2AaZ | L'informatique de A à Z

Test de la tablette Archos 101 IT

Je viens récemment de m'offrir ce joli petit gadget (vive noël !) pour satisfaire mon égocentrisme exacerbé... Hé oui, moi je me fais mes propres cadeaux de noël...

Bref, étant donné que cela fait plusieurs ~~semaines~~ mois que je n'ai pas posté d'articles (étude oblige...!) je reviens vers vous avec ce petit test et petites astuces concernant cette magnifique tablette Archos 101 IT.

Dans un premier temps voici ses caractéristiques :

Écran tactile multitouch HD 10.1" TFT LCD / 1024*600p (WXVGA)

Mémoire interne 8 ou 16 Go (mémoire flash)

Poid de 480g

12 mm d'épaisseur

Android 2.2

Wifi N / Bluetooth

Port USB (slave/mass storage) / Port mini HDMI / Port SD

Voici le plus important, pour le descriptif complet, il y a le site d'Archos

Maintenant que les présentations sont faites, passons un peu aux astuces !

Dans un premier temps il est important que mettre à jour votre tablette Archos 101, pour avoir Android 2.2.1 Froyo. Pour cela il suffit de télécharger le .aos, puis de la copier sur votre tablette Archos via le câble USB.
Ensuite il suffit de l'exécuter, non pas par un double clic, étant donné que nous sommes maintenant sur une tablette tactile rappelons le !! Puis de vous laisser guider par votre tablette. Jusque la, rien de bien sorcier !

Un fois fini, "houaaaaaa ! Froyo c'est trop beau !", il suffit maintenant d'installer l'Android Market, qui est nettement plus stable que l'AppsLib (Archos Market). Pour cela il suffit d'installer le .apk et de suivre les instructions qui sont au format texte ou au format vidéo. Désolé elles sont en Anglais, mais étant donné qu'elle se fait Step by Step, elle est de ce fait assez simple à comprendre !

Après avoir suivi ce petit tuto extrêmement bien expliqué, passons maintenant aux installation d'applications indispensables !

Voici donc la liste ainsi que leur petit descriptif :

Angry Birds :
Jeu de destruction... Il faut tuer les cochons vert, en balançant des oiseaux avec une fronde... Bon ok expliqué comme ça c'est pas super attractif, mais une fois installé, on ressent toute la fluidité, et tout le côté tactile de la tablette... Super addict !

Adobe Flash 10.1 :
C'est vraiment nécessaire de le présenter celui la ?

Ave!Comics :
Pour ceux et celles qui aiment lire des bouquins, BD et autres, mais qui ne souhaitent pas s'emcombrer du support papier, et bien il y a Ave!Comics ! Il suffit de télécharger vos BD, de manière légale et ensuite de les lires ! (bon c'est juste pour la forme, au fond vous faites ce que vous voulez !)

Adobe Reader :
Il est pour moi le meilleur lecteur de PDF, vachement fluide, et simple d'utilisation. Changement de page facile, très bonne fluidité ! Indispensable pour lire ses PDF de Hakin9, de CEH, ou ses RFC ! (lol)

Dolphin Browser HD :
Navigateur très fluide, et surtout, suportant les onglets de navigation ! "Halléluia!" Bref, encore une applications indispensable !

Maintenant que vous avez vos applications, votre mise à jour, ainsi que l'Android Market qui tourne à plein régime, il va vous falloir les petits gadget qui vont à côté...

La housse spéciale Archos 101 IT (Etui en cuir Napa Tuff-Luv Tri-Axis):
Très bonne protection en cuir pour votre tablette, vous pourrez la trouver ici

Le câble mini HDMI :
Il est clairement indispensable ! Enfin... Tout est relatif... Mais imaginez, jouer à Angry Birds sur votre Ecran plat ? Ou même regarder vos photos et vidéos en HD (rappelons le...) Vous pourrez le trouver ici

Et enfin, la carte SD 32 Go :
Afin d'augmenter les capacités de stockage de votre tablette, je vous conseil d'y ajouter une carte micro SD de 32 Go. Fini les problèmes de stockage pour vos Divx, MP3, et Applications (pour celles qui le permettent) ! Vous pouvez en trouver ici

Vous êtes fin prêt pour utiliser pleinement votre nouvelle Tablette Archos 101 IT !

Bonne utilisation !

N'hésitez pas à réagir, poser vos questions ou proposer vos astuces !

La faille CSRF

Voilà quelques temps que je n’ai pas posté d’article, j’ai donc décidé de revenir en force avec un lot d’article, expliquant diverses failles Web.

Qu’est ce que le CSRF ?

Commençons donc avec la faille CSRF, qui veut dire "Cross Site Request Forgery" est une classe d'attaques propre aux applications Web. Elle n’est pas fortement utilisée malgré les effets qu’elle peut avoir !

Cette faille résulte de la confiance qu’une application ou site web montre à l’égard de ses utilisateurs. En effet le but de cette faille est de faire envoyer une requête provenant d’un utilisateur authentifié, vers un site ou application.

Bon je m’explique car je me rends compte qu’avec un scénario, cela sera plus parlant…

Prenons Madame MICHU…enfin, vous m’avez compris quoi…
Madame MICHU consulte ses comptes en ligne sur le site de sa banque. Elle est donc authentifiée sur ce site, avec son ordinateur personnel, quasiment constamment. Utilisateur lambda oblige, Madame MICHU a enregistré son mot de passe au sein de son navigateur.

Grâce à un peu de social engeenering, un hacker X a appris que Madame MICHU consultait ses comptes en ligne sur le site de sa banque. Le Hacker étudie donc le fonctionnement des requêtes sur le site de sa banque, notamment les requêtes de virement d’un compte à un autre…

Une fois les requêtes bien cernées, il envoie un mail à Madame MICHU, avec un lien la renvoyant sur le site du Hacker. Celui-ci l’a bien entendu préparé au préalable !

Le Web Browser de Madame MICHU, une fois sur ce site va venir, comme tout bon Web Browser, interprété la page, les balises etc… C’est la que se trouve la faille…

En effet le hacker a placé une balise :

Le Web Browser cherchant l’image, va faire un GET de cette adresse, et comme Madame MICHU est authentifié sur le site de sa banque en ligne, va venir exécuter cette opération en temps que Madame MICHU, et cela silencieusement…

Le Hacker se retrouve donc avec une coquette sommes viré par Madame MICHU, sur son compte personnel, et cela sans que notre chère Madame MICHU s’en soit rendue compte…

Les solutions pour éviter cela, côté utilisateur :

La solution réside dans le fait d’empêcher le navigateur d’effectuer des requêtes sans votre autorisation préalable. Voici donc quelques petit conseil afin d’éviter les désagrément de cette attaque :

	Ne pas sauvegarder ses identifiants et mot de passe dans les navigateurs !
	En complément du conseil ci-dessus, il est déconseillé d’utiliser la fonction « remember me » proposée par de nombreux sites web.
	Il est fortement déconseillé de cliquer sur les liens suspects ! Par liens suspects j’entends :
	-un lien sur un site qui n’est pas digne de confiance -un lien que vous recevez par mail, dont vous ne connaissez pas l’expéditeur, dont vous ne pouvez pas l’identifier formellement, qui n’était pas sensé vous envoyer de mail.
	Je vous conseil de vous déconnecter dès que vous en avez terminé sur un site sensibles. Par site sensible, j’entends tout site ou vous disposez d’accès privilégié. Je rappel que tout est n’importe quoi peut attirer la convoitise d’un Hacker.
	En dernier point, il est préférable d’utiliser un client mail qui n’interprète pas le code HTML.

Les solutions pour éviter cela, côté application :

Le referer
Ceux qui connaissent le protocole http, ou ceux qui utilisent Temper Data, auront sans doute pensé au referer, option qui permet d’identifier la provenance de la requête. Dans l’utilisation du referer, la requête doit provenir de la page précédente à la validation de la requête, et non du site du hacker, ou du client mail de Madame MICHU.

Le token secret
Une des méthode efficace consiste à utiliser des tokens aléatoires (d’où le fait qu’ils soient secret !) sur les pages sensibles. Le token doit être envoyé au serveur dans un champ caché (sinon il n’est plus secret…) lors de la soumission d’une requête sensible (envoie d’un formulaire, modification de mot de passe, commande, validation diverses…). De ce fait, si le serveur reçoit une requête ne contenant pas ce token (qui ne peut pas être prédit par l’attaquant !), il ne la traitera pas.

Double validation
Une autre possibilité consiste à obliger l’utilisateur à valider chacune de ses requêtes critiques par la soumission de son mot de passe. Celui-ci doit être impérativement saisie et ne peut être pré remplis par le navigateur. Le Hacker ne possédant pas le mot de passe de l’utilisateur, les actions critiques ne peuvent donc pas être exploitées (changement de mot de passe, suppression de compte, achat, transfert bancaire etc…).

Conclusion

Au premier abord, cette attaque peut sembler difficile à mettre en place. Détrompez-vous! Elle peut être mené de manière très simple, et ne nécessite pas de grande compétence technique.

Virus informatique: la menace de demain ?

Voici une vidéo de France24 traitant des virus informatiques ainsi que de la cyberguerre. En effet, les installations industrielles (notamment en Iran) seraient la cible d'attaque informatique, laissant planer le doute d'une cyberguerre. Celle ci est caractèrisée par l'expansion du web et de l'outil informatique, et de ce fait notre société et notre "ère numérique". Cette interview de Patrick PAILLOUX, Directeur Génaral de l'ANSSI (Agence National pour la Sécurité des Systèmes d'Information) ainsi que de Benjamin SONNTAG, Expert des infrastructures réseau internet, Octopuce, nous expose les différents problèmes liés à notre société, notamment avec l'arrivée du ver Stuxnet.

Je vous laisse découvrir la vidéo, qui permet de faire le point sur la nouvelle menace des virus informatique, avec StuxNet :

Que pensez vous de cette interview ?

Si vous avez un aller/retour pour Vancouver ou se déroule le VB2010, vous pourrez peut être assister aux conférences sur le ver StuxNet et ses détails.
En attendant vous pouvez déjà consulter le blog de Benjamin SONNTAG, ainsi que de suivre son Twitter.
Vous pouvez aussi consulter le site de l'entreprise Octopuce.
Et enfin faire un petit tour sur le site de l'ANSSI.

Article Copier/Coller = Source citée

Voici quelque temps que je me bat pour que mes articles ne soient pas copier/coller ! Cela ne me pose pas problème, à partir du moment ou je suis averti et que mon blog est cité en source... Je sais je suis exigent ! Mais un travail de dur labeur doit être récompensé

! Bref, j'aime faire valoir mon travail...

C'est pourquoi, en lisant l'article de Ly3s sur GeekNoise, cela m'a donné une petite idée !

Je me suis dis, que si il est feignant au point qu'il copie mon article, il a certainement copier le code source qui va avec, ce qui veut dire que l'image qu'il utilise est celle que j'héberge !

30 secondes plus tard, je m'apercoie que c'est bien le cas... C'est partie, je laisse exprimer mon côté artistique sur cette image, grâce à PicNik, intégré à ma gallerie Picasa !

Voila le résultat :

Bon je sais, c'est pas très bien... mais en même temps c'est tellement drôle !

Si vous voulez un autre exemple, voici l'article de Shatter, qui a un sens artistique d'un autre goût...

Evercookie - Suppression impossible

C'est aujourd'hui que j'ai découvert Evercookie !

Mais qu'est ce que c'est ? Une petite description s'impose...

Voici dans une premier temps une définition de ce qu'est un cookie :

Petit fichier téléchargé par un site web que l'on consulte. Un cookie rassemble des informations qui seront retransmises à ce site lors de votre prochaine visite (ID, mot de passe, préférence et autres...).

Evercookie quand à lui, est une API JavaScript qui produit un cookies extrêmement persistant au sein d'un navigateur. Le but de cet API est tout simplement de pouvoir identifier une personne (un client par exemple) et cela même après suppression des cookies (standard, flash et autres...).

Wahow ! Mais comment ca fonctionne ?

Cette action est rendu possible grâce à un procédé de reconstruction du cookies. Je m'explique... Evercookie possède plusieurs mécanisme de stockage du cookies, qui sont disponibles sur le navigateur local de l'utilisateur. Le processus est simple, lorsque l'utilisateur supprime l'un de ces cookies, Evercookie le recrée instantanément avec le même procédé que précédemment.

Voici un petit schéma afin de mieux comprendre ce mécanisme :

Schéma de fonctionnement d'un cookie standard

Schéma de fonctionnement d'un EverCookie

(Désolé pour la symbolique des "Cookies"...)

Voici les différents mécanisme de stockage utilisé par l'EverCookie (lorsqu'ils sont possible).

	Cookie HTTP standard
	Objets partagés locaux (Cookies Flash)
	Stockage de cookie en valeurs RVB
	Stockage de cookie au sein de l'historique Web
	Stockage de session HTML5
	Stockage local HTML5
	Stockage global HTML5
	Stockage base de données HTML5 via SQLite

Cette API Javascript a été développé par Samy Kamkar, vous pouvez d'ailleurs retrouver le site de EverCookie ici

Bien entendu, cette API ne laisse rien présager de bon. En effet si un cookie n'est plus "facilement" supprimable, un paquet de donnée seront stocké sur au sein de nos navigateurs, et feront l'objet d'une attention particulière de la part Hackers !

Il ne faut pas ranger directement ce travail du côté obscur de la force, mais il est malheureusement fort probable qu'il y bascule rapidement...

Bien entendu cet article a pour but de sensibiliser les internautes sur l'utilisation des cookies ! Si vos données personnelles et ce qu'il reste de votre vie privée vous intéresse un temps soit peu, je vous encourage à consulter les zones de stockages utilisé par l'EverCookie, ainsi que de suivre ce projet de près...

EverCookie est Open Source, et voici les sources de cette API, si vous souhaitez appronfondir le sujet et son utilisation.

N'hésitez pas à réagir sur ce sujet !

Vulnérabilité XSS sur Twitter

Today XXS Tweet, 40000 Tweets en à peine 10 minutes ! C'est la découverte de Judofyr qui à, aujourd'hui, déstabilisé la plateforme social Twitter. En effet il est à l'origine de la découverte d'une faille XSS dans les Tweets. Quelques minutes après sa découverte, les effets de bord style : "Boule de feu" se sont emparés de l'exploit ! L'origine de sa découverte était simplement ceci :

http://judofyr.net/@"style="background:#000;color:#000;/

Ce qui donne :

Tweet à première vu rigolo ! Texte noir sur font noir, cependant il était loin de se douter que cette "découverte" allez prendre une si grande ampleur ! (oui je sais, ça fait un peu scénario catastrophe...). Il vient du fait que Twitter ne code pas les URL et tout ce qu'il y a après un simple @, ce qui implique donc que le CSS et Javascript peuvent être inclus et interprété ! Bien entendu les effets de bords ont été bien différents, prenant toutes sorte de forme, selon les esprits plus ou moins créhacktif ! Comme le témoigne ceci.

Bien entendu, il va de soit que les redirect, les onmouseover, ou les appels à une page internet avec un code malicieux vont aller de bon train ! Il est aussi possible d'imposer le RT de votre Tweet par la simple fonction "onmouseover" !

Des milliers de compte Twitter sont déjà infectés par cette faille, à l'image du compte de Sarah Brown, ancienne épouse du Premier Ministre Britannique, qui s'est vue rediriger ses visiteurs vers un site "porno-hardcore" basé au Japon.

Bref, il est vivement conseillé de vous déconnecter de Twitter, ou si vous êtes curieux de ce qu'il s'y passe, de désactiver le Javascript !

Un coup dur pour Twitter...

Si vous avez plus d'informations, n'hésitez pas à les communiquer !

Update
Twitter a corrigé la faille, pour plus d'information consulter leur blog

Présentation de Signal Spam

Ce Lundi 20 septembre 2010, Nathalie Kosciusko-Morizet, secrétaire d'État chargée de la Prospective et du Développement de l'économie numérique, était à la CNIL (Commission National de l'Informatique et des Liberté) pour accompagner le lancement de la nouvelle version de Signal Spam, le réseau de confiance créé afin d'agir contre le spam.

Pour rappel, l'association à été créée en novembre 2005 grâce aux travaux de la plateforme de concertation publique-privée pilotée par la Direction du développement des médias.

Cette association Loi 1901, est unique au monde. Elle regroupe la plupart des organisations françaises concernées par la lutte contre le spam, ces partenaires sont entre autres; des entreprises comme Microsoft, des professionnels du mail comme Experian Cheetahmail, des opérateurs comme Orange ou SFR, ou pouvoirs publics comme la CNIL. Vous pouvez d'ailleurs retrouver la liste de ses partenaires ici.

Le but de Signal Spam est de concentrer et fédérer les efforts de chacun afin de lutter contre le Spam. Ceci en offrant une plateforme de signalement de spams, permettant ainsi de faire le lien avec les entreprises et les autorités compétentes. Signal Spam met à disposition l'ensemble des informations nécessaire pour se sensibiliser, se prémunir, et lutter contre le spam.

Voici quelques actions que conduit l'association pour lutter contre le spam :

	La définition, la mise en œuvre et le suivi d’un système de traitement informatisé des « spams » signalés par les utilisateurs de l’internet ;
	L’analyse, le classement et le transfert des signalements reçus dans la perspective d’alertes, de traitements et d’actions de médiation comme de transmission aux autorités chargées du traitement des plaintes en matière de spam. A ce titre, l'association renseigne et oriente les personnes physiques ou morales, sur leur demande, dans la constitution et le suivi de leurs dossiers de plaintes. Elle porte régulièrement à la connaissance des autorités compétentes, pour assurer les poursuites en matière de spam, selon les critères qu'elles auront définis, préalablement ou à tout moment, l'ensemble des signalements stockés dans la base de données. Elle conduit exclusivement à la demande des autorités habilitées, des analyses relatives à l'identification du responsable de l'envoi de « spams ».
	L’information du public sur les moyens de lutte contre les « spams » ;
	La contribution aux actions engagées par les pouvoirs publics au niveau international en matière de lutte contre le « spam » ;
	La participation à des initiatives émanant d’organismes publics ou privés et dont l’objectif s’inscrirait dans le cadre de l’objet de l’association ;
	La formulation de recommandations, prises après consultation et concertation des autorités compétentes, aux pouvoirs publics comme aux représentants des acteurs et utilisateurs du courrier électronique en matière d’actions à conduire pour lutter contre le « spam » et, plus généralement, toute action contribuant à la lutte contre le « spam » en France comme à l’international;

Pour agir avec Signal Spam, il suffit de vous inscrire sur le site Signal Spam, puis d'utiliser l'une des méthodes de signalement des spams. Le Signalement au sein de la plateforme de Signal Spam et de son formulaire, ou alors directement au travers de votre messagerie, grâce aux plugins officiels Signal Spam.

N'hésitez pas à réagir sur la création de cette plateforme ! Ainsi que sur ses actions !

IDS/IPS : Principes et Explications

Suite à un précédent article sur la mise en place d’une sonde IPS SNORT_INLINE, j’ai cogité un peu et me suis dit qu’un tuto c’est bien, mais qu’un petit exposé sur la détection d’intrusion c'est mieux, enfin... complémentaire plutôt ! Bien sur en énonçant les principes et surtout en expliquant de manière imagé !

Qu’est ce que la détection d’intrusion ?

Voici la définition que nous propose Wikipédia :
Un système de détection d’intrusion (ou IDS : Intrusion Detection System) est un mécanisme destiné à repérer des activités anormales ou suspectes sur la cible analysée (un réseau ou un hôte). Il permet ainsi d’avoir une connaissance sur les tentatives réussies comme échouées des intrusions.

Cette définition est assez claire en soi. Elle expose clairement le rôle de la détection d’intrusion. Pour ce qui est des outils et technique de détection d’intrusion, il permettant d’atteindre cet objectif qui est : avoir une connaissance sur les tentatives réussies comme échouées des intrusions. Bien entendu il existe de nombreux outils et techniques de détection d’intrusion.

Pourquoi utiliser ce type de solution ?

Ces solutions répondent à un besoin grandissant de supervision, ou il est crucial d’avoir une visibilité des incidents liés à la sécurité des systèmes d’information.
Les solutions traditionnelles se contentaient de bloquer ainsi que de journaliser les événements. Cela permet d’avoir de fixer ses règles de filtrage, et ainsi d’avoir des informations sur ce que l’on a bloqué. On a aucune informations sur les intrusions ayant outrepassées le Firewall (au niveau réseau ou poste de travail). On a donc des informations sur le périmètre que l’on maîtrise et que l’on connaît.

Cependant l’informatique est très vaste, et contourner un équipement de sécurité est devenu chose facile. Il était donc important de trouver une solution afin d’avoir une défense qui n’analyse pas les trames une par une, mais qui analyse les trames dans leur ensemble, en confrontant ces informations à une base de connaissances sur des attaques connues, afin de voir si certaines combinaisons de trames ne peuvent pas être identifié comme une tentative d’intrusion. A cela ce couple une journalisation de l’événement afin de conserver une trace et de pouvoir palier au problème.

Comment ça fonctionne ?

Comme je l’ai déjà dit, la détection d’intrusion a pour but de détecter les activités anormales (entendre tentatives d’intrusions) sur les divers équipements informatique (poste de travail, réseau, serveur…). C’est l’analyse et la confrontation à la base de connaissances sur des attaques connues qui permet d’avoir une vision élargie sur les incidents.

Ceci en renvoyant de nombreuses informations avec une alerte. Le type supposé d'attaque, la source, la destination... Tout cela permet un bonne compréhension des incidents, et en cas de faux-positif, de le détecter rapidement.

Voici un schéma permettant de comprendre son implémentation :

Et voici quelques slides expliquant le fonctionnement d’un NIDS :

Bien sûr, j’évoque ici le fonctionnement des NIDS, mais les HIDS vont avoir le même fonctionnement. A l’inverse, ils vont, eux, établir une surveillance unique du système sur lequel ils sont installés, et non tout le trafic d’un réseau (d’un même domaine de collision).

Il y a plusieurs utilisations et plusieurs types d’implémentation de ces sondes NIDS. En effet, l’un des premiers usages est tout simplement le test de l’architecture réseau/sécurité mis en place. En implémentant une sonde NIDS avant le FIREWALL (côté Web) et une après le FIREWALL (côté LAN), ceci permettant d’analyser l’efficacité du FIREWALL, et ainsi de « peaufiner » ses règles de sécurité.

Le second usage est tout simplement une réponse au besoin de supervision, permettant d’analyser le trafic à n’importe quelles heures, et d’avoir un archivage de toute tentative d’intrusion.

Mais à quoi sert le HIDS ?

Et bien dans une tentative de suivi d’une attaque de bout en bout, le HIDS va nous permettre de suivre l’attaque jusqu’au(x) poste(s) ciblé(s). Le HIDS est donc indispensable dans une optique de traçabilité d’attaque.

D’autre part il est important de souligner que l’ensemble des alertes NIDS et HIDS peut être regroupé sur une seul et même base de données, centralisant ainsi les alertes et permettant de facilité la corrélation qu’il peut y avoir entre plusieurs alertes (étant une seul et même attaque) et ainsi effectuer un traçabilité d’attaque.

Comment fonctionne cette analyse ?

L’analyse est relativement complexe. En effet elle s’effectue à l’issue d’une analyse primaire des données, c’est la remonté d’informations. Ces informations sont ensuite analysées par le SIM (Security Information Management), qui les confronte à sa base de connaissances et génère un alerte ou non. Je vous propose un petit schéma et un petit exemple :
Le brute force d’un mot de passe sur un serveur Linux, en SSH.

Mais on parle souvent de IPS, qu’est ce que c’est ?

Un IPS (Intrusion Prevention system) est un outil de prévention d’intrusion. A l’inverse d’un IDS qui fonctionne en mode promiscuité, c'est-à-dire qui réceptionne une copie du trafic sans influer sur celui-ci, un IPS va fonctionner en coupure de port.

Devant un besoin toujours grandissant de sécurité, les technologies ont évolués afin non plus uniquement de détecter des tentatives d’intrusions, mais dorénavant de supprimer les trafics reconnue comme dangereux, et vecteur potentiel d’une attaque. Il ne s’agit donc plus de recenser les attaques et d’espérer la contre carrer alors qu’elle est en cours, mais d’avorter l’attaque en empêchant le trafic lorsqu’il est détecté comme dangereux.

Voici un schéma permettant de comprendre la différence entre IDS et IPS :

En conclusion :

Il est bien entendu dérisoire de penser que les technologies IDS/IPS sont LES solutions ultimes de sécurité. En effet, les bases de connaissances sur lesquels s’appuient ces technologies sont, certes très fournies, mais malheureusement incomplète. Les parades de sécurité survenant après la création d’une attaque, il est logique que ces solutions soient une réponse aux besoins de sécurité, mais pas LA réponse imparable.

J’espère que ces explications vous on permis de comprendre ce qu’était les technologie IDS et IPS.

Si vous avez des corrections à apporter, ou des améliorations, elles sont les bienvenues !

Réseaux Sociaux : L'illusion de l'anonymat

Les Laboratoires BitDefender ont mené une étude auprès de 2000 utilisateurs de réseaux sociaux afin d'analyser le type d'informations qu'ils divulguent, ainsi que la facilité avec laquelle ces informations sont divulguées. Bien entendu les types d'informations ciblées sont les données à caractères personnelles, ainsi que les données confidentielles sur leur entreprise.
En effet le Web ayant connu une croissance d'utilisation de plus de 390% depuis 10 ans, il est intéressant de connaître l'utilisation qu'en font les internautes.

L'étude révèle que 81% des personnes de l'échantillon acceptent la demande d'ami d'un profil test, qui leur est totalement inconnu, et ceci sans prendre de précaution !

La suite de l'étude est nettement plus bluffante ! En effet il s'avère que beaucoup de personnes divulguent sans crainte des données à caractères personnelles, et cela uniquement après quelque échanges par messagerie instantanée ! En rappelant bien qu'ils divulguent ces informations à des personnes qu'ils ne connaissent pas !

Vous pouvez retrouver tous les détails de cette étude ci-dessous :

Après lecture, on constate que dans le secteur de la Technologie de l'information, 31% des personnes ayant accepté, travail dans la Sécurité Informatique !

Vous pouvez retrouver d'autres présentations et études de BitDefender ici

Good SuperTiti !

Hello les écolos ! Je viens de découvrir Super T Alias Super Titi ! Le fameux Grenoblois Ecolo, Vengeur Masqué, qui traque les personnes irrespectueuses de la propreté, et de l'environnement !
Il fait actuellement le Buzz su Internet, je ne pouvais donc pas passer à côté de lui !

Voici donc sa première vidéo :

Bien entendu aux vues de sa chaîne Youtube GoodSuperTiti et de son site internet Supertiti.com, on en déduit qu'il ne va pas s'arrêter en si bon chemin...

Voici d'ailleurs sa mise en garde :

"Toi qui jette tes papiers par la fenêtre de ta voiture,
Toi qui fais déféquer ton cabot sympa sur le trottoir,
Toi qui jette ta bouteille de bière dans la poubelle verte,
Toi qui ne respecte pas ce que tu devrais respecter,

Attends toi à me voir surgir très bientôt devant toi et attends toi à ce que je rigole beaucoup, toi moins."

Bravo à SuperTiti et à cette superbe action (bien que répressible !) qui permet de sensibiliser et de marquer les esprits de ces personnes qui ne se soucient pas de notre environnement !

En espérant que d'autres vidéos de ce vengeur masqué arrivent vite !

Google Instant

Tous ceux qui possèdent un compte Google l'on peut être remarqué, qu'au fur et à mesure de la saisie de leur recherche sur Google, il n'y a plus que les suggestions de recherche qui apparaissent, mais aussi directement un aperçu de la recherche à l'instant (t) !
Dès les deux premières lettres, les résultats correspondants aux suggestions de votre recherche s'affichent ! Et cela sans clic, action ou touche, mais de manière instantanée !

Google Instant met en avant ses trois avantages : Rapide, Intelligent, et Instantané

Voici l'introduction à ce nouveau concept de Google :

" Avec cette nouvelle fonctionnalité, le changement le plus frappant est que vous obtenez des résultats beaucoup plus rapidement qu'auparavant, car vous n'avez pas besoin de saisir tous vos termes de recherche ni même d'appuyer sur Entrée. De plus, l'affichage des résultats pendant la saisie vous permet d'affiner vos termes de recherches au fur et à mesure. Vous pouvez donc adapter vos termes de recherche immédiatement, jusqu'à ce que les résultats correspondent exactement à ce que vous recherchez. "

Avec cette fonctionnalité Google ne fait qu'affirmer sa place de leader des moteurs de recherche, ainsi que son ingéniosité et son sens du service !

Vous pouvez retrouver la page dédié à Google Instant ici

Famicity - Le Réseau Social Familial

Famicity est un des nombreux réseaux social à la mode. En effet depuis l'émergence du Web 2.0 et de Facebook, de nombreux réseaux sociaux voient le jour. Cependant celui-ci à une particularité...

En effet Guillaume Languereau (CEO & Co Founder) nous explique que sa plateforme est confidentielle et respecte la vie privée de chacun ! Chose plutôt rare pour une plateforme social !

Guillaume Languereau a bien voulu répondre à mes questions afin de nous en dire plus sur Famicity.

Quand et Comment est né le projet Famicity ?

Le projet est né en 2006, avec mon associé nous finissions nos études d’ingénieurs dans le domaine Informatique à SUPINFO. Un réseau social nommé Facebook voyait le jour en France à cette époque et l’idée de communiquer via Internet nous a paru excellente. A l’époque, mon grand père travaillait sur la généalogie de ma famille alors nous avons eu l’idée de créer un réseau privé pour que les familles du monde puissent communiquer. Comme Facebook n’était pas destiné à un usage privé, nous avons décidé de créer Famicity !

D'ou vient ce nom : Famicity ?

Le nom a été très difficile à trouver ! Nous cherchions un nom depuis plusieurs mois, et Jérôme, mon associé, a fini par trouver celui de Famicity ! Nous cherchions un nom facile à retenir, simple à orthographier, pas trop long, que l’on puisse utiliser à l’international et qui nous fasse penser à un lieu où l’on puisse échanger en famille. FAMICITY, idéal non ?

Depuis l'arrivée de Facebook et du web 2.0, on constate une émergence des réseaux sociaux, pensez vous que Famicity peut se différencier des autres et apporter quelques choses de plus ?

Famicity se démarque déjà. Nous sommes les seuls à apporter une solution de partage privée où vos données personnelles ne sont ni indexées par les moteurs de recherche, ni exploitées à des fins commerciales. C’est un point que je souhaitais car pour le moment, les réseaux sociaux ont plutôt tendance à rendre nos informations publiques et les exploitées dans tous les sens. Internet est un outil bien pratique pour partager avec des proches mais nous ne souhaitions pas que nos échanges soient visibles par tous. C’est un principe chez moi, si en entrant mon nom sur Google, on peut trouver des infos sur moi alors le site retournant ces informations n’aura rien de personnel à mon sujet.

Vous prônez la confidentialité des données, est ce votre cheval de bataille par rapport aux autres plateformes ? Quel reproche leur feriez vous ?

La confidentialité des données fait parti de notre service. C’est notre cheval de bataille avec le fait de réunir sa famille. Cela ne me serait pas venu à l’idée par exemple de réunir ma famille sur Facebook. Réunir sur une unique plateforme ma famille, des amis, des collègues, des connaissances pour partager des infos communes je ne vois pas l’intérêt.

Ce que je reproche aux plateformes comme Facebook c’est de ne pas faire plus de prévention auprès des plus jeunes et d’un public non averti. Aujourd’hui, les plus jeunes partagent un peu n’importe quoi sur ces plateformes sans forcément se rendre compte des conséquences, et cela peu causé du tort à eux comme à leurs proches.

La deuxième chose que je reproche à Facebook c’est d’aller beaucoup trop loin dans la récolte et l’exploitation des données personnelles. Si on continue dans cette voie, demain le web ne sera plus un endroit où vous pourrez surfer anonymement. Le moindre webmaster connaitra votre nom, votre prénom, possèdera une photo de vous, connaitra vos amis, vos passions et j’en passe avec les dérives que cela peut entrainer. D’ailleurs, c’est déjà le cas pour un bon nombre de site. Et cela ne m’enchante pas.

Quel est l'objectif de Famicity à court et à long terme ?

Nous souhaitons devenir la plateforme où chacun pourra partager tranquillement en famille et entres amis. Nous essayons de faire évoluer notre réseau en fonction des demandes des nos membres. Et il y a du travail !

Est ce que vous utilisez Facebook ou une autre plateforme de réseaux social concurrente ?

Je n’utilise plus Facebook depuis quelques temps. La plateforme est géniale, bien plus complète que les autres, mais je ne peux pas y partager sereinement. J’ai donc arrêté de l’utiliser même si j’y possède un compte. Mais dans mon esprit, je ne suis pas un concurrent de Facebook, puisque je n’y partageai rien de familial, ni de privé. J’y reviendrai s’il décide de changer leur façon de penser actuelle. Je dois me mettre sur Twitter pour un usage professionnel mais je manque un peu de temps pour le moment.

Voici une petite vidéo de présentation de Famicity, qui vous donnera peut être l'envie de vous inscrire à cette plateforme !

HADOPI 2 - Explications

Ou le non respect des droits fondamentaux !

Voici un documentaire extrêmement intéressant, qui explique clairement ce qu'est la loi HADOPI, et qui pointe du doigt le non respect des droits fondamentaux de notre pays ainsi que de l'Union Européenne, engendré par cette loi !

Je remercie Galeo, à l'origine de ce projet, ainsi que la production ZdZ. Je souligne aussi au passage, l'association avec le site internet Kassandre.org, qui est certainement le cinéma libre de demain !

N'hésitez pas à réagir vivement sur ce documentaire, c'est notre mobilisation qui fera bouger les choses ! Alors Réagissez !

Source [Geek Source]

Star Trek TnG by Geek

Voici une petite vidéo bien Geek ! Un gros Buzz du moment ! Notre cher geek ici présent, surnommé "qcotms" aime Star Trek et aime chanter !
Il veut donc partager cette passion avec nous. Ca me rappel Jean Pierre Herlant.

Voici la petite vidéo :

Vous pouvez regardez ses autres créations sur sa chaîne Youtube !

Tablette Chrome OS

Google viens d'annoncé la sortie de sa propre tablette avec Chrome OS. La date de sortie est pour le 26 Novembre prochain.
Celle-ci serait construite par HTC, tout comme sont petit frère le Nexus One. Une collaboration avec l'opérateur Verizon pour la partie data et 3G.

Le jour du Back Friday marquera, je l'espère, le succès de cette tablette, qui devrait être nettement moins cher que son concurrent direct, l'iPad.

Quelques petits éléments techniques afin de vous mettre l'eau à la bouche.

Cette tablette devrait être basé sur une Nvidia Tegra 2, offrant une résolution de 1280*720. Elle sera bien entendu multitouch et multi-tâches. Le stockage de données ne devrait pas poser de problème aux vus de son disque SSD de 32Go minimum ! Elle disposera de 2Go de RAM et des technologies classiques 3G/WIFI/GPS/Webcam.

Concurrent sérieux !

[Via BeGeek]

Réseaux Sociaux : Sécurisés !

Depuis quelques temps je suis outré de voir les pratiques et l'utilisation que font les internautes des services de réseau social. Après avoir crié à tord et à travers sur tous les membres de mon entourage, sur les risques qu'encoure un utilisateur non avertis, et ca sans succès, je me suis dis, "parlons peu parlons bien... je vais écrire un ptit article avec quelques conseils, et hop je diffuserais en masse !"

Ni une ni deux, je saute sur ~~ma plume~~ mon clavier, et je me met à la rédaction !
J'ai donc essayé de condensé quelques informations et conseils glanné par-ci par-là, afin d'en faire quelques Best Practice. Avec un peu de chance, celles ci sensibiliseront les internautes sur l'utilisation des réseaux sociaux !

Les voici en 5 points :

1- Ne jamais publier d’informations sensible et personnel !

Internet n'est malheureusement pas une ressource sûre. Vous devez considérer que toute personne dans le monde peut voir ce que vous publiez, et cela peu importe les clauses ou paramètres de confidentialité. Il ne faut donc en aucun cas publier d’informations sensibles, personnelles, ou de votre entreprise et cela quelques soit le réseaux social !

Il est important de ne pas substituer votre système de messagerie, par un réseau social, et encore moins si c’est pour transmettre des informations personnelles !

2- Comprendre les conditions d’utilisation et politiques de confidentialité

En s’inscrivant à un réseau social, il n’est pas rare de données l’autorisation à ce service de partager ou vendre toute information que vous publiez. Majoritairement à des spammeurs, ou dans le cadre d’étude marketing.
Il est important de lire les conditions d’utilisations ainsi que les politiques de confidentialité ! C’est une lecture longue et laborieuse mais elle vous évitera bien des surprises et désagrément. Vous comprendrez ainsi comment vos informations personnelles seront traitées, où elles seront stocké et qui y aura accès !

3- Une information publiée est une information conservée

Vous devez savoir qu’Internet a une mémoire infinie ! Dès qu’une information y est publiée, elle est automatiquement sauvegardée, mise en cache, copiée, ou stockée quelque part dans un coin, et cela même si une foie publiée vous supprimez son affichage

Prenez conscience de l’information que vous publiez !

4- Vérifiez vos contacts

Les services de réseau social rendent facile les usurpations d’identités ; faux profils ou frauduleux. Vous devez donc (dans la mesure du possible) vérifier l’identité de vos contacts. Cette pratique peut vous éviter des surprises ! Vous pouvez aussi tous simplement refuser ou ignorer des demandes de contact.

5- Sécurisez votre profil

Les services de réseau social possèdent des paramètres de confidentialité modifiable. Il ne tient qu’a vous de les modifier selon vos besoin ! Malheureusement ils sont souvent par défaut au niveau le plus bas, ceci afin d’avoir accès aux plus d’informations possible !

Des sites comme http://www.pipl.com permettent de voir quelles informations circulent sur la toile en fonction de paramètres comme le nom, le surnom, l’adresse e-mail ou encore le numéro de téléphone.