j’espère que vous avez la forme ! Le week-end débute doucement mais pas pour tout le monde, puisque aujourd’hui je serai à LeHack pour une grande partie de la journée et si le sommeil ne m’emporte pas trop vite, pour une grande partie de la nuit.
MAIS avant de m’y rendre, je ne vous oublie pas et vous offre une double ration de liens de la semaine, ou plus exactement des 3 semaines dernières car j’ai un peu zappé, la canicule emportant ce qu’il me restait de neurones.
Aaaaaaah ce pays merveilleux qu’est la Chine : ses paysages magnifiques, sa nourriture, son histoire, ses pandas mignons … et ses techniques de surveillance d’un autre niveau.
Cette fois-ci ce sont les touristes qui sont visés et de manière pas vraiment discrète. Imaginez… Vous allez calmement visiter l’Empire du Milieu pour découvrir ses nombreuses merveilles et à peine descendu de l’avion on vous colle de force un petit logiciel espion sur votre téléphone Android. Tampon sur le passeport et logiciel gratos en cadeau, c’est beau.
Et pas un tout petit truc « light », un vrai de vrai. Un qui va récupérer tous vos messages SMS, votre carnet de contacts, les entrées de vos calendriers, la liste des applis installées, vos noms d’utilisateurs, les logs de vos conversations et qui va aussi analyser l’appareil en passant en revue une liste de plus de 73 000 fichiers différents.
Les dossiers que les autorités recherchent comprennent non seulement du contenu islamique extrémiste, mais aussi du matériel islamique anodin, des ouvrages universitaires sur l’islam rédigés par des chercheurs éminents, des contenus concernant le Dalaï-Lama et même la chanson « Taiwan: Another China » de Unholy Grave (un groupe de métal japonais). Par contre rien sur Kickban de l’ami Remouk … c’est incompréhensible 😉
L’installation se fait sans passer par le Play Store (Merci Google d’avoir approuvé ce truc) et toutes les infos récupérées sont directement envoyées sur leurs propres serveurs. Le processus n’est même pas fait discrètement puisque vous aurez notamment droit à cette magnifique icône sur votre appareil :
I have 2 eyes on you …
Et si vous pensiez échapper à ça avec votre téléphone Apple, un journaliste de la Süddeutsche Zeitung a déclaré avoir vu des machines qui semblaient être destinées à la recherche d’iPhone à la frontière.
Bon après il faut préciser que cela ne se passe pas partout en Chine, mais spécifiquement dans la région du Xinjiang ou le gouvernement local mène une grande campagne de surveillance de la population musulmane. Donc si vous êtes étranger et que vous entrez dans cette zone vous avez droit à votre petit logiciel. Pour info les Chinois n’en sont pas à leur coup d’essai, loin de là. Ce sont déjà eux qui utilisent de l’Intelligence artificielle et l’ADN pour scanner en continu leur population et traquer certains individus (le web en avait beaucoup parlé il y a quelques mois). Ou qui avaient forcé leurs résidents à installer une application de surveillance avec une sécurité épouvantable.
Première étape : contrôler la population locale. Seconde étape : contrôler les gens qui viennent de l’extérieur.
Reportage effectué sur place
L’info est le résultat d’un travail commun de Motherboard, Süddeutsche Zeitung, The Guardian, le New York Times et le radiodiffuseur public allemand NDR. Après avoir récupéré l’application (nommée BXAQ ou Fengcai), ils ont décidé de publier son code directement sur GitHub. Merci à eux.
Cela a permis à plusieurs solutions antivirus de placer ce petit soft dans leur liste de menaces à bloquer. Avast, McAfee et CheckPoint ont étés les premiers à réagir, suivit de Malwarebytes, Symantec et d’autres.
En tous cas de mon côté je ne suis pas près de planifier des vacances là bas. Pas envie de partager les sextos que j’envoie à mes lecteurs et lectrices avec des gens que je ne connais pas. 😉
Les chercheurs en sécurité du monde entier vont avoir de belles surprises dans les jours qui viennent. En effet, ces petits salopards de Google sont en train de bannir de YouTube les vidéos qui, je cite : « Expliquent aux gens comment contourner des systèmes informatiques sécurisés« . En gros, tout ce qui parle de hacking au sens laaarge…
Le chercheur Kody Kinzie en a fait les frais hier à cause d’une de ses vidéos traitant d’une faille sur certains routeurs wifi équipés de la fonctionnalité WPS.
We made a video about launching fireworks over Wi-Fi for the 4th of July only to find out @YouTube gave us a strike because we teach about hacking, so we can't upload it.
YouTube now bans: "Instructional hacking and phishing: Showing users how to bypass secure computer systems"
Une personne aux ressources intellectuelles limitées se dirait : « Oh, mais c’est bien parce que sinon, ça va apprendre à mon voisin de 12 ans comment pirater mon wifi et après je vais être embêté« .
Mais cette personne aurait tout faux.
En résumé, le voisin n’a pas besoin de YouTube pour apprendre à faire ce genre de chose, donc ça ne va pas fondamentalement changer la donne. Il ira chercher l’info ailleurs.
Par contre ce qui va changer, c’est que les chercheurs en sécurité qui exposent leurs découvertes et travaux ne pourront plus communiquer convenablement auprès de leur audience YouTube. La connaissance en matière de sécurité informatique devra donc être dispensée autrement, voire arrêter d’être dispensée pour ceux qui ont la flemme de remonter un canal de communication ailleurs (Blog, chaine Dailymotion, groupe Telegram ou que sais-je).
Mais sur un média grand public comme YouTube, cela permettait de sensibiliser plus de monde et ainsi de faire grimper le niveau de sécurité global. L’utilisateur lambda pouvait apprendre que tel routeur ou telle fonctionnalité était faillible et ne pas l’acheter ou ne pas l’activer. Ou s’il était équipé, il pouvait apprendre à renforcer la sécurité de son système.
L’obscurité et la censure de l’information d’une manière générale sont l’ennemi de la sécurité. L’information doit être partagée, car elle permet d’avertir et de prendre des mesures défensives. De leur côté, les youtubeurs infosec qui voudront continuer à être présents sur YouTube vont devoir faire le ménage dans leurs anciennes vidéos et surtout bien édulcorer leur discours sous peine de se faire dégager de la plateforme.
C’est aussi un gros coup bas de la part de YouTube envers la communauté des chercheurs en sécurité, mais aussi envers l’ensemble de ses utilisateurs à qui Google masque une partie de la réalité. Ce n’est pas leur rendre service que de censurer ce type de vidéo. C’est juste les rendre moins informés des risques de sécurité, et donc quelque part les laisser se coucher aussi bêtes que la veille, voire plus bêtes s’ils ont regardé uniquement les vidéos de la catégorie « Tendances » :-p .
Après c’est YouTube, c’est une plateforme privée, ils sont chez eux, et ils font ce qu’ils veulent. Donc si demain ils veulent censurer uniquement les vidéos qui parlent de tricot ou de cupcakes, ils pourraient le faire sans problème. Il faut juste avoir conscience que YouTube, c’est une fenêtre qui montre le monde avec un prisme déformant forgé avec de la culture nord-américaine et surtout une bonne dose de puritanisme. Ce n’est pas un problème en soi, mais il faut garder ça à l’esprit quand on utilise les outils Google. Et surtout être vigilant sur le rétrécissement de cette fenêtre (ou le renforcement de ce prisme), c’est à dire sur l’appauvrissement d’année en année (via la censure) des contenus.
ps : Oui ma chaine Youtube risque aussi de se faire striker à cause de vieux tutos. On verra bien.
D’un côté le célèbre jeu Flappy Bird qui a retourné la planète gaming il y a 5-6 ans. De l’autre le concept du Battle Royale dans lequel plusieurs combattants s’affrontent en même temps jusqu’à ce qu’il n’en reste qu’un.
Combinez les 2 et vous obtenez le jeu… Flappy Royale !
Choisissez un nom, personnalisez votre oiseau et roule ma poule. Après un petit niveau d’entrainement en solo vous allez affronter 99 autres concurrents, à vous d’aller le plus loin possible. Si vous êtes doué, vous verrez vos adversaires disparaitre petit à petit (si vous êtes mauvais, vous ne verrez pas grand-chose, c’est un peu le boxon au départ).
Boxoooooooooon !!!!
Il y a 2 modes de jeu : le mode classique et un système de meilleurs scores quotidiens pour voir qui a passé le plus grand nombre de tuyaux chaque jour avec un nombre d’essais limité.
Si vous avez déjà joué à Flappy Bird vous ne serez pas perdu, tout est exactement pareil : cliquez ou tapez sur l’écran pour faire rebondir votre oiseau, éviter les tuyaux et murs, etc.
Ça à l’air simple, mais le plus difficile est de ne pas être distrait par les autres joueurs !
Si vous utilisez l’application de messagerie Telegram, voici 2 bots gratuits qui vous permettront de créer et publier… vos propres bots. L’inception est totale !
Concrètement ils vont vous permettre de diffuser des mises à jour, partager vos articles ou encore (si vous êtes un commerce ou un restaurant, par exemple) de poser des questions à vos abonnés.
Les étapes à suivre sont assez basiques et ne demandent pas de grandes connaissances techniques : récupérer une clé API, créer le bot, le déployer sur Telegram et … c’est tout! Les utilisateurs peuvent ensuite venir interagir avec votre petit Nono. Et le tout est configurable depuis un navigateur web ou directement dans l’appli de messagerie.
Manybot
Manybot est le premier des 2 outils que je vais vous présenter. Il ne vous faudra pas plus de quelques minutes pour créer un petit bot assez basique. S’il est principalement destiné à la diffusion de vos articles ou messages auprès de vos abonnés il offre un peu plus que ça : formulaires personnalisés, publications automatisées depuis un flux RSS/Twitter/YouTube ou VK, commandes custom, …
Cet outil est un bot lui-même, donc il va vous demander une série d’informations et de paramètres à ajouter de manière automatisée. En fin de process vous récupérerez votre bot personnel. Easyyyy.
La première étape est donc de suivre leur compte Telegram, de démarrer la création via le « Start » et de répondre aux questions. Heureusement, si vous êtes perdu, il existe une section d’aide et pas mal de tutos assez complet.
Vous aurez aussi besoin d’une clé API. Pour la récupérer, il suffit d’aller voir le compte officiel de Telegram @BotFather, lui envoyer la commande « /newbot » et donner un nom à votre robot (ainsi qu’un nom d’utilisateur si vous voulez différencier les 2). Vous pouvez alors le personnaliser (description, avatar …) mais pensez surtout bien à récupérer la clé API et à la stocker de manière sécurisée !
API, i’m your BotFatheeeeer !
Retournez ensuite sur @Manybot et collez-y votre clé API. Puis à vous de choisir ce qu’il doit faire. Par exemple pour poster automatiquement à partir d’une source externe vous avez la commande « /autoposting », pour créer des commandes personnalisées « /commands », etc.
Le plus basique que vous puissiez faire avec le bot est d’envoyer des messages aux abonnés. Après avoir configuré le bot, vous devrez envoyer son lien aux utilisateurs de Telegram et les laisser s’abonner. Après cela, vous pouvez créer de nouveaux articles et les envoyer à tout moment. Il vous permet même de programmer des messages pour les envoyer plus tard. Plutôt pas mal !
Aradbot
Si le premier est entièrement gratuit, Aradbot est un peu différent, car il demande de créer un compte et ne vous permet d’avoir un bot unique. Si vous en voulez plusieurs ou des fonctionnalités supplémentaires il faudra payer.
Par contre l’interface est un peu plus sympa et vous aurez droit à quelques stats basiques (visites quotidiennes …). Vous pouvez ajouter différents menus dans votre bot, faire des liens sous forme de boutons, définir des messages personnalisés, effectuer des sondages, créer un groupe de support, etc. En outre, vous pouvez à tout moment modifier les actions créées.
Pour la création en elle-même, c’est quasi la même chose que pour Manybot, il faudra suivre les instructions de @youraradbot étape par étape et récupérer une clé API auprès du @BotFather.
Bref voilà de quoi vous amuser un peu sur Telegram, l’un des outils de messageries les plus utilisés (notamment dans le monde des cryptos).
