Bluetouff’s blog

Un code exploitant une énorme faille de sécurité dansun composant du CMS Joomla est disponible sur Milw0rm, c’est un 0day que des hackers polonais auraient utiiser pour défacer des sites turques. L’exploit est simple et efficace puisqu’il permet carrément de changer le pass admin.

Je n’ai pas trouvé de correctif officiel ni d’annonce de cet exploit tout frais sur joomla.org.

Vous avez peut être vu passer l’info sur l’Expansion, Clubic, Neteco, Planetwifi, ou plus modestement sur l’un de mes autres sites. Nous avons déployé un réseau wifi maillé assez important aux portes de Paris, au Marché aux puces de Saint-Ouen, au Marché Biron. L’idée était, pour un coût défiant toute concurrence, d’offrir une solution ouverte, open source et performantes. Nous avons réussi notre pari en flashant des foneras avec le firmware Open Mesh. La pose a été assurée par Entreprise Transparence, un autre spécialiste du wifi et de la vidéo-surveillance ip.

Ce type de déploiement est simple à mettre en place et offre l’avantage de mutualiser plusieurs connexions adsl à faible coût au lieu d’investir dans des lignes spécialisées bien plus onéreuses. Toonux y voit également une solution idéale qui, couplée au wimax, pourrait rendre service à bien des communes. Tout pourrait aller pour le mieux dans le meilleur des mondes s’il n’y avait pas la menace de l’HADOPI qui entend que nous posions des dispositifs de filtrage visant à empêcher tout téléchargement “illicites” … Le problème de la responsabilité en cas d’avertissement se pose donc : qui est responsable ? “La personne qui partage sa bande passante” souhaite répondre l’HADOPI, sur le seul principe qu’elle semble reconnaître “une ip, un coupable”.

Si tel était le cas, ce serait bien là la fin de l’aventure des réseaux mesh communautaires et ouverts pour servir les intérêts de maisons de disques et quelques ayants-droit dont une bonne partie ne paye même pas d’impôts en France.

En aucun cas Toonux ne posera des dispositifs de filtrages, pour la simple raison que n’importe quel filtrage d’Internet est aussi efficace qu’un panneau “interdiction de marcher sur le gazon”.

Allez, imaginez un réseau local wifi et maillé, non connecté à internet, crypté … sans aucun coût autre que celui d’un boîtier à moins de $ 50 … plus d’internet, plus de contrôle possible, une multitudes de mini sub-lan échappant à tout contrôle.

SI le net est surveillé, plus personne ne passera par le net et passera ainsi complètement à côté d’une éventuelle offre légale, sujet sur lequel les maisons de disques n’avancent toujours pas …

Jeux set et match pour les pirates.

C’est vous dire à quel point le concept de riposte graduée nous fait rire de par le ridicule des solutions proposées, mortes de l’oeuf. S’attaquer au particulier est la pire des bétises à faire, ça revient à créer artificiellement une masse critique d’utilisateurs pour que des développeurs proposent des solutions d’échanges cryptographiées ou encore encourrager à l’utilisation de Freenet et GNUNet à des fins de piratage.

Ça devient assez courant de voir Google là où on ne l’attend pas du tout, cette fois c’est au tour du monde très touchy de la crypto. Google entend offrir les moyens au développeurs d’utiliser plus aisément des algorythmes des cryptage afin de mieux sécuriser leurs applications. SI keycsar, n’a pas, de l’avoeu même de Google, vocation à remplacer les OpenSSL, Pycrypto et JavaJCE sur lesquels il repose. Les plus de Keycsar sont :

• une API simple ;
• un système de rotation de clés ;
• des algorithmes sécurisés ;
• des modes et longueurs de clés sécurisés ;
  

Voir le GoogleCode du projet

Et vous voilà dans un tiers monde numérique où la censure de site web est monnaie courante, avec un dispositif impressionnant de 30 000 “web cops” vous voilà espionnés, le gouvernement chinois vérifie que vous ne soyez pas trop informé de ce qui se passe au niveau des droits de l’homme dans le monde ou des manifestations pro-tibétaines.

Vous trouvez cette censure stupide et vous souhaitez tout de même accéder à des sites à caractère informatif que la chine censure ? Voici quelques petits outils qui devraient vous être utiles pour être en mesure de contourner cette stupide censure. Attention, les méthodes présentées ici ne sont pas infaillibles mais devraient amplement faire l’affaire pour échapper au contrôle des autorités chinoises

Tout d’abord l’arme ultime  :

AnonymOS : elle se présente sous forme de Live cd, vous la gravez, et vous bootez dans un environnement sécurisé avec tout l’arsenal nécessaire pour avoir la paix sans trop laisser de trace. Basée sur l’excellente OpenBSD et vous offre nativement l’encryption de vos surf et met en pratiques des mécanismes d’anonymisation de vos surfs relativement efficaces après de petites configurations. Télécharger AnonymOS

Tor : Tor est un projet logiciel qui aide à la défense contre l’analyse de trafic, une forme de surveillance de réseau qui menace les libertés individuelles et l’intimité, les activités commerciales et relationnelles, et la sécurité d’état. Tor vous protège en faisant rebondir vos communications à l’intérieur d’un réseau distribué de relais maintenus par des volontaires partout dans le monde : il empêche qu’une tierce personne scrutant votre connexion internet connaisse les sites que vous avez visité, et empêche les sites que vous avez visité de connaître votre position géographique. Tor fonctionne avec beaucoup de nos applications existantes, comme les navigateurs web, les clients de messagerie instantanée, les connexions à distance et tout un nombre d’applications se basant sur le protocole TCP. (…)

Il y a trois choses fondamentales à connaître avant de commencer.

1. Tor ne vous protège pas si vous ne l’utilisez pas correctement. Lisez notre liste d’avertissements et assurez vous de suivre avec attention les instructions pour votre platforme.
2. Même si vous configurez et utilisez Tor correctement, il y a encore des attaques potentielles qui peuvent compromettre la capacité de Tor à vous protéger.
3. Aucun système anonyme n’est parfait à ce jour, et Tor ne fait pas exception : vous ne devriez pas vous fier intégralement au réseau Tor si vous avez besoin d’une protection anonyme totale.

Firefox et ses extensions magiques

Un bon navigateur, c’est vraiment la base si vous voulez avoir la paix, exit donc internet Explorer, il est temps pour vous de passer à Firefox, qui offre une collection de pluggins fort intéressante et une sécurité accrue.

Torbutton est comme son nom l’indique un boutoin d’activation de tor pour Firefox, il offre donc à portée de clique le passage à un mode de surf crypté et anonymisé pour peu que votre configuration soit correcte.

Cryptez vos mails !

Thunderbird / Enigmail : là encore si vous ne souhaitez pas partager vos emails avec les 30 000 super flics de l’internet chinois, voici le duo gagnant. Thunderbird est un client mail open source très simple d’utilisation et très complet, grâce à son extension Enigmail, vous serez en mesure de crypter vos emails grâce à OpenPGP.

Bon surf

Le framework d’attaque Metasploit s’était déjà introduit dans les routeurs linksys wrt54 via Fairuza, un firmware maison qui embarquait un arsenal à faire passer Kevin Meatnik pour un gamer. Nous avons également installé metasploit sur un prototype de Fonera puisque nous bénéficions d’un chipset atheros, très compatible avec aircrack, puisqu’idéal pour réaliser de l’injection

Avec la récente arrivée d’aircrack à l’arsenal de l’iPhone, il fallait bien se douter que ce terminal deviendrait de fait un outil de prédilection pour une communauté de plus

Metasploit est un outil à ne pas mettre dans toutes les mains, se nourrissant des derniers 0day exploits, il est capable de générer des payloads et d’automatiser des attaques sur des ranges ip entiers… en outre, il offre une plateforme de développement hallucinante pour les auditeurs et experts en sécurité (il dispose par exemple en stadard d’une interprèteur Ruby et d’un interpréteur Python).

Pour en savoir plus sur l’installation de Metasploit 3 sur un iPhone.

Mise à jour payantes, psychose sécuritaire, virus et antivirus, adwares, vente liée, logiciels impossibles à désintaller proprement …

Par delà le côté anecdotique des clichés du monde propriétaire, il est un marché des plus juteux, celui de la sécurité. Si les produits Microsoft n’étaient pas notoirement la cible de beaucoup de virus, ce marché se porterait surement moins bien.

Dernier scandale en date : Media Port, une société asiatique ayant réussi à vendre les mises à jour d’un un scareware du nom de Doctor Virus à pas moins de 1,24 millions de personnes (sur 4 millions qui auraient essayé ce logiciel). Un scareware est e un logiciel programmé pour vous balancer des alertes virales alors que votre machine se porte très bien et n’est la cible d’aucune attaque. Un scareware exploite directement la crédulité de l’utilisateur est c’est très rentable. Ce type d’arnaque est évidemment une exclusivité Windows. Dans un modèle sain, où le code source d’une application est disponible, une telle arnaque n’aurait jamais été envigsaeable. Pour être clair, seul un code ouvert serait en mesure d’essuyer les doutes qui peuvent planer sur des éditeurs d’antivirus bien plus connus (qui ne s’est jamais demandé si ces virus n’étaient pas l’oeuvre des auteurs d’antivirus eux même ?)

Le monde propriétaire est une porte ouverte aux abus de confiance de personnes crédules car peu versées dans ces problèmes de sécurité qui sont par nature complexes à appréhender.

N’oubliez jamais que la sécurité, ce n’est pas un produit mais un process (un ordinateur sécurisé est un ordinateur éteint, surtout quand il embarque Windows). Par nature, un environnement Open SOurce est plus sécurisé car on ne cherchera jamais à vous cacher des choses, au contraire, on les montre pour que ceux qui en ont les compétences puissent modifier et corriger le cas échéant des défauts de conception pouvant entrainer des failles de sécurité. Cette transparence est ce qui manque le plus à l’environnement Windows et tous les logiciels non open source qui vous sont fort souvent livrés avec des spywares.

Pour l’anecdote sachez que la présidente de cette société a été interpelée mais l’arnaque porte quand même selon Silicon.fr sur la somme rondelette de 6,4 millions d’euros.

Une bonne raison supplémentaire pour vous tourner vers Linux ?

Visitez le site web d’Ubuntu, un environnement, ouvert, simple, facile à installer, gratuit, sécurisé et pensé pour l’utilisateur final capable d’exécuter toutes les taches quotidiennes de bureautique, web, traitement photo, vidéo … et bien plus.

On les croyait tous morts depuis l’explosion de la bulle internet, oui mais voilà, avec tous ces nouveaux outils ultras conviviaux que sont facebook, mySpace, les blogs bidule et trucmuche, les trackbacks, le ixaimelle, le airaissaisse, … on assiste au retour en force de soit disant professionnels qui s’adonnent à des pratiques détestables… les plaies du Net ont encore de l’avenir. Petite plongée de le monde palpitant des startups du 2.0

Le spam :

Le spam c’est mal tout le monde le sait, surtout quand il est opéré par bots à l’intelligence ultra relative surpassant miraculeusement celle du commanditaire. C’est comme ça qu’après le spam régulier de fils de commentaires ou de forums sur certains de mes sites, j’ai décidé d’agir.

Notre premier winner du mois s’appelle Teslogos.com, opéré par la société “onlinedev” …
Mode opératoire : un posteur fou qui vient pourrir vos threads de discussion dont certains carrément techniques avec un message de ce type :

“bonjour j’adore ton site, viens visiter le mien http://teslogos.com” (on ajoute 2 lol, un kikoo et 9 smiley, ce qui nous donne :

• Soit un échappé d’MSN qui s’est égaré sur le web
• Soit un bot spammeur méthodique pluggué sur le réseau neuronal d’un skyblogger

… fallait pas me le demander deux fois, je suis allé visiter leur site, une belle application de vente en ligne en php (gestion des clients, gestion des annonces, gestion d’une régie publicitaires ….) avec un “petit oubli” qui conduit à la fuite des données personnelles de tous les clients de teslogos.com et à un trou béant qui m’aurait permi comme vous allez le découvrir, de faire ce que je voulais sur ce site web… Mais je suis quelqu’un de bien élevé, même si j’ai une dent contre ce pourisseur de blogs, je me suis borné a envoyer un petit mail aux auteurs du site (dont les bureaux sont situés juste à côté de chez moi …), ce mail est parti le 6 février et , presque un mois plus tard, toujours pas de réponse, le courant d’air numérique sur le site est toujours présent, une grande preuve de professionnalisme, bravo.

Je me suis donc demandé si teslogos continuait à spammer, comme Google est mon copain je lui demande; pour mémoire, j’avais trouvé en février 25 000 occurrences de leur spam et de pas mal de variantes comprises. Aujourd’hui nous en sommes à 31400, … et oui Teslogos.com continue allègrement le spam.
Je n’avais pas souhaité publier quoi que ce soit mais puisque teslogo n’a pas eu la courtoisie de répondre, que les bonnes pratiques ne sont pas respectées, et enfin que le trou signalé est toujours présent, je trouve normal d’alerter ses clients … donc voilà, vos données personnelles sont accessibles en deux clics par la négligence de ce site web, en voici un screenshot :

Notez que ce screen est bien daté d’aujourd’hui

Voilà, ça devrait suffire pour la partie “je fais du marketing 2.0 de la mort”

Passons maintenant à Zetetic, attention tenez vous bien “agence de communication interactive”, terme que je n’avais plus croisé depuis 1996, à l’époque où des agences de communication manifestement incompétentes, composaient des pages html sous MS-Frontpage (beurk) et les compilaient sur un cdrom avec un petit flash à deux balles si le budget dépassait les 50 000 francs, je me suis intéressé à Zetetic suite à un petit article d’un blog que j’apprécie et qui faisait état de plagiat manifeste de ses contenus par la dite agence de communication interactive.

Pomper les contenus de petits jeunes talentueux sans même poser un lien sur la source SAYMAL!

J’ai donc voulu en savoir un peu plus et je me suis baladé sur leur site web histoire de comprendre de visu ce qui se passait et évidemment, je suis tombé sur une belle bande winners. Là encore pas de doute possible il s’agit bien de rescapés de l’éclatement de la bulle internet qui essayent de refaire surface avec le web2.0 … attention séquence émotion :

• copiés/collés de contenus sans citation de la source
• Comme on connaît pas trop les machins en ajax là, on fait un gros blob en flash avec des effets de transparence qui rappellent étrangement jQuery, ouai mais voilà ça c’est du 2.0 canada dry, le flash c’est une techno du 20e siècle pour les sites web.
• Je passe ensuite sur les aspects techniques (code html indigne de professionnels, parfaite méconnaissance des moteurs de recherche, …) et le baratin commercial avec des fautes alors qu’il n’y a que 3 pages au site web, je cite : “Nous vous proposons de développer des logiciels sur mesure pour vous aidez dans vos projets”… ouai ben non merci hein, je vais m’occuper du dev et de ma communication tout seul finalement, même si je suis loin d’être une bête en orthographe….
• Je finis par découvrir un blog Wordpress bien planqué sur lequel je découvre les articles pompés du blog lejournaldublog, pas une référence, pas un lien … oui c’est carrément malhonnête de leur part.

D’un autre coté, comme je l’explique dans mon commentaire sur lejournaldublog, la rédaction n’a vraiment pas à s’en faire vu que c’est mis en place par de supers amateurs et que le journaldublog est de tout points de vue d’une qualité nettement supérieures à Zetemachin à qui je recommande vivement de faire une proposition d’embauche aux auteurs du journal du blog qui connaissent les standars web, ajax, les balises métas, le comportement de bots référenceurs, ne collent pas du style dans leur html, rédigent de vrais contenus…

Bref si vous avez besoin d’un beau site web et d’une communication sur le net efficace, allez plutôt passer un mail chez lejournaldublog pour voir ce qu’ils peuvent faire pour vous au lieu d’aller chercher à faire confiance à des “morts vivants”, comprenez des entités du Net qui l’on pensait disparues depuis 1999.

Voilà, ce sera tout pour aujourd’hui, si vous avez de remarques, des excuses à formuler, des insultes à proférer, n’hésitez pas

La journée a été plutôt chargée chez Apple, après l’annonce par Steve Jobs du nouveau ultra portable signé Apple, le Macbook Air, voici qu’un nouvelle version du firmware de l’iPod Touch et de l’iPhone est maintenant disponible, voilà que nous pouvons maintenant acheter via l’iTune Store et qu’il corrige “des bugs” … oui enfin moi le seul bug que je lui voyais à mon ipod (en dehors de celui d’avoir besoin de iTune et d’être pas franchement un modèle d’ouverture open source) c’est de pas avoir de micro pour faire fonctionner mon client SIP.

Attention comme pour le firmware 1.1.2, le firmware 1.1.3 corrige le flow dans Safari qui permet le jailbreak de votre appareil, il faudra donc, encore une fois le downgrader en 1.1.1 pour pouvoir jailbreaker le firmware 1.1.3… on va également prendre soin d’aller voir ce qui se passe du côté de OktoPrep avant d’upgrader de 1.1.2 à 1.1.3.
———————

iPhone/iPod touch v1.1.3
Références CVE : CVE-2008-0035
Disponible pour : iPhone v1.0 à v1.1.2, iPod touch v1.1 à 1.1.2
Conséquences : l’accès à un site Web malveillant peut entraîner la fermeture d’une application ou l’exécution de code arbitraire
Description : il existe un problème de corruption de la mémoire au niveau de la gestion par Safari des URL. En poussant un utilisateur à accéder à une URL construite de manière malveillante, un attaquant peut provoquer un blocage inattendu de l’application ou l’exécution de code arbitraire. Cette mise à jour résout le problème en réalisant des validations supplémentaires sur les URL.

———————-

Le verrouillage par code se prend lui aussi son petit patch et Safari qui est décidemment un vraie passoire (si si je vous assure, j’ai pu voir aujourd’hui comment il réagissait avec JQuery sur une page avec un script AdSense) se prend lui aussi un correctif sur une vulnérabilité de cross site scripting.

Enfin, si vous souhaitez conserver votre iPod Touch Jailbreaké fonctionnel : n’UPGRADEZ SURTOUT PAS POUR L’INSTANT !

Ah ils ont bon dos les hackers chinois ! Selon 01Net, l’administration française aurait été la cible “d’attaques d’envergure” … en fait il s’agirait tout simplement d’un pauvre cheval de troie infectant un document Word : et voilà notre administration française 0wned par MsWord … avec tout ce qu’on claque en licence antivirus, bravo, ça fait désordre.

On est quand même en droit de se demander si c’est les chinois qu’il faut fustiger ou les choix crétins de notre administration qui n’arrive toujours pas à fonctionner comme une entreprise du 21e siècle et qui utilise encore un OS de merde (Windows), des formats pourris (MsWord) et des méthodes archaïques (word est un outil à peine bon à rédiger des cv alors qu’un simple outil de gestion de contenu en ligne open source et gratuit offrirait un degré de sécurité bien plus satisfaisant des vraies fonctionnalités collaboratives).

Effectivement, un truc gratuit comme Linux, sur les postes des fonctionnaires, c’est pas assez troué, donc du coup on met du Windows et on va pleurer que des vilains hackers chinois ont déclaré une guerre cybernétique à l’Etat Français. Permettez moi de sourire, je trouve ça ridicule et affligeant. Messieurs, vous avez décidé de confier des systèmes sensibles à un OS tout juste bon à jouer au solitaire ou à la dame de pique .. alors ne venez pas pleurer quand un intrus qui se fait passer pour un chinois et qui est peut être votre voisin de palier met nos systèmes en échec.

Et quand Francis Delon, le secrétaire général de la défense nationale confie au quotidien le Monde “On peut parler d’affaire sérieuse”, on se re-bidonne un bon coup en se demandant comment un fichier Word a pu faire tant de dégâts pour qu’une personne comme ce monsieur en soit amené à faire de telles déclarations à la presse…