Le mois de la cybersécurité…

Hello,
Petit billet et mon avis sur l’actu de fin de semaine.

  • SEC :
    Alors du 1er au 31 2018, c’est le mois européen de la cybersécurité, attention rien que ça.

Mois de la cybersécurité, lien vers l’ANSSI

Cette campagne incite tout ceux qui ont une hygiène numérique à partager les bonnes pratiques à tout et à chacun.

Une page sous forme de « toolbox » est conçue pour nous y aider, et à consulter si même vous, vous sentez faiblard sur le sujet :

ToolBox ANSSI (lien officiel)

Ce qui est dommage, c’est que dans le zip mis à disposition on trouve seulement des éléments de communications graphiques (bandeau, bannière), ça aurait était pas mal d’y trouver les PDFs et infographies présentes dans le lien. Un peu con si on veut partager les bonnes pratiques mais qu’on a pas un accès direct a l’instant « T » au web, la ou on sensibilise, par exemple lors d’un camping.

En prime un mini fail dans le nom des dossiers de l’archives…. (Mon wordpress arrivait pas à voir les dossiers quand j’ai voulu insérer les images, sinon j’avais pas fait gaffe)

Campagne perdu d’avance ? Quand on voit le reste de l’actu dans le même temps ( vraiment le même temps, les dates de parutions le prouvent ).

  • Facebook :
    Si vous n’avez pas encore supprimé votre compte Facebook, alors il est vivement conseillé de faire un petit tour dans ses paramètres de sécurité et de vérifier l’accès à vos compte, et par la même d’y faire du ménage dans les accès autorisés, regarder les paramétrages disponibles dans « sécurité » par curiosité si on l’a jamais fais et faire en sorte que ce soit un peu plus sécure.

Facebook a corrigé un bug qui permettait de prendre le contrôle d’un compte autre que le sien avec la fonctionnalité de miroir numérique schyzo « Voir en tant que ». SUPER

Facebook compromission (ZDnet.fr)

Et pour rien arranger, Facebook s’est visiblement servi des numéros de téléphones fournis pour la double authentification à des fins publicitaires…

De quoi bien non inciter à utiliser la double authentification.

Le plus simple est vraiment de delete son compte Facebook et d’éviter d’utiliser les outils appartenant aux GAFAMS (Whatsapp, snap, instagram, etc) , c’est triplement bénéfique !

Double authentification facebook (Developpez.com)

Ça me conforte dans la suppression du mien il y a un temps. On voit ce genre de nouvelle d’assez « haut ».

 

  • Et pendant ce temps :

Est ce que les choses iront mieux dans le futur quand on voit ça  :

Résultats de recherches « Siri » foireux (Developpez.com)

Continuons de créer un web uniforme, un web ou la novlangue est de mise.
Un web ou l’utilisateur n’a à s’inquiéter de rien

Le problème n’est pas dans les contenus que l’on peut trouver.
Le problème est dans le fait qu’on prend pour vérité ce que l’on nous sert. La plupart du temps du contenu servi par des algos qui veulent juste captiver un max votre temps et vos clicks.
C’est fini le web ou on perd une aprem entière à s’égarer sur un sujet et à lire tout et son contraire pour au final se faire un avis personnel ?

Le web d’aujourd’hui ne sert plus a assouvir sa curiosité ?
Car c’est bien la ou on en est, les réseaux sociaux malgré eux (ou pas si ça peut rapporter) forgent les avis et choix de demain.
Même nos politiques se laissent aller à ce jeu. La politique normalement est pas la pour éviter justement les dérives pour que la société tombe pas dans ce genre de « pièges » ?

Le problème c’est que maintenant le premier résultat affiché tiendra compte de vérité le plus souvent, et même ce qui est pré-affiché qui pour rappel montre des requêtes qui ont souvent étaient employés parmi d’autres utilisateurs du moteur de recherche.

En 2010, quand on tapait « trou du cul » sur google, les premiers résultats sortaient des pages webs sur Nico Sarko. C’était marrant mais aujourd’hui ?

Ça montre notre méconnaissance général sur ce qui nous entoure.

  • Finissions avec un peu d’humour, si vous connaissez pas commitstrip.com, faites y un tour !

 

Donc niveau cyber, il y a du chemin à faire !

 

ReaperBugs, faire planter un navigateur web

Récemment, nous devons à Sabri Haddouche la découverte d’un POC (preuve de concept) affectant Safari sur IOS et les chromes devices.

Ce POC s’appuie sur du simple code HTML/CSS, qui fait dupliquer en gros à l’infini une image floue qui fera planter votre navigateur.

Mais il ne s’en arrête pas la, il a mis au point un second POC à destination des navigateurs Firefox. La il s’appuie sur un script en JS qui fera que toute les secondes on fera une requête sur une URL hyper longue. Ce qui amènera à un plantage du navigateur, voir du système en lui même (ce qui m’est arrivé).

En gros une belle attaque par déni de service.

Si vous voulez tester à vos risques et périls il faut se rendre sur le site : reaperbugs
Il s’y trouve aussi le code source des exploits. Ne vous trompez pas de liens une fois sur le site 😀

Vous pouvez aussi faire des blagues aux copains à l’ancienne. Mais attention à la légalité de votre action

Perso sur Firefox ça m’a bien fait planter mon navigateur ainsi que, le système entier, même ouvrir un second tty pour tuer le processus n’était pas possible.
Alors que mon navigateur est bien paramétré, et équipé des plus célèbres extensions que sont Noscript et uMatrix. J’ai aussi essayé en bloquant le chargement des scripts avec uMatrix sur Firefox, idem.

Pratique pour quelqu’un qui a besoin imaginons de votre MDP pour le disque chiffré, un keylogger et on vous force à rebooter.  C’est du multi-plateforme donc belle surface d’attaque sans s’emmerder.

 

Source :

ZDnet.com

Microsoft dans le libre

C’est cool ça, Microsoft ils jouent vachement le jeu du libre dis donc, heureusement qu’on a de gros acteurs comme eux, de vrais philanthropes…. Ils méritent le statut de membre platine délivré par la linux foundation. Vous y avez cru ? Non ? Tant mieux !

Déjà qu’on ne se le dise, Microsoft a toujours eu la même stratégie dans son expansion : Embrace, Extend, Extinguish

  • Windows 10 qui offre l’expérience de « Linux » sur Windows, quelle expérience après…. Si c’est pour faire en sorte que ceux qui découvrent via ce moyen, aient une expérience biaisé pour finalement les emprisonner à vie chez Windows, je n’ai pas testé mais c’est possible.
  • Le rachat de GitHub (et pas Git), ça à la rigueur….
  • Visualstudiocode disponible sur Linux soit disant opensource. Demain les utilisateurs qui feront l’erreur de choisir ça plutôt que Geany ou Atom, seront potentiellement frustré quand une fonctionnalité trop cool/pratique sera dispo que sur Windows ou sur un environnement Windows payant (Cf la distribution GNU/Linux/NT ? payante ….)
  • WPS office, c’est vrai pourquoi inciter les gens à utiliser une suite bureautique correctement et du coups leur faire découvrir que l’on peut enregistrer sous plusieurs formats et donc assurer une compatibilité entre office et libreoffice (comme au dessus pour frustrer l’utilisateur).
  • Les fameux contrats OpenBar avec notre ministère de la défense, allez tout le monde, aujourd’hui héroïne et crack pas chère et demain banque a fond !

Frustration = Consommation

Bon pour nombre d’entre nous (J’espère) cela changera pas grand chose dans l’image que nous avons du géant et dans notre manière d’utiliser les logiciels.  Mais les dégâts et ravages dans l’esprit des non initiés ou ceux qui vont grandir avec l’image  « les solutions Microsoft sont opensource » ?

Quand on sait que l’importance au niveau marketing est d’être dans la tête des gens, dans le subconscient… (Sinon le principe du « badbuzz » n’existerai pas).

Après certes ce ne sont pas des philanthropes et ils doivent gagner des pépettes… Mais RedHat le fait bien, même Google contribue à Debian et la contribution en est invisible pour l’utilisateur lambda.
Ce que fait Microsoft ce n’est pas faire avancer les choses en participant et en apportant sa pierre à l’édifice, c’est juste essayer de rendre accros un max pour ensuite vous faire raquer un max.

Mais ça devient plus dangereux que ça….

Aujourd’hui (Dites moi si je me trompe) mais en général l’utilisateur classique/Gamer etc (J’entends quelqu’un qui veut juste un pc pour « consommer » pas pour les délires technos) il utilise GNU/Linux car il a était sensibilisé plus ou moins d’une manière ou d’une autre. Demain les utilisateurs lambda pourront venir facilement sur Linux mais grâce à Microsoft, donc pas du tout dans le même but qu’aujourd’hui quand on migre de l’un à l’autre (Et la reconnaissance ira a Microsoft au lieu de « l’ami »). Mais si on contrôle ensuite plus tard plus de la moitié des utilisateurs d’un système, ça ne posera pas problème ? Par exemple au niveau des choix de gouvernances,etc, quand on sait l’influence d’un groupe sur le choix d’une personne ?  (Endogroupe)

Billet à compléter ou pas. C’est juste ma réaction à certains articles que je lis/ que vous lisez peut être aussi ?

Quelques liens chopés aux hasard pour étayer mes propos.

Contrat OpenBar avec la defense
Membres de la linux foundation
VScode on GitHub (lien officiel)
Rachat de GitHub par microsoft (English)
Le site officiel de WPS
Tres bon article de CarlChenet sur VScode

 

A vous les studios.