rPGP c’est un bibliothèque Rust qui va vous permettre de jouer avec OpenPGP comme des grands ! Plus besoin de vous taper des kilomètres de C pour avoir un bout de code qui chiffre trois mails bourrés de fautes. Maintenant, on a le droit à une implémentation 100% Rust, avec une API minimaliste mais qui fait le taf. Et en plus, c’est sous licence libre, donc on peut en faire ce qu’on veut !

Le top du top, c’est que rPGP gère tout ce qu’il faut pour être compatible avec Autocrypt 1.1. Si vous ne connaissez pas, c’est une spécification pour chiffrer les mails qui est censée être facile à utiliser pour monsieur et madame tout-le-monde.

Côté technique, rPGP est mis à jour régulièrement en tant que crate pgp (oui, ils ont pensé à nous, les flemmards qui ne veulent pas taper plus de trois lettres). Et pour la partie RSA, ça vit tranquillou sous le parapluie collectif RustCrypto. Et pour les petits malins qui voudraient se la jouer elliptique, pas de panique : le support ECC est assuré par la crate Curve25519-dalek. J’adore le nom 🙂

Bon, après, faut avouer que la doc de l’API est encore un peu légère mais si vraiment vous séchez, vous pouvez toujours ouvrir une issue sur GitHub. Les devs sont sympas, ils répondent (des fois).

D’ailleurs, rPGP s’est payé un petit audit de sécurité indépendant en 2019, réalisé par les gars d’IncludeSecurity et pas de failles critiques ! Bon, quelques trucs à corriger par ci par là, mais globalement, c’est du solide. Si vous voulez jeter un œil au rapport, c’est par ici.

Notez que rPGP est utilisé en prod par Delta Chat, l’app de messagerie basée sur les mails et ça tourne nickel sur Windows, Linux, macOS, Android et iOS, en 32 et 64 bits. Que demande le peuple ?

Et si vous êtes du genre à tout vouloir faire tourner dans votre navigateur (ou dans Node.js, on ne juge pas), rPGP a même pensé à vous avec une feature wasm ! Par contre, les bindings sont encore expérimentaux, mais tout se trouve dans le repo rpgp/rpgp-js.

Allez, je vous laisse, j’ai des messages secrets à chiffrer moi !

— Article en partenariat avec Surfshark —

Salut la compagnie ! C’est déjà la rentrée (j’ai l’impression que je vous disais au revoir pour 3 mois avant-hier, ouiiiin) et avec ça le retour des promos sur les outils de sécu qui finira en apothéose dans quelques semaines lors du black friday. Ces outils sont devenus aussi indispensables que votre brosse à dents connectée (si, si, ça existe). Et parmi la jungle des offres VPN, il y en a un qui sort du lot comme un requin dans une piscine municipale : j’ai nommé mon partenaire depuis des années, Surfshark ! Je reviens sur leur promo spéciale Amazon du moment plus bas 😉

Il n’y a pas si longtemps, Surfshark était encore le petit nouveau qui faisait trembler les mastodontes du secteur. Lancé en 2018, ce VPN a très vite réussi à se tailler une belle part du gâteau numérique. Et pour cause ! Il combine la puissance d’un grand blanc avec l’agilité d’un dauphin (métaphores marines, quand tu nous tiens). En 2024 on peut dire qu’il fait maintenant partie du trio de tête, en tous cas il est souvent dans ces eaux-là sur la plupart des comparatifs en ligne.

Côté vitesse, Surfshark ne fait pas dans la dentelle. Avec près de 3200 serveurs (100% RAM) répartis dans une centaine de pays, il vous permet de surfer comme si vous étiez assis sur une planche de surf en fibre optique. Alors c’est vrai, comme tout VPN qui se respecte, il va un poil ralentir votre connexion. Mais franchement, entre nous, c’est quasi transparent, surtout depuis qu’ils ont passé quasi l’entièreté de leur parc à une vitesse de 10 Gb/s (10x plus rapide qu’avant). Vous me connaissez, j’aime tester tout et n’importe quoi et je ne me suis quasi jamais retrouvé à pester sur la lenteur du bousin. Et si vous veniez suivre mes émissions en direct sur Twitch, vous le verriez de vos yeux vu 😉 Bref, vous ne verrez pas la différence en regardant votre série préférée sur Netflix ou Amazon Prime.

Des fonctionnalités qui en jettent

Surfshark, c’est selon moi, le meilleur des VPN. En plus de vous rendre aussi invisible qu’un tétra transparent dans la nuit, il vous offre :

• Cleanweb : un bloqueur de pubs sous stéroïdes. Adieu les fenêtres pop-up qui vous proposent des pilules miracles ou la dernière crypto à la mode.
• Liste blanche : pour exclure certains sites du VPN. Pratique quand vous voulez que votre banque ne pense pas que vous êtes soudainement parti vivre au Pôle Nord.
• Système de surveillance : qui vous alerte si vos données personnelles se baladent sur le berk web. Comme ça, vous saurez si votre mot de passe « 123456 » a été compromis (spoiler : oui, il l’a été).
• MultiHop : pour les paranos qui veulent passer par deux serveurs différents. Comme porter deux paires de lunettes de soleil, en moins ridicule.

L’offre Amazon du moment

Accrochez-vous à vos claviers, parce qu’en plus des prix attractifs classiques Surfshark rajoute un petit bonus sympa. Du 10 septembre au 10 octobre, et pour tout abonnement de 24 mois, le VPN offre à la population française un bon d’achat Amazon supplémentaire. Sans doute pour remonter le moral du pays après le truc olympique compliqué de l’été. On parle de :

• 10€ pour le plan Starter (qui revient à 71€ TTC pour 27 mois, 24 + 3 mois offerts)
• 20€ pour le plan Surfshark One (87€ TTC pour 27 mois)
• 30€ pour le plan One+ (139€ TTC pour les 27 mois)

Donc les abos sont respectivement de 61, 67 et 109€. Mais attention, il y a quelques petites conditions (parce que bon, faut pas déconner non plus) :

1. Il faut garder son abonnement actif pendant au moins 31 jours. Le bon d’achat sera dispo dans votre espace Surfshark après cette période. Les petits malins qui pensaient profiter des 30 jours satisfaits ou remboursés pour récupérer leur versement ET profiter du bon d’achat quand même, on vous a vu venir 😉 Vous aurez alors 5 mois pour réclamer votre cadeau. Largement le temps d’oublier et de vous en rappeler 3 fois.
2. Et si vous êtes déjà utilisateur du service ? On ne vous a pas oublié ! Il vous suffit de renouveler/prolonger votre période d’abonnement durant le mois de la promo pour recevoir le coupon également. Nouveaux utilisateurs et anciens peuvent bénéficier de l’offre. Le bon Amazon est valable 10 ans, donc vous avez le temps de savoir quoi en faire ! (comme me l’envoyer par exemple, à tout hasard hein). Vous pourrez même l’utiliser pour acheter les cadeaux de Noël de vos futurs enfants qui naitront en 2030, si on a survécu jusque là (mais ne prenez pas le risque, claquez le de suite hein).

Pourquoi Surfshark, et pas un autre ?

Alors là, accrochez-vous, parce que la liste est longue et même si j’en ai déjà fait des tonnes d’articles, pour résumer :

1. Prix imbattable : c’est l’un des champions toutes catégories du rapport qualité/prix. Aussi simple que ça.
2. Connexions illimitées : contrairement à certains concurrents, qui limitent à 5 ou 6 appareils, avec Surfshark, c’est open-bar ! Vous pouvez protéger votre smartphone, votre PC, votre tablette, votre frigo ou votre TV connectée, et même votre vieux routeur ou votre console. Ainsi que les appareils du reste de la famille.
3. Facilité d’utilisation : l’interface est tellement simple que même votre poisson rouge pourrait l’utiliser (toujours pour rester dans l’imagerie aquatique). Bon, faudrait déjà qu’il ait des doigts, mais vous avez compris l’idée.
4. Streaming de ouf : Netflix US, BBC iPlayer, Disney+, Amazon Prime… Surfshark ouvre les portes du paradis du streaming géobloqué pour les soirées d’hiver qui approchent.
5. Sécurité au top : protocoles de chiffrement dernier cri, politique de non-conservation des logs (auditée plusieurs fois par des organismes indépendants)… Avec le VPN, vos données sont aussi bien protégées que le secret de la recette du Coca-Cola.

Classe, efficace, et avec plein de gadgets cool, Surfshark VPN est l’un des outils les plus appréciables pour votre sécurité. Alors, si vous voulez surfer sur le web comme un pro, protéger vos données comme Fort Knox, et en plus recevoir un petit cadeau Amazon au passage, vous savez ce qu’il vous reste à faire. L’offre court jusqu’au 10 octobre, ce qui vous laisse largement le temps de casser votre tirelire (ou de vendre un rein, au choix).

Allez, je vous laisse, j’ai une série coréenne qui m’attend sur Netflix Japon. 3 mois de congé et je n’ai pas réussi à terminer tout le catalogue, quelle misère j’vous jure.

Profitez des 10/20/30€ de réduction avec Surfshark et Amazon

Vous cherchez un moyen astucieux et discret de dissimuler des messages dans vos écrits ? Ca tombe bien, Unch vous permet de cacher du texte dans un autre texte en utilisant des caractères Unicode invisibles. C’est comme une encre sympathique numérique !

Concrètement, Unch utilise les caractères de sélection de variante (Variation Selector) de l’Unicode, allant de \nE0100 à \nE01EF, pour masquer votre message secret. Votre texte en clair sert de couverture et le tour est joué ! Seuls ceux qui connaissent la combine pourront révéler le véritable contenu.

Mais comment ça marche ?

• 1. Votre message est d’abord encodé en Base64
• 2. Puis pour chaque caractère du résultat, on ajoute un sélecteur de variante
• 3. Ce texte ésotérique est ensuite inséré dans votre message anodin

Et hop, vous obtenez un texte d’apparence banale mais qui recèle un secret bien gardé ! Vos destinataires n’y verront que du feu.

Pour utiliser Unch, rien de plus simple. Vous pouvez :

• Télécharger un binaire précompilé depuis la page des releases GitHub
• Compiler vous-même le code source en Go (version 1.22.0 ou supérieure requise)
• Utiliser l’image Docker officielle

Ensuite, il suffit de lancer la commande unch en lui passant votre message et le texte de couverture. Par exemple :

unch "Mon message secret" "Coucou, quoi de neuf ?"

Vous pouvez aussi utiliser des options pour décoder un message caché avec -d ou --decode ou encore générer un faux texte aléatoire avec -l ou --lorem et même supprimer le saut de ligne final avec -n

Quelques exemples d’utilisation :

unch "Rendez-vous à 22h" "On se fait un ciné ce soir ?"
unch -l "Je suis un agent secret"
unch -d "On se fait un ciné ce soir ?"

Comme ça, avec Unch, vous pourrez échanger des infos avec vos amis ou vos collègues pour vous amuser (mais pas critiques non plus, c’est pas chiffré, je le rappelle.)

A découvrir ici.

Vous en avez marre de galérer avec la configuration de VPN pour sécuriser votre navigation web et vous cherchez une solution simple et efficace pour protéger votre vie privée en ligne sans vous prendre la tête ?

Avez vous pensé à WireProxy ?

Ce petit logiciel open-source est un client qui se présente sous la forme d’un proxy SOCKS5 ou HTTP et qui permet de se connecter à un serveur WireGuard et d’exposer un proxy sur votre machine. Ça peut être super pratique si vous avez besoin d’accéder à certains sites via VPN mais que vous n’avez pas envie de vous embêter à configurer une nouvelle interface réseau. Une fois que c’est en place chez vous, y’a plus qu’à configurer votre navigateur pour qu’il passe par le proxy. Et pas besoin des droits root pour le configurer.

En plus de ça, y’a tout un tas de fonctionnalités bien cool :

• Routage statique TCP pour le client et le serveur
• Proxy SOCKS5/HTTP (pour l’instant seul CONNECT est supporté)
• Support de l’UDP dans SOCKS5
• Routage statique UDP

Alors pour l’installer :

1. Clonez le dépôt GitHub : git clone https://github.com/pufferffish/wireproxy
2. Allez dans le répertoire : cd wireproxy
3. Compilez le projet : make
4. Puis lancez WireProxy avec votre fichier de config (les détails sont sur Github) :
   ./wireproxy -c chemin/vers/config.conf

Le fichier de configuration utilise une syntaxe similaire à celle de WireGuard, donc si vous êtes déjà familier avec WireGuard, vous ne serez pas dépaysé.

Vous pouvez y définir l’interface et le ou les serveurs (les pairs), mais aussi configurer des tunnels TCP et UDP ainsi que le proxy SOCKS5 ou HTTP. L’outil supporte même l’authentification pour le proxy, il suffit de préciser un nom d’utilisateur et un mot de passe dans la section [Socks5] ou [http].

Et voilà, vous êtes prêt à surfer en toute sécurité !

Autre point fort de WireProxy : il supporte la connexion à plusieurs pairs ! Il suffit de spécifier les AllowedIPs pour chaque pair pour qu’il sache vers quel pairs rediriger le trafic. Et si vous voulez que les pairs puissent se connecter à votre instance WireProxy, c’est possible aussi en précisant le port d’écoute avec ListenPort.

Amusez vous bien !

Vous cherchez un moyen simple et efficace de sécuriser vos fichiers ?

Ça tombe bien, je vous ai déniché un petit outil bien pratique nommé File-Encryptor qui est un programme développé en Rust vous permettant de chiffrer et déchiffrer vos fichiers en un clin d’œil.

Ce programme utilise l’algorithme de chiffrement AES-GCM (Advanced Encryption Standard-Galois/Counter Mode), connu pour être très robuste, avec une clé de 256 bits. Le gros avantage de File-Encryptor, c’est qu’il supporte le chiffrement basé sur un mot de passe. Comme ça, pas besoin de vous trimballer une clé USB avec votre précieuse clé de chiffrement. Il vous suffit de choisir une phrase secrète, et hop, vos fichiers sont chiffrés en un rien de temps. Et si vous voulez rajouter une couche de sécurité supplémentaire, vous pouvez même ajouter des données d’authentification en bonus (comme votre mail par exemple).

Bref, si vous avez des documents sensibles à envoyer par email ou via une clé USB ou si vous voulez faire une sauvegarde bien sécurisée de vos précieux fichiers sur un cloud ou un disque dur externe, et bien un petit tour avec notre ami File-Encryptor et vous pouvez dormir sur vos deux oreilles.

Allez, assez parlé, je vous fais une petite démo pour que vous compreniez comment ça marche.

Première étape : générer une clé de chiffrement.

Ouvrez un terminal et tapez :

file-encryptor keygen > mykey.key

Vous pouvez aussi utiliser l’option -p ou --password pour générer une clé à partir d’un mot de passe de votre choix. Par exemple :

file-encryptor keygen -p "motdepasse123" > mykey.key

Notez bien que la clé AES256 générée est obtenue en hashant votre mot de passe avec l’algorithme SHA256. Bon à savoir !

Maintenant, passons au chiffrement proprement dit. Mettons que vous ayez un fichier texte nommé « secret.txt » à chiffrer. Rien de plus simple :

file-encryptor seal secret.txt < mykey.key > secret.encrypted

Et si vous voulez ajouter des données d’authentification, rajoutez l’option -a suivie d’une chaîne de caractères. Par exemple votre email :

file-encryptor seal secret.txt -a "james@bond.mi6" < mykey.key > secret.encrypted

Pour déchiffrer votre fichier, c’est tout aussi facile. Il vous suffit de taper :

file-encryptor open secret.encrypted < mykey.key > secret.decrypted.txt

Et n’oubliez pas de préciser les données d’authentification si vous en aviez utilisé lors du chiffrement :

file-encryptor open secret.encrypted -a "james@bond.mi6" < mykey.key > secret.decrypted.txt

Et voilà, le tour est joué ! Vous savez désormais comment chiffrer et déchiffrer des fichiers comme un pro avec File-Encryptor. Franchement, c’est pas sorcier et ça peut dépanner dans un tas de situations.

Cliquez ici pour mettre la main sur ce petit outil bien pratique. Et n’oubliez pas : la paranoïa est votre meilleure amie dans ce monde de brute (force) !

Vous en avez ras le bol que vos données personnelles se baladent à poil sur Internet, scrutées par les GAFAM et aspirées par la NSA ?

Alors PrivateBin est fait pour vous ! Cette alternative open source et respectueuse de la vie privée à Pastebin permet de partager du texte et des fichiers de façon ultra sécurisée. Lors de la création d’un paste, le contenu est chiffré directement dans votre navigateur en utilisant AES-256 et même les petits gars de PrivateBin ne peuvent pas mettre leur nez dans vos affaires. C’est ça qu’on appelle le « zero knowledge« , mes amis !

La clé de chiffrement est générée à partir du contenu lui-même et n’est jamais transmise au serveur. Seul le contenu chiffré est stocké. Ainsi, lorsqu’un utilisateur souhaite accéder au paste, il récupère le contenu chiffré et le déchiffre dans son navigateur.

Et l’outil ne fait pas les choses à moitié question sécurité. Il embarque des fonctionnalités de ouf comme le chiffrement des discussions, la protection par mot de passe, des options d’expiration du contenu, et même la possibilité de « burn after reading« . Côté utilisateur, rien de plus simple. Une interface toute bête, tu colles ton texte ou tes fichiers, tu personnalises les options de sécurité et de confidentialité, et bam, t’as un lien à partager. On peut même faire son 007 en scannant un QR code pour transférer direct le lien sur notre smartphone.

De plus, PrivateBin s’installe en deux coups de cuillère à pot grâce à son script d’installation et sa configuration sécurisée par défaut. Pas besoin de sortir de Saint-Cyr pour mettre en place son propre serveur privé et si vous êtes encore plus parano, vous pouvez même l’installer sur un serveur onion (Tor).

D’un point de vue plus technique, c’est écrit en PHP mais pas de panique, les développeurs ont optimisé le bouzin pour le rendre plus rapide et efficace. Ils ont même intégré un système de cache pour améliorer les performances. Et grâce à l’utilisation de bibliothèques éprouvées comme GnuPG pour le chiffrement et Twig pour le templating, le code est propre et maintenable.

Les pastes sont automatiquement supprimés après 30 jours par défaut (mais vous pouvez choisir une durée plus courte) et pour l’utiliser au mieux, il y a même un client CLI (en ligne de commande), qui vous permettra de créer et récupérer de la donnée via PrivateBin sans quitter votre terminal.

Alors, prêt à tester PrivateBin ?

Aujourd’hui, on va causer d’un outil qui devrait vous plaire puisqu’il permet de traduire tout et n’importe quoi dans votre langue, tout ça en local. Cela s’appelle translateLocally et ça a été concocté avec amour par les génies de chez Marian et Bergamot, pour vous permettre de traduire en un clin d’œil 😉 n’importe quel texte, depuis n’importe quelle appli, directement sur votre ordi !

Plus besoin d’envoyer vos données perso sur des serveurs lointains, au risque qu’elles finissent entre les mains d’une personne mal intentionnée.

C’est dispo sur toutes les plateformes dignes de ce nom : Windows, Linux, Mac, en version web, en extension Chrome et Firefox… et même sur MS-DOS pour les plus nostalgiques d’entre vous (non, je déconne, quoique… 😜). Et le must du must, c’est que vous pouvez même ajouter vos propres modèles de traduction.

TranslateLocally utilise la puissance combinée des bibliothèques marian et Bergamot pour faire des prouesses de traduction dignes d’un C-3PO polyglotte. Le tout est boosté par une quantification des modèles sur 8 bits, ce qui permet une exécution ultra-rapide, même sur un Raspberry Pi premier prix. Et grâce à une shortlist lexicale bien pensée, les traductions sont d’une précision redoutable.

Et pour les pro, il y a même une interface en ligne de commande à disposition : Traduction de fichiers, changement de modèles à la volée, options avancées… Tout y est !

Pour traduire une phrase, rien de plus simple :

./translateLocally -m <modèle> -i <texte> -o <sortie>

Ce qui donne un truc comme ça :

echo "Bonjour, monde !" | ./translateLocally -m fr-en-tiny

• -m <modèle> : Spécifier le modèle de traduction à utiliser (par exemple, de-en-tiny pour l’allemand-anglais). La liste des modèles disponibles peut être obtenue avec translateLocally -l.
• -i <texte> : Texte à traduire (peut être un fichier ou un flux d’entrée standard).
• -o <sortie> : Fichier de sortie pour la traduction (peut être un fichier ou un flux de sortie standard).

Et si c’est carrément un fichier que vous voulez traduire :

./translateLocally -m fr-en-tiny input.txt output.txt

TranslateLocally peut également importer des modèles de traduction personnalisés au format marian. Pour importer un modèle :

1. Placez le modèle dans un répertoire. La structure du répertoire d’un modèle translateLocally doit ressembler à ceci :

my-custom-model/
├── config.intgemm8bitalpha.yml
├── model_info.json
├── model.npz
└── vocab.deen.spm

2. Ouvrez translateLocally et accédez à Modifier -> Paramètres du traducteur -> Langues -> Importer un modèle.
3. Sélectionnez le répertoire contenant le modèle que vous souhaitez importer.

Et voilà !

Pour les plus curieux d’entre vous, ça se télécharge sur le GitHub de translateLocally.

Si vous vous intéressez au reverse engineering comme moi, permettez-moi de vous présenter FLARE-VM de Mandiant ! C’est un outil très pratique pour vous monter rapidement un petit labo d’analyse de malwares sans vous prendre la tête.

Concrètement, FLARE-VM est une jolie brochette de scripts d’installation pour Windows, basés sur deux technos bien badass : Chocolatey (un gestionnaire de paquets) et Boxstarter (un outil pour scripter des installs et configurer des environnements reproductibles). Bref, ça mâche le boulot et ça permet d’installer tout un tas d’outils et les configurer proprement en quelques minutes.

Bon, avant de se lancer, faut quand même checker deux-trois prérequis. Déjà, n’oubliez pas que FLARE-VM est prévu pour tourner sur une VM, donc préparez-en une bien propre (Windows 10+ de préférence) sur VMWare ou Virtualbox par exemple. Ensuite, vérifiez que vous avez bien au moins 60 Go d’espace disque et 2 Go de RAM. Et pensez à désactiver les mises à jour Windows et l’antivirus, sinon ça risque de faire des misères.

Ouvrez ensuite une invite PowerShell en tant qu’administrateur et téléchargez le script d’installation installer.ps1 sur votre bureau à l’aide de la commande suivante :

(New-Object net.webclient).DownloadFile('https://raw.githubusercontent.com/mandiant/flare-vm/main/install.ps1',"$([Environment]::GetFolderPath("Desktop"))\install.ps1")

Débloquez le script d’installation :

Unblock-File .\install.ps1

Puis activez son exécution :

Set-ExecutionPolicy Unrestricted -Force

Si vous recevez un message d’erreur indiquant que la stratégie d’exécution est remplacée par une stratégie définie à une portée plus spécifique, vous devrez peut-être passer une portée via Set-ExecutionPolicy Unrestricted -Scope CurrentUser -Force. Pour afficher les stratégies d’exécution pour toutes les portées, exécutez Get-ExecutionPolicy -List.

Enfin, exécutez le script d’installation comme ceci :

.\install.ps1

Pour passer votre mot de passe en argument :

.\install.ps1 -password <mot_de_passe>

Pour utiliser le mode CLI uniquement avec un minimum d’interaction utilisateur :

.\install.ps1 -password <mot_de_passe> -noWait -noGui

Pour utiliser le mode CLI uniquement avec un minimum d’interaction utilisateur et un fichier de configuration personnalisé :

.\install.ps1 -customConfig <config.xml> -password <mot_de_passe> -noWait -noGui

Une fois lancée, l’installation va télécharger et installer tous les outils sélectionnés, configurer les variables d’environnement, épingler des raccourcis sur la barre des tâches, etc. Bref, en quelques clics, vous obtiendrez un environnement de reverse engineering aux petits oignons, prêt à l’emploi pour désosser du malware !

Après l’installation, il est recommandé de passer en mode de réseau host-only et de prendre un instantané de la machine virtuelle. Vous pouvez ensuite personnaliser votre environnement FLARE VM en fonction de vos besoins spécifiques :

• Mettez à jour les outils et les logiciels installés pour vous assurer que vous disposez des dernières versions.
• Configurez les paramètres réseau selon vos préférences, par exemple en passant en mode NAT ou en mode pont si nécessaire.
• Installez des outils ou des utilitaires supplémentaires qui pourraient être utiles pour votre flux de travail d’analyse.
• Personnalisez les paramètres de l’interface utilisateur et les préférences selon vos goûts.

Et c’est parti mon kiki !

Après, si vous voulez aller plus loin et contribuer à l’amélioration de FLARE-VM, jetez un œil aux repos GitHub du projet :

• Le script d’installation et la configuration
• Le dépôt des packages d’outils

Happy reverse à tous ! 🚀

— Article en partenariat avec Surfshark VPN —

Comment ça va de votre côté ? On se prépare doucement à la pause estivale ? En ce qui me concerne, j’en termine déjà avec le premier mois de mon trimestre de pause … ça file à une vitesse ma bonne dame, c’est dingue ! Mais s’il y en a qui ne prennent jamais de repos, ce sont bien les espions à l’affut de nos données.

Au travers de mes précédents articles, j’ai déjà fait le tour de pas mal d’outils, objets et services qui nous surveillent en quasi permanence. Les voitures intelligentes par exemple, ou les applications d’IA ainsi que celles dédiées au shopping. Bref tout ce qui stocke de la data personnelle est susceptible de fuiter ou d’être utilisé à vos dépens et sans votre autorisation. Le plus souvent c’est « seulement » pour vous bombarder de pubs ciblées, mais parfois c’est plus dangereux que cela (escroquerie, vol d’identité …). Et comme je l’ai montré dans ces mêmes articles, cela arrive de plus en plus fréquemment, la data numérique étant la nouvelle manne financière d’un pan entier du web.

Aujourd’hui on va s’intéresser à quelque chose d’autre : les maisons intelligentes. Car vous le savez aussi bien que moi, nous avons de plus en plus d’objets du quotidien connecté via des applications (IoT). Quelques exemples ? Brosse à dents, montre connectée, aspirateur robot, porte de garage, système de surveillance, machine à café, frigo, système de chauffage ou d’éclairage, volets de fenêtres ou encore les classiques assistant virtuel type Alexa. Alexa qui fête déjà ses 10 ans cette année, le temps passe vite ma bonne dame ! (je sais, je me répète, c’est l’âge … le temps passe vite ma …).

Surfshark nous a pondu une étude sur la question et épingle notamment Google et Amazon comme les plus avides de nos données (quelle surprise Sherlock). Mais ils ne sont pas les seuls puisque la majorité des quasi 300 applis testées récoltent et stockent diverses infos comme vos noms, votre email, vos interactions avec le produit (heures & Co) ou encore votre localisation précise. Infos qui vont aller gonfler nos profils chez les centaines de courtiers en données dès qu’elles se retrouveront dans la nature.

Amazon Alexa est de loin la pire de toutes, collectant 28 données différentes sur 32 analysées … qui, en plus, sont directement liées à votre identité personnelle. Au calme. Google fait un peu mieux, avec « seulement » 22 données récupérées (adresse, photos et vidéos, données de santé …). L’une des catégories les plus touchées ce sont les caméras de sécurité … qui ne font donc pas que surveiller les voleurs, mais les habitants de la maison eux-mêmes. On a aussi dans la liste des jouets connectés pour enfants (décidément après les applis mobiles pour gamins, ils ne sont jamais tranquilles nos mouflets). Vous pouvez retrouver tout le détail de l’étude sur cette page, si vous voulez creuser un peu par vous-mêmes.

Bon vous allez me dire, en quoi est-ce problématique ? Je n’ai rien à cacher ! (hahaha … OK boomer). Ces gadgets collectent vos données, augmentant ainsi votre empreinte digitale, et parfois utilisent ces mêmes données pour afficher des publicités ciblées. Chiant, mais pas mortel. Au niveau de la sécurité, le risque de mauvaise gestion ou de fuites de données augmente, car les données sont distribuées à travers plusieurs bases de données. Qui finiront pas fuiter, se faire hacker ou être revendues à des datas brokers. Ce qui arrive quotidiennement.

Prenons un exemple concret : vous avez installé une caméra de sécurité pour filmer si quelqu’un entre par effraction chez vous. Jusque là rien de spécial. Mais si cette caméra vous enregistre vous en train de tondre votre pelouse à moitié à poil et que la vidéo finit dans les mains d’un hacker quelconque … là c’est une autre histoire. Imaginez l’intimité du chef de l’Internet révélée aux yeux du grand public. Le monde n’est pas prêt.

Maintenant, comment lutter contre ce fléau ? Et bien déjà en se posant la question de savoir si l’on a vraiment besoin de ce type de gadget. La caméra si vous êtes dans une zone à risque ça peut avoir du sens. La brosse à dents ou la machine à café connectée … ce n’est peut-être pas vital. Ou au moins, essayez de trouver une alternative open source (pour creuser le code et voir comment elle fonctionne vraiment) et moins avide de tout savoir sur vos habitudes.

Prenez également le temps de mettre à jour les paramètres pour limiter au strict minimum ce que vous partagez. Si votre aspirateur robot a besoin du microphone ou que votre air fryer dispose d’un accès caméra, posez-vous des questions ^^ Pensez aussi à sécuriser vos connexions Wi-Fi et chiffrer tout votre trafic. C’est là que va intervenir Surfshark, l’un des plus réputés du marché que je vous recommande depuis des années. Il vous évitera de voir vos flux de données interceptés par un tiers, ou tout du moins de les rendre inexploitables si cela devait arriver. Je ne vous refais pas la présentation des multiples intérêts de l’outil, je l’ai déjà fait dans ma présentation de Surfshark VPN.

Surtout que vous pouvez en bénéficier au prix d’environ 71€ pour 27 mois (moins de 2.65€/mois) avec l’abonnement 2 ans. Ou opter pour la boite à outils complète Surfshark One (avec l’antivirus, la surveillance de fuites & co) pour à peine plus cher (3.23€/mois). Pas cher payé le prix de tranquillité d’esprit.

Testez le VPN de Surfshark !

OpenCanary, c’est le pot de miel nouvelle génération pour attraper tous ces satanés cybercriminels. Ce petit logiciel va simuler plein de services réseau, comme un serveur web, un partage Windows, un serveur SSH…etc Bref, un vrai buffet à appâts numériques et dès qu’un hacker tombe dans le panneau et interagit avec, paf, vous recevez une alerte !

L’outil est hyper léger et s’installe facilement, même sur un Raspberry Pi ou un VM. Et comme c’est du logiciel libre, vous pouvez l’adapter à vos besoins et surtout vous éviter une solution proprio payante.

Alors comment ça fonctionne ? Et bien c’est simple comme bonjour :

• Vous installez OpenCanary sur une machine de votre réseau interne
• Vous le configurez pour imiter les services qui vous bottent (serveur web, FTP, base de données…)
• Vous attendez patiemment qu’un hacker morde à l’hameçon
• Dès qu’il interagit avec le honeypot, vous recevez une belle alerte qui vous file son IP et plein d’infos sur l’intrusion

C’est pas beau ça ?

En plus, vous pouvez même envoyer les alertes par mail, SMS ou même les agréger dans un outil de monitoring. Bon, je vous cache pas qu’il faut quand même un minimum de connaissances techniques pour faire tourner le bouzin. Mais si vous n’avez pas peur de mettre les mains dans le cambouis et de jouer avec la ligne de commande, c’est à la portée de n’importe quel barbu un peu motivé.

Et puis c’est quand même super fun de tendre des pièges aux méchants hackers et de les voir se faire avoir comme des bleus. Mais attention hein, faut pas non plus tomber dans la paranoïa et transformer son réseau en véritable champ de mines. Faudra doser pour que ça reste digeste sinon, vous allez avoir beaucoup de bruit dans vos alertes.

En tout cas, moi je dis bravo aux petits gars de Thinkst qui nous ont pondu cet outil. Pour les plus motivés, voici le lien Github du projet : https://github.com/thinkst/opencanary.

Amusez-vous bien et happy hacking !

— Article en partenariat avec Surfshark —

Woaw, écrire un article sur les scams utilisés par les VPN en 2024, en partenariat avec une boite VPN ? Et ouais, on n’a peur de rien ici. Ni de ma part, ni de celle de Surfshark VPN qui n’est pas le dernier à mettre les pieds dans l’assiette. Pour preuve, les nombreux articles sur leur site dans lesquels ils se comparent de manière frontale aux autres acteurs du milieu. Ou leurs campagnes de guérilla marketing … genre payer un gars pour faire ses besoins devant le public afin d’attirer l’attention sur le respect de la vie privée.

Si vous vous demandiez pourquoi la mascotte du service est un requin, vous savez : ça mord. Pour en revenir aux arnaques les plus fréquentes, elles touchent plusieurs aspects qui vont du mensonge sur le service proposé, aux frais cachés en passant par le non-respect de la confidentialité. On va détailler un peu tout ça.

Les abonnements à vie

Un grand classique (pas uniquement des VPN d’ailleurs). On vous propose de payer un prix fixe et ensuite vous êtes tranquille. Prix qui s’avère souvent très intéressant, mais pas pour autant négligeable puisqu’il est censé vous couvrir à vie. Sauf qu’un VPN ce n’est pas la même chose qu’un logiciel que vous allez télécharger et qui sera installé en local sur votre machine. Au pire si l’abonnement à vie disparait, et ses mises à jour avec, vous pouvez encore utiliser l’outil tel quel.

Pour le VPN c’est très différent puisqu’il ne pourra plus accéder aux serveurs & co. À votre avis, que se passera-t-il le jour ou votre VPN « à vie » doit payer plus cher en frais d’utilisation/maintenance qu’il ne rentre d’argent venant de nouveaux clients ? Pouf, un coup de baguette magique et il disparaitra. Retenez que « abonnement à vie » veut dire « abonnement de la durée de vie du service » … qui peut s’arrêter n’importe quand.

Trop d’infos perso

Un VPN qui vous demande trop d’informations personnelles devrait vous alerter. S’il est légitime de devoir fournir certaines infos (adresse mail, etc.) d’autres sont complètement inutiles. Par exemple votre adresse physique ou votre numéro de téléphone n’ont pas à vous être demandé. Dans le cas de vos informations bancaires … difficile de ne pas les récupérer pour eux puisque vous devez bien payer à un moment.

Heureusement, une option de paiement par cryptomonnaie (que Surfshark propose) est le plus souvent présente, ce qui vous permet d’avoir une couche de sécurité supplémentaire. Le VPN ne peut alors pas lier directement votre abonnement à un nom ou des coordonées bancaires.

Récupérer vos données peut aussi être un signe que le VPN marchande vos infos avec des tiers (genre data brokers). C’est quasi 100% du temps le cas avec les VPN gratuits, mais ne pensez pas que payer un abonnement vous en prémunit. D’où l’intérêt d’opter pour un service qui est audité régulièrement par des organismes indépendants. Là encore Surfshark n’a jamais été pris en défaut concernant sa politique de non-conservation des logs.

Malwares & Co

Il arrive que le service VPN qui vous est proposé ne soit pas aussi sain qu’il y parait. Et qu’en téléchargeant l’outil, vous preniez avec lui un malware ou autre cochonnerie. Si vous pensez que cela ne doit concerner qu’un petit nombre d’applications, vous vous trompez. Une étude de CSIROscope (datée de 2017) montrait que sur presque 300 applis de VPN gratuits sur Android, prêt de 40% étaient contaminées.

On a aussi le cas de la revente de comptes ou les faux VPN qui copient au plus proche des applications légitimes afin de leurrer les internautes. Dans les 2 cas, l’objectif est de récupérer vos données, voire vos coordonnées bancaires. Idem pour les VPN censés chiffrer vos données alors qu’elles sont surveillées et enregistrées en clair sur leurs serveurs.

Je passe sur les fraudes habituelles que l’on rencontre dans d’autres domaines : paiement sans recevoir le service, frais cachés, prix de l’abonnement qui varie, retrait automatique sur votre compte, faux témoignages sur les plateformes d’avis, remboursement qui ne se fait jamais, etc. Vous l’avez compris, les arnaques sont nombreuses.

Alors, comment faire pour s’en protéger ?

Déjà, renseignez-vous un peu partout avant de passer à l’action, voyez ce que les gens en disent dans les stores d’applis, sur des plateformes comme Trustpilot & Co. Cherchez à savoir si le VPN a connu des failles de sécu ou des critiques par le passé, etc. Ensuite, ne prenez votre abonnement que depuis le site officiel et vérifiez bien que l’URL est la bonne (sans typos, etc.).

Si vous passez par Google, faites attention à ne pas cliquer par habitude sur le 1er lien (qui pourrait être une annonce renvoyant vers un site tiers ou du phishing). Ayez des outils de sécu à jour (antivirus & Co), cela pourrait vous éviter de télécharger un fichier infecté. Et réfléchissez à 2 fois si l’offre vous parait trop alléchante.

Avec Surfshark VPN, vous pouvez y aller les yeux fermés, ils ont toutes les assurances nécessaires. Existe depuis des années, des centaines d’avis un peu partout sur le web, un système d’abonnement simple, audité plusieurs fois par des boites comme Deloitte, etc. C’est d’ailleurs pour cela que je vous le recommande depuis longtemps. Vous pouvez aussi profiter du paiement en crypto (pour la raison citée plus haut).

À l’heure où j’écris ces lignes, vous pouvez bénéficier d’une offre à 87€ TTC pour 27 mois d’utilisation, soit moins de 3.25€/mois. Ce qui comprend non seulement le VPN, mais aussi les différents outils de sécurité comme l’antivirus Surfshark, la création d’identités alternatives, les alertes, un moteur de recherche privé ou encore le surf sans publicités ni traqueurs.

Évitez les scams, prenez un VPN sûr avec Surfshark !

Si vous avez un gros fichier à envoyer à un pote, mais que les mails et la messagerie instantanée font la gueule… Pas de panique, MicroBin est là pour vous aider ! En deux clics, vous uploadez votre fichier dessus et hop, vous avez un lien à partager. Votre ami n’a plus qu’à cliquer dessus pour récupérer le précieux. Et le plus dingue, c’est que ça marche pour tous type de fichier : texte, image, vidéo, zip…

Ce n’est pas qu’un bête hébergeur de fichiers puisque ça permet de chiffrer également vos uploads pour que personne d’autre que le destinataire ne puisse y accéder. Et si vous êtes du genre parano, vous pouvez même activer l’expiration automatique pour que votre fichier s’auto-détruise après un certain temps, comme dans Mission Impossible !

Et pour les geeks qui aiment bidouiller, vous allez adorer : MicroBin est entièrement open-source et super simple à installer sur votre propre serveur. Il vous suffit d’une ligne de commande et voilà, vous avez votre « mini-GitHub » perso pour héberger tous vos projets et snippets de code. Au revoir les galères de partage de config ou de libs !

bash <(curl -s https://microbin.eu/docker.sh)

MicroBin fait également office de raccourcisseur d’URL ! Comme ça, fini les liens à rallonge impossible à retenir. En plus de ça, l’interface est hyper clean et user-friendly, et y’a même un mode sombre automatique pour ceux qui bossent la nuit 🙂

Bref, c’est simple, efficace et bourré de fonctionnalités bien pensées. Si ça vous intéresse, vous en saurez plus en allant sur le Github. Et si vous êtes flemmard, il y a même une instance publique pour tester directement.

Allez, amusez-vous bien et n’oubliez pas : Partager, c’est la vie !

Tracecat est une nouvelle plateforme d’automatisation open source qui propose une alternative à des solutions propriétaires genre Tines ou Splunk SOAR !

Avec cet outil libre et gratuit, vous pourrez créer des workflows d’automatisation complexes, gérer vos incidents comme un chef et garder un œil sur tous vos logs. Tracecat est basé sur des technos open source robustes comme Apache Flink pour l’orchestration et Quickwit pour le stockage des logs et ça a surtout été conçu par des pro de la sécu, qui en ont eu marre de se taper des usines à gaz hors de prix et pas adaptées à leurs besoins. Du coup, ils ont développé leur propre outil, simple mais puissant, avec une UX aux petits oignons pour que même votre grand-mère puisse automatiser la chasse aux menaces. Bon ok, j’exagère un peu, mamie est plutôt experte en chasse aux mauvaises herbes…

Trêve de plaisanterie, si vous voulez voir Tracecat en action, je vous invite à tester ce tutoriel. Vous apprendrez à automatiser une investigation d’email de phishing en un clin d’œil, en extrayant les URLs avec ChatGPT, en analysant leur réputation, en labellisant le niveau de menace, et en générant un joli rapport dans un cas.

Autre bon point (parce que je sais que vous aimez ça) : Tracecat est entièrement auto hébergeable. Vous pouvez l’installer en local sur votre laptop, dans le cloud ou dans un datacenter, bref où vous voulez. Vous gardez ainsi le contrôle total de vos données et de votre infra. Et si un jour vous avez besoin de plus de puissance, pas de panique, l’éditeur propose une version distribuée payante qui scale à l’infini et au-delà.

Alors oui, Tracecat n’est pas (encore) un SIEM à part entière. Mais justement, c’est sa force ! Il se concentre sur l’automatisation et l’orchestration, ce qui lui permet d’être beaucoup plus flexible et facile à intégrer, que vous ayez un SIEM, plusieurs, ou même aucun. C’est vous qui voyez !

Bref, si vous en avez marre de vous coltiner des tâches répétitives et de courir après les incidents dans tous les sens, je vous conseille vraiment de creuser Tracecat.

— Article en partenariat avec Surfshark —

Lorsque l’on parle d’un VPN, c’est principalement avec l’idée de disposer d’un outil qui va protéger vos données d’un point de vue professionnel (protéger votre équipe avec Surfshark). Ou pour son côté « amusement » comme débloquer les catalogues VOD/streaming, protéger sa TV intelligente, etc.

Mais une autre très bonne façon d’utiliser un VPN est de protéger la famille au sein même de votre habitation. Ce que fait plutôt bien Surfshark pour plusieurs raisons. Et la première n’est autre que le fait qu’il s’agit quasi du seul service du genre à proposer la protection d’un nombre illimité de machines et simultané. Donc que vous soyez célibataire ou que vous viviez avec une famille nombreuse c’est pareil, un seul abonnement et tout le monde en bénéficie.

Bon après même si le nombre d’appareils pris en compte peut être illimité … si la protection est foireuse ça n’a pas grand intérêt. Mais là encore Surfshark répond aux attentes. Outre le fait de n’avoir jamais été prit en flag de mentir sur sa politique de non-conservation de vos activités (multiples audits au fil des années), il repose sur la panoplie des meilleurs standards du domaine : chiffrement AES 256, protocole IKEv2/IPsec, support de Wireguard/OpenVPN/L2TP, etc.

Maintenant, comment est-ce qu’un VPN protège concrètement les utilisateurs de votre maison ?

Déjà en modifiant votre adresse IP. Vous savez sans doute déjà qu’une adresse IP est celle qui identifie votre machine sur Internet. Toutes vos actions y sont liées : achat en ligne, message sur un réseau social, etc. Il est donc assez facile de relier votre comportement en ligne à votre appareil.

Surfshark vous permet de modifier cette dernière en changeant de serveur, de manière aléatoire tous les x temps … ou de la garder fixe si besoin. En changeant d’IP, vous donnez aux sites que vous visitez (même à votre fournisseur d’accès via le mode camouflage) une localisation qui est différente de votre vraie position.

Le chiffrement de vos données est un autre aspect de cette protection. Par défaut tout ce que vous faites en ligne sera chiffré avec les meilleurs algorithmes du moment. Si une personne mal intentionnée venait à intercepter votre trafic, il ne pourrait rien en faire. Ce qui est plutôt appréciable, surtout si vous habitez un pays où le gouvernement en place aime jouer au petit curieux.

L’idéal dans ce cas est bien entendu de sécuriser le routeur de la maison, celui par lequel tout passe. Mais simplement installer le VPN sur tous vos appareils fera aussi très bien le taf. Et ce qui est plutôt cool c’est que Surfshark supporte toutes les religions, de Windows à Linux en passant par macOS, Android, iOS, BlackBerry, vos smart TV, navigateurs et mêmes consoles de jeux. Bref il est plus flexible qu’un contorsionniste.

Un point à prendre en compte est de choisir un VPN qui corresponde à votre situation. On pense souvent à des serveurs situés un peu partout dans le monde sans faire attention à sa propre géoloc. Or vous pouvez très bien avoir envie de regarder un contenu réservé à la France … depuis la France. Sans donner votre position. De ce côté Surfshark est blindé avec ses 3200+ serveurs (quasi tous en 10 Gb/s) répartis dans 100+ pays. Pas le plus grand parc de serveurs des VPN, mais le mieux réparti et avec l’un des meilleurs rapport qualité/prix du marché.

Comme vous êtes l’adulte de la maison (hum hum), ce sera à vous d’éduquer vos enfants sur le sujet.  Surtout les plus jeunes (et les plus vieux) qui ne sont pas forcément au courant des risques potentiels dans ce bourg mal famé que sont les Internets. Et avec le pack Surfshark One dont j’ai parlé dernièrement et intégré par défaut depuis peu, il vous permet de disposer en plus d’un antivirus, d’un système d’alerte, de la création d’identité alternative, d’un moteur de recherche privé, d’un surf sans publicités ni traqueurs et un tas d’autres options !

Récemment le site du VPN aux dents de requin a publié un classement mondial de la qualité de vie numérique. Et notre hexagone s’y classe … premier devant la Finlande et le Danemark. Place que l’on doit surtout au prix de nos connexions (merci Free), parce que niveau cybersécu et infrastructure électronique nous sommes bien plus mal placés (autour de la 15e place). Comme quoi il y a encore de la marge.

Et tout cela vous est accessible pour moins de 3.25€/mois TTC (abonnement 2 ans). Satisfait ou remboursé durant 30 jours, donc pas de prise de risques, vous pouvez tester ça au calme et vous faire votre idée. Niveau des modes de paiement il y en a pour tout le monde : de PayPal à la CB, en passant par les solutions comme Google Pay/Amazon Pay et les cryptomonnaies.

N’attendez plus, essayez Surfshark VPN !

i ça vous saoule de devoir répéter inlassablement votre mot de passe wifi à tous vos invités, il existe une solution simple et sécurisée pour partager votre clé wifi sans prise de tête : Wificard.io

Fini les post-its gribouillés collés sur le frigo ou les SMS interminables pour redonner le code wifi à chaque nouvel arrivant. Avec Wificard.io, vous allez pouvoir partager vos accès réseau en un clin d’oeil. Il vous suffit d’entrer le nom de votre SSID et le mot de passe associé, de choisir la langue et hop, le tour est joué !

L’outil génèrera alors automatiquement un joli QR code personnalisé.

Vos invités ou collaborateurs n’ont plus qu’à scanner ce QR code avec leur smartphone pour se connecter illico au réseau, sans même avoir à entrer le mot de passe. Pratique, non ?

Cerise sur le gâteau, l’outil fonctionne entièrement en local. Aucune information n’est envoyée sur le net, vous gardez le contrôle total sur vos données. C’est simple, gratuit, et ça marche sur tous les appareils. Que demander de plus ?

Alors la prochaine fois qu’on vous demande le code wifi, dirigez donc vos invités vers votre QR code Wificard.io. En un flash, tout le monde sera connecté sans même connaître votre mot de passe. De quoi libérer de la bande passante dans votre cerveau pour des choses plus essentielles ! Par contre, si une équipe de télévision vient faire un reportage chez vous, pensez à retirer la Wifi Card du tableau en liège derrière vous, sinon tout le monde va se moquer.

Reko est une boîte à outils complète qui va vous permettre de décortiquer les binaires et de les traduire en langages de plus haut niveau, que vous soyez sur Windows, Linux ou Mac (c’est codé en .NET).

Ses développeurs ont pensé à tout puisque vous avez le choix entre une interface graphique super intuitive pour les novices, et une interface en ligne de commande pour les pros du terminal qui aiment se la jouer old school.

Reko embarque aussi une bibliothèque qui gère un tas d’architectures processeur (x86, 68k, PowerPC, ARM, MIPS, Z80…), de formats de fichiers binaires (MZ, ELF, AmigaOS Hunk, Classic MacOS…) et de systèmes d’exploitation. Il peut même lancer automatiquement des scripts de décompression écrits en OllyScript.

Génial pour comprendre comment fonctionne un programme et faire un peu de reverse engineering pour se détendre.

A découvrir ici.

Vous en avez marre d’être surveillé et censuré quand vous parcourez le web ? Vous rêvez d’accéder à tous les contenus que vous souhaitez sans que personne ne vienne fouiner dans vos affaires ? Alors, laissez-moi vous présenter Outline VPN, le logiciel libre et open source qui va transformer votre expérience en ligne !

Cette solution utilise un protocole discret et difficile à détecter, vous permettant ainsi de contourner les restrictions des censeurs. Ainsi, vous pourrez naviguer incognito et accéder à tous vos sites préférés, même ceux habituellement bloqués dans votre cher pays.

Mais ce n’est pas tout puisque Outline vous offre la possibilité de créer votre propre serveur VPN en quelques clics, et de le partager avec vos amis. Ainsi, vous disposez de votre propre réseau privé, où vous pouvez échanger en toute tranquillité loin des regards indiscrets.

Et si jamais votre serveur est repéré et bloqué par ceux qui n’apprécient pas votre amour de la liberté, ne vous inquiétez pas car avec cet outil, vous allez pouvoir le recréer facilement et rapidement. Evidemment, côté sécurité et confidentialité, Outline assure… Le code a été audité par des sociétés indépendantes, telles que Radically Open Security en mars 2018 et décembre 2022, ainsi que Cure53 en décembre 2018, qui ont confirmé que vos données sont protégées et que votre activité en ligne n’est pas enregistrée. Bref, une fois en place, vous pouvez surfer l’esprit tranquille, personne ne viendra fouiner dans votre historique.

Voici un guide étape par étape pour vous lancer :

Il faut savoir avant tout que Outline se compose de deux produits interdépendants qui fonctionnent ensemble pour vous fournir, à vous et votre communauté, un accès sans interruption à Internet.

Etape 1 : L’installation

Téléchargez Outline Manager, l’application en version desktop pour Windows, Linux et macOS, qui vous permettra de configurer votre serveur en quelques clics. Vous pourrez ainsi gérer tous les aspects de votre serveur de manière centralisée et choisir parmi une liste de fournisseurs de services cloud de confiance (Google, Amazon, Digital Ocean…) ou utiliser votre propre infrastructure sous Linux pour le déployer.

Etape 2 : Générez des clés d’accès

Après avoir configuré votre serveur, vous devez générer des clés d’accès uniques directement à partir de l’application Desktop. Vous pourrez alors envoyer des invitations à vos amis et les clés d’accès leur permettront de connecter leurs appareils (et le votre) à votre serveur Outline. Chaque clé est gérée individuellement et peut être limitée en termes de bande passante pour éviter qu’un utilisateur ne consomme toutes les ressources.

Etape 3 : Téléchargez l’appli du client Outline sur PC / Mac et smartphone

Ensuite l’application Outline à partir de l’App Store ou de Google Play Store, et connectez-vous à l’aide de votre clé d’accès unique.

Et bonne nouvelle si vous êtes développeur, le SDK Outline offre une bibliothèque et un ensemble d’outils multiplateformes permettant aux codeurs d’applications d’intégrer les stratégies avancées de mise en réseau d’Outline pour limiter les interférences réseau les plus complexes.

Bref, ça peut servir… A tester en tout cas.

Merci à Lorenper pour l’info sur cet outil !

2 bidouilleurs viennent de prouver qu’avec un peu d’astuce et beaucoup de persévérance, on pouvait cracker les coffres-forts numériques les mieux gardés.

Leur cible ? Un wallet Bitcoin contenant la bagatelle de 3 millions de dollars, verrouillé par un mot de passe de 20 caractères généré par le gestionnaire de mots de passe Roboform en 2013. Le propriétaire, un certain Michael, avait perdu ce sésame et pensait son magot à jamais inaccessible. Mais c’était sans compter sur la détermination de Joe Grand et de son pote Bruno, bien décidés à relever le défi.

Michael, propriétaire de la cryptomonnaie depuis 2013, avait stocké ses 43,6 BTC (valant environ 5 300 dollars à l’époque et environ 3 millions aujourd’hui) dans un fichier chiffré par TrueCrypt contenant le mot de passe généré par Roboform, qu’il n’avait pas entré dans le gestionnaire de mots de passe par peur d’un hack. Malheureusement, le fichier chiffré s’est retrouvé corrompu, et Michael perdit l’accès à son portefeuille.

Joe Grand, ingénieur électrique et hacker de renom, avait refusé la première demande d’aide de Michael en 2021, jugeant la tâche irréalisable sans une faille dans Roboform. Cependant, en 2022, Michael a retenté sa chance. Après des mois à décortiquer le code de Roboform, Joe Grand et Bruno découvrirent que les anciennes versions d’avant 2015, utilisaient une méthode de génération de mots de passe basée sur l’horloge du système. En connaissant la date et l’heure exacte de création, ainsi que les paramètres du mot de passe, ils ont alors pu reconstituer le mot de passe d’origine.

Initialement, Michael ne se souvenait pas de la date précise de génération de son mot de passe. Selon les journaux de son portefeuille, il avait commencé à y transférer des Bitcoins le 14 avril 2013. En analysant la chronologie et les paramètres habituels, Joe et Bruno cherchèrent d’abord dans la plage du 1er mars au 20 avril 2013, puis jusqu’au 1er juin 2013, sans succès. Ce n’est qu’après de multiples ajustements, et en excluant les caractères spéciaux, qu’ils parvinrent à générer le mot de passe correct créé le 15 mai 2013 à 16:10:40 GMT.

La faille se trouvait dans l’algorithme de génération des mots de passe des anciennes versions de Roboform, qui n’était pas aussi aléatoire que prétendu. Elle permettait de reconstituer un mot de passe en manipulant l’horloge de l’ordinateur pour remonter dans le temps. Tout est expliqué dans la vidéo ci-dessous :

Il est à noter que depuis la version 7.9.14 de juin 2015, Roboform affirme avoir corrigé cette faille et avoir amélioré la génération aléatoire des mots de passe. Cepandand, Joe Grand reste sceptique face à cette déclaration de Roboform car ces derniers n’ont pas recommandé explicitement aux utilisateurs de générer de nouveaux mots de passe pour leurs comptes après cette mise à jour, ce qui laisse potentiellement des mots de passe vulnérables en circulation.

Bref, un mot de passe n’est pas infaillible même s’il est généré par un outil réputé et il vaut mieux utiliser des phrases de passe longues et complexes, les changer régulièrement et activer la double authentification partout où c’est possible. N’ayez pas non plus une confiance aveugle dans les générateurs de mots de passe, surtout s’ils ont quelques années au compteur.

Bref, soyez prudent et bien joué Michael, pour qui la vie va sûrement changer à partir de maintenant.

Source

Vous pensiez être tranquille chez vous, à l’abri des regards indiscrets et bien désolé de casser l’ambiance, mais j’ai une mauvaise nouvelle pour vous : votre box Wi-Fi vous espionne ! Enfin, pas directement, hein, mais figurez-vous que des chercheurs en sécurité ont trouvé le moyen de vous géolocaliser en douce, simplement en capturant l’identifiant unique de votre routeur appelé également BSSID (Basic Service Set Identifier).

En effet, il existe des systèmes de géolocalisation par Wi-Fi (WPS – Wi-Fi Positioning System), comme celui d’Apple, qui utilisent les BSSID comme balises pour vous localiser. En gros, dès qu’un iPhone ou un Mac capte votre réseau WiFi, le BSSID de celui-ci et votre position sont envoyés directement dans la base de données d’Apple. Et après, n’importe qui peut interroger ce WPS pour savoir où vous êtes sans avoir besoin d’être un hacker professionnel… il suffit juste de connaître l’astuce.

Cette équipe de chercheur a donc démontré la vulnérabilité principale de ce système en développant une attaque permettant de collecter des millions de BSSID géolocalisés sans avoir besoin d’autorisation. Leur méthode est simple : ils bombardent le WPS d’Apple avec des BSSID générés au hasard, en se basant sur des plages d’adresses MAC officielles et le système répond en donnant la localisation du BSSID et, très souvent, les coordonnées d’environ 400 autres BSSID à proximité.

En un an, ils ont ainsi réussi à constituer une base de données impressionnante : plus de 2 milliards de BSSID, répartis partout dans le monde ! Même en Antarctique ou sur l’île isolée de Tristan da Cunha, il n’y a pas moyen d’y échapper. Le seul endroit qui résiste encore est la Chine continentale. On suppose que le gouvernement là bas a mis en place des restrictions légales pour éviter cela.

Mais le pire, c’est que lorsqu’ils ont suivi les routeurs Wi-Fi nomades, ils ont découvert que 76% de ces appareils pouvaient être traqués sur des distances considérables, soit en moyenne 100 kilomètres ! Ça permet comme ça de suivre les déplacement des utilisateurs qui se promènent avec leur routeur portable.

Alors pourquoi quelqu’un s’intéresserait à votre position ? Hé bien cette technique pourrait être utilisé par un harceleur pour vous suivre à distance ou par les gouvernements pour connaitre vos aller-retours. Mais ça permet aussi de suivre les mouvements dans des zones de conflit.

Alors que faire pour empêcher ça ?? Premièrement, il faudrait qu’Apple et les autres entreprises cessent de distribuer nos BSSID si librement. Une limitation du nombre de requêtes et un meilleur filtrage seraient un bon point de départ. Le top serait que les fabricants de routeurs implémentent une randomisation des BSSID, comme c’est déjà le cas sur les appareils Apple quand ils sont en mode hotspot. SpaceX a d’ailleurs déjà montré l’exemple avec ses derniers modèles Starlink. Ce serait bien que les autres suivent le mouvement maintenant.

En attendant, si vous tenez à votre vie privée, le seul truc à faire est de changer régulièrement de matériel, surtout quand vous vous déplacez et d’éviter de transporter le même routeur du travail à la maison ou de l’appartement au camping-car. Et si vous êtes un peu bricoleur et que vous avez un accès root à votre routeur, sachez qu’il est possible de forcer le changement de BSSID à chaque redémarrage en modifiant la configuration de hostapd.

Mais bon, il est clair qu’il y a un sacré risque et des questions éthiques qui se posent sur ces divulguation de nos localisations sans notre consentement.

Pour plus de détails, vous pouvez consulter l’étude complète sur arXiv.