Allez on continue la journée en beauté avec un petit concours à 6 questions qui vous permettra peut être de remporter l'un des 3 Linutop XS.

Si vous ne connaissez pas encore Linutop, c'est mal. J'en avais déjà parlé y'a plusieurs années et ils reviennent aujourd'hui avec un nouvel OS à destination des Raspberry Pi. Cet OS destiné aux entreprises permet de mettre en place très rapidement un kiosque internet, l'utiliser pour faire de l'affichage dynamique, ou tout simplement l'utiliser comme un PC normal.

L'affichage dynamique, ça permet de se constituer une playlist de fichiers multimédias, PDF, sites web et de les jouer en 1920 x 1080 pixels (via la prise HDMI) sur n'importe quelle TV ou écran. Le mode kiosque quant à lui permet de verrouiller l'ordinateur pour ne proposer qu'un navigateur, et si vous le désirez, une liste prédéfinie de sites web accessibles ou non accessibles (white list, black list). Pas besoin d'être un technicien, ça se branche et ça fonctionne directement.

C'est destiné aux hôtels, aux halls d'entreprises ouverts au public, aux mairies, aux bibliothèques, aux exposants dans les salons, aux usines, aux écoles...etc. Bref, tous les lieux où du public peut être amené à utiliser un ordinateur et où il n'y a pas spécialement d'équipe technique pour s'en occuper.

Évidemment, il peut être utilisé comme un PC normal et on peut y installer n'importe quel soft Linux (c'est basé sur Raspbian). Comme c'est du Raspberry Pi 2, le boitier est mini (92g au total), et peut se glisser derrière un écran. Il est bien évidemment silencieux et ne consomme rien du tout.

L'OS contient par défaut pas mal de softs comme Epiphany (le navigateur web), Libre Office 3, un clavier virtuel, ou encore une version de VLC spécialement compilée pour lire les vidéos en full HD. (voir la fiche technique en PDF)

Je le dis et je le répète ce n'est pas pour les geeks. C'est pour les entreprises ou les administrations qui ne veulent pas perdre de temps à installer quoi que ce soit, et qui cherchent une solution clé en main. Les amis de Framboise314 ont d'ailleurs réalisé un test complet que je vous invite à lire.

Bref, pour en gagner un, voici le concours avec quelques questions à répondre !

Bonne chance à tous !

En juillet 2014, je vous ai présenté SpiderOak, un service que j'utilise depuis tout ce temps, similaire à Dropbox mais en mode zero knowledge. Cela veut dire que les fichiers que vous stockez chez eux sont chiffrés avec votre clé et vous êtes le seul à pouvoir les déchiffrer.

Si vous perdez votre clé, vous ne pourrez pas récupérer vos fichiers.

Mais SpiderOak propose un autre outil super intéressant qui s'appelle Encryptr et qui n'est ni plus ni moins qu'un gestionnaire de mots de passe et autres données sensibles (notes, adresse, n° de CB...etc) qui fonctionne sur le même principe tout chiffré (en zero knowledge) que leur système de backup .

Disponible sous Android, Windows, Linux et OSX, Encryptr sait aussi générer des mots de passe lorsque vous souhaitez enregistrer de nouveaux identifiants. Bon, c'est clairement moins poussé niveau fonctionnalités que Lastpass (y'a pas les plugins navigateurs par exemple) mais c'est gratuit et tout aussi sécurisé.

À tester si vous n'avez pas encore de gestionnaire de mot de passe.

Et si vous êtes développeur, sachez que SpiderOak propose aussi Crypton, un framework javascript qui permet d'imaginer tout type d'applications sécurisées en Zero Knowledge sans rien connaitre aux secrets du chiffrement

Aucune idée de ce que ça vaut, mais je viens de tomber sur un tout nouveau logiciel de base de données qui s'appelle ZeroDB et qui permet de disposer d'une base de données chiffrée de bout en bout (end to end).

Les données stockées sur le serveur sont chiffrées en permanence, y compris lorsqu'elles sont requêtées et transmises aux clients. Sur le site ZeroDB, ils expliquent que le déchiffrement se fait côté client uniquement, ce qui permet en cas de compromission d'un serveur d'éviter que les données ne se retrouvent en clair dans la nature.

D'ailleurs histoire de bien insister sur ce point, MacLane Wilkison & Michael Egorov (les développeurs) expliquent que grâce à ZeroDB, il est maintenant possible de mettre des données sensibles ou critiques sur n'importe quel service de cloud.

Et même si j'ai des doutes niveau perfs, ils nous racontent ici que ça reste très bon. Si ce projet vous intéresse, tout est là :

• zerodb repo: https://github.com/zero-db/zerodb/
• zerodb-server repo: https://github.com/zero-db/zerodb-server/
• Documentation: http://docs.zerodb.io/

Et voici une démo en vidéo de la chose :

Bref, l'idée semble séduisante et même si je n'ai aucune idée de ce que ça vaut en vrai, les sources sont disponibles donc y'a plus qu'à essayer pour se faire un avis !

Enjoy !

Source

Vous vous souvenez de Voila.fr ? Ils sont nombreux ceux qui utilisent encore un mail en @voila.fr... 500 000 personnes environ...

Vous faites d'ailleurs peut être encore partie des gens qui ont et utilisent une boite mail Voila.fr. Seulement, voilà... (ahaha), Orange a décidé de fermer la partie mail de son site. Dès le 12 janvier 2016, vous pourrez dire au revoir à votre boite mail @voila.fr.

Bon, chez Orange, ce ne sont pas des chiens et ils ont fait les choses bien. Ils ont mis en ligne une FAQ qui explique tout ce qu'il faut faire pour continuer à avoir une boite mail (ailleurs...) et surtout comment faire une redirection de votre boite @voila.fr vers votre nouvelle boite mail. Oui d'après ce que j'ai compris, Orange continuera un service minimum de redirection ce qui n'est déjà pas si mal. Reste à savoir jusqu'à quand ?

Mais les gens sont tristes... Tellement tristes, qu'ils n'ont pas lu la FAQ et ont créé une association (Association pour la Sauvegarde de la Messagerie VOILA.FR) et une pétition pour demander à Stéphane Richard, PDG d'Orange de préserver leur boite email Voila.fr.

Voici le texte de la pétition qui totalise pour le moment 3 900 signatures sur les 5 000 attendues :

Imaginez qu'on vous supprime votre adresse mail personnelle que vous utilisiez depuis de longues années ! Perdus tous les contacts qui avaient noté votre adresse e-mail... Perdus tous les e-mails, peut-être très importants, qui vous seront encore envoyés à cette adresse...

C'est pourtant ce qui risque d'arriver à des centaines de milliers de personnes, d'associations et de petites entreprises : Orange a décidé de fermer son service de messagerie VOILA.FR qu'il édite depuis 1998. Dans toute l'histoire de l'Internet cela n'est jamais arrivé qu'ainsi un grand service de messagerie prive ses utilisateurs de leurs adresses e-mail. Décider d'arrêter l'édition du service ? Peut-être, mais après avoir pris bien soin de sanctuariser les adresses mail de tous ces fidèles utilisateurs acquis durant plus de 17 années !

L'Association pour la Sauvegarde de la Messagerie VOILA.FR vient de se créer et lance aujourd'hui cette pétition et demande à Orange :

• - de proposer à ses utilisateurs une solution pérenne pour que ceux-ci puissent continuer à utiliser leur adresse e-mail @voila.fr,
• - de confier à une société française la gestion des adresses e-mails @voila.fr et ainsi conserver en France les données de tous ces internautes.

Une telle continuité est clairement possible : l'Association pour la Sauvegarde de la Messagerie VOILA.FR a reçu la confirmation du service de messagerie français Net-C (NETCOURRIER) qu'il est prêt à apporter cette continuité de service aux adresses e-mail @voila.fr, si Orange l'accepte.

Soutenez cette pétition : "Oui, il faut sauvegarder toutes les adresses e-mail @voila.fr !

Monsieur le Président d'Orange, décidez maintenant, il y a urgence !"

Suivez-nous sur Twitter : @petitionvoila
Suivez-nous sur Facebook : Sauvons @voila.fr

Notre site web : www.sauvonsvoila.fr

Le changement, c'était maintenant, mais eux ne le veulent pas ! Comment leur en vouloir ? 5 Go de stockage, pas de serveur POP3 ou IMAP, pas d'application mobile, des pièces jointes de 20 Mo maximum. C'est ROYAL !

Alors comme vous pouvez le lire dans la pétition, ils se sont bougé les fesses et ont trouvé un repreneur technique pour leur messagerie préférée depuis 1998 qui n'est autre que Net-C (Netcourrier). Sympa les mecs !

Pas un rond à débourser pour Orange, juste un accord à signer, un petit coup de DNS à modifier et roule ma poule...

Mais leurs appels semblent résonner dans le vide. Du coup, je me permets de relayer leur pétition en espérant qu'ils soient entendus

Sauver Voilà c'est important. C'est préserver le patrimoine culturel de l'Internet Français et aider des milliers de gens coupés du monde moderne, à préserver leur culture ancestrale et leur mode de vie. Les Indiens d'Amérique du Sud y ont droit, alors pourquoi pas eux !

Vive Voila !

Merci à Alexandre pour l'info

Il y a quelques semaines, des chercheurs en sécurité ont remarqué que pas mal de constructeurs de routeurs et d'objets connectés, utilisaient, probablement par paresse, les mêmes clés privées sur tout leur matériel.

Grâce à l'analyse du firmware de plus de 4 000 objets connectés (routeurs, caméras IP, téléphones VoIP...etc.) de 70 constructeurs différents (Cisco, General Electric, Huawei, Motorola, Seagate, Netgear, Zyxe, LinkSyst, D-Link, Trendnet...etc), ils ont extrait 580 clés privées et ont pu déterminer que ce trousseau correspondait à 6% de tous les appareils accessibles en SSH sur le web et 9% de tous les appareils accessibles en HTTPS sur le web.

230 clés sur 580 sont donc activement utilisées partout sur le web par tout un tas de matériel. 150 certificats sont utilisés par 3,2 millions de machines et 80 clés privées SSH sont utilisées par 0,9 million de machines.

Ça craint et cette négligence peut permettre à un attaquant d'usurper l'identité d'un de ces périphériques et donc de pousser un malware qui serait accepté comme légitime. Cette découverte a été publiée le 25 novembre dernier et les constructeurs ont déjà commencé à publier des mises à jour de leurs firmwares pour corriger ce problème de négligence.

Si je vous parle de ça, c'est que pour trouver ces chiffres impressionnants, les chercheurs ont utilisé un site plutôt cool : Censys.io

Censys est un moteur de recherche lancé par des chercheurs de l'Université du Michigan, qui collecte toutes les données qu'il peut sur les appareils connectés en IPv4 sur le net. Pour cela, il utilise le scanner de ports open source ZMap (+ ZGrab) et stocke tout ce qu'il récupère dans une base de données, qui est ensuite accessible via l'interface web, une API ou carrément des listings en texte brut à télécharger.

Vous pouvez faire des recherches par mots clés, par IP, par nom de domaine, par protocole utilisé, par certificat...etc. Les informations collectées sont d'ailleurs très complètes et peuvent servir à débusquer d'éventuels problèmes de sécurité.

Comme avec Shodan que j'ai déjà présenté ici, on peut tomber sur pas mal de trucs ouverts aux 4 vents... Webcams, imprimantes, serveurs http, dns, smtp, systèmes téléphoniques, systèmes industriels ou encore des distributeurs de billets...

Ce genre d'outil est malheureusement utilisé par les pirates pour trouver des cibles dès qu'une nouvelle faille pointe le bout de son nez, mais il permet aussi de déterminer la quantité de périphériques faillibles comme l'ont fait les chercheurs cités plus haut, ou de tester vos propres IP pour voir ce qu'il en ressort et corriger d'éventuels problèmes.

Bref, comme d'habitude, un outil formidable ;-)