D'une manière générale, la mise en place d'un programme de Bug Bounty prend un peu de temps : Il faut consulter ses équipes, valider les budgets, travailler sur la définition du périmètre, mettre en place les process de correction, établir le montant des récompenses...etc. Généralement, il se passe donc plusieurs semaines avant que le programme de Bug Bounty ne soit ouvert à nos hunters sur BountyFactory.io.

Puis il arrive parfois qu'on doive agir vite. Mais il ne faut pas confondre vitesse et précipitation. C'est pourquoi grâce à notre plateforme et à l'écosystème YesWeHack, l'un de nos clients a pu lancer son programme de Bug Bounty en moins de 15 min chrono, sans s'emmêler les pieds dans le tapis. Je trouvais intéressant de vous faire un petit retour d'expérience là dessus.

Cette société que je ne nommerai pas (désolé ^^), a rencontré un gros problème de sécurité quelques jours plus tôt. Un cybercriminel a réussi à pénétrer sur leur site via une faille inconnue, exfiltrant des gigas de données personnelles (comptes utilisateurs et emails, mais rien de plus critique que cela heureusement), au nez et à la barbe de tous. Il faut dire que dans beaucoup d'entreprises, la sécurité n'est pas une priorité tant qu'il n'y a pas de problème et sans surprise, c'était leur cas.

Constatant le problème, ils ont alors constitué immédiatement une cellule de crise, mobilisant leurs dev leaders et leurs experts en sécurité H24. Mais malgré tout, impossible de trouver réellement comment faisait l'intrus pour passer outre les sécurités mises en place. La décision a donc été prise de faire appel à BountyFactory pour mettre en place un programme de Bug Bounty afin de débusquer un maximum de faille et éventuellement fermer la porte au cyber criminel.

Pour aller vite, l'équipe en charge du programme s'est rendue sur notre agrégateur Firebounty.com et a littéralement copié-collé le programme d'une autre société, qui correspondait le plus à ses attentes.

Après quelques modifications légères sur le périmètre, le programme était prêt à être mis en ligne au bout de quelques minutes seulement. Bien sûr, de notre côté, nous l'avons vérifié et validé immédiatement.

Parallèlement, ce qui a pris le plus de temps a concerné l'alimentation de leur wallet (portefeuille). En effet, dans de nombreuses sociétés, les process comptables sont assez lents et il faut en général faire une demande et attendre plusieurs jours si pas plus, pour obtenir un accord autorisant une dépense.

Vu l'urgence de la situation, l'équipe de la cellule de crise a rapidement obtenu les fonds nécessaires. Et voilà, au bout de ces 15 minutes, les hunters invités dans le programme privé, ont pu commencer à se pencher sur la situation de ce client.

A mi-parcours, l'équipe mobilisée a quand même réajusté le tir dans la description du périmètre pour préciser qu'elle était surtout à la recherche de failles super critiques type injection SQL. Et dès qu'un rapport de bug tombait, l'équipe l'analysait, récompensait le hunter et patchait en temps réel son site. Il est quand même utile de préciser que pour sérieusement motiver les troupes, ils ont placé les récompenses très haut. Autant dire que nos hunters étaient ravis de ces belles primes payées en quelques minutes après leur rapport.

Ainsi au bout de 3/4 jours, les équipes techniques de ce client sont parvenues à corriger une 40aine de failles, dont celle utilisée par le cybercriminel.

Objectif atteint dans l'urgence certes, mais sereinement en évitant une surréaction qui aurait pu aggraver la situation principalement en termes de communication.

Après coup, j'ai pu débriefer avec eux, et si la situation a pu être corrigée aussi rapidement, c'est tout d'abord grâce à la richesse et la diversité de notre communauté de hunters qui est la plus importante en Europe, mais aussi grâce à notre plateforme qui ne nécessite pas de temps d'apprentissage.

Évidemment, la correction en temps réel a aussi été un gros plus, puisque cela a permis d'éviter les doublons. Ils m'ont aussi confirmé que les rapports de bug obtenus étaient très travaillés et très complets, ce qui leur a permis de corriger vite sans perdre de temps dans de longs échanges avec les hunters.

Mais le plus important là dedans, c'est que ça a permis à leurs développeurs de mieux comprendre le mode opératoire des attaquants, en leur offrant un autre autre point de vue. Ainsi, ils ont pu améliorer leurs méthodologies et gagner en expérience pour sécuriser au mieux leur futur code.

C'était la première fois qu'on lançait un programme de Bug Bounty aussi rapidement et c'est agréable de constater que cela n'a pas altéré la qualité des retours. Le client est ravi, les hunters sont ravis et moi je suis ravi aussi.

Bref, soyez proactifs et pensez Bug Bounty pour éviter un préjudice irréversible !

Cet article merveilleux et sans aucun égal intitulé : Le jour où nous avons lancé un programme de Bug Bounty en moins de 15 min [BountyFactory] ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Si vous êtes sous Linux et que vous voulez savoir si quelqu'un a branché une clé USB ou un appareil USB sur votre ordinateur pendant votre absence, voici USB Canary !

Cet outil dont les sources et la doc sont dispo ici permet de surveiller vos ports USB, y compris quand votre ordinateur est verrouillé. Ainsi, en cas d'accès, il est capable de vous envoyer un message.

C'est du python, donc pour l'installer, il vous faudra des bibliothèques tierces (à installer avec la commande pip) comme :

• slackclient
• twilio
• pyudev
• sander-daemon

(La doc est ici)

Ensuite, en éditant le fichier settings.json, vous pourrez configurer les moyens d'alerte (Slack ou SMS) et pour le lancer (ou l'arrêter) vous n'aurez qu'à lancer la commande suivante :

./usb_canary.py start | stop | restart

L'autre intérêt d'un tel outil c'est que vous pouvez le modifier pour détecter quand une machine en mode airgap (non reliée à un réseau) est compromise, en adaptant le système d'alerte à votre propre système de surveillance (via de l'analyse de log ou des alertes sur d'autres ordinateurs présents dans la même zone airgappée). Les sysadmins sauront apprécier l'utilité de la chose.

Source

Cet article merveilleux et sans aucun égal intitulé : USB Canary – Pour savoir quand on utilise un port USB à votre insu ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Depuis toujours, la musique et les artistes sont liés à Internet... Internet est une immense salle de concert où chacun peut découvrir de nouveaux talents, et échanger avec ses artistes préférés, voire avec d'autres fans. Et pour les artistes, c'est pareil... Chacun peut se faire connaitre, faire découvrir sa musique, échanger avec son public, trouver d'autres musiciens, d'autres passionnés...etc.

Je ne pense pas qu'il existe sur la toile, un seul artiste qui n'ait pas, aussi petite soit-elle, une petite fanbase et des soutiens. Et depuis toujours, le rapport entre les artistes et le net a été très compliqué... Passé les premiers émois MySpace s'en est suivie une période très clivante à base de P2P. Certains artistes déjà bien installés étaient farouchement opposés à ces échanges libres et d'autres artistes plus modestes estimaient que la musique devait être gratuite et que cela contribuait indirectement à leur richesse en leur apportant de nouveaux fans, et en aidant à remplir les salles de concert.

Le support CD a continué à décliner, les plateformes de vente de MP3 n'ont jamais réellement décollé, certains indépendants ont expérimenté le prix libre et d'autres ont appris à se passer d'intermédiaires (comme les maisons de disques) pour distribuer directement leur musique à leurs fans sur leur propre site.

Et de fil en aiguille, même si tout ce que j'ai cité à l'instant n'a pas disparu, ce qui a mis tout le monde d'accord, ou presque, c'est Spotify, Deezer et YouTube.

Des plateformes qui diffusent sans limites de la musique ET qui rémunèrent les artistes, grâce à la publicité et grâce à des abonnements. Tout pareil que la fameuse licence globale, mais en mode privé.

Et pourtant, tout le monde continue de gueuler... Les artistes parce que les plateformes les payent des clopinettes et les fans, car les abonnements sont trop chers ou la publicité trop intrusive.

Et si je vous parle de tout ça, c'est parce que je viens d'entrevoir ce que sera le futur de la distribution musicale. Un échange libre et direct, sans intermédiaire, entre les artistes et leurs fans et qui ne reposera sur aucune plateforme unique.

Son nom : Musicoin !

Comme pour le Bitcoin qui offre une monnaie décentralisée et hors des griffes des gouvernements et des banques, le Musicoin est un système de blockchain non-profit qui permet de rétribuer directement les artistes sans intermédiaire. Cela fonctionne avec une techno de "smart contract" (comme Ethereum ou d'autres), afin que l'artiste touche son dû à chaque fois que quelqu'un appuie sur le bouton PLAY.

Chaque artiste est libre de fixer son tarif et cette monnaie peut circuler librement entre les gens, être répartie (chacun a son wallet) et être ensuite convertie en euros ou à terme en autre chose : Services, musique, marchandise, visionnage vidéo, financement de projets comme des clips, vente de places de concerts...etc.

C'est un écosystème qui ne demande qu'à être adopté par les artistes et tous ceux qui gravitent dans le monde de la musique et qui souhaitent se passer d'intermédiaires. (Voir cette page pour mieux comprendre comment ça fonctionne)

Actuellement, il n'existe qu'une plateforme qui propose aux artistes de mettre en ligne leur musique (le projet est encore récent), mais l'idée c'est que chacun s'approprie le Musicoin et propose des services, des applications, des sites web, des plateformes de streaming autour de ça. Je suis convaincu que ceux qui sautent dans le wagon maintenant réussiront dans quelques années à détrôner Spotify, Amazon MP3 et j'en passe... Vous allez me prendre pour un fou, mais vous verrez bien.

Tout le projet est open source, le livre blanc est disponible ici et une API sera bientôt proposée. Si vous voulez tester la vitrine de Musicoin, vous pouvez vous inscrire sur le site (encore un poil buggé, inscrivez-vous en cliquant sur "Sign up", les connexions via Twitter, Facebook et G+ ne semble pas encore fonctionner) qui vous offrira 99 MC (Musicoins) pour écouter les morceaux disponibles sur la plateforme. Et si vous êtes un artiste, vous pouvez aussi enrichir la base avec vos propres morceaux.

Bref, une révolution à venir qui va surement braquer les "industriels" de la musique, mais qui aidera, je l'espère, les artistes (Tous les artistes et pas seulement ceux qui font de la musique) à vivre de leur art sans intermédiaire.

Cet article merveilleux et sans aucun égal intitulé : Musicoin – La blockchain qui va libérer les artistes ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Et si vous profitiez du printemps pour changer d’air ?
Chaque semaine, RemixJobs vous propose 5 offres d’emploi axées numérique / tech pour répondre à vos envies d’ailleurs, et vous permettre de trouver le job de vos rêves !

Cet article merveilleux et sans aucun égal intitulé : Les jobs de la semaine [Remixjobs] ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Ça vous dirait de créer votre propre bot Twitter, Facebook, Telegram, Slack et j'en passe, capable de répondre à certaines commandes ou à réagir à certains mots ? Et bien pourquoi ne pas s'initier à la création d'un bot avec Api.ai ?

Ce service en ligne, qui plus est, gratuit vous permet de créer des groupes de réponses thématisés et de connecter ensuite tout ça avec des services existants (Facebook, Slack, Cortana, Amazon Alexa, Twitter, Skype...etc) ou avec votre propre code via des SDK.

Api.ai propose ainsi plusieurs langues, dont le français et un module SmallTalk pour pouvoir répondre aux gens qui vous font la conversation...

Ça peut même être un bon moyen de rendre fou vos trolls avec des réponses aléatoires opposées

A vous de préciser les réponses qui peuvent être multiples et variées. Bref, plus vous enrichissez votre bot, plus il fera illusion. D'ailleurs, les messages que les gens envoient à votre bot sont conservés et vous pouvez y apporter après coup des réponses plus ciblées.

Et le plus beau là-dedans, c'est que c'est gratuit. Bon l'intérêt évidemment, c'est d'orienter par exemple vos followers, vos fans ou vos visiteurs vers des contenus ou de leur donner des réponses qui tiennent la route. En ce qui me concerne, j'ai mis le minimum vital sur mon compte Twitter Korben_rss qui sera ravi de répondre à quelques-unes de vos questions dans la limite de ses maigres capacités.

Soyez gentils avec lui quand même.

Cet article merveilleux et sans aucun égal intitulé : Comment créer un chatbot facilement ? ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.