j’espère que vous allez bien en ce temps d’automne. La saison des glaces se termine et nous entrons dans la saison des chocolats chauds, ce qui est très bien aussi.
Pendant qu’on a encore du courant (lol), j’en profite pour changer cet édito et vous donner quelques nouvelles.
Bon, déjà j’ai mis HS mon ordi pendant plusieurs jours, donc niveau boulot, je me suis laissé un peu déborder. Résultat des courses, le fautif était mon disque Nvme M.2 Samsung Pro 980 qui était incompatible avec mon bon vieux iMac de 2017. Du coup, je vais le faire gagner aux Patreons parce qu’il est tout neuf et que j’ai la flemme de le renvoyer chez Amazon.
Mais bon, ça refonctionne alors je suis content, car j’ai retrouvé mes 3 écrans !
Côté « Copain de Bois », j’ai eu une grosse incursion de sanglier + chien de chasse (une dizaine) dans mon jardin, donc je continue mon atelier re-cloturage. Mais j’ai encore plusieurs centaines de mètres à réparer donc de temps en temps, je fais des petits ateliers en live sur Twitch. C’est rigolo. La prochaine fois, je prévois même un gros débroussaillage en live =:-)
Voilà pour les petites news. Et vous quoi de neuf ?
N’oubliez pas de porter fièrement vos cols roulés, mais je compte sur vous pour quand même conserver un accès wifi à portée de main pour continuer à venir lire mes merveilleux articles (en toute modestie évidemment)
Avec certains outils OSINT comme Blackbird que je vous ai présenté il y a quelques jours, il est possible de trouver des comptes en ligne à partir d’un simple pseudo. Mais l’information retournée n’est pas forcément fiable, car n’importe qui peut avoir le même pseudo que vous (j’en sais quelque chose).
Alors que faire ?
Et bien grâce à cet outil nommé holehe, vous pourrez analyser plus de 120 sites à la recherche de comptes à partir d’une simple adresse email. Évidemment, l’adresse email étant unique, pas de risque de taper à côté.
Mais comment s’y prend ce script pour trouver les comptes utilisant telle ou telle adresse email ?
C’est malin. Évidemment, ce n’est à utiliser qu’avec vos propres adresses email, sinon vous irez en prison comme d’habitude.
Vert c’est OK, rose y’a pas de compte et rouge on ne sait pas, car timeout. Rassurez-vous, ça peut détecter par exemple qu’un compte Twitter existe pour votre adresse email, mais l’outil ne vous donne pas le fameux compte Twitter.
Pour l’installer, vous pouvez utiliser PyPi :
pip3 install holehe
Ou cloner le dépôt comme ceci :
git clone https://github.com/megadose/holehe.git
cd holehe/
python3 setup.py install
Ensuite, il n’y a plus qu’à appeler le script avec l’adresse email de votre choix :
holehe test@gmail.com
Et si le site divulgue d’autres infos sur vous (nom complet, numéro de téléphone…etc.), le script vous informe également.
Si vous travaillez dans un environnement macOS et qu’il vous arrive parfois de récupérer les différentes versions de macOS pour les analyser, faire des clés USB avec Clover ou encore tout simplement réinstaller la bestiole… plus besoin de vous rendre sur le site d’Apple pour télécharger les firmwares (.ipsw) / installeurs des dernières versions de macOS.
Grâce au logiciel Mist, vous les aurez toutes à portée de clic. Vous pourrez ainsi afficher ou masquer les versions beta, ainsi que les versions incompatibles avec votre ordinateur actuel.
À l’export vous pourrez même choisir si vous voulez une application (.app), une image disque bootable (.iso), une image disque (.dmg) ou un package (.pkg). Et bien sûr, lors du téléchargement, tous les contrôles (checksum) sont faits pour vous assurer que l’image est OK.
Pour les plus bidouilleurs, il est également possible de spécifier de nouvelles URLs de catalogues pour récupérer les versions Developer, Customer ou Public voire exporter toutes ces listes en CSV, JSON…etc.
Si vous enregistrez des tutoriels en vidéo, faites une présentation professionnelle à des clients ou réalisez des choses incroyables en live sur Twitch, vous avez peut-être besoin de montrer à l’écran les touches que vous tapez sur votre clavier.
C’est assez pratique pour montrer certains raccourcis qui ne sont pas faciles à capter comme ça en live, tellement vous allez vite. Seulement, voilà, la plupart des outils et des plugins qui font ça proposent du simple texte un peu moche.
Mais il existe un logiciel libre nommé Keyviz qui fonctionne exclusivement sous Windows et qui affiche chacune de vos touches dans le style de votre choix. Vous pouvez évidemment modifier le style des touches, leur taille, leur couleur ainsi que les symboles qui s’y trouvent et placez ça à l’endroit de votre choix sur l’écran.
Là où ça devient assez cool, c’est ce que si vous ne voulez pas tout montrer, mais uniquement afficher les raccourcis clavier type Ctrl + x…etc. , et bien c’est possible avec Keyviz. Ca évite les fuites de mots de passe en live par exemple.
Globalement, ça fait bien le taf et graphiquement, c’est super joli avec des animations plutôt propres. Je vous montre ce que ça donne en vidéo :
Vous devez tous savoir ce qu’est le RGPD maintenant, non ?
En application depuis 2016, ce Règlement Général sur la Protection des Données vise à encadrer tout ce qui touche au traitement des données à caractère personnel sur le territoire de l’Union européenne. En gros cela permet à tous les citoyens (vous et moi) de faire valoir ses droits si une de ses données est utilisée à mauvais escient et hors du cadre prévu.
Et ce qui entre dans la catégorie « donnée personnelle » est assez vaste puisqu’il s’agit de tout ce qui permet de vous identifier. Des choses comme votre nom et prénom, votre adresse, votre email, une donnée biométrique ou votre numéro de sécu par exemple. Mais aussi des informations moins directes comme un identifiant sur un site web, vos géolocalisations, vos habitudes de surf, etc. Bref absolument tout ce qui permet de remonter jusqu’à vous, rapidement ou via le croisement de plusieurs données.
En France toute entreprise doit respecter ce règlement. Petit, grande, publique, privée, association, collectivité, sous-traitant … même une société étrangère qui exporte ou livre des produits en France doit s’y plier. Le citoyen (vous, moi, elle, lui et les autres) a donc une certaine maitrise sur ses propres données et cela à plusieurs niveaux.
Déjà parce que le service que vous utilisez (boutique e-commerce, outil web, inscription à une newsletter …) doit vous fournir une série d’informations avant même d’y souscrire. En général le truc barbant plein de mots que personne ne lit jamais, mais auquel tout le monde consent par flemme. Qui gère le traitement de vos données ? Dans quelles conditions ? Avec quelle finalité ? Est-ce que les données sortent à un moment de l’espace européen ? Etc.
C’est peut-être bête à dire, mais si vous ne voulez pas que vos données personnelles soient mal utilisées … la première chose à faire est de voir si le service en question annonce bien noir sur blanc qu’elles ne seront pas mal utilisées.
source : blog Incogni
Maintenant nous sommes tous humains. On ne va pas chaque fois passer 5-10 minutes à vérifier que le site respecte bien les recommandations RGPD alors qu’on a encore 3,4 millions de vidéos de chats à regarder sur YouTube. Il faut choisir ses combats. Heureusement, même si vous vous rendez compte d’un souci par la suite, il existe ce qui s’appelle des droits. Et vous en avez plusieurs à votre disposition :
Droit d’accès : vous permet de savoir quelles données vous concernant sont stockées, d’où elles proviennent et comment elles sont utilisées.
Droit de rectification : vous permet de faire modifier certaines données, voire de demander leurs suppressions.
Droit d’opposition : vous permet d’empêcher le traitement de vos données pour un motif légitime. Dans certains formulaires on vous demande par exemple de cocher une case pour recevoir des courriers commerciaux, des promotions, etc. En ne la cochant pas, vous invoquez en fait votre droit d’opposition (Opposition votre honneuuuuurr).
Droit à la portabilité : qui va vous aider à passer d’un service de traitement de données à un autre (soit directement, soit en récupérant un fichier à transmettre au nouvel organisme).
Bref il y a beaucoup d’options selon les cas, pas toujours simple de savoir quoi faire. Et je ne parle même pas de la prise de tête pour trouver les bonnes personnes à contacter, les bons documents à fournir, le temps de réponse entre chaque communication, etc., etc. Travail à multiplier par plusieurs dizaines de fois si vos données perso se trimballent dans plusieurs de ces services (appelés data brokers) où ils ne devraient pas être présents.
Plus vous passez de temps en ligne, plus vous balancez vos infos à gauche et à droite … et plus vous aurez de chances de vous retrouvez avec des utilisations non voulues de vos donnés. Le plus souvent sans même le savoir ou vous en rendre compte, hormis peut-être via un SMS ou un email d’un projet auquel vous êtes certain de ne jamais avoir donné vos infos.
Et c’est là qu’apparaît, baignant dans son halo de lumière, votre sauveur : Incogni.
Il y a quelques jours j’ai publié un article basé sur mon test du service Incogni. Je vous laisse le lire, mais vous y apprendrez que c’est quasi une centaine de demandes qui ont été gérées en mon nom via le service proposé par Surfshark. Je n’imagine pas les journées entières que j’y aurai passées si j’avais dû tout faire à la main. Donc depuis la date de mon test presque 1/3 des brokers contactés ont agi.
Alors oui le service est payant (moins de 6€/mois, ça reste correct), mais il rend un vrai service. Et lorsqu’un responsable des données reçoit une demande d’un service pro, cela a probablement plus de « poids » que votre mail personnel pour le motiver à appliquer les modifications nécessaires.
Gros avantage aussi, Incogni vous propose un tableau de bord via lequel vous pouvez suivre en temps réel l’avancée du nettoyage. Et connaître ce que chacun de ces data brokers avait comme infos sur vous et comment ils les utilisaient. Il me semble que ces derniers doivent répondre et faire les modifs en 30 jours. De plus l’outil surveillera que vos données ne réapparaissent pas comme par magie dans la base des services après quelques mois.
Cerise sur la tartiflette si vous habitez en Amérique du Nord, Incogni ne fait pas respecter que la réglementation européenne au niveau des données personnelles. Il gère aussi les lois CCPA et PIPEDA, sorte d’équivalent du RGPD en Californie et au Canada.
