Les Français de Dashlane viennent de mettre un outil en ligne que j'ai trouvé très impressionnant... Ou flippant, c'est selon ;-)
Pour rappel, Dashlane est un gestionnaire de mots de passe semblable à Lastpass, 1Password...etc. La particularité de Dashlane, c'est qu'il est développé par des Français et que les mecs bouillonnent d'idées. Je songe d'ailleurs à migrer chez eux bientôt.
Mais peu importe. Si je vous parle de Dashlane aujourd'hui, c'est surtout pour vous montrer leur outil de scan qui permet d'aller analyser votre boite mail Hotmail, Yahoo, Gmail, AOL et faire ressortir tous les sites, dont le mot de passe en clair traine dans votre boite mail.
Démonstration :
Donc, comme le dit Alexis sur la vidéo, en rouge, ce sont les sites qui vous ont envoyé des emails avec mot de passe en clair. Autant dire qu'il faudra rapidement changer les mots de passe de tous ces sites web car la NSA, un cybercriminel ou votre petite copine / petit copain, pourra s'en saisir sans mal.
En bonus, l'outil pour propose même de ressortir LE mot de passe que vous utilisez le plus...
Voici ce que ça donne chez moi :
Mais le plus intéressant, une fois le scan terminé, c'est surtout le rapport en PDF qu'il est possible de télécharger à la fin et qui donnera en détail, site par site, les mots de passe et les informations à savoir, par exemple si le site en question a souffert d'une fuite de données (hack).
Bref, un outil très sérieux et très utile à tester ici.
Samedi dernier, un peu à l'arrache, j'ai installé OxygenOS sur mon OnePlus One et vous êtes plusieurs à m'avoir demandé un retour rapide...
Après 4 jours d'utilisation intensive, je peux donc vous donner mon ressenti. Pour éviter d'y aller par 4 chemins, au premiers abords, ça ou une version stock de Lolipop, ça ne change pas grand-chose. OxygenOS 1.0 étant la première version post-Cyanogen pour le OnePlus, c'est pour le moment très collé à la version originale d'Android 5.0.
Mais en apparence seulement, car même si la rom OxygenOS n'a pas encore le niveau de customisation d'une CyanogenMod, elle m'a fait une excellente impression sur 2 points :
1/ La stabilité. Pour une version 1.0, je m'attendais à quelques crashs, mais au final, aucun truc bizarre (à part un mini-bug avec l'application Horloge, mais je vous explique comme le résoudre après)
2/ L'autonomie. J'avais peur de perdre de la batterie en passant à cette version, mais en fait, c'est le contraire qui s'est produit. Après avoir fait toutes mes petites optimisations habituelles (luminosité, coupure des notifs, réglage des synchronisations mails...etc), je tiens mon téléphone trèèèèèès longtemps... 1 journée en l'utilisant comme un porc. 2 jours si je ne fais pas grand-chose avec.
Voici les "fonctionnalités originales" qu'on peut retrouver dans OxyenOS :
De plus, je n'avais pas encore eu l'occasion de tester vraiment Lolipop et j'adore !
J'ai vu que mon copain Jérôme galérait à l'installer alors je vais essayer de faire un petit tuto pour les nons-geeks qui veulent installer OxygenOS....
Notez que vous perdrez tout ce qu'il y a sur le téléphone, donc pensez à faire un backup.
1/ Téléchargez et installez Android Studio (pour avoir l'outil fastboot)
9/ Copiez le zip oxygenos_1.0.0.flashable.zip sur le téléphone via Android Transfert
10/ Démarrez votre téléphone en mode recovery en maintenant enfoncé le bouton "POWER" avec le bouton "Volume BAS". Pas la peine de le garder appuyé trop longtemps, sinon, vous éteindrez à nouveau le téléphone. Relâchez tout dès que vous voyez le logo de OnePlus. Vous devriez voir l'interface de TWRP.
11/ Installez la rom OxygenOS à partir du zip (menu Install)
12/ Une fois que c'est fait, faites un wipe dans TWRP pour effacer les données, le cache et dalvik et avoir un téléphone tout propre.
13/ Rédémarrez et voilà !
Et maintenant : Comment résoudre le bug de l'horloge ?
Et bien si vous avez un petit message d'erreur vous disant que l'application Horloge a cessé de fonctionné, il suffit tout simplement d'aller dans les paramètres, menu Applications, de cherche l'application Horloge et de vider son cache.
Et voilà !
Bref, pour conclure, je dirai que c'est un début très prometteur pour cette nouvelle rom à destination des OnePlus. C'est moins fun que la CyanogenMod, mais ça tourne comme un coucou suisse.
Besoin de vérifier si un téléphone est volé ? Finis les "Checkmend" et les vendeurs d’informations grâce à ce service en temps réel : Cheek Check.
Le service iCloud mis à disposition par Apple ne permet pas de savoir si un iPhone est volé comme l'explique cette étude comparative disponible ici. Et pour les autres marques, ou opérateurs dans le monde, il n’existe rien d'officiel pour savoir si un téléphone est volé.
Cheek Check fonctionne avec toutes les marques et tous les opérateurs du monde : iPhone, Samsung, Nokia, Orange, SFR, AT&T etc.
Comment ça fonctionne ?
Cheek Check est relié en temps réel aux bases de données mondiales des téléphones volés ou perdus. D’après les statistiques du service Cheek Check, entre 20 et 30% des téléphones testés via leur service sont déclarés volés (principalement les iPhone et les Samsung). Jusqu'à présent, 80 000 tests ont été effectués via leur service, soit entre 16 000 et 24 000 téléphones volés !
Comment vérifier si un téléphone est volé ?
Il suffit d’inscrire votre IMEI dans la grosse bulle jaune ici même, puis cliquer sur vérifier.
Sachez enfin, qu'il est aussi possible d’installer votre propre iframe Cheek Cheek sur votre blog ou forum pour faire profiter les internautes de ce service.
Aujourd'hui, via Alex Archambault, j'apprends qu'il existe sur le site de l'Assemblée nationale, un formulaire qui permet de faire remonter à l'Assemblée vos réflexions étayées et intelligentes sur l'étude d'impact accompagnant le projet de Loi sur le Renseignement.
Avant tout, il faut donc lire cette étude d'impact. Ensuite, il faut prendre votre plus beau clavier et expliquer ce qui vous chiffonne dans cette étude et quels sont autres impacts auxquels ils n'ont pas pensé.
Bref, si vous avez des idées, des réflexions et des remarques intelligentes, allez-y. Par contre, je ne vous garantis pas que quelqu'un lise votre message. C'est peut-être juste pour l'illusion ;-)
Puis si vous n'êtes pas à l'aise avec les longs messages, ce n'est pas grave. Vous pouvez toujours choisir un Député dans cette liste de comptes Twitter et lui envoyer un petit tweet pour lui demander de voter contre le Projet de Loi sur le Renseignement.
Et vous verrez, peut-être qu'il vous répondra en mode grognon comme celui-là. C'est rigolo ;-)
Vous vous souvenez de l'audit de TrueCrypt lancé en octobre 2013 via une campagne de financement participative ? Et bien cet Open Crypto Project vient d'aboutir y'a pas 20 min et rendu public.
Cet audit portait sur la version 7.1a pour Windows, c'est à dire, la dernière de "confiance" avant le blackout organisé par, semble-t-il, les américains (NSA ?). Les experts qui l'ont analysé ont donc utilisé à la fois les sources et la version compilée pour tester l'ensemble des API. Par contre, ils n'ont pas eu recours à des techniques de reverse engineering.
Les chercheurs se sont surtout concentré sur des erreurs de développement qui pourraient mener à la fuite en clair d'une clé ou d'un contenu, ainsi qu'aux possibilités de provoquer des défaillances dans le logiciel pour pervertir sa sécurité. Ils ont aussi évalué le générateur de nombres aléatoires afin de voir si celui-ci était suffisamment fiable pour éviter de prédire par quelque moyen que ce soit, les clés ou une partie de celles-ci.
Et au total, ce sont donc 4 vulnérabilités qui y ont été détectées. 2 fortes et 2 faibles. Décrites dans le document, ces 4 problèmes ne permettent pas de contourner la sécurité lors d'un usage normal de TrueCrypt, à savoir se créer un conteneur chiffré et l'utiliser.
Par contre, lors de certains scénarios complexes, il est possible de foirer l'appel à une API Windows, ce qui peut provoquer une entropie plus faiblarde. Par exemple, si un utilisateur se crée un volume TrueCrypt et que les Stratégies de Groupes mises en place par l'administrateur bloquent l'accès au CSP (Cryptographic Service Provider), et bien cela peut engendrer des erreurs aléatoires pouvant faciliter les attaques par brute force.
Autre scénario, un attaquant pourrait extraire grâce à une technique dite de cache-timing, les clés AES utilisées pour protéger les volumes chiffrés. Mais pour cela, il devra pouvoir exécuter du code sur la machine de la victime.
Ce sont les 2 plus grosses failles. Le reste est de faible risque.
Les chercheurs apportent en fin de document leurs recommandations sur l'amélioration du code de TrueCrypt afin d'éliminer tout risque. Ces recommandations sont: continuer à améliorer le code, simplifier la logique applicative et mettre au point un log d'erreur un peu plus aggressif et détaillé.
Maintenant, la question est : est-ce que Truecrypt était backdooré ? La réponse est donc non. Sinon, ça se serait vu. Par contre, il existe bien des façons de faire qui pourrait mener à la fuite d'une clé ou au déchiffrement de documents. C'est loin d'être à la portée du premier venu, mais c'est possible. Au moins, maintenant, on sait :)
Cet article merveilleux et sans aucun égal intitulé : L’audit de TrueCrypt est terminé ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.
