Bonjour à toutes et à tous,

Plus d'un an que je n'avais pas posté.

Pour les news : on verra plus tard : pour parler : netpsycho sur #2600fr sur le IRC du 2600 ou netpsycho sur le discord de 0day.rocks. Sinon twitter : @The_NeTpSyChO.

Voilà à coté de tout ça (la sécurité et tout) je me remets à faire un peu de streaming, notamment pour suiveiller les conneries de mon nouvel amimal de compagnie (oui aMimal je n'ai pas fait de faute :)).

Du coup la flemme d'acheter une caméra trouée niveau sécu avec une interface cloud et tout donc je me suis dis : je vais le faire moi même.

Donc rien à voir avec le streaming via nginx et du HLS.

Voici comment avec un vieux laptop vous faîtes un système de surveillance à pas cher :)

D'abord vous installez motion : puis vous créez dans le /home du user dédié le fichier .motion/motion.conf et vous mettez quelque chose du style :

stream_auth_method 2

stream_authentication user:motdepasse

stream_port 4444

stream_localhost on

Ensuite vous installez stunnel et vous faîtes un petit :

[https]

accept  = 4445

connect = 4444

cert = /etc/stunnel/server.pem

TIMEOUTclose = 0

Dans stunnel.conf (à vous de générer le certificat).

Vous lancez le tout, vous ouvrez le port 4445 depuis l'extérieur et voili voilou.

Bon c'est très sale, ça ne marche pas avec tous les navigateurs sur toutes les plateformes mais c'est déjà ça, vous verrez votre /dev/video0 depuis l'extérieur :).

Mais c'est juste un petit tips rapide de vidéo-surveillance.

Justement je vais essayer de voir aujourd'hui ou demain pour faire du HLS avec authen et je vous tiendrais au courant.

Have fun !

Bonne année 2016 à toutes et à tous.

Santé, bonheur, amour(s) et réussite(s).

Bises.

Un petit blog post en vrac, comme d'habitude, avec quelques petits liens :

Déjà une "nouvelle" qui fait assez plaisir à savoir la sortie de Rafale #18 :) De quoi redonner de l'espoir à tout les projets en attente/pause/survie ... ça faisait en effet plus de trois ans qu'un Rafale n'était pas publié. Mais c'est maintenant chose faite !

On a pu aussi voir récemment quelques articles sur le DyLib Hijacking [PDF] ... je vous laisse découvrir mais si vous connaissez le DDL Hijacking ce ne sera pas une grosse surprise pour vous.

On voit aussi pas mal d'articles sur le bypass d'AV, on peut dire que c'est toujours l'échec pour ce genre de produit. J'ai eu récemment l'occasion de "jouer avec" fud@india un joli ransomware qui, je n'en doute pas, aurait pu faire plus de dégâts si les bonnes réactions n'avaient pas été prises ! Ca a été l'occasion de me remettre un peu au forensic et au RE ;) Ca change un peu du conseil, du PCI-DSS et du pentest d'application web, généralement, moisies !

Encore une petite chose sympathique : pour ceux qui ne sont pas des cryptofans voici une belle petite présentation d'AES-128 [SWF].

Sinon je ne sais pas si vous avez entendu parler de Monero mais si oui ... un quelconque retour sur la chose ?

Sinon selon la ToDo arrivent normalement bientôt :

• Pour PT : un p'tit PANBuster maison, deux applis web surprises ;)
• Peut-être un petit retour d'expérience sur l'externalisation du MCO et d'un SoC quant on est pas mature :)

En attendant amusez-vous bien !

Bonjour à toutes et à tous,

Je ne sais pas pourquoi j'ai eu comme une petite envie de poster ici, ne serait-ce que parce que j'ai été réveillé par les "mouvements" de ces derniers jours :). En effet depuis hier soir on voit passer à toute les sauces la bien sympathique CVE-2014-0160 qui est fort bien décrie ici : http://heartbleed.com/.

Déjà c'est très amusant car il semble que ce soit un bon exemple de full-disclosure, à moins que je me trompe, c'est toujours possible :). Mais moi c'est le genre de chose qui me fait plaisir, justement parce que même si c'est dangereux.

Donc ça c'est le gros mouvement du moment, mais bon en même temps quand on constate l'état de la sécurité de certaines smartTV on se demande s'il y a besoin d'aller chercher si loin :).

D'ailleurs j'ai en ce moment même sous mes yeux un petit produit de gestion de caméra de surveillance qui a certainement été codé par un stagiaire qui faisait des études de philosophie. Je ne parle même pas de l'intégration, un vrai désastre. Le point positif c'est que l'on aura encore du boulot pour les années à venir :).

Mais bon je parlais de mouvement, effectivement on peut le dire, il y en a :

• Bientôt le HES et on commence à avoir une bonne idée du programme;
• En ce moment, pour ceux qui le peuvent, CFP pour la NSC et la NDH;
• Sortie du dernier numéro de 2600.

Ah oui et certaines news sortent à propos d'Apple et sont censées être surprenantes :) Si vous voulez un Pad suivez plutôt les conseils du nostalgeek !

Allez voilà, j'ai fait revivre un peu ce blog, je peux retourner RT tous ce qui me plait maintenant !

Juste un petit post pour signaler que je serais, normalement, à la BruCon 2013. Je vais essayer de m’efforcer de faire deux blogposts sur le sujet : un par jour de conférence donc ...

En espérant vous y voir !

Bonsoir,

Oui un petit blog post juste comme ça parce que ça fait plaisir d'être en vacances :). Et aussi pour faire quelques petits rappels concernant des petits projets qui me tiennent à coeur. Parce que on ne peut pas faire que parler du dernier 0day sur IE ou du petit fou rire qu'a pu provoquer Sophos avec comment dire ... son petit problème, ou bien savoir que pour une fois les Apple et Samsung Fans seront sur (à peu près) un pied d'égalité.

Voici donc la piqûre de rappel

Il est probable que l'émission Random revienne après ce que certains ont appelé "une pause estivale", d'autres y ont vu autre chose tout de même. Je rappel aussi que DegenreScience et son projet phrack-fr cherche toujours des traducteurs pour donner un coup de main (de nouveaux textes vont être traduits dans les jours qui viennent je le sens je sais pas pourquoi ;)).

Vous aurez aussi remarqué que j'ai profité de ce "p'tit blog post" pour glisser plein de liens qui sont bien bien ... (oui status dg-sc, d4n3ws).

Sinon (la piqûre de rappel est finie) ... il y a le CFP pour SSTIC 2013 qui est en ligne ... oui autre style, si vous voulez parler devant des gens de l'ANSSI et voir des conférences de gens de l'ANSSI c'est la bas qui faut aller (je troll bien sur y a pas que eux ... mais ils sont nombreux quand même). Et oui vous avez vu d'ailleurs cette agence a mis une pub de recrutement juste à la fin de la section Labo de Linux Mag pour faire croire voir (non croire au fait) qu'ils sont cools et tout.

"De toute façon tant que ça paie ma BMW je m'en fous de pour qui je travaille" - ouï-dire - un mec qui était venu se perdre dans un 2600 un jour.

Bon je m'arrète là sinon je vais partir en trop gros troll :) ...

Tant que j'y pense un petit truc sympa pour ceux qui n'ont rien de prévu samedi : http://www.kisskissbankbank.com/fr/projects/open-bidouille-camp

Have fun :)

Bonjour à toutes et à tous,

Voilà, un peu en retard, je viens de voir que un CFP avait été lancé pour Phrack 69 ... J'invite donc tout ceux qui ont le temps/motivation/moyen/idée à proposer leurs articles histoire que la "tragédie" (oui j'exagère :)) de l'attente du 68 ne se reproduise pas.

Voici l'URL du CFP en question : http://www.phrack.org/cfp69.txt

Mais certains/certaines d'entre vous ont certainement vu le truc venir ... Et oui je fais mon opportuniste afin de rappeler que la traduction de Phrack 68 n'est toujours pas finie (comment ça comme beaucoup d'autre) ... et donc "viendez" donner un coup de main aux gens de DegenereScience/Phrack-fr pour la traduction avant la sortie du 69.

Pour plus d'informations : http://www.dg-sc.org/phrack-fr/

Allez, have fun les ami(e)s ...

Bonsoir,

Je vais commencer ce billet sur ce qui pourrait être considéré comme un troll, mais ça n'en est (malheureusement) pas forcément un. En effet j'ai vu que cet après-midi DecereBrain avait posté un lien sur le status de DegenereScience (viendez-y d'ailleurs). Ce lien donc est une interview de Matthieu Suiche :

Donc nous allons commencer doucement, en partant des quelques points sur lesquels on peut être d'accord (mais la vue globale vous verrez est nettement moins ... cool) :

• Oui les hackers ont un esprit analytique.
• Oui tout le monde est le bien venu dans le milieu hacker (du moment qu'il vient en paix).
• Oui la plus part des hackers sont contre le système et c'est là qu'on va commencer à ce marrer :

La y a des points dans l'article qui font mal, déjà en le lisant on a l'impression que hacker est un métier, hum, non on ne peut être d'accord avec ce point. Ce dont l'auteur parle ce sont des pentesteurs, des consultants, des spécialistes en forensic etc ... Mais pas des hackers (ils peuvent l'être certes) ... Mais oui, vous le dites aussi d'ailleurs, les hackers bidouillent, fabriquent, démontent, analysent mais pas pour avoir une salaire à six chiffres (en plus dire qu'un salaire à six chiffres est assez confortable c'est pour troller j'espère ... c'est plus qu'assez confortable tout de même). Et oui un comptable peut faire du hacking après le boulot, et donc être un hacker. Non hacker n'est pas un métier mais un état d'esprit. Les hackers défendent la libertés d'expression et d'information, hors certains consultants en SSI travaillent contre ces objectifs là, et pourtant ils remplissent votre définition de hacker Monsieur Suiche.

Bizarre, Monsieur Suiche, vous avez visiblement appris beaucoup par vous même, hors système éducatif. Vous avez donc du fréquenter l'underground. Alors pourquoi être à la limite de cracher sur la définition de hacker comme celà ?!?

Je vous conseil de lire le nouveau Phrack qui parle justement du sujet (voici une partie de l'introduction) :

We also believe that you will find merit with the two main non technical

papers of this issue. Both address more or less the same topics, but from

two totally different points of view. On one hand, we have an analysis of

how the happiness that hacking brings to all of us can and is corrupted by

the security industry. One the other, a call to all hackers to take a side

between staying true to the spirit of hacking and selling out to the

military intelligence industrial complex. Read them, think about them and

take a side. Remember, "The hottest places in hell are reserved for those

who in times of great moral crisis maintain their neutrality".

Voilà, en même temps ça me permet de faire la transition avec : phrack-fr (comme quoi c'est bien fait hein :)) :

Oui Phrack-fr a besoin de traducteur (c'est pas nouveau mais bon on profite de la nouvelle sortie pour demander).

Voici le communiqué lancé par DB. On va peut-être aussi essayer d'organiser une scéance de traduction un WE (soit sur Paris ou soit sur Lille) donc viendez sur la ML de phrack-fr.

Voilà sur ceux à très bientôt ... quelque part.

Voici ma nouvelle clé PGP :

ID : 2D530CA2

Fingerprint :

642C 22E0 EA4D 2882 1F24

2344 AB7B 5B73 2D53 0CA2

-----BEGIN PGP PUBLIC KEY BLOCK-----

Version: GnuPG v2.0.16 (GNU/Linux)

mQINBE3UjnEBEADgcYPeviK6Y0LmDEpbQ+xKTKEJT7obamIckCOGcNmlgReUdHfk

Gi0cuydbmAMwrKn730GaMFFWCFHWsrWJJSn7SA0a7cMH5p88Lfw0o2xuJmvebyL/

LRCV9vdwB/lZbeY0qYWqFOJi2im90sIz9NQgfcWeWNEQQGCWDECxVKHj50BMJ3+j

zIVDqpAwcI4X/vg3vnT/eWRGByV3zzkATWljutA6R14CyIBe0ypS329KJ8BehC+R

f3zzm6EhA7dgxDjq1ow+ZuHymswBtrBOXpp8i0gorEyWN+K1byBXsHHzjbALtZIB

XUy4ShQTm7IglOux7HuvzPEiNGueFgItWU4h16jZhvnn8ipgAsTI9MwCF3YfOUqf

ozX4nuVHjYEpXuNklM7KIm7s2DIzzvF66lB10qiAIx+5B7cagvOFB8X8rJvLd2sT

xo1uBVjr418Ks4+PE9TK0H98b7i/mOgQ3hp43tUN2nDwYkJ4QSlbmJvsB9xML6uU

oySzYdFVCwLnJykxkgjtj8EAc8HVUTpZJAtCBNT6j0P4tHxslFZ5VTFat9FDmi4c

C92gLXJe4CocoklqrsFtxVJrEwoOFCB1tSG/sKs/0W4cC76CjTsvRuO5gLFLIzlL

wAVE5uIz3a+vM6OFBDVlno6ucf0/hHUYmNsKKFjAEsrr3n7ILMMSP+3+MQARAQAB

tDNUaGVfTmVUcFN5Q2hPIChHUEcga2V5ICMyKSA8bmV0cHN5Y2hvQHppaG9zdGVy

LmNvbT6JAjgEEwECACIFAk3UjnECGwMGCwkIBwMCBhUIAgkKCwQWAgMBAh4BAheA

AAoJEKt7W3MtUwyi0h8QAK6JZ2S21cNuMsH9d7JJG4qYnb37ILlXIwmIHjx2HQ/H

6dPqOzcL1down1m2jEqKMT8w2AFctcI2UEBjYFCpv5i0GvaP/Sbstos0ZFwrqK/C

/9LMon2zpWpKbLYu9SEykF81ofitU3rjMGwBSV3RsqR/rHeoIiIfryBEF7zyOi1Y

GF7OCgQjVinPU9mFAbGn+RTHJgtE3EKrjK/O8rvBYzvl66gwd+pOGv4R0OWaWSWN

esnqspFhO9SggEHH30l+oN+ySq6kXd+sB9ji0xCGXKEbd3j+yNKr4Tg6p4S3QlXu

QtaECMgMWrf2ZHc9NImOW/37fxdhiKLXWZe0zICvKB1vyLgJlHGB5CfpwZ6DV4UO

rebvv6BhLoTQs0wW1g9oZPdK4gcykm716tCFgquiXYSRygfYiKNgcEfmabqhdvtj

MCmp/9GqiZqLde4VijygnorHe/NYfTO/unadojmURQljX15AEUlRuMWTr7CwHQcf

zFCzGkxMj9FFrKs3FU9TGnMiml0g25Oz3mkCwV3vc1d7QTiGNr0WvytL4AI1UwrC

LcXszBh9/nuEk7vDskwYpCDzyPICiSvqts8B1cQeN/rfolPR7e0ij9sFaJMvM2mR

emIBjiubhUUiCSwzfu7S26I6Avzm0gGb4GUVQdMJ2vYZBIThIPjzlITtz2j95Qnc

uQINBE3UjnEBEACfFLy4YTw+Svi/Teh4pa9lY+re7dOj009otB/RI043O9vspUCt

rrdc3rYOJ06kmJMWFED0WVn8VYsIiuvNIgeEKT2WwtZsNqBW74QYF7kEAKKB9GlE

4njZfPraqYqGGba1oBQpw3T9elHhAA3pMgQ43O8jOv2m3kzJAi90p8OTAlg2Bimy

HJG65SFkF1KRhPPU3VsKRBcR3SFwOwMtNJYmUz8S5jz/5uWmWEJqiUNeEWVXZrk3

5/4L4/CwZWpzKFNRuC5v7L/jaLWDE8GbLYaP0MYmKfdFTQHZTFOwMPRAy9xpcs3n

KEIbnRATMNPLWEidKUH+W7B9/YEOSeXEKuGn45/Ab/7bn/DGRJXf6ka90TGM+WDi

uTvWmYtX/a9demM8MG39/uisbLQ2G/QzNJ9pe1oMYscKCRtbEmoBuTMh/RdJBnVV

1jSmHMK5cIEx4kkBzKZ5dp/NreTT5i38sqTSD2/wiFGFHrH1TgnwM/0AiSHU6M15

mqJodRRPstpjltEgasRjsD/jJKhJwgjlNE9lY0o+0jt8crsm0I42Y4rO/X2oymYq

WoxFvwvZgWOOZTQzQRXAsW+GduUULaMCyum3agLD5GP3G+nKDf3P+t9x1Wp2SZxV

K7Bkod3P5gUC+M4/BPmnEm+BuIOqjjiJSaFMyhgC8mG/T2GYYQxks8EXnQARAQAB

iQIfBBgBAgAJBQJN1I5xAhsMAAoJEKt7W3MtUwyi8UcQAJEdlqAeVHx3ix6FRj3u

IiN52v2yqQrS8yXSUDY3VZEizbmVJ+FOcnjItvpmjbB1I86KmI0KET2hxCcbgx+y

mEI/nU/muPi3t9dPzllMV1CLaEilos10A0yfoFQ3/KDMxg+EPA4c24NxEZRfzNtI

Dd9KwV5oUYvB71dPUE9pnFvapeXm+sU0DhHiwYg2ZDVI7cctdqBqYtfPG5ZgUOi/

HrP9LurlcmCCJ0VR/GqCt0VwV7KieK8sQGNdSdW000sVhlfCdsNnMVD1ZEfvP+x3

TQynaXgLGO9Wp1+k6t6rqG3aWcem8bdCzgzqxQr88ojhiNpDvU232iiFUuRj8+ws

z54VzbsmT1+KjePNlONkuU2+CEPSPXJcu0wmsm5duo18vaRQfrrgOwb2WSPsV9SF

54cGt29Vm/z2Fq8MEzN4ZqnEb0xoTVjJbZv6K1DKEBCJacT9FVnb+b9ZpOPHVGrE

7iKjt98NzgF3gPNUzR1nIOE7dpkwaRGNCAiqGVSeTYQVzaWzxhV1HUB5njAkkj4E

YUSfCbZZ7LWFEOMpZpxUKKxWR/+oLFoTa5/Rkvmejtaxr+ILwyTfwJYThw6ehWrL

ZQVUqbtmwbkU9rsBa7lR3H9BjEkafLDZ49L7zZmwKDFqLUdyakFhSmOqtB6bfgX/

/zQ2doGZq7xQl8PxiWTRsEEq

=RsgB

-----END PGP PUBLIC KEY BLOCK-----

Voilà, si vous en avez pas je vous invite à vous en faire une (ou plusieurs :P).

Hier dans la soirée je me suis rendu à la gaîté lyrique afin d'assister à la conférence Google est-il supérieur à la démocratie. 

Celle-ci était organisée pour la sortir du livre Google Démocratie (qui est une oeuvre de fiction [ou de prédiction selon certains]), mais a permis de débattre (troller) sur différents sujets concernant Google et les grosses entreprises NBIC. Les conférenciers étaient : David Angevin, Laurent Alexandre, Patrick Zelnik et Jacques Attali le tout animé par Rémi Bouton. 

Je dois dire que cette conférence m'a bien plu et fait troller à la fois. Elle m'a plu car j'avais peur de tomber sur une simple pub pour ce livre (que je n'ai toujours pas lu d'ailleurs :P) mais il n'en était rien à vrai dire l'histoire du livre a du être abordée à peine 10% du temps de parole :P. 

Donc déjà voilà un point positif ce n'était pas trop commercial ! Ensuite une longue partie très interessante du débat portait sur le lien entre le transhumanisme/la génétique et les créateurs de google. Donc on en est vite venu au fait que à force tout le monde serait génétiquement fiché (pour des raisons médicales etc ...). 

Et c'est la ou ça a commencé à dériver : 

. Si google devient ensuite une compagnie d'assurance ne serait-elle pas la plus puissante entité du monde ? 

. Si on ne régule pas Internet, ce cyber espace tombera aux mains des mafias et des cyber-criminels ... 

Voilà c'est à partir de là que ce que je redoutais est arrivé : le troll de la régulation et du gouvernement mondial qu'il faut mettre en place selon Monsieur Attali, mais je ne pense pas qu'il avait les idées aussi totalitaire que cela peut le laisser croire (voir son livre : Demain, qui gouvernera le monde ?) mais je pense qu'il vit un peu au pays des bisounours quand même le Monsieur ;). 

Parfois Laurent Alexandre remonté certes un peu le débat en parlant du bien fait que pourrait apporter les analyses génétiques pas chères permettant à tout le monde de prévenir des maladies qui pourraient les tuer dans 15/20 ans, mais aussi des risques que ces données peuvent faire si elles tombent dans de mauvaises mains ... et boum on retombait dans le trip de la régulation du Net. Alors que bon faut juste réguler l'utilisation des fichiers génétiques, pourquoi pas interdire les bases de données sur le sujet, genre vous faites l'analyse, votre médecin décrypte ça pour vous, et si il y a rien de grave on efface tout et voilà (je sais je vis dans le monde des bisousnours). Mais tout de suite parler de régulation des télécommunications et de mafias c'est nourir du troll je suis désolé. 

On a ensuite eu une petite intervention de gens TRES CALMES qui étaient pour le retour des pigeons voyageurs (Oo), et l'intervention de la 5000ème dimension car oui vous savez l'information au fait c'est de la matière et Internet c'est une nouvelle dimension (il parlait de dimension physique hein ...). 

Malgré tout cela j'ai bien envi de m'acheter ce livre (car c'est une fiction dans un style que j'aime bien). Et la conférence fut tout de même cool, car on a parlé de sujet que je ne traite pas tout les jours (biotech, génétique, transhumanisme, sciences cognitives ...) et ils ont aussi rappelés le gros retard de UE dans ses domaines. Faudrait juste la prochaine fois, moins nourir le troll (bon j'avoue j'y ai participé en twittant un peu mais bon). 

Ah oui et je le répète pour ceux qui ont peur de google il y a d'autres moteurs de recherche comme ixquick. 

Et fizi gaffe au Golem aussi ! 

Donc je ne sais pas si la vidéo de la conférence est disponible sur le Net mais sinon regardez-là c'est intéremarrant :).