Archives de catégorie : Korben

Les chiffres clés du Bug Bounty en Europe

Ce mois-ci dans le cadre de mes activités pour YesWeHack, j'ai réalisé avec la team, une magnifique infographie reprenant les principales données de notre plateforme de bug bounty : Bountyfactory.io

Je sais que certains d'entre vous apprécient la thématique de la sécurité informatique donc je joins l'utile à l'agréable en la publiant ici.

D'ailleurs, si vous vous rendez au FIC 2018 à Lille demain et après demain, venez me faire un petit coucou. Je serai sur le stand D7 et voici la carte au trésor imprimée sur du parchemin en peau de fesse d'ange ici :

Et voici l'infographie pour ceux qui aiment la "data-visualisation"

A très vite !
Source: Korben

Piknik – Un outil pour faire du copier coller (texte et fichiers) à travers le réseau

Si vous avez plusieurs machines en réseau, voici un projet libre qui va peut-être vous intéresser.
Piknik est un logiciel pour Windows, macOS et Linux qui permet de faire du copier-coller à travers le réseau.
Et Piknik sait copier-coller aussi bien du texte que des données, ce qui est pratique pour s’échanger des URL, ou copier quelques fichiers de conf à travers le réseau.
Vous pouvez par exemple comment à rédiger un document sur une machine et le transférer sur une autre machine pour le finir.
Une fois installé et configuré, Piwik se compose de 2 commandes : pkc pour copier et pkp pour coller.
pkc < kitten.gifpkp > kittencopy.gif
Piknik nécessite un serveur intermédiaire pour transmettre les infos, mais cela lui permet de passer outre les firewalls et autre NAT. Et question sécurité, tous les copiés-collés sont chiffrés.
Vous pouvez télécharger Piknik ici et consulter la doc ici.
Source: Korben

Comment importer des .SRT dans un projet Final Cut ?

Je ne suis pas un grand expert en montage vidéo, mais chaque jour j’en apprends un peu plus.

Comme j’utilise macOS, la plupart du temps, je réalise mes montages principalement sur Final Cut Pro. Mais bizarrement, il n’y a aucune option sur celui-ci pour importer le format de sous-titres .SRT Étrange.

J’ai donc demandé un peu d’aide sur Twitter et l’ami Dany m’a envoyé un super site qui permet de convertir en ligne, des sous-titres SRT en format FCP XML (et vice versa).

Il y a un outil SubSimple pour FCPX 😁— Dany B. (@zh3nnify) January 18, 2018

Donc pour convertir votre fichier SRT en FCPXML, rendez-vous ici sur SubSimple, uploadez votre SRT, choisissez le timecode qui va bien (24 fps en général) et la police par défaut, sachant que vous pouvez modifier cela ensuite dans Final Cut.

Cliquez ensuite sur "Send File" et vous récupérez un fichier XML que vous n'aurez plus qu'à importer dans Final Cut en passant par le menu Fichier -> Importer -> XML.

Vous le verrez alors apparaitre le sous-titre dans une collection SubSimple.

Double cliquez dessus et vous verrez le contenu du sous-titre. Sélectionnez ce contenu et faites un "Copié"

Replacez vous ensuite dans votre projet, à l'endroit exact où vous voulez intégrer le sous-titre, allez dans le menu "Édition" et faites "Coller comme plan connecté"

Et voilà, vos sous-titres sont intégrés.

Mais faites attention par contre et repassez un peu dessus, car il peut y avoir quelques ersatz à effacer.

Encore merci à Dany pour le partage !
Source: Korben

Oh !

Mais quel est donc ce site ? Hé bien oui, vous êtes bien sur Korben.info ! Avec mon super dev Léo, on a donc mis en production cette nouvelle version et même s'il y a encore quelques petits ajustement à faire par ci par là, ça ronronne comme un chaton.

Au rayon des nouveautés :

Un nouveau design réalisé par le célèbre Geoffrey Dorne (l'ancien thème datait quand même de 2013)
Un site totalement responsive donc adapté à vos mobiles, tablettes, et Tesla
Plus de clarté pour une meilleure lecture
Un amaigrissement sévère de la base de données qui passe donc de 9,7 GB à 100 MB (!!)
Une gestion des comptes utilisateurs via Discourse
Une intégration des tweets sur les pages du site
Un site plus rapide, car méga optimisé
Une remise en route du wiki qui bien qu'un peu poussiéreux en termes de contenu est à nouveau à votre disposition.
Une section services qui sera prochainement agrémentée de nouvelles choses sympathiques (n'hésitez pas si vous avez des suggestions)
Un process de dev -> preprod -> prod totalement revu pour éviter que je sois tenté de faire des modifs dans le code en production (ah ah !)
Et pleins d'autres petites choses que j'oublie surement.

Et si vous croisez le chemin de quelques bugs ou choses manquantes, n'hésitez pas à m'en faire part ici sur l'espace communauté. Et si vous voyez un peu de Lorem Ipsum, c'est normal, j'ai monté le niveau, maintenant les articles seront écrits en latin ! Arf !

Et surtout, comme l'a dit Léo sur Twitter, on a litterallement cassé les codes du milieu avec une mise en prod le vendredi !!!!

Encore merci pour vos futurs retours et à très vite pour de nouveaux articles !

K.
Source: Korben

1, 2, 3, Soleil !

Salut la compagnie,
j’espère que vous êtes en pleine forme et que tout roule pour vous. Comme vous avez pu le remarquer, l’activité sur le blog n’est pas à son max depuis 2/3 jours et il y a 2 raisons à cela.
La première c’est que je serai au FIC la semaine prochaine pour YesWeHack, donc beaucoup choses encore à préparer et à gérer pour ce gros évent cybersec. L’autre raison c’est que la nouvelle version de Korben.info arrivera dans les jours qui viennent. Donc gros boulot aussi de ce côté-là.
Par conséquent pour effectuer sa migration et son nettoyage, je freeze la base de données dès à présent et plus aucune modification ne sera apportée au site jusqu’à la mise en ligne de la nouvelle version.

Ensuite, quand ce sera migré, vous verrez surement apparaitre quelques petits trucs en Lorem Ipsum et quelques petits bugs. C’est normal, car il y aura encore des choses à finaliser dans les jours qui suivront. Puis je mettrais à votre disposition un moyen facile de remonter les bugs éventuels pour ceux qui veulent, histoire de ne pas avoir à traiter tout cela par email.
Le planning est chargé pour mon super dev Léo et pour moi-même donc ça va être un peu rock’n’roll. Mais on va y arriver, on est des warriors. :-)))
Enfin, ça va faire du bien de rafraichir un peu le papier peint, d’alléger la mule et de redécorer mon petit sanctuaire. Si vous souhaitez suivre toutes les opérations en live, savoir si ça se passe bien (ou mal) et si je ne me suis pas évanoui, je vous invite à me suivre sur Twitter.
En attendant, souhaitez-moi bonne chance !
Cet article merveilleux et sans aucun égal intitulé : 1, 2, 3, Soleil ! ; a été publié sur Korben, le seul site qui t’aime plus fort que tes parents.
Source: Korben

Super Netflix – Améliorez Netflix avec cette extension Chrome

Si vous êtes abonné à Netflix et que vous utilisez Chrome, voici une extension qui devrait vous plaire. Elle s’appelle Super Netflix et permet de changer quelques petites choses au service de streaming.
Tout d’abord, elle permet de fixer le bitrate par défaut de Netflix, ce qui vous permet de choisir la qualité la mieux adaptée à votre bande passante. Une autre option permet aussi de changer manuellement le serveur de streaming utilisé. Cela peut permettre de retrouver un peu de patate sur un autre serveur Netflix.
Ensuite, Super Netflix va vous permettre de passer automatiquement les séquences d’introductions de vos séries préférées, afin de les enchainer encore plus vite.
Et lorsque vous naviguez dans les films et séries proposés par Netflix, il est possible que vous tombiez sur un spoil au travers d’un résumé ou d’une miniature. Et bien avec Super Netflix, plus de souci, tout cela disparaitra sous un petit flou qui va bien.

Super Netflix vous permettra aussi d’uploader vos propres sous-titres, de modifier la luminosité, la saturation des couleurs et le contraste des vidéos, sans oublier une option capable d’augmenter la vitesse de lecture de la vidéo.

D’autres petites options comme monter le volume avec la molette de la souris, masquer les sous-titres « obligatoires » et afficher des tas d’infos techniques sur le streaming en cours sont également disponible. Bref, une extension pleine de surprises à tester.
Vous pouvez télécharger Super Netflix ici.
Source
Cet article merveilleux et sans aucun égal intitulé : Super Netflix – Améliorez Netflix avec cette extension Chrome ; a été publié sur Korben, le seul site qui t’aime plus fort que tes parents.
Source: Korben

HTML5 – Jusqu’où pouvez-vous aller avec les API aujourd’hui ?

Envie de développer l’application web de vos rêves, mais pas certain que tel ou tel navigateur supporte ce que vous voulez y intégrer ?
Pas de panique ! Foncez sur « What Web Can Do Today » pour connaitre les capacités techniques des API HTML5 offertes par votre navigateur (desktop ou mobile). Ainsi vous saurez si vous pouvez exploiter dans votre application de la capture vidéo, du mode offline, du support NFC, de la géoloc…etc.

Et surtout en cliquant sur les éléments qui vous intéressent, vous saurez comment l’implémenter, vous pourrez tester la fonctionnalité et surtout vous aurez accès à des graphs vous indiquant les parts de marché des navigateurs offrant telle ou telle possibilité :

L’objectif étant bien sûr de bien peser le pour et le contre avant de faire des choix techniques pour vos applications web
What Web Can Do Today
Et pour finir, n’oubliez pas que la roadmap du W3C concernant le mobile est dispo ici.
Cet article merveilleux et sans aucun égal intitulé : HTML5 – Jusqu’où pouvez-vous aller avec les API aujourd’hui ? ; a été publié sur Korben, le seul site qui t’aime plus fort que tes parents.
Source: Korben

Un attaquant peut prendre le contrôle total d’une machine en 30 secondes seulement, grâce à Intel AMT

Les vulns, c’est comme le PAIC Citron. Quand y’en a plus, y’en a encore.
La preuve avec ce problème qui touche les ordinateurs portables équipés d’Intel AMT (Intel’s Active Management Technology), une solution que vous avez peut-être sur votre machine qui permet de faire du monitoring et de la maintenance à distance. Un attaquant peut via un accès physique à l’ordinateur, le booter ou le rebooter tout en appuyant sur le jeu de touche CTRL+P pour accéder au MEBx (Intel Management Engine BIOS Extension) à l’aide du mot de passe par défaut « admin » (AH AH AH), changer ensuite ce mot de passe et activer l’accès à distance sans utilisateur. Cette méthode permet de déjouer les mots de passe BIOS, chiffrements Bitlocker et autres codes PIN mis en place par les admins.
Cela permet ensuite au cybercriminel d’accéder à l’ordinateur via le réseau local (ou à distance via un mécanisme de rebonds sur un serveur tiers) sans avoir besoin d’un mot de passe de session.
Alors oui, il faut un accès physique à la machine, mais sa rapidité d’exécution (reboot, CTRL-P, check check reboot, soit environ 30 sec.) en fait une attaque à prendre au sérieux. Il suffit que vous ayez le dos tourné quelques minutes pour que l’accès à distance soit activé à votre insu. Dans un cadre professionnel, cela peut aussi offrir à un cybercriminel, un accès de choix au réseau privé une entreprise via le VPN en place sur la machine piratée.
Ce sont les chercheurs de F-Secure qui sont tombés sur ce problème. Voici d’ailleurs une explication et démonstration de l’attaque :

Intel a pas mal communiqué sur le problème auprès des fabricants de PC en leur demandant d’exiger le mot de passe BIOS pour accéder à Intel AMT, mais malheureusement, ces recommandations sont encore trop peu suivies. Si vous êtes une société, mettez un mot de passe costaud sur AMT et si vous le pouvez désactivez la fonctionnalité. Si un mot de passe est déjà en place et que ce n’est pas « admin », considérez la machine comme hautement suspecte.
Et si vous êtes un utilisateur avec un ordinateur équipe d’AMT, rapprochez vous de votre service informatique, ou si c’est votre propre machine, mettez vous aussi un mot de passe costaud à AMT et désactivez-le. Et surtout, ne laissez jamais votre ordinateur sans surveillance dans un lieu public. J’en vois tous les mois qui font ça, notamment dans le train…
Source
Cet article merveilleux et sans aucun égal intitulé : Un attaquant peut prendre le contrôle total d’une machine en 30 secondes seulement, grâce à Intel AMT ; a été publié sur Korben, le seul site qui t’aime plus fort que tes parents.
Source: Korben

Skype passe au chiffrement de bout en bout

Mieux vaut tard que jamais !
Microsoft a enfin implémenté du chiffrement de bout en bout (end-to-end) dans sa messagerie instantanée Skype. Et histoire de faire taire d’éventuels détracteurs, ils ont fait faire le travail par Open Whisper Systems qui n’est autre que la société à l’origine de la messagerie chiffrée Signal (et du protocole qui va avec).
Actuellement en beta test pour une poignée de personne, cette option baptisée « Conversations privées » fonctionne uniquement pour les échanges entre 2 utilisateurs max et permet de sécuriser les messages textes, les fichiers transmis, ainsi que les appels audios. Pour les appels vidéos, il faudra attendre encore un peu, ce qui peut s’expliquer techniquement.

Une conversation privée initiée sur un appareil A pourra être poursuivie sur un appareil B mais sans que les messages ou fichiers envoyés précédemment ne soient visibles (Heureusement, hein…).
Il était temps pour Microsoft de prendre ce virage du chiffrement, car quoiqu’en dise le FBI qui estime que le chiffrement est diabolique, c’est maintenant un gage de qualité et les utilisateurs sont très sensibles à cela (merci Snowden !).
Donc si Microsoft veut que Skype conserve ses 300 millions d’utilisateurs et reste l’une des premières messageries instantanées utilisées dans le monde, il n’y avait pas d’autres choix que de passer au chiffrement de bout en bout.
Bref, un bon point pour MS qui j’espère continuera dans cette voie. Hâte que cette fonctionnalité sorte de beta qu’on puisse tester tout ça !
Cet article merveilleux et sans aucun égal intitulé : Skype passe au chiffrement de bout en bout ; a été publié sur Korben, le seul site qui t’aime plus fort que tes parents.
Source: Korben