Mise à jour de la base de données, veuillez patienter...

Admettons que vous ayez besoin de transmettre des fichiers d’une machine A à une machine B, sans laisser aucune trace et de manière sécurisée ?

Comment faites-vous ?

La seule idée qui me vient à l’esprit, c’est de tout copier sur une clé USB, de déposer les fichiers puis de manger la clé USB pour que jamais personne ne la retrouve… Quoique ça ne fonctionne pas avec les Lions de mer, alors ça ne fonctionnera pas non plus avec vous. Bon, disons que vous détruisiez à la perceuse la clé USB. Là ça peut le faire. Mais vous devrez quand même être proche de l’autre machine, car envoyer la clé USB par la Poste c’est l’exposer…

C’est pourquoi l’autre méthode c’est d’utiliser un outil comme Magic Wormhole (« Trou de vers magique » en anglais) qui va vous permettre de transférer des fichiers, peu importe leur taille, via le réseau en toute sécurité.

Ce package s’installe de la manière suivante…

pip install magic-wormhole

…et fournis à la fois une bibliothèque et un outil en ligne de commande permettant de transférer des fichiers ou des répertoires d’un ordinateur à un autre simplement et de manière sécurisée. Pour assurer la sécurité, Magic Wormhole utilise PAKE (pour « Password-Authenticated Key Exchange »), un type d’algo de chiffrement qui utilise un mot de passe à faible entropie pour établir un partage de clé cryptographique à forte entropie. Cette clé est ensuite utilisée pour chiffrer les données.

Voici un exemple de connexion entre 2 machines.

Expéditeur :

% wormhole send README.md
Sending 7924 byte file named 'README.md'
On the other computer, please run: wormhole receive
Wormhole code is: 7-crossover-clockwork
 
Sending (<-10.0.1.43:58988)..
100%|=========================| 7.92K/7.92K [00:00<00:00, 6.02MB/s]
File sent.. waiting for confirmation
Confirmation received. Transfer complete.

Receveur :

% wormhole receive
Enter receive wormhole code: 7-crossover-clockwork
Receiving file (7924 bytes) into: README.md
ok? (y/n): y
Receiving (->tcp:10.0.1.43:58986)..
100%|===========================| 7.92K/7.92K [00:00<00:00, 120KB/s]
Received file written to README.md

Dans l’exemple ci-dessus, ce que vous pouvez voir, c’est qu’un code unique facile a prononcer et à retaper est généré par l’outil (« 7-crossover-clockwork »). C’est ce code que vous devez ensuite transmettre à une autre personne (via un canal audio chiffré sur Signal par exemple), pour que celle-ci le tape au moment où Magic Wormhole le lui demande.

S’établira alors un partage de clé de chiffrement et le transfert des fichiers sécurisé pourra commencer.

Pour qu’un attaquant réussisse à péter le truc et obtenir la clé partagée, il faudrait que vous l’informiez (en parlant fort dans un lieu public par exemple) au sujet du mot de passe, ou qu’il soit sur le même réseau que vous et qu’il utilise une technique de man-in-the-middle durant la phase initiale de connexion (qui ne dure que quelques secondes…) et qu’il « devine » dans le même temps et de manière instantanée ou presque le mot de passe utilisé par les 2 utilisateurs s’échangeant des fichiers.

Soit 1 chance sur 65536 de deviner le mot de passe, ce qui est certes peu, mais Magic Wormhole affichera suffisamment d’erreurs aux utilisateurs légitimes à chaque essai de mot de passe raté qu’ils se douteront directement de quelque chose. Ainsi les risques restent faibles.

Si vous voulez tester Magic Wormhole, tout est expliqué ici. Et ça peut même fonctionner au travers du réseau Tor.

Et pour ceux qui veulent creuser le sujet, Brian Warner, le papa de Magic Wormhole vous dit tout ici (vidéo de 2016).

Si vous me suivez un peu sur Twitter, vous savez surement que ma semaine a été positivement intense. Mais cela ne m’a pas empêcher de faire une petite sélection de liens que je partage avec vous avec amour.

• Puis demain, il refera tout en Python puis en Ruby 😉 https://t.co/FBDurappNE

• La Ligue du lol… je ne connaissais pas ce BroClub mais ça ne m’étonne pas. https://t.co/xJ1BYy3Pxb

• Le président Trump devrait bannir les équipements de télécommunications chinois sur les réseaux américains la semaine prochaine https://t.co/ThzdMT13dv

• Excellent. 😂 Jack Black Performs His Legendary Sax-A-Boom with The Roots https://t.co/phW1bEdmj9

• C’est tellement ça. https://t.co/tPoaiLL0fq

• Utiliser Internet Explorer est dangereux. Ce n’est pas moi qui le dit mais Microsoft . https://t.co/tSIGJFDRJv

• « On vous explique ce qu’est la Ligue du LOL, ce groupe de journalistes accusés de cyberharcèlement » https://t.co/xpNv5IetUF

• En ce qui me concerne, je continue de penser que cela passe principalement par la sensibilisation. Ce que je fais depuis 15 ans sur mon site et ailleurs. https://t.co/NLGSwikiDM

• Les trottinettes Bird sont piratables avec un tournevis et 30 € (et la startup n’aime pas qu’on en parle) https://t.co/Ls6ZZ6XuWj

• Une vidéo sur l’abus de position dominante chez certains YouTubeurs. Ça raisonne avec l’esprit #ligueduLOL de certains https://t.co/kh48Li0gfR

• « J’ai, il y a huit ans, et pendant plusieurs années, été harcelé par la Ligue du Lol » https://t.co/5snpL4uYhC

• L’Age du capitalisme de surveillance – Signaux Faibles https://t.co/gK9UN7Z8Id

• Et depuis qu’t’as perdu tes cheveux …. https://t.co/7fnNYmVy7I

• Lecture du lundi matin après un week-end bien sale. https://t.co/ATIcRDrXNI

• CDC study finds e-cigarettes responsible for dramatic increase in tobacco use among middle and high school students erasing the decline in teen tobacco product use from previous years. https://t.co/nyYODHsIbo

• Le piratage catastrophique d’un fournisseur de services de messagerie détruit près de deux décennies de données relatives à des courriels https://t.co/5nDDopI7C1

• Lima – C’est terminé. Pensez à récupérer vos données. https://t.co/ugLrKyvIuy

• Du pain ou une GAV. https://t.co/ZxuQZBLbeg

• La Ligue du LOL racontée par ses victimes : « Ruiner des carrières et des vies, c’était leur quotidien » – Politique – Numerama https://t.co/VvXoccyApk

• Ligue du LOL : 5 leçons que l’on peut tirer de cette histoire (liste provisoire et non exhaustive) https://t.co/1XxtOmLwse

• Hackers Destroyed VFEmail Service – Deleted Its Entire Data and Backups https://t.co/aFqFZgIapD

• Non, vous ne pouvez pas reprendre du code open source – ZDNet https://t.co/hhfWiesCni

• Un mauvais film en somme. « L’affaire Benalla, un scénar plus que vraisemblable » https://t.co/2Qb17lqTx7

• #BalanceTonGAFAM « Une application approuvée par Google et Apple piste les femmes en Arabie Saoudite » https://t.co/bG9f1Jzmey

• Censure sur Instagram : une femme taille 54 en culotte censurée https://t.co/e0MQtq9sKg

• A montrer de toute urgence à vos enfants. La reine des neiges 2 ! 🤪https://t.co/oslNo9FliO

• MalwareTech loses bid to suppress damning statements made after days of partying | Ars Technica https://t.co/Nf2CNXI1qV

• Sunshine [Comic] https://t.co/koQZAWEWaj

• Ça c’est fait ! Au boulot maintenant ! « YesWeHack lève 4 millions d’euros » https://t.co/CKehVfoJuF

• Mounir Mahjoubi présente les articulations du plan d’action contre les contenus haineux en ligne, la fin de l’anonymat en ligne n’est pas évoquée https://t.co/wiV2zZVky2

• :-(( « High Stress Levels Impacting CISOs Physically, Mentally » https://t.co/PuoQQotDgO

• Shadow Ghost : PC ou console, pourquoi choisir ? https://t.co/bToWuWaTcO

• Bientôt la fin pour ces braves bêtes. « Une « invasion » d’ours polaires agressifs dans l’archipel russe de la Nouvelle-Zemble » https://t.co/91oarUNNBK

• Summary of which third party scripts are most responsible for excessive JavaScript execution on the web. https://t.co/CM7rGD5n9V

• Nouvelle attaque de phishing assez vicieuse. https://t.co/OIBxmXQy3b

• Microsoft annonce que le lancement officiel de Visual Studio 2019 aura lieu le 2 avril, et propose Visual Studio 2019 Preview 3 en téléchargement https://t.co/HYa9LSltp5

• Did You Know: Will Smith Turned Down the Role of Neo in The Matrix https://t.co/t6xB9AOEqd

Si vous souhaitez dormir au chaud ce soir (comprenez en prison), ou si vous voulez vous faire mousser auprès de vos collègues, j’ai la solution !

Il s’agit d’une fausse interface qui reprend grosso modo tous les clichés sur les hackers qu’on a pu voir ces 20 dernières années au cinéma.

Une fois sur le site, cliquez sur le bouton « Start » en bas à gauche et amusez-vous avec les touches de votre clavier ou cliquez sur les icônes pour afficher des outils de cracking de mot de passe, de minage de Bitcoin, des caméras de surveillance hallucinantes, un module de contrôle de centrale nucléaire et j’en passe.

Très rigolo, pas vraiment subtil, mais vos enfants ou des collègues un peu trop amateurs de cinéma s’y laisseront prendre 😉

Il est important de savoir joindre l’utile à l’agréable. Et en ce qui me concerne, j’ai beaucoup amélioré ma compréhension orale de l’anglais grâce aux séries VOSTFR.

Et si vous désirez faire la même chose en mode plus intensif, grâce à Netflix, il existe une extension Chrome nommée « Language Learning with Netflix« , qui propose tout simplement de jouer 2 sous-titres en même temps. Par exemple français + anglais ou français + espagnol ou peu importe, afin que vous puissiez suivre une série ou un film dans une langue étrangère de votre choix, pouvoir lire le texte associé à ce qui est dit, toujours dans la langue étrangère choisie, tout en visualisant une version en français dans le même temps.

Ça fait beaucoup de choses à suivre, mais en faisant quelques pauses aux moments un peu chaud, vous apprendrez à vitesse grand V !

L’extension LLN vous permet de gérer finement la lecture par chapitres, d’en régler la vitesse et d’en savoir plus sur les mots importants.

Malheureusement, il ne vous sera pas possible de regarder tous les films dans toutes les langues, selon votre pays d’origine. C’est pourquoi LLN propose un catalogue filtrable par la langue que vous souhaitez apprendre.

Par exemple, si je veux apprendre le Russe sur un catalogue Netflix disponible en France, j’ai le droit uniquement à ces 2 films-là.

Et en plus c’est gratuit ! Ça va encore mettre un sacré paquet de profs de langue au chômage ! (Un troll ? Où ça un troll ??)

Pour télécharger l’extension LLN, c’est par ici.

Aujourd’hui, ça va être une bonne journée. Non pas parce que c’est vendredi (enfin, oui aussi) mais surtout parce que c’est aujourd’hui que débutent les Geek Faeries On The Web #7.

Comme tous les ans, cet événement 100% en ligne va mettre en avant la culture geek au sens large, avec au programme du jeu vidéo (let’s play, programmation et bug bounty), des jeux de plateaux (jeu en live, création d’un scénario), des jeux de rôle, de la slow tech, du techno hacking, un peu de soudure, de la conduite de drone, de l’entomologie, de la photo (prise de vue et retouches), de l’illustration en live, une bonne dose de culture internet, des sciences humaines et autres sujets autour du life hacking.

Cet événement commence à 20h ce soir, et va durer 48h sans interruption. Au menu, des tables tondes, un labo, et des séances de streaming de jeux, le tout réparti sur 3 plateaux webTV et des interventions face cam.

Je ferai partie des streamers ce samedi à partir de 15h, avec l’ami Remouk (DansTonTchat, Kickban) pour un Webosaures spécial « LE Internet » !!! Je ne vous en dis pas plus… héhé.

Et nous aurons aussi le plaisir aussi de retrouver durant ces 48h les copains et copines Chane (Chane-Art), Sorina Chan (illustrations), Fanélia (illustratrice des Geek Faëries), Hackira (Hackerzvoice), Pablo Sotes (pilote de drones), 2 assos de Jeu de rôle grandeur nature (Le Poing d’acier et les Tank ‘Affaires), L’Electrolab (hackerspace), Gull et Viciss (Hacking Social), Booky (April, Framasoft) ainsi que toute l’équipe sympathique qui conçoit et réalise les Geek Faëries.

Le programme précis sera annoncé dans la journée sur le site des Geek Faeries et la mosaïque des flux vidéos ainsi que le canal Discord seront également disponible vers 20h sur le site. –> Geek Faeries OTW