Mise à jour de la base de données, veuillez patienter...

Cette couverture du CES 2015 a été rendue possible grâce au soutien de Domadoo.

Et me voilà arrivé au CES à Las Vegas ! Si vous me suivez sur Twitter, vous avez du voir que c'était une mission car mon avion est arrivé suffisamment en retard pour que je loupe ma correspondance à New York. Du coup j'ai perdu une grosse journée et hier, j'étais dans un état de fatigue à la limite du coma (oui, bon, j'en rajoute un peu).

Bref, j'ai pu rencontrer déjà quelques sociétés sympas et voir ce qu'elle présentaient au CES. Je vais donc vous parler de tout ça. Vous allez voir, y'a des trucs vraiment cool.

Je vais débuter cette série avec un article sur de la domotique et vous parler de Brio.

Brio c'est américain et ça a démarré sur Kickstarter. Il s'agit d'une prise électrique "intelligente" qui est capable de détecter si ce qu'on y insère est une prise mâle d'appareil électrique ou les doigts de votre enfant, la langue de votre animal de compagnie ou toute partie étrange de votre corps qui risquerai de vous faire monter au ciel plus rapidement que prévu.

Le système Brio se compose d'un module principal qui se fixe dans le mur à la place de n'importe quelle prise électrique et qui communique ensuite avec votre téléphone pour lui remonter des infos à travers une application.

Par défaut, la prise Brio ne distribue pas de courant. Et si vous y rentrez un objet métallique (trombone par exemple), vous ne serez pas électrocuté, car il détecte si l'objet inséré nécessite une charge. C'est l'équivalent du cache prise en version high tech.

La prise murale Brio affiche une couleur différente en fonction de son état. Bleu, tout va bien, Orange, y'a un truc qui ne va pas et Orange qui clignote, c'est "Attention danger, barrez-vous !"

Mais de quel danger parle-t-on exactement ? Et bien en plus de cette prise murale, il y a des capteurs supplémentaires qui permettent de remonter la présence d'eau (en cas de fuite), de monoxyde de carbone (ex : problème de chaudière) ou de fumée (en cas d'incendie). Ces petits modules se placent chez vous, derrière une machine à laver ou au plafond et communique ensuite avec la prise principale pour vous remonter de infos sur l'application mobile.

En cas de danger ou de problème, vous serez donc immédiatement prévenu. Evidemment, si le courant est coupé, l'info n'est pas remontée donc à mon sens (et ça vaut pour tous les systèmes de ce genre) c'est un truc à avoir en complément de détecteurs classiques fonctionnant avec des piles.

En tout cas dans une chambre d'enfant, ça prend tout son sens.

Le produit sera distribué aux backers en mai et sera vendu ensuite dans le courant de l'année, un peu moins de 50$ (sans les modules qui eux coûteront entre 20 et 40 $ pièce). Par contre pour le moment, elles sont au format américain mais j'imagine qu'un format européen sera disponible dans la foulée.

+ d'infos ici.

Cet article merveilleux et sans aucun égal intitulé : Brio – La prise intelligente pour éviter les accidents ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

J'ai une licence de Windows 8 acheté avec mes petits sous et je viens de l'installer sous Virtualbox pour faire quelques tests. Malheureusement, je l'avais déjà activé sur un autre PC. Par conséquent, il fallait que je prenne contact avec Microsoft pour montrer patte blanche et relancer l'activation sur ma VM.

Seulement voilà... C'est une VM. Ça veut dire que je peux décider du jour au lendemain de la shooter et d'en recréer une, de la dupliquer ou tout simplement de réinstaller Windows 8 sur mon PC. Bref, peu importe, ça me cassait les bonbons d'appeler MS juste pour ça, surtout que cette licence m'appartient, que j'ai un n° de série bien valide et que je n’avais pas envie de faire d'effort.

Du coup, au début, j'ai tenté des trucs un peu ésotériques pour copier la licence activée du PC vers la VM, mais sans succès. Puis en fouillant un peu le net, je suis tombé sur un outil qui s'appelle "Microsoft Toolkit", qui n'est pas développé par MS, mais par des bidouilleurs sympathiques et qui permet de faire tout un tas de choses, y compris activer son Windows.

J'ai donc lancé Microsoft Toolkit en Administrateur, cliqué sur le bouton Windows et sur l'onglet "EZ-Activator".

Et paf la limace, voilà mon Windows activé ! Woopy ! Pour le vérifier, rendez-vous dans les informations système et regardez tout en bas. Vous devrez voir écrit : Windows est activé.

Et mis à part ça ? Et bien Windows Toolkit 2.5.2 permet de trouver / modifier sa clé de licence, de sauvegarder son activation ou de réinitialiser l'activation de Windows et/ou Office. Bref, de quoi jouer ?

Et on le trouve où Windows Toolkit 2.5.2 ? Et bien sûr tous les bons sites de torrent. Je vous laisse chercher, mais je vous mets quand même les hash pour le vérifier si besoin :

EXE MD5: BA07172487AAED1C8A8C9A807F96F112
EXE SHA-1: 1E6465F8EBA701B62FDB0D8F1E6BD62F988F7835

Cet article merveilleux et sans aucun égal intitulé : Comment forcer l’activation de Windows 8 ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Connaissez-vous le HSTS ? Il s'agit d'une technologie qui permet d'améliorer la sécurité sur les connexions HTTPS  pour éviter les attaques Man In The Middle.

Le serveur web utilisant HSTS déclare aux navigateurs qui s'y connectent, qu'ils doivent passer obligatoirement en HTTPS pour discuter avec lui et remplacer automatiquement tous les liens http en liens https.

Cela permet d'empêcher certaines attaques MITM qui profiteraient d'un contenu mixte (http/https) pour intercepter certaines requêtes.

C'est très bien... Mais saviez-vous que cette sécurité peut servir à vous traquer ? En effet, lorsqu'une connexion sécurisée à un serveur web est effectuée avec HSTS, votre navigateur enregistre un petit marqueur qui permet de s'assurer que votre connexion sera toujours sécurisée (en https) même lors de vos visites futures sur ce site.

Malheureusement, le souci avec ce tracker est double puisque :

1/ Il est toujours présent même lorsque vous utilisez le navigateur en mode navigation privée

2/ Il ne s'efface pas... Enfin si... Sur les navigateurs d'ordinateurs (Chrome, Firefox...etc) on peut le virer en supprimant les cookies. Mais si vous avez un appareil Apple (sous Safari donc), tel un iPad ou un iPhone, il est impossible de l'effacer, même en supprimant les cookies.

Le plus beau là dedans, c'est que ce tracker HSTS est synchronisé sur votre compte iCloud. Cela veut dire que même si vous effacez tout votre téléphone, celui-ci sera à nouveau présent lorsque vous vous reconnecterez à votre compte iCloud pour une restauration.

Le chercheur en sécurité qui a découvert cette possibilité ne parle pas d'Android dans son analyse donc je ne peux pas vous dire si Chrome + un compte Google se comporte comme le combo Safari + iCloud.

Alors que faire ? Et bien si vous avez un iMachin, pas grand chose. Et si vous ne voulez pas être traqué sur votre PC, même en navigation privée,  voici une astuce qui vous permettra de passer à travers les mailles du filet : Utilisez Internet Explorer.

En effet, même si je trolle un peu, ce dernier ne supporte pas les specs HSTS... C'est ce qu'on appelle de la "Sécurité par manque de fonctionnalités" ;-)

Pour tester le coté collant de la chose, je vous invite à vous rendre sur cette page qui vous générera un code HSTS en javascript... Amusez-vous ensuite à passer en navigation privée, et vous verrez...

ps : Sinon, faut vider les cookies toutes les secondes. Et jeter son iPad/iPhone...

Cet article merveilleux et sans aucun égal intitulé : iPad / iPhone – Le tracker impossible à enlever ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Andrew Hoffman est développeur Ruby et durant ses vacances de Noël, il a commis une petite erreur qui a failli lui coûter plus de 2300 dollars.

Environ 5 minutes avoir mis son clone de Yelp sur Github pour en partager les sources, il a percuté qu'il avait oublié ses clés Amazon WebServices (AWS) dans son script. Il les a enlevé puis à remis une nouvelle version du script nettoyé sur le dépôt. Pas grave se dit-il, puisque il est le seul à connaitre l'existence de ce dépôt Github et que ses clés ne sont restées en ligne que quelques minutes.

Et il est parti se coucher.

Pas de chance pour lui, puisque presque immédiatement après la première publication de son code, un bot dont c'est la fonction, s'en est emparé et les a utilisé pour créer plus de 140 serveurs EC2 avec son compte Amazon AWS, afin de miner du Bitcoin.

Et c'est le lendemain, qu'il a découvert une facture de 2375 $ sur son compte Amazon. Après discussion avec l'entreprise américaine, ces derniers ont accepté de ne rien lui faire payer et sur son blog, où il explique sa mésaventure, il donne ces quelques conseils :

• Ne faites pas confiance à des choses comme .gitignore ou des gems comme Firago pour conserver vos données à l'abri des yeux indiscrets
• Si vous devez gérer un projet contenant des données sensibles, préférez un dépôt privé sur votre machine locale ou un serveur géré par vous uniquement (et sécurisé).
• Et si vos clés API se retrouvent par erreur sur le net, même pour quelques secondes, ne prenez aucun risque et révoquez les, puis générez en de nouvelles que vous garderez pour vous, cette fois.

Message reçu Andrew ! Je reste quand même bluffé par l'ingéniosité des développeurs de ce bot, qui utilisent la négligence de certains développeurs pour se faire du pognon. A mon avis, à moins que Github ne fasse quelque chose pour nettoyer ces clés AWS des codes publiés ou pour bloquer ce genre de bot, les gars ne sont pas près de s'arrêter.

Bref, gaffe à vos sources.

Source

Cet article merveilleux et sans aucun égal intitulé : Github – Une faute d’inattention qui coûte cher ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

CryptoData est une extension Firefox sans prétention qui permet de chiffrer en AES du texte avec une simple clé de votre choix.

Cette extension utilise l'implémentation AES CTR mise au point par Chris Veness et si vous êtes webmaster, en suivant ces recommandations, vous pourrez proposer des pages entièrement chiffrées (texte, images, JavaScript) que vos visiteurs pourront lire avec CryptoData.

Et si vous êtes un internaute, vous pouvez vous amuser à chiffrer/déchiffrer n'importe quel message de forum ou de commentaire pour peu que vous ayez échangé la clé avec votre correspondant.

De quoi bien s'amuser. Toutes les infos sur CryptoData sont ici.

Cet article merveilleux et sans aucun égal intitulé : Chiffrer entièrement un site web avec CryptoData ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.