Étiquette : Sécurité

Publié le

HADOPI : la labellisation des moyens de sécurisation s’annonce compliquée

Ce n’est pas un scoop, c’est d’ailleurs surement pour ça que la HADOPI s’est résolue à passer outre et à se décider d’envoyer les premiers mails sans qu’un dispositif de sécurisation de l’accès Internet prévu depuis HADOPI 1, ne voit le jour. On savait que la définition de préconisations en vue d’une labellisation des dispositifs de sécurité allait être très complexe à rédiger. Le scoop c’est que Michel Riguidel s’est laissé aller à quelques spécifications fonctionnelles généralistes, publiées ce matin dans Numerama, qui lancent des pistes on ne peut plus larges. Même si on y évoque très brièvement quelques « bonnes mesures » , comme une désinstallation propre et le respect de la vie privée des utilisateurs, on peut s’inquiéter de quelque chose d’assez criant : Ce sont les spécifications d’un mouchard, on ne sécurise pas, on est bien dans le domaine de la surveillance des masses.

On parle par exemple de livrer cette extension sous forme de plugin à d’autres solutions de sécurité (suites antivirales), ou d’envisager un dispositif effectif en mobilité (points d’accès wifi ouverts). On parle aussi et surtout de prémices de filtrage et on se laisse la porte ouverte au blocage de sites par access lists, une mise à jour pourra ainsi vous interdir l’accès a un site de direct download comme Megaupload.

Numerama se déclare prêt à répondre de la publication de ce document qui a fuit, au nom du droit d’information du public, et on ne peut que l’appuyer dans cette démarche.

Publié le

HADOPI : une consultation publique confidentielle

J’apprenais aujourd’hui sur Numérama que Michel Riguidel, en charge de définir une sorte de cahier des charges d’un dispositif sensé sécuriser nos connexions Internet pour répondre de notre bonne foi devant la Haute Autorité, avait lancé une consultation un peu particulière..

L’objectif de cette consultation est de fournir à monsieur Riguidel l’argumentaire nécessaire à l’élaboration d’une liste de préconisations venant définir les mesures de sécurisation de sa connexion Internet, indispensables à prouver votre bonne foi et que vous n’aurez pas « manqué de diligence » dans cette tâche dont un manquement pourrait se traduire par un délit de négligence caractérisée aboutissant à la suspension de votre connexion. Michel Riguidel a donc réalisé un premier Draft de spécifications qu’il faut expressément demander en montrant patte blanche et que l’on daignera vous envoyer si on aime bien votre tête, c’est un peu une consultation à la tête du client en fait…. quand on vous dit que ça commence fort.

C’est encore un concept fort intéressant qui nous est proposé par la HADOPI. Une consultation publique « confidentielle », pour laquelle les consultés doivent s’engager à ne surtout rien dévoiler du contenu. Je trouve ça particulièrement iritant à plusieurs titres :

  • Pourquoi cette consultation est elle aussi confidentielle ?
  • Ne somme nous pas en train de basiquement répéter une erreur ?
  • Les entreprises seront elles aussi concernées ?
  • Quel niveau de sécurité souhaite t-on apporter ?
  • Où sera localisé le dispositif ?
  • Allons nous tolérer que des dispositifs de surveillance soient placés directement sur le réseau des opérateurs ?
  • Allons nous nous contenter d’un antivirus/firewall/ banal ou va t-on nous refaire le coup du logiciel de contrôle de téléchargement ?
  • Le dispositif sera t-il en connexion permanente avec des outils de « monitoring » de la HADOPI ?
  • Quelle sera la part de la prévention qu’on accordera à ces solutions qui si elles s’avère intrusives finiront en banal mouchard ?
  • … le suspens est insoutenable, mais à quoi va donc ressembler notre Hadopipoware officiel ?

Mais juste comme ça au passage, si on commence, avant même que le projet ne soit entamé, à faire le choix de la sécurité par l’obscurantisme, alors autant s’arrêter tout de suite, sous peine d’assister à la mise en place de nouveaux failwares. L’autre erreur est d’entourer de mystère ce qui ne devrait être que des spécifications publiques d’un petit soft rigolo et sans intérêt, si on ne touchait pas à quelque chose d’un peu sensible. La mission de Michel Riguidel est effectivement complexe, car il va avoir le privilège de fournir des spécifications cohérentes pour entretenir la psychose que les ayants droit souhaitent instaurer avec la mise en application du dispositif. Dur pour le chercheur émérite qu’il est de se contenter du strict minimum pour effrayer les masses.

Quoi qu’il en soit, je rejoins parfaitement l’analyse de Guillaume, entourer d’autant de mystère les spécifications d’une solution qu’on sait par avance poudre de Perlin Pinpin est assez ridicule, mais très en phase avec notre exception culturelle.

Publié le

Hole196 : Une vulnérabilité identifiée dans WPA2

Le WPA2 est le protocole de chiffrement pour communications sans fil considéré jusque là comme le plus robuste. Des chercheurs de AirTight semblent avoir mis en évidence une faiblesse permettant à un utilisateur du réseau de bypasser le chiffrement de la clef privée ansi que l’authentification. Il devient ainsi capable d’intercepter le trafic qui transite sur le réseau et donc d’attaquer les machines qui s’y trouvent. Une présentation de la vulnérabilité et de son exploitation aura lieu au Defcon de Las Vegas à la fin du mois, nous en saurons alors un peu plus sur ce trou affectueusement baptisé Hole196.

En attendant, et à juste titre, Numerama et PCInpact s’interrogent sur notre désormais célèbre délit de négligence caractérisée qui tendrait à vouloir que le commun des mortels sécurise son accès Internet, alors que le gouvernement lui même a bien du mal à sécuriser ses propres sites web et pour reprendre l’ expression consacrée qui me fait bien rire, manque de diligence dans la mise en oeuvre de la résolution de l’incident .

Publié le

Le Deep Packet Inspection bientôt sur abonnement chez Orange

Bon vous allez dire que je suis paranoïaque tout ça … Mais bon … Voilà PCIncpact nous alerte que le service marketing d’Orange s’apprête à proposer une offre payante de DPI (en tout cas vu d’ici ça y ressemble quand même pas mal)… ! Même pas peur !

Pour que vos packets soient analysés (pour votre sécurité bien sur…), et accessoirement servent à vous balancer de la pub (vocation première du Deep Packet Inspection), il vous faudra débourser 3,95 euros par mois. Si vous consentez à vous faire bombarder de pub, vous aurez le droit de vous faire analyser vos paquets gratuitement… trop sympa Orange ! Bon comme en interne c’est un peu tendu, on va sous-traiter ça à du vrai pro du DPI, en plus ça sera surement plus discret … Hop, gogogadgeto Kindsight.

Nuançons : Kindsight a l’air d’aspect très clean, très respectueux de votre vie privée, et dit ne collecter aucune donnée. On peut se désabonner du service quand on le souhaite. On peut y croire … ou pas. Moi j’ai bien envie d’y croire, mais c’est plus loin que ça se gâte.

Côté Orange, on reprend la bonne vieille recette : on s’attaque aux plus faibles, ceux qui n’y comprennent rien et qui pensent que notre Internet est tout pourri, en leur expliquant que leur sécurité est en danger à cause des vilains pirates du Net et on en profite pour leur refourguer un dispositif destiné à vous fliquer comme le souligne PCInpact citant une jolie formule bien marketing très caractéristique :

« des cybercriminels arrivent à pirater les ordinateurs personnels en désactivant les logiciels antivirus. Ils peuvent alors usurper votre identité. Bien sûr les antivirus sont indispensables, mais il vous faut une protection supplémentaire. Les cybercriminels ne peuvent désactiver la protection KindSight car elle est intégrée au réseau».

Parano moi ? … et ça c’est du poulet ? KindSight est clairement identifiée comme une entreprise spécialiste du Deep Packet Inspection

Alors à quoi ça sert ce truc ?

Déjà ça évite de placer un logiciel chez les clients que des gens trop curieux pourraient reverser, on place donc de la pseudo intelligence de flicage directement sur le réseau d’Orange. Le système est aussi capable d’envoyer des SMS et pourquoi pas des notifications rue de Valois.

Mais qui sont ces gens ?

Quand on regarde un peu l’équipe de KindSight, on trouve pas mal des gens d’Alcatel Lucent (vous savez les gens qui fabriquent des DSLAM) … oh ben tien .. le module HADOPI dont je vous parlais .. directement sur les DSLAM… c’est pas ça ?

Alors clean ou pas ?

Et bien Kindsight a beau expliquer qu’ils sont super respectueux de la privacy, mais quand on lit bien ce truc … on tombe par exemple sur ça :

« Le service Kindsight n’analyse pas, à des fins publicitaires, tout le trafic lié aux sites que Kindsight classe comme sensibles, comme les sites liés à la pornographie, la sexualité, la santé, la politique, la haine, la violence, la drogue, ou la criminalité. Ce trafic est, cependant, analysé dans le cadre de la détection d’attaques et d’autres activités malveillantes, à condition que l’abonné ai souscrit au service. « 

Comprenez : « on analyse pas pour envoyer de la pub, mais pour vous protéger » .. par contre avec le deal de Orange .. on s’en servira aussi pour de la pub… Du coup, ça serait sympa de nous expliquer comment on fait pour envoyer de la pub ciblée à un internaute sans collecter de données… un truc m’échappe là.

Orange vient-il d’inventer la première offre payante de Deep Packet Inspection ?

Vous ne me croyez toujours pas … ?

Et si je vous dit ISP DPI SNOOPING TECHNOLOGY dont Kindsight et son projet RIALTO qui ne semblent pas y être étranger ?

Ça ressemble à s’y méprendre à ça.

…. FEAR …

Merci Alcatel Lucent

**** EDIT ****

Le DPI chez Orange on s’y intéresse depuis 2007 , avec Shenick Diversif Eye 8400 et attention, niveau performances, ça faisait déjà peur à l’époque avec :

  • 16 millions de flux simultanés
  • 500 00 adresses ip traitées
  • 50 000 nouveaux flux à la seconde

« A good challenge for DPI Testing »


Ensuite on trouve aussi ceci … et c’est beaucoup plus récent. On y apprend que Orange s’est fait un nouveau copain : FusionWorks et son manager Openet, et là je lis bien en toutes lettres « Deep Packet Inspection », ça commence à faire beaucoup de coincidences non ?

« Openet’s FusionWorks Policy Manager product will be integrated with the Deep Packet Inspection solution from Openet partner Cisco Systems. Orange France selected Cisco’s Content Services Gateway (CSG) in conjunction with its purchase of Policy Manager from Openet. The integrated network control and monetization solution will enable Orange France to control its network resources using real time applications of complex rules based on subscriber, service or usage context. »


Il semblerait qu’Orange Mobile connaisse très bien cette technologie. D’ailleurs, je serais curieux de savoir si Orange pratique en France le DPI sur les SMS (la question est également valable pour SFR, vu que Vodafone semble aussi pratiquer). Etrangement, le forum où ça en causait dans la communauté Orange rame … beaucoup …

Si vous aussi le DPI vous intéresse, sachez que pour la modique somme de 5000$ vous pouvez trouver un Shenick diversifEye 8400 IP Tester sur EBAY !!

Et tant qu’à verser dans la paranoia … allons voir aussi si d’autres FAI ne se sont pas penchés sur ce genre de solutions … le menu semble appétissant :

DART Benefits

  • Accurate application identification
  • Granular subscriber, application, and topology visibility
  • Enhanced QoS policy enforcement


Publié le

Orange vous sécurise … ayez confiance !

Si une personne d’Orange pouvait me contacter SVP… il y a un très gros problème avec votre web-console, oui oui … celle du mouchard HADOPI…

EDIT : il semble que Orange et Nordnet aient rapidement réagi, c’est à porter à leur crédit.

On savait que le soft de sécurisation HADOPI allait être un moment bien rock’n roll,et bien voilà, c’est fait ! Les ip de ses clients sont accessibles sur le Net, ça donne vraiment envie qu’Orange vous « sécurise » non ? Il manque plus qu’un OpenOffice en remote et on est blindés 😉

Le logiciel proposé à la vente par Orange est sensé vous prémunir de l’utilisation de logiciels susceptibles de vous valoir les foudres de la HADOPI. En clair, vous payez 2 euros pour ne plus avoir le droit d’utiliser un logiciel P2P, même si ce que vous souhaitez télécharger est légal. En soit le concept est assez crétin. Mais là, le comble c’est la mise en place. Le logiciel communique avec un serveur distant, un servlet java en fait situé sur l’ip 195.146.235.67. Tout transite en clair, et tout est PUBLIC… on a même les IP des clients qui ont activé et acheté ce soft, comme les ip des simples visiteurs de cette page qui va devenir culte.

Pour obtenir l’ip de ce serveur, nous avons « sniffé » les sorties de ce soft avec Wireshark sur notre propre réseau local, du coup, nous n’avons pas eu trop de mal à trouver ce servlet… très drôle non ? C’est pas ça une négligence caractérisée ?

Toujours à propos du soft de « sécurisation » Hadopi par Orange, et surtout du servlet distant, il y a bien pire… un truc ahurissant nous a été signalé sur Twitter, mais nous ne le publierons pas…

Publié le

Les Google cars de Google Street view récupéraient des données qui passaient en clair sur les réseaux wifi

On a beau nous expliquer que ceci était accidentel, personnellement, je n’y crois pas un instant. Je ne sais pas si vous vous souvenez d’un billet dans lequel je m’inquietais de voir tourner une voiture autour d’une installation d’un réseau openmesh que j’avais déployé.

Il s’agissait d’une Google car, suréquipée (antenne wifi, gps, laptops embarqués). Cela laissait peu de doute, il y avait bien une cartographie wifi en cours.

Mais ce n’est pas tout, une simple cartographie n’aurait pas nécessité le curieux manège que j’ai pu observer. Les équipements que l’on pouvait observer sur les Google car à l’époque n’embarquaient pas de cameras Elphel utilisées pour Google Street View mais le parfait équipement du wardriver.

Et bien devinez quoi ? Google nous apprend aujourd’hui, que ces petites voitures auraient « accidentellement » collecté des données passant en clair sur les réseaux ouverts. Les Google car sniffaient les connexions et récupéraient les données qui transitaient en clair sur ces réseaux (pages web, texte, images, mais aussi mots de passe …). J’ai pu constater, pendant plusieurs jour, le manège de cette voiture qui s’arretait plusieurs minutes, tournaient autour de l’installation plusieurs fois. C’est pour cela que j’affirme que Google savait très bien qu’il collectait illégalement ces données, une simple cartographie n’aurait jamais nécessité de si fréquents arrêts. Ces stationnements attestent de la volonté de collecter des données, cela ne fait aucun doute en ce qui me concerne.

Je cherchais quelque chose à reprocher à Google, c’est aujourd’hui chose faite, cette société a employé des méthodes de voyous et a collecté soit disant accidentellement vos données personnelles.

Publié le

Pas Sage en Seine 2010 Co-Hacking Space : Le programme

Cette année, pour la seconde édition de Pas Sage en Seine, nous vous avons concocté un programme fort sympathique : hackers, artistes, hacktivistes et activistes, vous donnent rendez-vous à la Cantine du vendredi 14 au dimanche16 mai et vous invitent à venir découvrir leur hacktivités pas toujours très sages.

Vous y retrouverez cette année des intervenants qui vous parleront d’ouverture et de liberté sur des sujets pas forcément techniques mais toujours motivés par la passion comme Benjamin Bayart (FDN), Jérémie Zimmerman (La Quadrature du Net), Benjamin Roux (NosDéputés.fr), Jean-Marc Manach (Bug Brother), Serge Humpich (Bearstech), Kitetoa, Philippe Langlois (/TMP/LAB), Fabrice Epelboin (Read Write Web France), Guyzmo (La suite Logique), Sam Synack, Zitune (Hackable-Devices), Babozor (La Grotte du Barbu), Deubeuliou (Hackable:1), Paul Guermonprez (Intel Software), Fo0, Kazey, Khorben (Defora), Bluetouff (Bearstech / Toonux)…

Cette année, nous aborderons de nombreux thèmes comme le hacking hardware, l’hacktivisme politique, l’ouverture et la liberté numérique, les problématiques de filtrage et d’analyse du trafic Internet, Hackerspaces, Fablab… Le tout dans le cadre convivial de la Cantine, le co-working space qui se tranformera pour l’occasion en co-hacking space.

Les partenaires, Bearstech, La Cantine, Silicon Sentier, la Suite Logique, le /TMP/LAB et Toonux sont heureux de vous  présenter cette affiche exceptionnelle qui devrait encore de venir s’enrichir. Et si le coeur vous en dit, sachez qu’il est pas trop tard et que vous pouvez encore proposer d’intervenir.

Analyses et prédictions de séquences par la modélisation
  • Thème : Sécurité
  • Niveau : ☠☠☠☠
  • Intervenant : Sam_Synack
  • Description : Utilisation d’outils de modélisation en 3D pour la prédiction de séquences. Méthode avancée d’attaque et de filtrage par visualisation de trafic.
  • Statut : CONFIRME
  • Date : pending
Hackable devices
  • Thème : Hardware Hacking
  • Niveau : ☠☠
  • Intervenant : Zitune (Bearstech / Hackable:Devices)
  • Description : Le projet hackable-devices est né de la volonté de hackers de mettre à la disposition des autres hackers le matériel qui leur correspond. Beaucoup plus qu’une simple boutique en ligne, hackable-devices est une plateforme technique d’échanges autour du matériel et des appareils dont vous pouvez prendre le contrôle, que vous pouvez adapter, modifier, bidouiller ou améliorer.
  • Statut : CONFIRME
  • Date : Dimanche 16 à 16h00
DIY ISP : devenez votre propre fournisseur d’accès à Internet
  • Thème : Internet Propre
  • Niveau : ☠
  • Intervenant : Benjamin Bayart (FDN)
  • Description : Pourquoi et comment devenir votre propre fournisseur d’accès Internet
  • Statut : CONFIRME
  • Date : Vendredi 14 mai à 19h00
Développement Natif sur Android
  • Thème : Développement embarqué
  • Niveau : ☠☠☠☠
  • Intervenant : Deubeuliou (Bearstech / hackable:1)
  • Description : faites vous plaisir sur votre Android.
  • Statut : CONFIRME
  • Date : Samedi 15 mai à 10H00
Meego : Développement pour SetTopBox, téléphones et Netbooks
  • Thème : Hardware hacking et développement
  • Niveau : ☠☠☠
  • Intervenant : Paul Guermonprez (Intel Software)
  • Description : Développer une application libre qui tourne à la fois sur des SetTopBox, des netbooks et votre téléphone, ça vous tente ? Découvrez Meego, la distribution linux pour processeurs Atom par Intel et Nokia.
  • Statut : CONFIRME
  • Date : pending
« Chérie, j’ai rooté la Télévision »
  • Thème : Hardware Hacking
  • Niveau : ☠☠
  • Intervenant : Serge Humpich (Bearstech)
  • Description : Bidouiller du matériel est un loisir très gratifiant et ludique.
  • Statut : CONFIRME
  • Date : Vendredi 14 mai à 11H00
« Dis papa, c’est quoi cet Internet ?
  • Thème : Internet propre
  • Niveau : ☠
  • Intervenant : Kitetoa
  • Description : Internet avant, en quoi il a évolué, pas forcément en bien, quels problèmes de sécurité ça pose, comment les éviter si possible, mythologie du Net, problèmes juridiques, virtualitude, P2P, vie privée, motif légitime, couteaux de cuisine, idées connes, droit à l’oubli…
  • Statut : CONFIRME
  • Date : Samedi 15 mai à 18h00
Les Hackerspaces
  • Thème : Life Hackers
  • Intervenants : Philippe Langlois (/tmp/lab), Guyzmo (LaSuite Logique)
  • Niveau : ☠
  • Description : Hackerspaces, hacklabs, labo d’innovation indépendants, fablabs, incubateurs sociaux, bricolabs, société civile electronique. Une multitude de définitions existe pour ces espaces, et correspond à une variété de lieux physiques, d’activités, de buts et de modes de fonctionnements. Nous décrirons l’histoire ainsi que les différents exemples de hacklabs dans le monde et en France ainsi que leur role dans les grands débats actuels des TIC: neutralité du net, droit à la recherche libre en sécurité et ingénierie inverse, écoute des réseaux et protection contre les écoutes de toutes natures, réseaux peer to peer et défense contre leur « flicage », etc… Nous discuterons aussi des passerelles avec les autres domaines de la R&D, notamment avec les nouveaux paradigmes de l’éducation, de l’entrepreneuriat social (ONGs), de la recherche, de la fabrication locale (fablabs).
  • Statut : CONFIRME
  • Date : Samedi 15 mai à 14h00
La Grotte du barbu
  • Thème : Casual hacking
  • Niveau : ☠☠☠
  • Intervenant : Babozor (La Grotte du Barbu)
  • Description : tournage à la Cantine d’une épisode de la Grotte du barbu
  • Statut : CONFIRME
  • Date : Dimanche 16 mai à 14h00
Hacking the law
  • Thème : hacktivisme
  • Niveau : ☠
  • Intervenants : Jérémie Zimmerman (La Quadrature du Net) / Benjamin Ooghe-Tabanou (aka Roux) (Nos Députés).
  • Description : une loi mal fichue, c’est comme un code percé
  • Statut : CONFIRME
  • Date : Samedi 15 mai à 15H30
Atelier : The Seedfuckerz
  • Thème : blackhat
  • Intervenants : Kasey et fo0
  • Niveau : ☠☠☠☠
  • Description : Exploitation de BitTorrent avec Seedfuck, identification faiblesses de BitTorrent et problématique de la valeur légale de  l’adresse ip.
  • Statut : CONFIRME
  • Date : Dimanche 16 mai à 10h00

Confidences par SMS (et plus si affinités)

  • Thème : Crypto / GSM
  • Intervenants : Khorben (Defora)
  • Niveau : ☠☠☠☠
  • Description : Cet atelier propose l’implémentation de communications chiffrées sur réseau GSM, en commençant par les SMS. L’équivalent pour les communications vocales serait un plus, dont l’utilisation de l’Openmoko Freerunner en boitier dédié pourrait en faciliter la réalisation.
  • Statut : CONFIRME
  • Date : Vendredi 14 mai à 15h00
Anonymat, identités numériques et réseaux sociaux
  • Thème : privacy
  • Intervenant : Jean-Marc Manach (Bug Brother) / Fabrice Epelboin (Read Write Web France)
  • Niveau : ☠☠
  • Description : Anonymat, identité numérique, peut on encore aspirer à une vie privée quand on est présent sur les réseaux sociaux.
  • Statut : CONFIRME
  • Date : Vendredi 14 mai à 17h00
Salon Creative Commons
  • Thème : Droit / Propriété inetellectuelle
  • Niveau : ☠
  • Intervenant : Creative Commons
  • Description :
  • Statut : pending
  • Date : pending
Publié le

BitTorrent: De Seedfuck à TMGKicker ?

Alors que le Net est toujours en ébullition autour de Seedfuck, ce petit proof of concept continue son bonhomme de chemin et intéresse des experts du P2P. Tout le monde s’accorde à dire que tuer les réseaux P2P n’est pas la bonne solution, du coup, la cible identifiée devient TMG, marquant ainsi une nouvelle étape dans la préparation de la cyber guerilla qui se profile et qui fait maintenant peu de doutes.

Un simple élément du protocole d’échange P2P Bittorent pourrait permettre le développement d’un nouveau proof of concept visant à éjecter du réseau les IP identifiées et surtout les paquets DHT issus des serveurs de TMG. Notez qu’il existe déja des serveurs de TMG qui diffusent de faux paquets DHT sur le réseau déclarant ainsi de fausses Inodes (leur permettant de récupérer les IP des gens qui s’y connectent).

Les amateurs apprécieront cette simple ligne de Python qui en dit long :

from BitTorrent.Rerequester import DHTRerequester

L’élement visé est donc la requête DHT, qui permettrait, dans certaines conditions d’éjecter du réseau BitTorrent par scans répétés. Même si TMG change rapidement d’IP, cette nouvelle méthode s’avère être un SPOF (Single Point of Failure) du dispositif de TMG. Tout semble indiquer que TMG a mis le premier le doigt dans un engrenage qui sera exploité et retourné contre lui.

Des outils comme Peerguardian pourraient donc se voir dotés de nouvelles fonctionnalités qui rendraient la vie bien plus compliquée à TMG. Les serveurs DHT se certifient entre eux et une création massive de serveurs DHT pourrait vite polluer l’écoute de TMG et même forcer au drop (une déconnexion sans ménagement) du réseau… et oui, il existe bien un début de proof of concept. Il ne s’agit encore que du début de la réponse des internautes partageurs à TMG, quand ces derniers auront clairement identifié les faiblesses de l’infrastructure de TMG, ils pourraient bien leur donner beaucoup de fil à retordre. En pratiquant comme on le soupçonne une pollution DHT/PeX (Peer Exchange), TMG a involontairement ouvert la porte à l’utilisation d’une arme qui risque de se retourner contre lui.

Source (for l33tz Hackers)

Publié le

Pas Sage en Seine 2010 : Call for Hacks

Pas Sage en Seine édition 2010, c’est un rendez-vous pour hackers, artistes, créateurs et amateurs, au sens large du terme, de la bidouille. Musiciens, plasticiens, électroniciens, programmeurs, hackers et hacktivistes exposent leurs activités au grand jour pour vous donner, vous aussi, l’envie de vous lancer dans un projet où la DIY et bidouillabilité sont les maîtres mots.

On y parlera Free Culture, Art Libre, sécurité, électronique, activisme, partage des connaissances, détournement d’utilisation d’objets ou de concepts dans le but d’innover, de rendre accessible et d’ouvrir de nouvelles portes.

Le Passage des Panorama à Paris et La Cantine se transformeront en CoHacking Space et accueilleront cette manifestation qui se tiendra du Vendredi 14 au Dimanche 16 mai. Des conférences et des ateliers s’y tiendront, vous pouvez vous faire une idée du programme toujours en cours de préparation ici :

http://www.passageenseine.org/pes-2010

Bidouilles software et Hardware, Android, Freerunner, Darknets, hacktivime, guerillas numériques … L’édition de 2010 de Pas Sage en Seine propose une variété de thèmes importante pour tous les niveaux, quelque soit votre domaine de prédilection.

Call For Hacks

Cet événement est totalement libre et ouvert, vous pouvez donc, si vous le désirez, venir partager avec nous vos propres bidouilles, rencontrer d’autres personnes pour faire progresser vos projets. Vous pouvez proposer des interventions via ce formulaire.

Les partenaires :
Publié le

blippy.com expose les données bancaires de ses clients

On pensait que les boulettes d’admins de ce genre étaient d’une époque révolue… mais non. Blippy est un réseau social sur lequel on partage des avis sur des achats, manque de bol, on partage aussi les données bancaires des membres. C’est un peu comme ce qu’on avait vu à une époque sur beaucoup de sites bancaires, sauf que là c’est 2.0 avec du social et de l’ajax dedans. Le point commun ? Des données des clients/membres sont accessibles sur le net, via un simple navigateur, dans le cache de Google (c’était encore le cas il y a quelques minutes).

Blipy est un réseau social se définissant comme par ces mots : « Blippy is a fun and easy way to see and discuss what everyone is buying. » soit comme « un moyen amusant est simple de voir et discuter de ce que tout le monde achète ». Aujourd’hui, suite une « petite boulette » expliquée ici, Blippy a laissé fuiter une poignée de numéros de cartes de crédit de ses membres ce qui nous donne à peu près ceci :

La petite boulette confessée par l’un des co-fondateurs a été nous assure t-on réparée suite à une intervention pour faire retirer ces résultats de recherche du cache de Google. C’est une mésaventure qui peut arriver à beaucoup de startups manipulant des données personnelles, et ce genre de petits incidents est également là pour nous rappeler l’intérêt d’organismes comme la CNIL ou les structures gouvernementales de veille comme l’ANSSI dont les rôles sont encore à la fois méconnus et peu valorisés au près de nombreux entrepreneurs du Net. Bref, rien de bien méchant, rien de bien grave, mais si ceci arrive pour un réseau social US qui en plus fonctionne pas trop mal, vous imaginez aisément le genre d’horreurs que l’on trouve sur le Net en France comme dans plein d’autres pays (non nous ne sommes pas les plus ridicules). Si l’acte d’achat sur le Net est aujourd’hui quelque chose de très courant en France, l’utilisation de certaines technologies non adaptées à l’informatique de confiance et quelques erreurs de conception font encore le bonheur de voleurs à la petite semaine qui n’hésitent pas à piller des victimes avec de simples requêtes sur des moteurs de recherche (et dans le domaine, Google est loin d’être le pire, Yahoo se montre souvent encore plus bavard).

Bonne chance à Blippy pour que ses membres oublient rapidement cet incident, le principe du site en lui même n’est pas mauvais et mérite que l’on s’y intéresse, on a vu des projets réussir avec des idées plus bêtes. En tout cas, Blippy a su communiquer de manière intelligente et agir promptement (et ça c’est nouveau, car en France, on a vu beaucoup d’entreprises comme Tati pour ne pas les citer) avoir une atitude bien plus stupide que Blippy pour tenter de justifier ce qu’il convient d’appeler depuis HADOPI, un « délit de négligence caractérisée« .

Merci à François pour l’info 😉