Ok

En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies. Ces derniers assurent le bon fonctionnement de nos services. En savoir plus.

moi

  • Bonne année

    Bonne année 2016 à toutes et à tous.

    Santé, bonheur, amour(s) et réussite(s).

     

    Bises.

  • Quelques news/liens et autres

    Un petit blog post en vrac, comme d'habitude, avec quelques petits liens :

    Déjà une "nouvelle" qui fait assez plaisir à savoir la sortie de Rafale #18 :) De quoi redonner de l'espoir à tout les projets en attente/pause/survie ... ça faisait en effet plus de trois ans qu'un Rafale n'était pas publié. Mais c'est maintenant chose faite !

    On a pu aussi voir récemment quelques articles sur le DyLib Hijacking [PDF] ... je vous laisse découvrir mais si vous connaissez le DDL Hijacking ce ne sera pas une grosse surprise pour vous.

    On voit aussi pas mal d'articles sur le bypass d'AV, on peut dire que c'est toujours l'échec pour ce genre de produit. J'ai eu récemment l'occasion de "jouer avec" fud@india un joli ransomware qui, je n'en doute pas, aurait pu faire plus de dégâts si les bonnes réactions n'avaient pas été prises ! Ca a été l'occasion de me remettre un peu au forensic et au RE ;) Ca change un peu du conseil, du PCI-DSS et du pentest d'application web, généralement, moisies !

    Encore une petite chose sympathique : pour ceux qui ne sont pas des cryptofans voici une belle petite présentation d'AES-128 [SWF].

    Sinon je ne sais pas si vous avez entendu parler de Monero mais si oui ... un quelconque retour sur la chose ?

    Sinon selon la ToDo arrivent normalement bientôt :

    • Pour PT : un p'tit PANBuster maison, deux applis web surprises ;)
    • Peut-être un petit retour d'expérience sur l'externalisation du MCO et d'un SoC quant on est pas mature :)

    En attendant amusez-vous bien !

  • Un peu de mouvement ;)

    Bonjour à toutes et à tous,

    Je ne sais pas pourquoi j'ai eu comme une petite envie de poster ici, ne serait-ce que parce que j'ai été réveillé par les "mouvements" de ces derniers jours :). En effet depuis hier soir on voit passer à toute les sauces la bien sympathique CVE-2014-0160 qui est fort bien décrie ici : http://heartbleed.com/.

    Déjà c'est très amusant car il semble que ce soit un bon exemple de full-disclosure, à moins que je me trompe, c'est toujours possible :). Mais moi c'est le genre de chose qui me fait plaisir, justement parce que même si c'est dangereux.

    Donc ça c'est le gros mouvement du moment, mais bon en même temps quand on constate l'état de la sécurité de certaines smartTV on se demande s'il y a besoin d'aller chercher si loin :).

    D'ailleurs j'ai en ce moment même sous mes yeux un petit produit de gestion de caméra de surveillance qui a certainement été codé par un stagiaire qui faisait des études de philosophie. Je ne parle même pas de l'intégration, un vrai désastre. Le point positif c'est que l'on aura encore du boulot pour les années à venir :).

    Mais bon je parlais de mouvement, effectivement on peut le dire, il y en a :

    • Bientôt le HES et on commence à avoir une bonne idée du programme;
    • En ce moment, pour ceux qui le peuvent, CFP pour la NSC et la NDH;
    • Sortie du dernier numéro de 2600.

    Ah oui et certaines news sortent à propos d'Apple et sont censées être surprenantes :) Si vous voulez un Pad suivez plutôt les conseils du nostalgeek !

    Allez voilà, j'ai fait revivre un peu ce blog, je peux retourner RT tous ce qui me plait maintenant !

  • BruCon 2013

    Juste un petit post pour signaler que je serais, normalement, à la BruCon 2013. Je vais essayer de m’efforcer de faire deux blogposts sur le sujet : un par jour de conférence donc ...

    En espérant vous y voir !

  • Un p'tit blog post comme ça qui sert presque à rien ;)

    Bonsoir,

    Oui un petit blog post juste comme ça parce que ça fait plaisir d'être en vacances :). Et aussi pour faire quelques petits rappels concernant des petits projets qui me tiennent à coeur. Parce que on ne peut pas faire que parler du dernier 0day sur IE ou du petit fou rire qu'a pu provoquer Sophos avec comment dire ... son petit problème, ou bien savoir que pour une fois les Apple et Samsung Fans seront sur (à peu près) un pied d'égalité.

    Voici donc la piqûre de rappel

    Il est probable que l'émission Random revienne après ce que certains ont appelé "une pause estivale", d'autres y ont vu autre chose tout de même. Je rappel aussi que DegenreScience et son projet phrack-fr cherche toujours des traducteurs pour donner un coup de main (de nouveaux textes vont être traduits dans les jours qui viennent je le sens je sais pas pourquoi ;)).

    Vous aurez aussi remarqué que j'ai profité de ce "p'tit blog post" pour glisser plein de liens qui sont bien bien ... (oui status dg-sc, d4n3ws).

    Sinon (la piqûre de rappel est finie) ... il y a le CFP pour SSTIC 2013 qui est en ligne ... oui autre style, si vous voulez parler devant des gens de l'ANSSI et voir des conférences de gens de l'ANSSI c'est la bas qui faut aller (je troll bien sur y a pas que eux ... mais ils sont nombreux quand même). Et oui vous avez vu d'ailleurs cette agence a mis une pub de recrutement juste à la fin de la section Labo de Linux Mag pour faire croire voir (non croire au fait) qu'ils sont cools et tout.

    156896_1756051662990_4376304_n.jpg

    "De toute façon tant que ça paie ma BMW je m'en fous de pour qui je travaille" - ouï-dire - un mec qui était venu se perdre dans un 2600 un jour.

    Bon je m'arrète là sinon je vais partir en trop gros troll :) ...

    Tant que j'y pense un petit truc sympa pour ceux qui n'ont rien de prévu samedi : http://www.kisskissbankbank.com/fr/projects/open-bidouille-camp

    Have fun :)

  • Un CFP ... des traductions :)

    Bonjour à toutes et à tous,

    Voilà, un peu en retard, je viens de voir que un CFP avait été lancé pour Phrack 69 ... J'invite donc tout ceux qui ont le temps/motivation/moyen/idée à proposer leurs articles histoire que la "tragédie" (oui j'exagère :)) de l'attente du 68 ne se reproduise pas.

    Voici l'URL du CFP en question : http://www.phrack.org/cfp69.txt

    Mais certains/certaines d'entre vous ont certainement vu le truc venir ... Et oui je fais mon opportuniste afin de rappeler que la traduction de Phrack 68 n'est toujours pas finie (comment ça comme beaucoup d'autre) ... et donc "viendez" donner un coup de main aux gens de DegenereScience/Phrack-fr pour la traduction avant la sortie du 69.

    Pour plus d'informations : http://www.dg-sc.org/phrack-fr/

    Allez, have fun les ami(e)s ...

  • Phrack-fr, hackers, hacking et business -- ptit troll aussi :)

    Bonsoir,

    Je vais commencer ce billet sur ce qui pourrait être considéré comme un troll, mais ça n'en est (malheureusement) pas forcément un. En effet j'ai vu que cet après-midi DecereBrain avait posté un lien sur le status de DegenereScience (viendez-y d'ailleurs). Ce lien donc est une interview de Matthieu Suiche :

    Donc nous allons commencer doucement, en partant des quelques points sur lesquels on peut être d'accord (mais la vue globale vous verrez est nettement moins ... cool) :

    • Oui les hackers ont un esprit analytique.
    • Oui tout le monde est le bien venu dans le milieu hacker (du moment qu'il vient en paix).
    • Oui la plus part des hackers sont contre le système et c'est là qu'on va commencer à ce marrer :

    La y a des points dans l'article qui font mal, déjà en le lisant on a l'impression que hacker est un métier, hum, non on ne peut être d'accord avec ce point. Ce dont l'auteur parle ce sont des pentesteurs, des consultants, des spécialistes en forensic etc ... Mais pas des hackers (ils peuvent l'être certes) ... Mais oui, vous le dites aussi d'ailleurs, les hackers bidouillent, fabriquent, démontent, analysent mais pas pour avoir une salaire à six chiffres (en plus dire qu'un salaire à six chiffres est assez confortable c'est pour troller j'espère ... c'est plus qu'assez confortable tout de même). Et oui un comptable peut faire du hacking après le boulot, et donc être un hacker. Non hacker n'est pas un métier mais un état d'esprit. Les hackers défendent la libertés d'expression et d'information, hors certains consultants en SSI travaillent contre ces objectifs là, et pourtant ils remplissent votre définition de hacker Monsieur Suiche.

    Bizarre, Monsieur Suiche, vous avez visiblement appris beaucoup par vous même, hors système éducatif. Vous avez donc du fréquenter l'underground. Alors pourquoi être à la limite de cracher sur la définition de hacker comme celà ?!?

    Je vous conseil de lire le nouveau Phrack qui parle justement du sujet (voici une partie de l'introduction) :

    We also believe that you will find merit with the two main non technical

    papers of this issue. Both address more or less the same topics, but from

    two totally different points of view. On one hand, we have an analysis of

    how the happiness that hacking brings to all of us can and is corrupted by

    the security industry. One the other, a call to all hackers to take a side

    between staying true to the spirit of hacking and selling out to the

    military intelligence industrial complex. Read them, think about them and

    take a side. Remember, "The hottest places in hell are reserved for those

    who in times of great moral crisis maintain their neutrality".

     

    Voilà, en même temps ça me permet de faire la transition avec : phrack-fr (comme quoi c'est bien fait hein :)) :

    Oui Phrack-fr a besoin de traducteur (c'est pas nouveau mais bon on profite de la nouvelle sortie pour demander).

    Voici le communiqué lancé par DB. On va peut-être aussi essayer d'organiser une scéance de traduction un WE (soit sur Paris ou soit sur Lille) donc viendez sur la ML de phrack-fr.

    Voilà sur ceux à très bientôt ... quelque part.

  • Ma nouvelle clé PGP

    Voici ma nouvelle clé PGP :

    ID : 2D530CA2

    Fingerprint :

    642C 22E0 EA4D 2882 1F24

    2344 AB7B 5B73 2D53 0CA2

    -----BEGIN PGP PUBLIC KEY BLOCK-----

    Version: GnuPG v2.0.16 (GNU/Linux)

     

    mQINBE3UjnEBEADgcYPeviK6Y0LmDEpbQ+xKTKEJT7obamIckCOGcNmlgReUdHfk

    Gi0cuydbmAMwrKn730GaMFFWCFHWsrWJJSn7SA0a7cMH5p88Lfw0o2xuJmvebyL/

    LRCV9vdwB/lZbeY0qYWqFOJi2im90sIz9NQgfcWeWNEQQGCWDECxVKHj50BMJ3+j

    zIVDqpAwcI4X/vg3vnT/eWRGByV3zzkATWljutA6R14CyIBe0ypS329KJ8BehC+R

    f3zzm6EhA7dgxDjq1ow+ZuHymswBtrBOXpp8i0gorEyWN+K1byBXsHHzjbALtZIB

    XUy4ShQTm7IglOux7HuvzPEiNGueFgItWU4h16jZhvnn8ipgAsTI9MwCF3YfOUqf

    ozX4nuVHjYEpXuNklM7KIm7s2DIzzvF66lB10qiAIx+5B7cagvOFB8X8rJvLd2sT

    xo1uBVjr418Ks4+PE9TK0H98b7i/mOgQ3hp43tUN2nDwYkJ4QSlbmJvsB9xML6uU

    oySzYdFVCwLnJykxkgjtj8EAc8HVUTpZJAtCBNT6j0P4tHxslFZ5VTFat9FDmi4c

    C92gLXJe4CocoklqrsFtxVJrEwoOFCB1tSG/sKs/0W4cC76CjTsvRuO5gLFLIzlL

    wAVE5uIz3a+vM6OFBDVlno6ucf0/hHUYmNsKKFjAEsrr3n7ILMMSP+3+MQARAQAB

    tDNUaGVfTmVUcFN5Q2hPIChHUEcga2V5ICMyKSA8bmV0cHN5Y2hvQHppaG9zdGVy

    LmNvbT6JAjgEEwECACIFAk3UjnECGwMGCwkIBwMCBhUIAgkKCwQWAgMBAh4BAheA

    AAoJEKt7W3MtUwyi0h8QAK6JZ2S21cNuMsH9d7JJG4qYnb37ILlXIwmIHjx2HQ/H

    6dPqOzcL1down1m2jEqKMT8w2AFctcI2UEBjYFCpv5i0GvaP/Sbstos0ZFwrqK/C

    /9LMon2zpWpKbLYu9SEykF81ofitU3rjMGwBSV3RsqR/rHeoIiIfryBEF7zyOi1Y

    GF7OCgQjVinPU9mFAbGn+RTHJgtE3EKrjK/O8rvBYzvl66gwd+pOGv4R0OWaWSWN

    esnqspFhO9SggEHH30l+oN+ySq6kXd+sB9ji0xCGXKEbd3j+yNKr4Tg6p4S3QlXu

    QtaECMgMWrf2ZHc9NImOW/37fxdhiKLXWZe0zICvKB1vyLgJlHGB5CfpwZ6DV4UO

    rebvv6BhLoTQs0wW1g9oZPdK4gcykm716tCFgquiXYSRygfYiKNgcEfmabqhdvtj

    MCmp/9GqiZqLde4VijygnorHe/NYfTO/unadojmURQljX15AEUlRuMWTr7CwHQcf

    zFCzGkxMj9FFrKs3FU9TGnMiml0g25Oz3mkCwV3vc1d7QTiGNr0WvytL4AI1UwrC

    LcXszBh9/nuEk7vDskwYpCDzyPICiSvqts8B1cQeN/rfolPR7e0ij9sFaJMvM2mR

    emIBjiubhUUiCSwzfu7S26I6Avzm0gGb4GUVQdMJ2vYZBIThIPjzlITtz2j95Qnc

    uQINBE3UjnEBEACfFLy4YTw+Svi/Teh4pa9lY+re7dOj009otB/RI043O9vspUCt

    rrdc3rYOJ06kmJMWFED0WVn8VYsIiuvNIgeEKT2WwtZsNqBW74QYF7kEAKKB9GlE

    4njZfPraqYqGGba1oBQpw3T9elHhAA3pMgQ43O8jOv2m3kzJAi90p8OTAlg2Bimy

    HJG65SFkF1KRhPPU3VsKRBcR3SFwOwMtNJYmUz8S5jz/5uWmWEJqiUNeEWVXZrk3

    5/4L4/CwZWpzKFNRuC5v7L/jaLWDE8GbLYaP0MYmKfdFTQHZTFOwMPRAy9xpcs3n

    KEIbnRATMNPLWEidKUH+W7B9/YEOSeXEKuGn45/Ab/7bn/DGRJXf6ka90TGM+WDi

    uTvWmYtX/a9demM8MG39/uisbLQ2G/QzNJ9pe1oMYscKCRtbEmoBuTMh/RdJBnVV

    1jSmHMK5cIEx4kkBzKZ5dp/NreTT5i38sqTSD2/wiFGFHrH1TgnwM/0AiSHU6M15

    mqJodRRPstpjltEgasRjsD/jJKhJwgjlNE9lY0o+0jt8crsm0I42Y4rO/X2oymYq

    WoxFvwvZgWOOZTQzQRXAsW+GduUULaMCyum3agLD5GP3G+nKDf3P+t9x1Wp2SZxV

    K7Bkod3P5gUC+M4/BPmnEm+BuIOqjjiJSaFMyhgC8mG/T2GYYQxks8EXnQARAQAB

    iQIfBBgBAgAJBQJN1I5xAhsMAAoJEKt7W3MtUwyi8UcQAJEdlqAeVHx3ix6FRj3u

    IiN52v2yqQrS8yXSUDY3VZEizbmVJ+FOcnjItvpmjbB1I86KmI0KET2hxCcbgx+y

    mEI/nU/muPi3t9dPzllMV1CLaEilos10A0yfoFQ3/KDMxg+EPA4c24NxEZRfzNtI

    Dd9KwV5oUYvB71dPUE9pnFvapeXm+sU0DhHiwYg2ZDVI7cctdqBqYtfPG5ZgUOi/

    HrP9LurlcmCCJ0VR/GqCt0VwV7KieK8sQGNdSdW000sVhlfCdsNnMVD1ZEfvP+x3

    TQynaXgLGO9Wp1+k6t6rqG3aWcem8bdCzgzqxQr88ojhiNpDvU232iiFUuRj8+ws

    z54VzbsmT1+KjePNlONkuU2+CEPSPXJcu0wmsm5duo18vaRQfrrgOwb2WSPsV9SF

    54cGt29Vm/z2Fq8MEzN4ZqnEb0xoTVjJbZv6K1DKEBCJacT9FVnb+b9ZpOPHVGrE

    7iKjt98NzgF3gPNUzR1nIOE7dpkwaRGNCAiqGVSeTYQVzaWzxhV1HUB5njAkkj4E

    YUSfCbZZ7LWFEOMpZpxUKKxWR/+oLFoTa5/Rkvmejtaxr+ILwyTfwJYThw6ehWrL

    ZQVUqbtmwbkU9rsBa7lR3H9BjEkafLDZ49L7zZmwKDFqLUdyakFhSmOqtB6bfgX/

    /zQ2doGZq7xQl8PxiWTRsEEq

    =RsgB

    -----END PGP PUBLIC KEY BLOCK-----

     

    Voilà, si vous en avez pas je vous invite à vous en faire une (ou plusieurs :P).

  • Retour sur la conférence : Google est-il supérieur à la démocratie.

    Hier dans la soirée je me suis rendu à la gaîté lyrique afin d'assister à la conférence Google est-il supérieur à la démocratie. 
    Celle-ci était organisée pour la sortir du livre Google Démocratie (qui est une oeuvre de fiction [ou de prédiction selon certains]), mais a permis de débattre (troller) sur différents sujets concernant Google et les grosses entreprises NBIC. Les conférenciers étaient : David Angevin, Laurent Alexandre, Patrick Zelnik et Jacques Attali le tout animé par Rémi Bouton. 
    Je dois dire que cette conférence m'a bien plu et fait troller à la fois. Elle m'a plu car j'avais peur de tomber sur une simple pub pour ce livre (que je n'ai toujours pas lu d'ailleurs :P) mais il n'en était rien à vrai dire l'histoire du livre a du être abordée à peine 10% du temps de parole :P. 
    Donc déjà voilà un point positif ce n'était pas trop commercial ! Ensuite une longue partie très interessante du débat portait sur le lien entre le transhumanisme/la génétique et les créateurs de google. Donc on en est vite venu au fait que à force tout le monde serait génétiquement fiché (pour des raisons médicales etc ...). 
    Et c'est la ou ça a commencé à dériver : 
    . Si google devient ensuite une compagnie d'assurance ne serait-elle pas la plus puissante entité du monde ? 
    . Si on ne régule pas Internet, ce cyber espace tombera aux mains des mafias et des cyber-criminels ... 
    Voilà c'est à partir de là que ce que je redoutais est arrivé : le troll de la régulation et du gouvernement mondial qu'il faut mettre en place selon Monsieur Attali, mais je ne pense pas qu'il avait les idées aussi totalitaire que cela peut le laisser croire (voir son livre : Demain, qui gouvernera le monde ?) mais je pense qu'il vit un peu au pays des bisounours quand même le Monsieur ;). 
    Parfois Laurent Alexandre remonté certes un peu le débat en parlant du bien fait que pourrait apporter les analyses génétiques pas chères permettant à tout le monde de prévenir des maladies qui pourraient les tuer dans 15/20 ans, mais aussi des risques que ces données peuvent faire si elles tombent dans de mauvaises mains ... et boum on retombait dans le trip de la régulation du Net. Alors que bon faut juste réguler l'utilisation des fichiers génétiques, pourquoi pas interdire les bases de données sur le sujet, genre vous faites l'analyse, votre médecin décrypte ça pour vous, et si il y a rien de grave on efface tout et voilà (je sais je vis dans le monde des bisousnours). Mais tout de suite parler de régulation des télécommunications et de mafias c'est nourir du troll je suis désolé. 
    On a ensuite eu une petite intervention de gens TRES CALMES qui étaient pour le retour des pigeons voyageurs (Oo), et l'intervention de la 5000ème dimension car oui vous savez l'information au fait c'est de la matière et Internet c'est une nouvelle dimension (il parlait de dimension physique hein ...). 
    Malgré tout cela j'ai bien envi de m'acheter ce livre (car c'est une fiction dans un style que j'aime bien). Et la conférence fut tout de même cool, car on a parlé de sujet que je ne traite pas tout les jours (biotech, génétique, transhumanisme, sciences cognitives ...) et ils ont aussi rappelés le gros retard de UE dans ses domaines. Faudrait juste la prochaine fois, moins nourir le troll (bon j'avoue j'y ai participé en twittant un peu mais bon). 
    Ah oui et je le répète pour ceux qui ont peur de google il y a d'autres moteurs de recherche comme ixquick. 
    Et fizi gaffe au Golem aussi ! 
    Donc je ne sais pas si la vidéo de la conférence est disponible sur le Net mais sinon regardez-là c'est intéremarrant :).

  • Fuir ou résister ?

    Oui voilà bien une question que l'on peut se poser en ce moment, que faire face à notre liberté (numérique ou non !) qui se rétrécie de plus en plus chaque jour (ou du moins à chaque lois / décrets) ?

    Peut-on fuir ? Oui certes j'y ai pensé en plus travailler à l'étranger peut toujours être plaisant. Mais bon laisser les amis, la famille et tout le reste juste parce qu'une bande ... BIP ... dans un hémicycle vote des lois dont ils ne comprennent pas les tenants et aboutissants (ou pire certains veulent certainement tout contrôler). Non finalement l'option de fuir ne me parait pas très interessante.

    Alors il ne reste plus qu'à resister ... mais comment ?

    DDoS, ou deface ? Non ça leur donnerait des prétextes pour faire des lois encore plus connes, et en plus le DDoS bon c'est un peu SK quand même (non ?).

    Publier pour mettre à jour les conneries de leurs lois ... le laisse ça à d'autres, je ne suis ni juriste, ni assez bon auteur pour faire ça.

    A titre personnel : bah TOR (que je n'ai jamais vraiment quitté d'ailleurs), FreeNet (que j'utilise très peu mais il va falloir remédier à ça) et un bon vieux VPN.

    Maintenant pour les autres : essayer d'informer "les gens" sur ce qui se passe et faire découvrir les moyens pour se protéger du flicage qui vient peu à peu se mettre en place en France.

    Bon rien de nouveau, je me mettais pas encore exprimé à titre personnel concernant tout ce qui se passe en ce moment, mais voilà maintenant c'est fait.

    La question est maintenant ... et vous qu'est ce que vous allez faire ?

     

    Sinon sur un autre registre DC3 Challenge est ouvert : pour ceux qui ne veulent pas s'inscrire comme l'année dernière j'upload petit à petit les étapes.