RSS
email
0

Biométrie : la CNIL autorise la CNIL

Non ce n'est pas une blague ! Une délibération de la CNIL a été publiée sur Legifrance. Cette délibération est assez particulière étant donnée qu'elle précise que la CNIL vient en effet d'autoriser la CNIL à mettre en place un contrôle d'accès biométrique à certain de ses ordinateurs portables.

Je rappel que la Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, est clair, les traitements automatisés comportant des données biométriques sont mis en œuvre après autorisation de la Commission nationale de l'informatique et des libertés (CNIL).

Nous sommes un peu dans le cas de l'administrateur qui s'octroie des droits dont il a besoin de manière rapide, alors que pour l'utilisateur Lambda, ceci aurait dut prendre plusieurs mois, ainsi qu'un contrôle drastique...

L'autorisation est tout de même réalisée dans les règles de l'art, même si celle ci est pour le moins cocasse !

Comme on peut le lire dans la délibération de la CNIL, elle autorise :
"la mise en œuvre par la Commission nationale de l’informatique et des libertés d’un traitement automatisé de données à caractère personnel reposant sur la reconnaissance des empreintes digitales et ayant pour finalité le contrôle de l’accès aux ordinateurs portables mis à la disposition de certains de ses agents"

Le principe est simple, chaque utilisateur possèdera sont propre ordinateur portable, au sein duquel sera stocké et chiffré le gabarit de son empreinte digitale de 2 doigts, de manière chiffré. Cette empreinte digitale servira de contrôle d'accès, couplé à un login/mot de passe traditionnel.

Et pour terminer, le plus drôle...
"Les droits d’accès et de rectification s’exerceront auprès du correspondant informatique et libertés de la Commission nationale de l'informatique et des libertés..."
"...Dans ces conditions, la Commission autorise la mise en œuvre du traitement de données à caractère personnel présenté."

Que c'est beau le pouvoir...

Read more
0

Cool Ta Life !

C'est le moment pour moi, après plusieurs mois d'absence, de faire mon retour pour vous parler du site : Cool Ta Life !
En effet ce site, encore assez jeune, nous offre la possibilité de poster les anecdotes, répliques, blagues loufoques, ou toutes sortes d'histoires ou l'on a envie de répondre : "Cool Ta Life !" avec un sourire jusqu'aux oreilles, et un ton bien plus qu'ironique !
C'est en effet le concept du site :


Certains le compareront au site viedemerde, mais je leurs dirait qu'il se trompent ! En effet viedemerde recense des histoires souvent peu probable ou sur-gonflé pour faire le buzz VDM !

CoolTaLife, est un site authentique, permettant de confier les moments ou l'on aurait aimé pouffer de rire, mais ou l'on s'est retenu par respect, mais tout de même en lâchant un : "Cool Ta Life !" ou alors un bientôt mythique "CTL !".

Je vous recommande donc ce site, afin de vous lâcher un peu, avec pour seul et unique contrainte, de décrire le contexte du CTL !


Have fun sur www.cooltalife.com

Vous pouvez d'ailleurs les suivre sur Twitter et sur Facebook !


Read more
0

Google Android HoneyComb

Google viens de dévoiler au CES 2011, Google Android HoneyComb, qui, c'est officiel, sera la version d'Android, dédiés au tablettes !

En effet Google frappe un grand coup avec Android, grâce à la vidéo de présentation très futuriste et très alléchante ! Des rumeurs circulaient depuis quelques mois, disant qu'une nouvelle version d'Android sortirait prochainement, et plus précisément lors du CES 2011.
Les bruits de couloirs auront eut raison ! Android 3.0 voit le jour sous le nom de Android HoneyComb, et sa conception pour les tablettes à était rendu officiel, grâce notamment à la mention "Built entirely for tablet" au générique de présentation.

Quelques aperçus au travers de cette vidéo de présentation :

Le navigateur reste le même. Pas de problème, il est aisé d'en installer un autre selon vos besoins !
L'application Gmail a été retravaillé, et se rapprochera de l'iPad. J'entends déjà certain grincer des dents, en criant aux traitres !
La vidéo conférence viendra se greffer à Gtalk, et selon la vidéo, de manière fluide !
Google Books fera aussi son apparition suite au lancement de la librairie en ligne de Google (coïncidence ? )
Google Maps 5.0 montrera le bout de son nez, avec la possibilité de se balader dans un environnement en 3 Dimensions !

Bref la fluidité semble être au rendez vous, avec des transitions de bureau en 3D optimisées, ainsi qu'une fluidité enfin à la hauteur des tablettes tactiles !

Bon j'abrège un peu mon discours pour faire place à la vidéo, qui parlera certainement mieux que moi !



Alors qu'en pensez vous ? Séduit ?

Read more
0

Mantra, le Webbrowser orienté Pentest & Sécurité

Je vous présente aujourd'hui MANTRA, une version du navigateur Firefox, optimisé pour les Pentest !


Il est bien entendu en version portable, c'est à dire qu'elle peut être exécuté depuis votre clef USB, et regroupe de multiple modules plus utiles les uns que les autres ! De plus il est léger, flexible, et très "user-friendly", grâce à son interface graphique plutôt sympa !
Il peut être très utile étant donné qu'il est parfois pénible de devoir télécharger les addons et de les installer ! Tâche souvent longue et ennuyante...

Il est parfaitement adapté au 5 phases du cycle d'une attaque... De la reconnaissance, à la suppression des traces...

Voici donc une liste des addons qu'il intègre :





Je suis persuadé que cela va en intéresser plus d'un ! D'autant plus qu'elle est disponible pour Windows, mais aussi pour Linux et Mac !
Vous pouvez le télécharger ici

N'hésitez pas à laisser vos impressions sur ce navigateur, ainsi que les addons qu'il serait intéressant d'intégrer !

Read more
10

Test de la tablette Archos 101 IT

Je viens récemment de m'offrir ce joli petit gadget (vive noël !) pour satisfaire mon égocentrisme exacerbé... Hé oui, moi je me fais mes propres cadeaux de noël...

Bref, étant donné que cela fait plusieurs semaines mois que je n'ai pas posté d'articles (étude oblige...!) je reviens vers vous avec ce petit test et petites astuces concernant cette magnifique tablette Archos 101 IT.

Dans un premier temps voici ses caractéristiques :

Écran tactile multitouch HD 10.1" TFT LCD / 1024*600p (WXVGA)
Mémoire interne 8 ou 16 Go (mémoire flash)
Poid de 480g
12 mm d'épaisseur
Android 2.2
Wifi N / Bluetooth
Port USB (slave/mass storage) / Port mini HDMI / Port SD

Voici le plus important, pour le descriptif complet, il y a le site d'Archos

Maintenant que les présentations sont faites, passons un peu aux astuces !

Dans un premier temps il est important que mettre à jour votre tablette Archos 101, pour avoir Android 2.2.1 Froyo. Pour cela il suffit de télécharger le .aos, puis de la copier sur votre tablette Archos via le câble USB.
Ensuite il suffit de l'exécuter, non pas par un double clic, étant donné que nous sommes maintenant sur une tablette tactile rappelons le !! Puis de vous laisser guider par votre tablette. Jusque la, rien de bien sorcier !

Un fois fini, "houaaaaaa ! Froyo c'est trop beau !", il suffit maintenant d'installer l'Android Market, qui est nettement plus stable que l'AppsLib (Archos Market). Pour cela il suffit d'installer le .apk et de suivre les instructions qui sont au format texte ou au format vidéo. Désolé elles sont en Anglais, mais étant donné qu'elle se fait Step by Step, elle est de ce fait assez simple à comprendre !

Après avoir suivi ce petit tuto extrêmement bien expliqué, passons maintenant aux installation d'applications indispensables !

Voici donc la liste ainsi que leur petit descriptif :

Angry Birds :
Jeu de destruction... Il faut tuer les cochons vert, en balançant des oiseaux avec une fronde... Bon ok expliqué comme ça c'est pas super attractif, mais une fois installé, on ressent toute la fluidité, et tout le côté tactile de la tablette... Super addict !

Adobe Flash 10.1 :
C'est vraiment nécessaire de le présenter celui la ?

Ave!Comics :
Pour ceux et celles qui aiment lire des bouquins, BD et autres, mais qui ne souhaitent pas s'emcombrer du support papier, et bien il y a Ave!Comics ! Il suffit de télécharger vos BD, de manière légale et ensuite de les lires ! (bon c'est juste pour la forme, au fond vous faites ce que vous voulez !)

Adobe Reader :
Il est pour moi le meilleur lecteur de PDF, vachement fluide, et simple d'utilisation. Changement de page facile, très bonne fluidité ! Indispensable pour lire ses PDF de Hakin9, de CEH, ou ses RFC ! (lol)

Dolphin Browser HD :
Navigateur très fluide, et surtout, suportant les onglets de navigation ! "Halléluia!" Bref, encore une applications indispensable !

Maintenant que vous avez vos applications, votre mise à jour, ainsi que l'Android Market qui tourne à plein régime, il va vous falloir les petits gadget qui vont à côté...

La housse spéciale Archos 101 IT (Etui en cuir Napa Tuff-Luv Tri-Axis):
Très bonne protection en cuir pour votre tablette, vous pourrez la trouver ici

Le câble mini HDMI :
Il est clairement indispensable ! Enfin... Tout est relatif... Mais imaginez, jouer à Angry Birds sur votre Ecran plat ? Ou même regarder vos photos et vidéos en HD (rappelons le...) Vous pourrez le trouver ici

Et enfin, la carte SD 32 Go :
Afin d'augmenter les capacités de stockage de votre tablette, je vous conseil d'y ajouter une carte micro SD de 32 Go. Fini les problèmes de stockage pour vos Divx, MP3, et Applications (pour celles qui le permettent) ! Vous pouvez en trouver ici

Vous êtes fin prêt pour utiliser pleinement votre nouvelle Tablette Archos 101 IT !

Bonne utilisation !

N'hésitez pas à réagir, poser vos questions ou proposer vos astuces !

Read more
0

La faille CSRF

Voilà quelques temps que je n’ai pas posté d’article, j’ai donc décidé de revenir en force avec un lot d’article, expliquant diverses failles Web.

Qu’est ce que le CSRF ?
Commençons donc avec la faille CSRF, qui veut dire "Cross Site Request Forgery" est une classe d'attaques propre aux applications Web. Elle n’est pas fortement utilisée malgré les effets qu’elle peut avoir !

Cette faille résulte de la confiance qu’une application ou site web montre à l’égard de ses utilisateurs. En effet le but de cette faille est de faire envoyer une requête provenant d’un utilisateur authentifié, vers un site ou application.

Bon je m’explique car je me rends compte qu’avec un scénario, cela sera plus parlant…

Prenons Madame MICHU…enfin, vous m’avez compris quoi…
Madame MICHU consulte ses comptes en ligne sur le site de sa banque. Elle est donc authentifiée sur ce site, avec son ordinateur personnel, quasiment constamment. Utilisateur lambda oblige, Madame MICHU a enregistré son mot de passe au sein de son navigateur.

Grâce à un peu de social engeenering, un hacker X a appris que Madame MICHU consultait ses comptes en ligne sur le site de sa banque. Le Hacker étudie donc le fonctionnement des requêtes sur le site de sa banque, notamment les requêtes de virement d’un compte à un autre…

Une fois les requêtes bien cernées, il envoie un mail à Madame MICHU, avec un lien la renvoyant sur le site du Hacker. Celui-ci l’a bien entendu préparé au préalable !

Le Web Browser de Madame MICHU, une fois sur ce site va venir, comme tout bon Web Browser, interprété la page, les balises etc… C’est la que se trouve la faille…

En effet le hacker a placé une balise :

Le Web Browser cherchant l’image, va faire un GET de cette adresse, et comme Madame MICHU est authentifié sur le site de sa banque en ligne, va venir exécuter cette opération en temps que Madame MICHU, et cela silencieusement…

Le Hacker se retrouve donc avec une coquette sommes viré par Madame MICHU, sur son compte personnel, et cela sans que notre chère Madame MICHU s’en soit rendue compte…

Les solutions pour éviter cela, côté utilisateur :

La solution réside dans le fait d’empêcher le navigateur d’effectuer des requêtes sans votre autorisation préalable. Voici donc quelques petit conseil afin d’éviter les désagrément de cette attaque :

Ne pas sauvegarder ses identifiants et mot de passe dans les navigateurs !
En complément du conseil ci-dessus, il est déconseillé d’utiliser la fonction « remember me » proposée par de nombreux sites web.
Il est fortement déconseillé de cliquer sur les liens suspects ! Par liens suspects j’entends :
-un lien sur un site qui n’est pas digne de confiance
-un lien que vous recevez par mail, dont vous ne connaissez pas l’expéditeur, dont vous ne pouvez pas l’identifier formellement, qui n’était pas sensé vous envoyer de mail.
Je vous conseil de vous déconnecter dès que vous en avez terminé sur un site sensibles. Par site sensible, j’entends tout site ou vous disposez d’accès privilégié. Je rappel que tout est n’importe quoi peut attirer la convoitise d’un Hacker.
En dernier point, il est préférable d’utiliser un client mail qui n’interprète pas le code HTML.

Les solutions pour éviter cela, côté application :

Le referer
Ceux qui connaissent le protocole http, ou ceux qui utilisent Temper Data, auront sans doute pensé au referer, option qui permet d’identifier la provenance de la requête. Dans l’utilisation du referer, la requête doit provenir de la page précédente à la validation de la requête, et non du site du hacker, ou du client mail de Madame MICHU.

Le token secret
Une des méthode efficace consiste à utiliser des tokens aléatoires (d’où le fait qu’ils soient secret !) sur les pages sensibles. Le token doit être envoyé au serveur dans un champ caché (sinon il n’est plus secret…) lors de la soumission d’une requête sensible (envoie d’un formulaire, modification de mot de passe, commande, validation diverses…). De ce fait, si le serveur reçoit une requête ne contenant pas ce token (qui ne peut pas être prédit par l’attaquant !), il ne la traitera pas.

Double validation
Une autre possibilité consiste à obliger l’utilisateur à valider chacune de ses requêtes critiques par la soumission de son mot de passe. Celui-ci doit être impérativement saisie et ne peut être pré remplis par le navigateur. Le Hacker ne possédant pas le mot de passe de l’utilisateur, les actions critiques ne peuvent donc pas être exploitées (changement de mot de passe, suppression de compte, achat, transfert bancaire etc…).

Conclusion

Au premier abord, cette attaque peut sembler difficile à mettre en place. Détrompez-vous! Elle peut être mené de manière très simple, et ne nécessite pas de grande compétence technique.


Read more
 

Tags

Modules

over-blog.com

Wikio - Top des blogs - High-tech

VOTEZ POUR MON BLOG

News référencées par WebPlanete.net

Twitter