découverte ont souhaité rester anonymes. Je demande bien pourquoi... Arf !

Source

Cet article merveilleux et sans aucun égal intitulé : Nouvelle technique pour pirater un distributeur de billets ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Des chercheurs de l'Université de York (Les fameux Yorkchershires) viennent de publier une étude dans laquelle ils expliquent qu'il est tout à fait possible d'identifier quelqu'un simplement en zoomant sur l'oeil d'une autre personne prise en photo. En effet, la cornée réfléchissante capturée par un appareil HD peut trahir le visage de celui qui prend la photo (ou de ceux qui se trouvent à côté du photographe).

En faisant les corrections nécessaires, il devient alors possible de déterminer le sexe, l'origine ethnique, la couleur des cheveux et l'âge approximatif de la personne observée par le sujet photographié. Ce visage reflété est, semble-t-il, suffisamment net pour être identifié avec certitude par quelqu'un le connaissant.

Cela ouvre tout un tas de possibilités... Si la photo est dans une résolution suffisante, la police pourrait par exemple identifier des pédophiles ou des kidnappeurs simplement en regardant dans les yeux de leur victime. On peut même pousser le bouchon un peu plus loin et se dire qu'un jour peut-être, Facebook sera capable de créditer vos photos de profil simplement en regardant dans vos yeux. Brrrr...

Bref, encore une nouvelle notion à intégrer pour ceux qui souhaitent protéger leur vie privée.

Source

Cet article merveilleux et sans aucun égal intitulé : T’as de beaux yeux, tu sais ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.