Si vous aimez bidouiller votre Raspberry Pi ou booter des PC sous Linux, il vous faut forcement un outil pour "graver" des images sur un support de type carte SD ou clé USB.
Disponible sous OSX, Linux et Windows, Etcher permet de mettre en place l'image disque de votre choix (zip, img, iso) sur une carte SD ou une clé USB, et vous assure qu'il n'y aura pas de problème de lecture grâce à son système de vérification d'image.
L'application, dont les sources sont disponibles, se veut hyper simple d'utilisation et dispose même d'une sécurité (comme Unetbootin) pour vous éviter d'écraser un disque dur avec une ISO ;-)
Il y a quelques semaines, je vous ai parlé de Petya, un nouveau malware qui chiffre la table des fichiers et qui démarre directement l'ordi sur le malware pour réclamer une rançon (il écrase le MBR).
Mais niveau "chiffrement", c'est tout bidon puisque Petya se contente d'encoder en Base64 les fichiers. Cela peut facilement être inversé. Pas besoin de payer une rançon en Bitcoins donc...
Vous devez évidemment, pouvoir accéder à votre disque malade depuis une autre machine Windows (grâce à un dock USB par exemple). Téléchargez ensuite ce programme qui va extraire les données qui vont bien depuis votre disque infecté.
Puis copiez coller ce que vous donne cet outil, sur le site suivant (ou son miroir) :
Casser la crypto d'un outil de messagerie chiffré, ça demande pas mal de connaissances, de boulot et de puissance machine.
Ce n'est pas donné à tout le monde et si même la NSA galère, c'est peut-être pas forcement toujours le bon angle d'attaque.
Prenons par exemple Messages de OSX (connu aussi sous le petit nom de iMessage) qui permet d'envoyer des messages (chiffrés) vers les Macs, iPhone, iPad et iPod de vos amis. Il y a quelque temps, les chercheurs en sécurité Joe DeMesy, Shubham Shah, et Matthew Bryant ont découvert un bug au niveau de la couche applicative de Messages, qui permettait de récupérer tous les messages et fichiers contenus dans le Messages de la victime.
Pas besoin de casser le chiffrement donc, il suffisait d'envoyer une URI JavaScript (javascript://) rendue cliquable grâce au comportement de WebKit utilisé par cette application et contenant le code permettant d'accéder au DOM de l'application et à l'attaquant de lire ensuite les fichiers de son choix grâce à des requêtes XMLHttpRequest (XHR).
Il suffit d'un seul clic de la part de la victime et l'attaquant peut alors récupérer et envoyer sur un serveur distant, l'intégralité de l'historique de toutes ses conversations et les pièces jointes associées. Un seul clic, même maladroit, et c'est parti !
Gloups !
Voici une démo en vidéo :
Heureusement, grâce aux principes de responsible disclosure, Apple informé de la faille a pu corriger rapidement le problème en mars de cette année.
Cette démonstration que vous pouvez retrouver en détail ici permet de se rendre compte de 2 choses :
Cliquer sur un lien, ça peut faire des dégâts sans sommation.
Et même avec le meilleur chiffrement du monde, une application peut laisser fuiter de la donnée en clair. Il suffit tout simplement d'y trouver une faille exploitable.
Soyez donc sûr des outils que vous utilisez, reposez-vous sur des outils open sources qui sont testés par la communauté, et gardez à l'esprit que tout ce que vous pourrez écrire pourra un jour échapper à votre contrôle.
j'espère que tout roule pour vous, avec ce beau printemps qui revient ! Peut être comme certains d'entre vous, j'ai évidemment recommencé à planter quelques trucs dans le jardin et repris les balades avec la famille ;-).
Hier soir, j'ai eu le grand plaisir d'aller voir le spectacle de Vinvin et Stéphanie Jaroux qui passaient dans ma ville et je me suis bien marré. C'est à la fois humoristique et ça donne à réfléchir. Si vous avez l'occasion, je vous le recommande vraiment.
Niveau tech, comme y'a pas grand chose niveau actu à se mettre sous la dent en ce moment, j'ai optimisé encore un peu les temps de chargement du site. J'ai aussi commencé à faire une petite chronique le jeudi matin dans Good Morning Zombies, la matinale de Geekinc diffusée sur Twitch tous les matins. Et je prépare aussi une conf sur le thème du Bug Bounty pour le Remixjobs Day du 28 avril (et d'autres événements qui suivront). Ça demande un peu de boulot, je vais devoir sortir de ma grotte (duuuur ;-)), mais je suis certain que ça vous plaira.
Voilà pour les nouvelles. Et vous quoi de neuf ?
A bientôt
K.
Cet article merveilleux et sans aucun égal intitulé : Edito du 10/04/2016 ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.
Le logiciel Signal d'OpenWhisperSystems qui permet de passer des coups de fil et d'envoyer des SMS de manière totalement chiffrée vient de sortir une version beta pour desktop.
Cette version est en réalité une extension pour Chrome qui s'associe avec la version mobile que vous avez déjà, et qui permet de recevoir et d'envoyer des messages directement depuis votre navigateur.
Bon, c'est une beta... Le truc à savoir c'est que contrairement à l'application mobile qui permet d'envoyer des messages, même à des gens qui n'ont pas Signal (SMS classiques et non chiffrés), Signal pour desktop permet uniquement de recevoir et d'écrire à vos contacts qui ont eux-mêmes Signal.
Je ne crois pas que cette limitation technique s'arrangera avec le temps, car cela voudrait dire que les SMS non chiffrés doivent être stockés sur les serveurs de Signal et je ne pense pas que ce soit leur volonté. Bref, une limitation certes, mais une limitation qui s'explique parfaitement.
Reste plus qu'à convaincre vos contacts de passer sous Signal. Pour la petite histoire, c'est le système d'OpenWhisperSystems qui a été intégré dans la nouvelle version de Whatsapp pour gérer le chiffrement de bout en bout... J'ai donc un petit espoir pour que les 2 applications puissent un jour communiquer entre elles...
On verra bien. Quoi qu'il en soit, si vous voulez tester, c'est par ici.
Cet article merveilleux et sans aucun égal intitulé : Signal débarque sur Desktop ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.
