Hacking light, trucs et astuces
Quand l'utilisation d'Ezoic peut vous faire bannir de Google
Si Ezoic vous propose de passer chez eux à la place de votre système de pub habituel, méfiance car la catastrophe peut survenir assez rapidement..
Au début, tout est propre, tout est blanc mais rapidement, utiliser Ezoic (qui implique de leur confier vos dns et pas mal de la gestion de votre site) peut être extrêmement dangereux.
En premier lieu, passer par Ezoic peut impliquer un maximum de spam sur votre site, des visites semble-t-il simulées pour vous faire croire à une augmentation d'audience. Regardez bien vos statistiques et n'hésitez pas à intégrer à votre htaccess un petit Deny from pour éviter ceci.
Lire la suite "Quand l'utilisation d'Ezoic peut vous faire bannir de Google"
dans Hacking light, trucs et astuces | Quand l'utilisation d'Ezoic peut vous faire bannir de Google | Commentaires (0) | juillet 19, 2024
Vos mails ne partent plus chez vos clients ou sont considérés comme spam ? Avez-vous pensé à DMARC ?
SI vos mails ne partent plus chez vos clients ou sont considérés comme spam, c'est sans doute un problème de "conformité" suite aux changements demandés par les Email Service Providers (Gmail,Yahoo,etc.) au 01/02/24.
À partir de février 2024, ces plateformes ont renforcé leurs exigences en matière d'authentification des emails dans le but de lutter contre le phishing et l'usurpation d'identité. Les protocoles SPF, DKIM et DMARC sont au cœur de ces changements.
Voir aussi: Configurez SPF ou DKIM
dans Hacking light, trucs et astuces | Vos mails ne partent plus chez vos clients ou sont considérés comme spam ? Avez-vous pensé à DMARC ? | Commentaires (0) | février 8, 2024
Comment sécuriser son ordinateur avant de le laisser à un réparateur ?
Une batterie en vrac, un clavier défoncé, un disque dur qui faiblit ? Tôt ou tard, un PC (notamment portable) a quelques ennuis de santé.
Bien sûr, on peut le changer mais ce n'est pas nécessaire de dépenser pour un nouveau et ceci d'autant plus que depuis de nombreuses années, les ordinateurs n'ont pas vraiment évolué.
En cherchant bien, vous trouvez facilement sur le net les bonnes pièces de rechange mais pour les changer sans tout casser, mieux vaut passer par un mécanicien qui en a l'habitude.
Le problème, c'est que confier votre ordinateur à quelqu'un qui va le démonter, c'est confier à ce dernier tous les secrets de votre ordinateur.
Ne rêvez pas: il y a fort à parier que celui qui répare votre ordinateur jette un coup d'oeil sur le contenu : No Privacy in the Electronics Repair Industry : "Des chercheurs de l'université canadienne de Guelph ont publié une étude selon laquelle les services de réparation de matériel électronique ne disposent pas de protocoles de confidentialité efficaces pour protéger les données sensibles des clients. Elle ajoute que les techniciens fouinent souvent dans les données des clients. Mais encore, l'étude a révélé que les violations de la vie privée se produisaient dans au moins 50 % des cas et, sans surprise, que les femmes en étaient les principales victimes. L'équipe de recherche a également déclaré que les prestataires de services de réparation dignes de confiance sont difficiles à trouver. "
Lire la suite "Comment sécuriser son ordinateur avant de le laisser à un réparateur ?"
dans Hacking light, trucs et astuces | Comment sécuriser son ordinateur avant de le laisser à un réparateur ? | Commentaires (0) | février 5, 2024
Faire de la place sur votre ordinateur quand vous y utilisez whatsapp (ou autre appli) desktop
Utiliser Whatsapp Desktop (ou autre appli comme Telegram) sur votre ordinateur, est très pratique. Pas besoin d'avoir les yeux rivés sur votre téléphone, facilité de transmettre des fichiers, des journaux ou des blagounettes, y compris à vous même de votre téléphone à votre ordi en vous envoyant un message Whatsapp.
MAIS, au fil du temps, ça prend beaucoup de place car TOUT reste dans votre ordinateur. C'est le 1er problème.
Par ailleurs, même si vous pensez avoir effacé complètement certains fichiers en supprimant la conversation ET les fichiers sur le smartphone (avec synchronisation APPARENTE sur l'ordinateur), TOUT reste quelque part sur votre ordi. Ca c'est le 2ème problème, la réelle suppression.
Donc, où trouver ces fichiers ?
dans Hacking light, trucs et astuces | Faire de la place sur votre ordinateur quand vous y utilisez whatsapp (ou autre appli) desktop | Commentaires (0) | novembre 5, 2023
Améliorer la vitesse d'un site Wordpress: recettes classiques et autres astuces
Améliorer la vitesse d'un site Wordpress n'est pas si facile qu'on en a l'impression quand on lit les recettes toutes faites des experts souvent auto-proclamés (et dont les sites sont souvent lents :-))).
Tout d'abord, pourquoi améliorer la vitesse de changement ? Pour améliorer son référencement car par bon sens, les internautes ayant horreur d'attendre, Google privilégie les sites qui s'affichent VITE. MAIS et c'est important, il suffit d'être meilleur que vos concurrents donc mesurez LEUR vitesse: si vous êtes meilleurs qu'eux, ne perdez pas de temps à être encore meilleurs..
Qu'est-ce que la vitesse de chargement d'un site ? Ce n'EST PAS la vitesse de la seule page d'accueil.. (Or souvent on ne regarde QUE la page d'accueil alors que les pages "soldats", cad les pages de produits ou les pages d'articles sont LES PLUS IMPORTANTES).. C'est aussi la vitesse sur desktop ET sur mobile ..
Comment mesure-t-on la vitesse de chargement d'une page ? Comme le but est de convaincre Google qu'on est rapide, il vaut mieux utiliser Google Page Speed ( https://pagespeed.web.dev/?hl=fr ) et Lighthouse (https://developer.chrome.com/docs/lighthouse/overview/ ), 2 outils de Google. Pour comprendre tous les termes d'un rapport Lighthouse: Vitesse d'un site web: First Contentful Paint (FCP), First Input Delay (FID) et Total Blocking Time (TBT)
Que doit-on connaître quand on parle de vitesse de chargement d'une page web ? Différents indicateurs apparaissent dans les outils de Google. Les plus importants à connaître sont First Contentful Paint (FCP), First Input Delay (FID) et Total Blocking Time (TBT) dont vous trouverez les définitions et significations ici sur notre note à leur sujet.
Et donc que doit-on faire pour améliorer la vitesse d'un site Wordpress ?
Lire la suite "Améliorer la vitesse d'un site Wordpress: recettes classiques et autres astuces"
dans Hacking light, trucs et astuces, Wordpress | Améliorer la vitesse d'un site Wordpress: recettes classiques et autres astuces | Commentaires (0) | décembre 6, 2022
" The page you are looking for is temporarily unavailable " pour accéder à wp-admin .. Comment faire ?
Vous tentez d'accéder au back-office de votre site Wordpress via .../wp-admin et vous avez ça:
Que diable signifie ce "The page you are looking for is temporarily unavailable" alors même que votre site est visible en front ?
dans Hacking light, trucs et astuces | " The page you are looking for is temporarily unavailable " pour accéder à wp-admin .. Comment faire ? | Commentaires (0) | décembre 1, 2022
OSINT: ressources en vrac
L'OSINT ("science" de recherche d'informations dans des "sources" ouvertes - certains prétendent que 90% des informations sont accessibles sur et dans des trucs "ouverts") a gagné ses lettres de noblesse pendant la guerre Russie-Ukraine.
Des milliers de bénévoles, volontaires se sont mis à explorer le web, Telegram, Youtube, VK, etc, etc.. pour deviner qui est qui, qui fait quoi, qui est où, etc..
Voici, dans le bazar le plus total, un max de liens pour vos recherches dans les différentes zones d'Internet.
Lire la suite "OSINT: ressources en vrac"
dans Hacking light, trucs et astuces | OSINT: ressources en vrac | Commentaires (0) | novembre 23, 2022
Adobe rachète Figma --> Quelle alternative GRATUITE ?
Figma connaissait une ascension spectaculaire car c'était facile d'usage et gratuit.
En quelques mois, la plupart des projets d'intégration de design par exemple ne fournissait plus de psd et autres adoberies mais passaient par Figma..
Et puis là BOUM, Adobe rachète Figma.. qui va sans nul doute devenir payant .. ou nul..
Existe-t-il donc une alternative GRATUITE à Adobe Figma dans ce monde si vaste du web et de l'Internet ?
Comme toujours, comme pour avoir les journaux , les séries, les jeux, les films , les matchs gratuitement la réponse est OUI.
L'alternative à Figma Adobe en gratuit est PENPOT : https://penpot.app/
dans Contenu du web, Hacking light, trucs et astuces | Adobe rachète Figma --> Quelle alternative GRATUITE ? | Commentaires (0) | septembre 16, 2022
Arnaques en série par mails au nom de Doctolib et autres pièges à clics
Jusqu'à présent, les arnaques par mail étaient assez faciles à déjouer.
Orthographe digne d'un collégien blanquérisé, prétextes bidons étaient même risibles, sans compter que les mails de ce type se firent blacklistés par les systèmes de défense antispam.
Ensuite, on a eu droit aux mails de banques avec incitation à cliquer mais les liens, les noms des banques et les adresses emails étaient "too much".
Maintenant, les cybertruands sont un peu plus malins.
Ils ont appris à ne pas trop demander et à ne pas utiliser des choses et arguments trop "sensibles" qui pourraient éveiller la méfiance des destinataires des mails.
Lire la suite "Arnaques en série par mails au nom de Doctolib et autres pièges à clics"
dans Contenu du web, Hacking light, trucs et astuces | Arnaques en série par mails au nom de Doctolib et autres pièges à clics | Commentaires (0) | juin 10, 2022
Savoir si un nom est disponible sur les réseaux sociaux ou quels réseaux sociaux utilise une entité
https://userhunt.co/ est un outil intéressant pour savoir si un nom est disponible sur un réseau social ou si à l'inverse, une entité, un nom que vous cherchez a potentiellement (ne pas négliger les homonymes) sur un réseau social.
Concrètement vous allez sur https://userhunt.co/ et vous tapez le nom.
dans Hacking light, trucs et astuces | Savoir si un nom est disponible sur les réseaux sociaux ou quels réseaux sociaux utilise une entité | Commentaires (0) | mai 27, 2021
Antivirus, sauvegarde en ligne pour les TPE et petites entreprises: quelle est la bonne solution ?
Avec le développement du télétravail mode "pandémie" (Rappelons que le télétravail covidé n'est absolument pas le télétravail "normal" car il ne tient pas compte des conditions de travail des gens donc d'une installation pérenne et efficace dans le temps - notons aussi que normalement le "lieu de télétravail" est une extension de l'entreprise donc un lieu sous la responsabilité de l'entreprise au niveau "confort", sécurité et adaptation au travail .. avec toutes les conséquences que ceci a) les ordinateurs et même mobiles de pas mal de gens sont soumis à rude épreuve.
Ceci concerne particulièrement la sécurité et donc aussi la sauvegarde des documents et données.
Beaucoup de sociétés profitent de l'ignorance des décideurs des TPE et petites entreprises pour leur vendre des solutions de sauvegarde ou de prise en main à distance des ordinateurs de la société afin de "garantir" sauvegarde et sécurité.
Évidemment, la note est salée quand on passe par ces prestataires.
Pourtant, des solutions simples et moins coûteuses existent et sont à la portée de n'importe quel patron d'une entreprise de - de 50 salariés pour éviter un problème de sécurité sur les ordinateurs de ses collaborateurs et dans le système de l'entreprise.
Parfois même, ces prestataires demandent d'installer un outil permettant de prendre en main à distance les ordinateurs des gens. Bien évidemment, quasiment AUCUN de ces prestataires n'est conforme au RGPD (notamment à l'article sur les sous-traitants) et au lieu de sécuriser les donnés de son entreprise, on les rend encore plus vulnérables (imaginez le trafic de données ou la vente de données que peut faire à vos concurrents n'importe quel employé ou sous-traitant de ces sociétés dites de "sécurité" ou maintenance ??).
En premier lieu, les salariés et collaborateurs doivent être formés, informés, alertés, avertis, etc.. sur la nécessité de METTRE A JOUR ou de vérifier les mises à jour de leur OS (Windows principalement).
Ensuite, voici 3 solutions gratuites ou quasi gratuites pour sécuriser et sauvegarder le contenu d'un ordinateur ou de plusieurs ordinateurs d'une entreprises SANS avoir recours à un prestataire.
dans Hacking light, trucs et astuces | Antivirus, sauvegarde en ligne pour les TPE et petites entreprises: quelle est la bonne solution ? | Commentaires (1) | janvier 26, 2021
Signal ou Telegram sur les anciens Blackberry: c'est possible
Si vous êtes conservateur ou conservatrice OU si vous aimez les vrais claviers OU si vous aimez les photos qui ne pèsent pas plusieurs megas OU si vous aimez avoir plusieurs comptes mail sur UN appareil de façon CLAIRE sans que Google ou Apple le sachent OU si vous aimez les téléphones incassables ALORS, vous aimez les anciens Blackberry (comme le Classic qu'on peut trouver sur Amazon sans problème) .. ou les téléphones avec Ubuntu Touch :-))
Donc, vous avez Whatsapp dessus (voir ici) et vous voulez (si vous ne l'avez pas encore) Signal ou Telegram.
Pas de problème les amis, c'est facile.
Lire la suite "Signal ou Telegram sur les anciens Blackberry: c'est possible"
dans Hacking light, trucs et astuces | Signal ou Telegram sur les anciens Blackberry: c'est possible | Commentaires (0) | janvier 13, 2021
Attaque de sites wordpress via un fichier htaccess
Pas mal d'attaques en ce moment sur wordpress via un fichier htaccess, mis non seulement à la racine mais dans TOUS les dossiers, qui détourne les visiteurs du site.
Voici 2 exemples de ce type de fichier (en photo, donc vous ne craignez rien) avec en premier cette adresse bizarre bit.ly...
Lire la suite "Attaque de sites wordpress via un fichier htaccess"
dans Hacking light, trucs et astuces, Wordpress | Attaque de sites wordpress via un fichier htaccess | Commentaires (0) | décembre 11, 2020
La plate-forme de la Poste pour commander des masques s'est-elle faite pirater ?
Ce matin, nous avons tenté de commander des masques sur la plate-forme de la Poste https://masques-pme.laposte.fr
Après avoir rempli tous les champs, la même erreur revient quoi qu'on fasse:
"Cette structure existe déjà"
Lire la suite "La plate-forme de la Poste pour commander des masques s'est-elle faite pirater ?"
dans Hacking light, trucs et astuces | La plate-forme de la Poste pour commander des masques s'est-elle faite pirater ? | Commentaires (5) | mai 4, 2020
Accélérer la navigation web et contourner la censure avec un résolveur DNS ?
Il arrive de plus en plus souvent que certains sites soient inaccessibles quand on est chez certains FAI.
Pourquoi ? Parce que les spammeurs et sites de phishing sont de plus nombreux et que la lutte contre eux se mène très souvent par des grands coups de bourrinage où les sites jugés dangereux (ou carrément les IP) sont blacklisté par certains FAI, qui ne s'embêtent pas avec de la dentelle.
Si vous n'avez pas accès à un site selon que vous soyez connecté(e) à Orange, Free, SFR ou Bouygues il y a fort à parier que le site a été blacklisté par le FAI.
Mais on peut contourner ça, en changeant de résolveur DNS
Lire la suite "Accélérer la navigation web et contourner la censure avec un résolveur DNS ?"
dans Hacking light, trucs et astuces | Accélérer la navigation web et contourner la censure avec un résolveur DNS ? | Commentaires (1) | octobre 23, 2017
Où trouver les url de tous les films ou séries en streaming, grâce au système de censure lui-même :-)
A notre époque, qui paie encore un abonnement à Canal+ ou Netflix ou autres chaines payantes pour regarder un film récemment sorti ou une série à succès ?
Ah oui, un certain nombre de gens mais bon, l'évolution normale va vers le tout gratuit, même si les intermédiaires tentent par tous les moyens de continuer à prendre des sous au passage pour surtout payer leur train de vie.
dans Hacking light, trucs et astuces | Où trouver les url de tous les films ou séries en streaming, grâce au système de censure lui-même :-) | Commentaires (3) | septembre 8, 2017
Comment éliminer les publicités Criteo des sites qu'on visite ?
Si les publicités Google Adsense ont dans leur coin une petite croix qui permet facilement de les faire disparaître, celles de Criteo, très semblables n'ont pas cette petite croix.
Et honnêtement, même si on comprend que la publicité fait vivre les sites web, avoir un matraquage publicitaire des MEMES annonceurs, souvent relatifs à des produits ou services qu'on a DEJA achetés, c'est SAOULANT.
Alors comment se débarrasser de Criteo sur les sites qu'on visite ?
Hé bien, sans même utilise un bloqueur de publicités, il suffit d'aller sur https://info.criteo.com/privacy/informations ou ici http://www.criteo.com/fr/privacy/ pour comprendre comment agit Criteo.
En résumé, l'hydre publicitaire Criteo a 2 groupes de tentacules: « Criteo Dynamic Retargeting » et « Criteo Sponsored Products »
Lire la suite "Comment éliminer les publicités Criteo des sites qu'on visite ?"
dans Hacking light, trucs et astuces | Comment éliminer les publicités Criteo des sites qu'on visite ? | Commentaires (4) | juin 21, 2017
Comment Dailymotion gonfle ses chiffres et comment gagner de l'argent sur leur dos grâce à ça
Sous l'ère Vivendi-Bolloré, Dailymotion tente de survivre à tout prix comme plate-forme vidéo alternative au monstre Youtube.
Au lieu de chercher à innover ou d'aller là où Youtube n'est pas ou même de tenter d'être un champion national à l'instar de Rutube en Russie, Dailymotion a choisi le chemin classique des sociétés françaises du web: le gonflage artificiel de statistiques et l'achat de trafic.
N'ayons pas pité des partenaires publicitaires qui paient pour ceci. Après tout, Dailymotion est dans le même giron qu'Havas, vendeur de pub sans scrupule, et que toutes les sociétés du groupe Vivendi Bolloré dont les employés, du plus petit aux chefs, savent parfaitement s'y prendre pour persuader les HUMAINS d'en face de leur confier des budgets publicitaires, même sans aucun intérêt pour leur business (ca s'appelle l'entregent, les diners en ville et les cadeaux d'entreprise ;-)).
Voyons voir dans le détail comme Dailymotion gonfle ses chiffres et comment VOUS, "Poutou" du web, vous pouvez en profiter quelques mois.
dans Hacking light, trucs et astuces | Comment Dailymotion gonfle ses chiffres et comment gagner de l'argent sur leur dos grâce à ça | Commentaires (0) | avril 13, 2017
Les vraies menaces de la cyberguerre
Que sont vraiment que la cyberguerre, les cyber menaces et les cyber attaques dont les journaux, médias et experts souvent auto-proclamés semblent avoir fait leur fond de commerce depuis que la Russie est redevenue, comme pendant les années 80, le grand méchant loup du pauvre mouton occidental..
Tentons d'y voir un peu plus clairs pour éviter d'être les moules de la cyber-ménagerie et surtout, essayons de comprendre quelles sont les vraies menaces de la cyberguerre.
Tout d'abord, les méchants ont toujours existé sur Internet. Sans reparler de Kevin Mythique :-) ou autres hackers, on a un certain nombre de personnes, qui ont lu les notices des appareils, des logiciels, des systèmes et trouvent des raccourcis ou moyens de faire des trucs pas forcément voulus ou rendus publics.
Ils ont trouvé un "hack" (une carotte, une ficelle, une embrouille, une astuce) et sont donc qualifiés de "hackers" car l'anglais sonne toujours + mieux classe :-)).
Comme lire des notices ou des modes d'emploi de trucs techos donne rarement une allure à la Cristiano Ronaldo, ces "hackers" satisfont leurs egos en parlant de leurs découvertes, ce qui permet aux lamers ou aux script kiddies ou à tout un ensemble de petits rats ou profiteurs vénaux de jouer ou d'exploiter les découvertes des premiers pour tenter de s'enrichir, faire les malins ou emmm.. quelqu'un ou le système..
Comme beaucoup de mots ou de concepts partis à l'aventure trop jeunes, "hacker" ne veut plus rien dire.
Par exemple, piquer le mot de passe de sa belle-mère ou d'un "businessman" pas assez méfiant dans un starbucks ou un aéroport pour ensuite aller l'utiliser n'est pas vraiment du "hacking" canal historique.
Passons aux systèmes informatiques..
Matériels ou logiciels de toutes sortes ont forcément des "trous" de sécurité, à savoir des sensibilités qui permettent de les utiliser d'une autre manière que celle prévue.
On peut par exemple utiliser un ordinateur pour se chauffer :-)
A notre époque, des gens ou systèmes automatiques trouvent de nouvelles failles en permanence sur les milliards de logiciels et de machines qui régissent notre monde.
Ensuite, d'autres gens et systèmes automatiques vérifient ou CHERCHENT dans d'autres buts si ces failles sont présentes sur des milliards de machines..
Ensuite, les mêmes ou encore d'autres vont utiliser ces failles pour faire certaines choses:
- voler ces informations
- utiliser la machine ou le soft dans un autre but
- utiliser la machine ou le soft au profit d'une autre machine ou d'un autre soft
- détruire ou bloquer la machine ou le soft
- etc..
Quelques minutes de recherches via Google permettent assez facilement de trouver des dizaines de sites ou de forums qui permettent d'aller sur d'autres sites où se trouvent ces informations. Nul besoin pour cela d'aller sur le Darknet..
Si vous avez du mal à trouver, allez par exemple sur forum.antichat.ru et vous trouverez des tas de trucs "intéressants"..
On peut aussi trouver aussi par exemple facilement un site comme gocvv.net
Un password pour entrer sur ce site est facile à avoir, il suffit de cliquer en haut à droite sur "registration".. On vous laisse le faire (ça prend 2 secondes et c'est sans danger) et ensuite, osez dire que ce qui est en vente sur ce site (pas d'armes, de drogue ou de trucs degueu) n'est pas "impressionnant" (vérifiez au passage si le petit rectangle de plastique à puce nommé CB qui vous sert dans la vie de tous les jours n'est pas à louer :-)))
Un autre exemple ?
Sur xdedic (qui a priori n'est disponible maintenant que via TOR mais qqch nous dit qu'en fait.. heu .. pas que .. ) vous pouvez trouver et acheter des accès à des serveurs compromis (chaque offre indique tout ce qu'il y a dans le serveur et ce pour quoi vous pouvez vous en servir .. voir http://www.silicon.fr/xdedic-70000-serveurs-pirates-150488.html ).
Bien sûr, vous pouvez aussi trouver des scans de documents officiels, bien utiles aux pirates ou cyber-soldats qui veulent se faire passer pour quelqu'un d'autre avec un peu plus de finesse que les amateurs marketing qu'on voit parfois en France :-)) (cf iStrat désossé par le JDN: explication ou concurrence mais de toutes façons intéressant).
Si vraiment le darkweb et les onions vous amusent, alors visitez le site www.deepdotweb.com et notamment la liste verte sur le côté droit:
Si vous avez du temps et que l'étude du hacking vous intéresse, le problème pour démarrer est de savoir à quels langages ou quels outils se former..
Quel langage ? N'importe lequel du moment qu'il vous permet d'apprendre la logique d'un programmeur sachant que de toutes façons, vous ne pourrez pas tous les maîtriser et qu'en fait ça ne vous servira pas à grand chose.. Si vraiment il fallait en choisir un, choisissez d'apprendre Python..
Sinon, installez-vous la distribution Kali de Linux (on peut installer assez facilement ça sur un windows avec un émulateur ou par une clé USB : http://fr.docs.kali.org/installation-fr/kali-linux-dual-boot-avec-windows ). Kali contient TOUS les outils de "hack" ou de "test de sécurité" qui permettent de tester vos propres ordinateurs et sites.. bien sûr ..
Que vous preniez ce sombre domaine de l'informatique et d'internet par le museau du rat profiteur ou la patte de castor constructeur, vous allez très vite vous heurter aux problèmes principaux, quelles que soient vos connaissances techniques:
- comment être anonyme comme surfeur d'internet
- comment être anonyme comme serveur d'internet
- comment payer des services
C'est là qu'il faudra vraiment faire preuve de ruse et que vous constaterez vous-même la bêtise et/ou l'hypocrisie des gouvernements et états..
Par exemple en France on "contrôle" Internet mais comment contrôler une connexion libre dans un McDo ou un Starbuck, surtout si le méchant utilise un ordinateur JUSTE pour sa session, avant de tout effacer ensuite ?
Même chose aux USA ou en Russie (preuve en est pour ce dernier pays le NOMBRE incroyable de sites "bizarres" qui y existent, loin d'être tous des sites russes...).
Les sommets sont atteints avec les registrars et les hébergeurs.
Normalement, ce sont des entités faciles à surveiller et pourtant, il en existe plusieurs qui permettent d'avoir des noms de domaine ou de gérer des serveurs illégaux sans être le moins du monde inquiété par les autorités.
On nous a par exemple annoncé à grand renfort de publicité la fin de zone-telechargement.com .. Pourtant le nom de domaine était déposé au Royaume-Uni depuis des lustres.. et le nouveau zone-telechargement.ws est aussi déposé quelque part, a priori très loin des contrées qu'utilisent des sites illégaux quand ils veulent vraiment se cacher (cf https://whois.domaintools.com/zone-telechargement.ws ).
En ce qui concerne l'hébergement, l'hébergement de contenu illégal est partout (là aussi un bon exemple d'hypocrisie ou de méconnaissance de l'état avec zone-telechargement) que ce soient avec les OVH, 1and1, Godaddy ou même Google, Amazon mais aussi Facebook, Youtube ou Twitter (qui héberge une part énorme du contenu et de la propagande de Daesh - cf Comment Daesh utilise Twitter (et pourquoi Twitter et les autres réseaux sociaux doivent cesser d'être passifs)) ou les fameux Bullet Proof Services Providers qui sont des hébergeurs où vous pouvez facilement avoir un espace pour faire ce que vous voulez (envoyer du spam à la terre entière ou vendre des copies d'Adidas ou de Nutella ou pire encore...).
En résumé, tout ceci anime tout un microcosme de gens et d'entités (constituées ou de fait), un peu comme dans le domaine des pirates, des corsaires et de leurs rapports avec la marine marchande ou militaire.
Qui fait quoi dans quel but et comment ? Il est très difficile de le dire même si certaines attaques semblent clairement désigner des coupables..
Par exemple, il semble clair que les russes ont "attaqué" quelques "structures" US au moment des élections mais notons que ces attaques présumées ont permis aux USA de se présenter comme victimes, de mobiliser pas mal de forces pour continuer d'avoir de l'argent pour leurs "cyber-efforts".. Qui a gagné et qui a perdu ? Difficile de le dire au final..
En fait, le principal danger de tout ceci et les principales menaces de la cyber-guerre ne sont pas dans la technologie elle-même et les attaques DOS ou DDOS ou autres, si terribles qu'elles puissent être.
Le principal problème réside dans le fait que TANT QUE les gens ne seront pas blindés et non crédules par rapport aux informations du web et des "réseaux sociaux", il est facile pour une bande même de petite ampleur, de convaincre des millions de gens.
Ce qui pour l'instant restait gentiment dans le domaine du marketing commercial, et gardait certaines limites car les gens du marketing préfèrent discuter avec des gens de la télé ou des medias "classiques" qu'avec des geeks, est passé dans le domaine politique, militaire, politique et stratégique.
Twitter, qui ne rassemble que peu de personnes (et beaucoup de robots) mais qui a son API ouverte, est devenu "les réseaux sociaux" dans les journaux et les TV comme si il s'agissait de sondages et referendums en grandeur nature.
Les journalistes et les politiques s'abreuvent maintenant à ces sources sans forcément vérifier la véracité des choses mais surtout sans faire attention à QUI écrit et se demander pourquoi ceci surgit à TEL moment.
Nous sommes actuellement, avec Internet, exactement dans la même période qu'aux débuts de la télé, ou de la pub, ou des journaux quand le seul fait d'être écrit, ou "vu à la télé" équivalait à une patte blanche.
Bien sûr, dans quelques temps, tout le monde sera vacciné et ne croira plus forcément ce qui est tweeté ou publié, même par des supports sérieux, mais pour l'instant, n'importe quelle engeance bien organisée peut influencer et orienter une population dans ses choix et ses votes.
Les quelques exemples dont parlent les médias à ce sujet, Ali Juppé ou Farid Fillon ne sont rien à côté des véritables "complots" que mettent en place celles ou ceux qui veulent saper un système.
La France est une proie particulièrement facile puisque par caractère le français est ronchon et ne croit pas à des avenirs radieux, tout en étant très crédule au complot vendu par le vecteur "personne n'en parle dans la "bonne presse" DONC, c'est vrai et ça vous menace".
Le Front National (seul parti important financé par une puissance étrangère), Mélenchon, Macron font entre autres leur campagne grâce à ces choses.
Mais des puissances étrangères utilisent aussi ces moyens, car ils leur permettent à peu de frais d'être quasiment aussi puissantes que le soft power américain avec ses marques , Hollywood et toute la puissance de la langue anglaise et des normes anglo-saxonnes devenues mondiales comme par enchantement.
Allez par exemple sur https://en.wikipedia.org/wiki/Web_brigades ou https://en.wikipedia.org/wiki/Trolls_from_Olgino pour comprendre la nature de cette menace.
Amusez-vous à suivre l'évolution des fake news US avec Hoaxy.iuni.iu.edu
D'ici aux élections, nous aurons l'occasion ici de vous livrer quelques analyses concrètes de rumeurs répandues sur le net en montrant concrètement par quels comptes twitter elles passent et à quel point tout ceci ne doit rien au hasard.
Vous pourrez facilement voir et constater visuellement (avec notre Deep Sea) comment une nouvelle, un hashtag, une photo, un lien, est repris comme par enchantement, de manière groupée, par tout un tas de compte twitter (et de sites internet), à des heures très spécifiques et sans que le phénomène soit naturel sauf dans son amplification, ce qui est d'autant plus dramatique, quand toute la bande des idiots utiles de la "cause", entre en jeu pour aller gaiement liker, sharer, retweeter le truc initial mis au point par d'autres..
Tant que la majorité des gens croit ce qu'elle voit et lit sur Facebook, Twitter et Google, ces manipulations seront possibles.
Nous nous croyons très supérieures aux jeunes qui se sont faits attraper en ligne par Daesh mais nous sommes aussi idiots.
En tout état de cause, quand vous voyez qqch de bizarre apparaître sur le net et spécialement sur twitter, avant même de vous intéresser au contenu, demandez vous QUI l'a relayé et POURQUOI ceci a été relayé à ce moment précis --> vous apprendrez ainsi vite à repérer les manipulations et les attaques véritablement dangereuses de la cyber-guerre contre laquelle malheureusement nos forces de sécurité, formées dans la plus pure tradition française pour la menace d'avant, sont faibles et démunies.
https://en.wikipedia.org/wiki/Disinformation
http://www.rappler.com/nation/148007-propaganda-war-weaponizing-internet
dans Hacking light, trucs et astuces | Les vraies menaces de la cyberguerre | Commentaires (0) | janvier 12, 2017
Que reste-t-il de zone-telechargement.com ?
Hier toute contente la gendarmerie a fièrement publié la fin du site zone-telechargement.com sur twitter et facebook où sa page de victoire devient un top des commentaires
qui illustrent assez bien que peut-être, la gendarmerie aurait du un peux moins faire de publicité sur cette affaire .. à moins que ce genre de publications lui serve de pot de miel pour savoir qui pense quoi et bâtir un énième fichier des récalcitrants à l'ordre moutonnier de travail, famille, patrie qui semble se dessiner en 2017 ..
Ceci dit, on peut tourner l'affaire de tous les côtés, il est assez surprenant de voir la gendarmerie s'attaquer avec succès à ce genre de sites et laisser en liberté tous les sites terroristes .. (cf Comment Daesh utilise Twitter (et pourquoi Twitter et les autres réseaux sociaux doivent cesser d'être passifs))
Lire la suite "Que reste-t-il de zone-telechargement.com ?"
dans Hacking light, trucs et astuces | Que reste-t-il de zone-telechargement.com ? | Commentaires (3) | novembre 29, 2016
Un superbe exemple de spamdexing
Le panda de Google doit avoir fait une indigestion de bambous tandis que le pingouin est peut-être amorphe à cause du réchauffement climatique (si si il fait chaud)..
Peut-être que big G devrait prendre des renards, des écureuils ou Pierre Lapin ;-)
car oui les mais, il existe encore de superbes exemples montrant que Google a des trous comme le montre ce superbe cas de spamdexing
Lire la suite "Un superbe exemple de spamdexing"
dans Hacking light, trucs et astuces, Référencement naturel | Un superbe exemple de spamdexing | Commentaires (2) | juin 10, 2016
Miami Box, Bouygues Canal + erreur Elig 02 et regarder des vidéos: le pot vraiment pourri du week-end
Avec l'arrivée de la fibre (la vraie) dans l'immeuble, si on changeait de box Bouygues...
Et c'est parti pour une Miami Box de Bouygues..
dans Hacking light, trucs et astuces | Miami Box, Bouygues Canal + erreur Elig 02 et regarder des vidéos: le pot vraiment pourri du week-end | Commentaires (0) | mai 16, 2016
Le design pour embrouiller et manipuler les internautes
En France, le design est souvent de la pignole, une grosse dépense, des délais et un truc destiné à plaire au taulier (et encore plus à la taulière) d'un site qu'à plaire et faciliter la vie des internautes.
Bien que Google ait depuis longtemps montré la voie d'un BON design ou qu'un des sites les plus fréquentés comme Leboncoin ait le design d'une interface de Minitel, des millions d'euros continuent d'être gaspillés dans des "home pages" fun, jeunes, class, cool, vivantes, colorées, sexy, etc, etc.. grâce à des gens aux cheveux verts ou des vendeurs de soupes en costumes ou des nanas spécialisées en marketing au doigt mouillé qui rivalisent d'adjectifs vides et hochements de têtes entendus pour justifier leurs propres utilités.
Lire la suite "Le design pour embrouiller et manipuler les internautes"
dans Hacking light, trucs et astuces | Le design pour embrouiller et manipuler les internautes | Commentaires (0) | avril 29, 2016
Comment Orange et Bouygues Telecom ont quand même fusionné dans leur manière de se foutre de la justice
Après quelques mois de négociation, il parait que Bouygues Telecom et Orange n'ont pas réussi à fusionner.. de la faute de Niel et Bolloré..
Pourtant, dans les faits, Orange et Bouygues Telecom (et sans doute SFR, Free et Bolloré) agissent déjà comme une seule et même entité face à leurs clients et face à la justice.
En voici l'illustration avec ce qui s'est passé récemment au Tribunal d'Instance du 17ème arrondissement de Paris.
dans Hacking light, trucs et astuces | Comment Orange et Bouygues Telecom ont quand même fusionné dans leur manière de se foutre de la justice | Commentaires (1) | avril 11, 2016
Comment obtenir une réduction de 50% sur les noms de domaine chez 1and1 ?
Si vous lisez régulièrement tubbydev.com, vous savez qu'on est moyennement fans de 1and1.
Certes le service est bon et les prix très corrects mais 1and1 est un champion de la censure et de la suppression de site dès qu'un baveux envoie une lettre sur papier moltonel épaisseur triple ou qu'un puissant a une démangeaison (cf Comment faire couper le site d'un concurrent hébergé chez 1and1 ? ou 1and1 champion de la censure arbitraire avec son arme WEBSPACE_BLOCKED ou 1and1 hébergeur et parfait collabo de la censure du site LeBonCoin ).
Revenons aux prix de 1and1, ils sont particulièrement bons pour les noms de domaine: 8,39 euros ttc avec souvent une réduction la première année mais on peut faire encore mieux en allant farfouiller :-), voici comment obtenir une réduction de 50% sur les noms de domaine chez 1and1 !
Lire la suite "Comment obtenir une réduction de 50% sur les noms de domaine chez 1and1 ?"
dans Hacking light, trucs et astuces | Comment obtenir une réduction de 50% sur les noms de domaine chez 1and1 ? | Commentaires (0) | avril 11, 2016
Qui est Antoine Bomal, sergent-chef ou y a-t-il aussi des faux profils masculins sur Linkedin ?
Reçu une demande de contact sur Linkedin de la part d'Antoine Bomal, sergent-chef..
D'emblée, le cv de ce profil semble étrange:
dans Hacking light, trucs et astuces | Qui est Antoine Bomal, sergent-chef ou y a-t-il aussi des faux profils masculins sur Linkedin ? | Commentaires (26) | février 25, 2016
Comment faire couper le site d'un concurrent hébergé chez 1and1 ?
Si vous avez des concurrents sur le web, vous pouvez essayer d'être meilleurs qu'eux (ou moins mauvais .. ce qui n'est pas une blague car souvent il suffit d'être moins mauvais, sans chercher à viser l'excellence qui elle peut vous brûler les ailes) ou vous partager le marché ou faire du negative SEO, ou faire cliquer sur leurs pubs ...
Mais, si ils sont hébergés chez 1and1, vous avez un autre moyen de les couler en faisant couper leur site web.
Si si c'est possible car 1and1 coupe n'importe quel site du moment qu'ils reçoivent assez de papier triple épaisseur d'un "conseil juridique".
Pour illustrer cette méthode particulièrement vicieuse de véritable hacking (mon voisin rigole en disant "pauvre mot qui n'a rien à voir" mais je proteste car "hack" c'est "détournement" et là, c'est bien le cas), imaginons un site web d'informations sur les banques, les assurances.
Lire la suite "Comment faire couper le site d'un concurrent hébergé chez 1and1 ?"
dans Hacking light, trucs et astuces | Comment faire couper le site d'un concurrent hébergé chez 1and1 ? | Commentaires (4) | janvier 12, 2016
Terrorisme, état d'urgence, cheval de Troie, Cloud, boîtes mails
Je vais maintenant aborder des points de procédure, qui sont des outils indispensables au recueil des preuves, et donc au succès des enquêtes.
À l'automne 2014, j'avais déjà évoqué devant vous la nécessité d'un régime juridique permettant la saisie de la correspondance électronique passée, présente dans la boîte de messagerie électronique. Actuellement, en autorisant une interception de correspondances électroniques on ne peut saisir que le flux futur, pour une durée de quatre mois renouvelables. Et c'est normal: on n'intercepte pas le passé. Or, le code de procédure pénale ne connaît que deux régimes pour saisir des correspondances : l'interception et la perquisition. Par sa décision du 8 juillet 2015, la Cour de cassation a considéré que ces correspondances antérieures à une décision d'interception, c'est-à-dire les courriers électroniques déjà présents, ne pouvaient être appréhendées que dans le cadre de la perquisition. Cela suppose de prévenir l'intéressé et de réaliser la saisie des données en sa présence !
M. René Vandierendonck. - Et quand la boîte est mutualisée, en cloud ?
M. David Bénichou. - Le cloud est sans incidence à proprement parler, mais vous touchez la question de l'extranéité, qui est cruciale. En effet, l'article 57-1 du code de procédure pénale interdit de perquisitionner à l'étranger, les données doivent être recueillies « sous réserve des conditions d'accès prévues par les engagements internationaux en vigueur ». Or, par exemple, un compte Gmail ou Hotmail n'est pas situé en France et aucun accord international n'autorise la saisie extra-territoriale de données. Cela nécessite une demande d'entraide pénale, qui nous placerait dans des délais inconciliables avec l'enquête. Et les avocats savent de mieux en mieux arguer de l'absence d'accord international...
En outre, dire que la saisie des correspondances électroniques déjà arrivées ne peut se faire que sous forme de perquisition supprime toute confidentialité à l'enquête, puisque la loi oblige à prévenir le perquisitionné et lui permettre d'assister à cette opération, ou de désigner des représentants.
La seule réponse à cet écueil serait d'aligner la saisie des correspondances passées sur celle des interceptions des correspondances à venir, quitte à prévoir un délai d'antériorité, pourquoi pas calqué sur la prescription. En effet, il s'agit du même type d'atteinte à la vie privée : les garanties qui valent pour l'une valent pour l'autre.
Deuxième point : la captation de données à distance. Depuis mars 2011, pour dire les choses simplement, le juge peut légalement ordonner l'insertion d'un cheval de Troie dans un ordinateur ou un téléphone, la loi appelle cela un « outil de captation à distance ». C'est indispensable car les communications ne passent plus par des appels ou des SMS classiques, mais par des services cryptés, comme Skype, Viber ou WhatsApp, qui sont très robustes. Faute de pouvoir entrer dans le téléphone pour capter les données à la source, les écoutes sont blanches.
Or nous ne pouvons recourir qu'à des outils préalablement autorisés par une commission spécifique de l'ANSSI - un seul l'était en 2014, puis deux - mais le ministère de la justice ne les a toujours pas mis à notre disposition. Un amendement du Sénat autorisant le juge à commettre un expert pour développer un outil a malheureusement été retiré, le ministre de l'intérieur invoquant la sécurité du système d'information de l'administration. Malgré ses engagements, un an après, nous en sommes toujours au même point. Les services de renseignement monopolisent les outils et ne les mettent pas à notre disposition, par crainte de les voir divulgués. Ils ont pourtant une durée de vie très courte. Contrairement au contre-espionnage, la lutte contre le terrorisme est avant tout un problème judiciaire : nous avons un besoin opérationnel constant de ces éléments. C'est pourquoi je vous suggère de redéposer cet amendement.
Deux possibilités s'offrent à vous. D'une part, permettre au juge d'utiliser des outils qui seraient développés par des experts ou des organismes habilités sans devoir passer par la procédure d'autorisation administrative. D'autre part, dans l'idée de mutualiser les moyens de l'État, tout en conciliant le besoin de secret des services de renseignement et les besoins opérationnels judiciaire, il pourrait être fait recours au Centre Technique d'Assistance (CTA), qui offre au juge les moyens de l'État en matière de cryptographie.
Troisième point : l'obligation de mettre à disposition des avocats, devant la chambre de l'instruction, l'intégralité du dossier, incluant les copies de travail des scellés numériques, pourrait conduire à la paralysie des enquêtes ou à des libérations inopportunes. En pratique, lorsqu'une perquisition est effectuée, de nombreux supports de données sont saisis : smartphones, disques durs plus ou moins volumineux. Ces supports pour être exploités sont d'abord copiés, puis les originaux placés sous scellés fermés. Ces copies de travail sont des disques durs. Leur réalisation prend quelques heures et la question se pose de leur statut au regard des règles posées par le code de procédure pénale et la notion de scellé provisoire. Mettre ces copies de travail à disposition des avocats nous est matériellement impossible - sans compter qu'il faut des outils particuliers pour les exploiter. Je suggère de calquer le régime d'accès aux copies de travail sur celui des scellés fermés. Sinon, il est très facile pour les avocats de demander la nullité du dossier au motif qu'il y manquera telle copie, peu importe qu'ils la consultent ou pas. Ces nullités automatiques peuvent causer des ravages dans les dossiers existants, compte tenu du nombre de copies de travail. Les droits de la défense resteraient respectés puisque l'original est sous scellés et des expertises peuvent être ordonnées. Il faudrait assouplir la notion de scellés fermés car la copie d'un disque dur prend plusieurs heures et n'est pas un inventaire au sens de l'article 56 du code de procédure pénale. En pratique, la défiance à l'égard du juge que traduit le code de procédure pénale est anormale : seul l'expert peut ouvrir et refermer un sceller. Pourquoi refuser ce qu'on autorise à un expert privé ? Actuellement, si le juge veut ouvrir un scellé fermé, il lui faut convoquer toutes les parties ! Les services enquêteurs ont besoin d'accéder à ces supports, sous le contrôle du juge, avant le placement sous scellés fermés, au moins pour réaliser des copies conformes.
(source http://www.senat.fr/compte-rendu-commissions/20151207/suivi.html#toc3 )
dans Hacking light, trucs et astuces | Terrorisme, état d'urgence, cheval de Troie, Cloud, boîtes mails | Commentaires (0) | décembre 19, 2015
Comment Daesh utilise Twitter (et pourquoi Twitter et les autres réseaux sociaux doivent cesser d'être passifs)
Facebook, Twitter, Google et la plupart des réseaux sociaux servent la soupe des terroristes et extrémistes de tous bords par leur passivité à leur égard.
Autant l'érotisme et la pornographie, ou l'utilisation frauduleuse de droits d'auteurs sont examinés, traqués, sanctionnés, autant l'extrémisme, le terrorisme, les appels à la haine ou aux meurtres sont très présents sur les réseaux sociaux sans que cela n'émeuve trop les responsables de ces réseaux.
Que ce soient Zuckerberg, Brin, Page ou plus près de nous Julien Cordoniou (https://twitter.com/codorniou) pour Facebook, ou Justine Ryst (https://twitter.com/justineryst) pour Twitter ou Vincent Bolloré pour Dailymotion, aucun "responsable" ne plaide coupable et ne prend à bras le corps le problème de l'utilisation des réseaux sociaux par les terroristes et extrémistes de tous bords.
A l'exception de Dailymotion (mais les fonctionnaires en charge de ceci auront-ils le courage d'affronter Bolloré, un homme qui arrive à se servir gratuitement de la diplomatie et de l'armée français en Afrique pour ses propres intérêts ?), les pouvoirs français n'ont AUCUN moyen de faire pression sur Facebook, Twitter et autres..
Pourtant, les réseaux sociaux et spécialement Twitter et Facebook sont essentiels au fonctionnement de Daesh, que ce soit pour la propagande, le recrutement (l'immense majorité des djihadistes est recrutée et endoctrinée par les réseaux sociaux), la publicité.
Sans Twitter et Facebook (plate-formes occidentales de fabrication), Daesh aurait nettement moins d'importance et de capacités d'action.
La vidéo montrée à la fin de ce post explique parfaitement comment Daesh utilise les réseaux sociaux et spécialement Twitter pour sa communication.
Twitter est utilisé comme "hub" pour le reste. Youtube alimente les tweets de Daesh pour + du 1/4 .
Liens et images représentent de 52% à 90% des tweets de l'état islamique.
Daesh utilise Twitter comme une sorte d'index pour diffuser de l'information "géographique", les tags sont relatifs aux lieux comme Raqqa, Tripoli, Hamma et permettent aux "disciples" d'être informés facilement
Les comptes de la "cause" sont organisés entre eux pour maintenir la communauté, même si quelques uns d'entre eux sont détectés ou tombent.
Quelques gros comptes (en followers) "leadent" de plus petites communautés, plus difficiles à trouver.
Tout un tas de pratiques servent pour dissimuler les comptes, les changer, les rendre indétectables.
L'élimination de Daesh sur les réseaux sociaux passe par une détection aussi sérieuse que celle qu'utilisent Facebook, Twitter et Google pour détecter les contenus inappropriés.. Et qu'utilise par exemple Google Adsense pour détecter les comptes qui ne respectent pas les conditions d'Adsense..
Les techniques qu'utilise Google pour détecter les sites ayant des liens entrants ou sortants suspects ou les sites un peu trop industriels PEUVENT servir à détecter les pratiques de Daesh..
Mais si les réseaux sociaux comme Facebook et Twitter qui VIVENT de la polémique (car seule la polémique et les positions extrêmes créent le "buzz", l'audience et la génération de contenu) commencent à chasser vraiment les extrémistes, ne verra-t-on pas se dégonfler la bulle de leur "succès" d'apparence ??
Il doit exister au Moyen-Orient un Al Lénine qui a prédit que les capitalistes de la Silicon Valley sont tellement avides d'argent qu'ils fourniront eux-mêmes la corde pour les pendre ...
Notons au passage l'importance de l'analyse rigoureuse du contenu de Twitter, loin de blablas des "influenceurs", des marketeurs et autres gourous qui concluent bien trop souvent au doigt mouillé
Sur Twitter, seule plate-forme sociale donnant accès à une certaine profondeur de données, l'analyse passe par l'examen du nombre de tweets, de rt, de % d'images, de liens, etc.. cf Détecter les tendances, les mouvements d'opinion, le futur avec Twitter et Deep Sea
Vous aussi, mettez la pression sur Facebook, Twitter et les autres #banterroristsaccounts
MAJ: voici la traduction du guide de Daesh sur la manière de se "cacher" en ligne
IS Encryption Guide by AlyssaBereznak
Voir aussi : http://stratcomcoe.org/network-terror-how-daesh-uses-adaptive-social-networks-spread-its-message
ethttps://www.thecipherbrief.com/article/cyber-strategy et http://voxpol.eu/wilayat-twitter-and-the-battle-against-islamic-states-twitter-jihad/ et http://warontherocks.com/2015/12/what-twitter-really-means-for-islamic-state-supporters/
dans Hacking light, trucs et astuces, Twitter | Comment Daesh utilise Twitter (et pourquoi Twitter et les autres réseaux sociaux doivent cesser d'être passifs) | Commentaires (1) | novembre 20, 2015
Comment savoir où sont stockées vos données dans le Cloud ?
Que ce soit pour des questions de sécurité, ou pour des problèmes juridiques ou simplement savoir si ce que vous raconte votre fournisseur est vrai, il peut être intéressant de savoir dans quel pays exactement sont stockées les données que vous mettez dans le cloud.
Certains fournisseurs ont UNE localisation mais d'autres, et notamment les bibendums comme Apple, Google, Microsoft ou les hébergeurs connus aiment jongler avec plusieurs pays.
(Au passage, l'aspect juridique n'est pas le moins intéressant car les CGV peuvent être en total décalage avec la loi du pays où sont réellement présentes les données et cela peut être autant une faille pour le fournisseur qu'une tromperie et impasse pour le client .. comme l'ont montré plusieurs cas récents.. Attention notamment si vous hébergez dans le "cloud" des données d'un de vos clients qui vous a fait garantir par contrat que les données étaient stockées en France ou en Europe..).
Lire la suite "Comment savoir où sont stockées vos données dans le Cloud ?"
dans Hacking light, trucs et astuces | Comment savoir où sont stockées vos données dans le Cloud ? | Commentaires (0) | novembre 17, 2015
Anonymat sur Internet: déjà en 2007
Voici la couverture d'un magazine informatique (oui oui) en 2007..
Outre le fait qu'on pourrait croire que ça date de la fin des années 90, le sujet était l'anonymat sur Internet ..
Finalement .. quoi de neuf sur le soleil ? Rien..
Lire la suite "Anonymat sur Internet: déjà en 2007"
dans Hacking light, trucs et astuces | Anonymat sur Internet: déjà en 2007 | Commentaires (0) | juin 11, 2015
Comment contourner la surveillance d' Internet de 1001 façons
Alors que les politiciens tentent d'arrêter terroristes et criminels en agissant sur leurs armes plutôt que sur ceux qui les manient ou les financent (et nul besoin d'aller chercher des envies de big brother .. Les explications sont les mêmes que pour Hadopi, REVOYEZ cette splendide vidéo Les causes de la loi HADOPI enfin révélées ), les faux culs et hypocrites de l'Internet français, au premier rang desquels les entre eux preneurs du Conseil National du Numérique, s'émeuvent, s'agitent devant les MENACES des évolutions prévues de la loi.
Comble de l'horreur, 3 pelés et un tondu étaient présents à l'Assemblée Générale pour la discussion initiale (exactement 30 députés) http://www.lemonde.fr/pixels/article/2015/04/13/loi-sur-le-renseignement-manifestation-pres-de-l-assemblee_4615045_4408996.html :
Lire la suite "Comment contourner la surveillance d' Internet de 1001 façons"
dans Hacking light, trucs et astuces | Comment contourner la surveillance d' Internet de 1001 façons | Commentaires (0) | avril 14, 2015
Comment donner un mail de contact valide à un abruti collant ou à un système qui veut absolument vous envoyer un lien à cliquer ?
Le monde avec internet est de plus en plus rempli de gens, de sociétés, d'organismes, de systèmes qui réclament comme preuve de vie un MAIL, VOTRE mail.
Désignons tous ces trucs par la dénomination "abruti collant" .
Que ce soit un ancien condisciple ou collègue, une ou un fan, une ou un secrétaire d'association collante, appelons les TOUTES et TOUS des abrutis collants.
Appelons aussi "abruti collant" tout système qui réclame pour l'accès à un livre blanc, un forum ou autre un MAIL avec un truc à cliquer.
Et bien sûr, là on se pose tous une question: va-t-on donner notre vrai mail ?
Ou doit-on créer un mail à l'usage de toutes ces m... ?
Un peu lourd à gérer quand même non ?
Et bien la solution existe ! Elle s'appelle par exemple yopmail.com (ou autre système de mail temporaire)
dans Hacking light, trucs et astuces | Comment donner un mail de contact valide à un abruti collant ou à un système qui veut absolument vous envoyer un lien à cliquer ? | Commentaires (0) | mars 28, 2015
Google et les hackers
Depuis 2010, Google a payé plus de 4 millions de dollars à des hackers (Tous les détails du programme Google et les hackers sur http://googleonlinesecurity.blogspot.fr/2015/01/security-reward-programs-year-in-review.html )
Lire la suite "Google et les hackers"
dans Hacking light, trucs et astuces, Technologie du web | Google et les hackers | Commentaires (0) | février 2, 2015
Utiliser le Graph Search de Facebook pour trouver des niches ou des victimes ;-)
Les temps sont durs pour les agriculteurs d'internet qui après des années de semences et de récoltes sur le web ne ramassent que quelques maigres revenus à cause de l'évolution du Glimat (le Glimat étant le climat Google), devenant de plus en plus chaud avec les phénomènes glimatiques de Panda, Penguin et autres ..
Brillante métaphore mise à part (ourf ..), avez-vous remarqué la formidable ressemblance entre blogging et écriture de contenu web ET l'agriculture ?? (même nécessité de présence, de recommencement, même "liberté", même méthodes de "cultures" soient "intensives", soient "qualitatives", même séparation entre éleveurs (contenu chaud) ou céréaliers (contenu froid)..
Voici donc un petit engrais, le Graph Search de Facebook, qui pourrait aider les damnés de la Glerre (la glaire est la terre Google ;-)) à augmenter un peu leurs rendements.
Lire la suite "Utiliser le Graph Search de Facebook pour trouver des niches ou des victimes ;-)"
dans Hacking light, trucs et astuces | Utiliser le Graph Search de Facebook pour trouver des niches ou des victimes ;-) | Commentaires (0) | janvier 6, 2015
Cyberguerre et cybermenaces vues par l' OTAN
L'assemblée parlementaire de l'Otan (très exactement sa Commission des sciences et des
technologies) a publié un rapport sur le cyberspace et la sécurité euro-atlantique.
Concrètement, cyberguerre et cybermenace vues par l'OTAN, ça donne quoi ?
Lire la suite "Cyberguerre et cybermenaces vues par l' OTAN"
dans Hacking light, trucs et astuces | Cyberguerre et cybermenaces vues par l' OTAN | Commentaires (0) | décembre 3, 2014
Comment trouver des bons prix et acheter moins cher sur Amazon
En quelques années, Amazon a explosé les sites marchands "classiques" et les tentatives de galeries commerciales.
Basé sur la satisfaction du client et des déficits qui font relativiser la dette souveraine dont on nous bassine à longueur de temps, le "modèle" Amazon (ou adaptation de Ponzi des temps modernes ? cf http://a16z.com/2014/09/05/a16z-podcast-everything-you-need-to-know-about-amazon/ ) risque fort de se faire lui-même détruire par la puissance de Google (Comment la guerre entre Amazon et Google va défoncer tous les autres systèmes de e-commerce et pourquoi Google va gagner et Amazon couler ).
Il n'en reste pas moins qu'Amazon est un monstre, une sorte de mega Goum mondial, avec des chiffres de vente à faire pâlir n'importe qui (800000 commandes le 13 décembre 2013 en France) et des sous-traitants (Amazon est par exemple le premier client de la Poste) qui rsiquent de chavirer si Amazon toussote.
Du côté du client, tout est fait pour pousser à l'achat et faciliter celui-ci.
Il n'en reste pas moins que quelques rusés ont trouvé des trucs pour acheter moins cher sur Amazon.
Lire la suite "Comment trouver des bons prix et acheter moins cher sur Amazon"
dans Hacking light, trucs et astuces | Comment trouver des bons prix et acheter moins cher sur Amazon | Commentaires (0) | octobre 9, 2014
Hacking avec Android: dSploit, zAnti2, DroidSheep ou NetSpoof
Les petits joueurs de téléphone s'ennuient depuis longtemps à .. téléphoner .. Facebooker, twitter, etc..
Android leur a permis de hacker (tout en reportant tous leurs exploits à Google ;-)) avec tout un tas de programmes permettant de jouer avec les réseaux pas trop sécurisés.
En gros, les possesseurs d'un "téléphone" Android ont le choix entre dSploit, zAnti2, DroidSheep ou NetSpoof ..
Lequel choisir ?
Voici un tableau comparatif issu du site de dSploit mais il semble assez vrai non ?
Lire la suite "Hacking avec Android: dSploit, zAnti2, DroidSheep ou NetSpoof"
dans Hacking light, trucs et astuces | Hacking avec Android: dSploit, zAnti2, DroidSheep ou NetSpoof | Commentaires (0) | octobre 6, 2014
5 millions de comptes gmail hackés .. vérifiez le votre avec ce fichier + intéressant que le pdf de Valérie T
Un plaisantin russe (ce n'est peut-être pas le hacker) a révélé sur un forum une liste de 5 millions de compte gmail avec mots de passe (mais aussi yandex et mail.ru ). A priori car personne n'a pu vérifier que les 5 millions de comptes étaient bien hackés.. Il se peut aussi que ce soit un gros fake.
Ca se passe sur https://forum.btcsec.com/index.php?/topic/9426-gmail-meniai-parol/
A priori, peu de comptes "français" mais vérifiez quand même le votre.
Nous avons récupéré le fichier, puis mis en ligne sur http://toutbox.fr/valerito/google_5000000,10974614.txt
(c'est un fichier txt de 103 Mo (donc un peu lent à charger pour certains mais sans danger - simple fichier texte).
Alors arrêtez de perdre du temps avec le fichier pdf ou autre des closeries de Valérie Trierweiler et parcourez un écrit vraiment utile ;-)
Vous pouvez entendre parler de cette histoire avec le conseil d'aller vérifier si votre compte a été piraté sur un site "isleaked" sauf que ce dernier a été enregistré 2 jours avant la "révélation" (lire http://jameswatt.me/2014/09/10/isleaked-com-registered-2-days-before-gmail-leak-public/ ).
Bref, fiez vous plutôt à notre simple fichier texte.
dans Hacking light, trucs et astuces | 5 millions de comptes gmail hackés .. vérifiez le votre avec ce fichier + intéressant que le pdf de Valérie T | Commentaires (0) | septembre 11, 2014
Prix des compétences de la cybercriminalité russe
Alors que les sanctions occidentales contre les Russie vont vraisemblablement déclencher en retour une cyberguerre et de nombreuses attaques de pirates, hackers et cyberactivistes russes contre les banques et entreprises occidentales, Trend Micro et son spécialiste du marché de la cybercriminalité russe, Max Goncharov, viennent de mettre à jour leur document sur l'état de l' "art".
http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-russian-underground-revisited.pdf
Rien de bien nouveau par rapport aux versions précédentes sinon que les prix baissent !
Voici quelques exemples de ce qu'on peut acheter relativement facilement sur les plate-formes et forums russes de cyber pas gentils.
100 dollars pour hacker un Facebook ou Gmail ! Bcp moins cher qu'un avocat pour calmer son ex non ?
100 dollars le spam de sms: quel beau cadeau pour un anniversaire !
1$ le scan de faux passeport: facile la confirmation d'un compte en ligne !
Et MOINS DE 10 EUROS la carte de crédit !! Qui a dit que l'argent était cher en 2014 !
Lire la suite "Prix des compétences de la cybercriminalité russe"
dans Hacking light, trucs et astuces | Prix des compétences de la cybercriminalité russe | Commentaires (0) | avril 30, 2014
Comment trouver les failles de Google, Youtube, Apple, Facebook, Twitter et autres gros sites
Même si ce sont de gros sites, les Gafa et autres Google, Apple, Amazon, Facebook, Twitter, Youtube ont des failles.
Et certains sites se font un plaisir de les compiler.
A propos des failles de Google ou Google Dorks, le plus connu est http://www.exploit-db.com/google-dorks/ (anciennement Johnny.ihackstuff.com avec Johnny reconverti depuis dans l'humanitaire).
Pour Google et les autres gros sites, vous pouvez aussi trouver des choses sur http://bugscollector.com/
Peu de trucs sur des sites "français" .. Mieux sécurisés ou ils n'intéressent personne ?
dans Hacking light, trucs et astuces | Comment trouver les failles de Google, Youtube, Apple, Facebook, Twitter et autres gros sites | Commentaires (1) | mars 24, 2014
Le drone qui pirate votre identité
Les drones n'en finissent plus d'amuser les bidouilleurs et hackers.
Après le drone tueur bidouillé par un amateur (cf Drones et Airsoft ) , voici le drone hacker et voleur d'identité.
Inventé par Glenn Wilkinson et Daniel Cuthbert de Sensepost Research Labs, le drone simule un réseau wifi où votre téléphone s'est déjà connecté. Votre téléphone s'y connecte donc et le drone grâce à Snoopy, récupère ce qu'il y a comme infos.
Tout repose sur le fait que la plupart des smartphone gardent les informations de connexion à un réseau wifi et tentent de s'y reconnecter parfois.
Lire la suite "Le drone qui pirate votre identité"
dans Hacking light, trucs et astuces | Le drone qui pirate votre identité | Commentaires (1) | mars 21, 2014
Cyberguerre entre la Russie et l'Ukraine
Alors que les députés de la Douma pleurent leur reconnaissance à Vladimir Poutine et écrivent même des poèmes et que les russes installent de sacrées devuchki en Crimée, comme Natalia Poklonskaia, ce procureur devenu un sex-symbol en Asie , une véritable cyberguerre fait rage entre la Russie et l'Ukraine.
En raison des forces en présence, il s'agit a priori du plus gros conflit n'ayant jamais eu lieu dans le cyberespace .
Certes, ce qu'on imagine à propos de Stuxnet ou les exemples toujours donnés de la Georgie ou de l'Estonie ont été de grosses affaires, comme ce qu'on imagine aussi à propos de la Syrie mais à l'exception de la cyberguerre là aussi subodorée entre la Chine et la Russie, jamais n'avait eu lieu un affrontement entre 2 groupes possédants autant de "talents".
Lire la suite "Cyberguerre entre la Russie et l'Ukraine"
dans Hacking light, trucs et astuces | Cyberguerre entre la Russie et l'Ukraine | Commentaires (0) | mars 21, 2014
Attention Cyber ! La cyberguerre vue par 2 officiers français
On croit souvent, et malheureusement à raison, que les militaires français sont à côté de la plaque en ce qui concerne la cyberguerre, les cyber menaces, bref, les dangers réels du cyber monde sur l'intégrité "mortar" des nations, des peuples et des institutions. Bien qu'un ancien Cemat des années 90 ait écrit qu'un jour le maître de l'électron l'emporterait sur le maître du feu, le militaire français semble avoir plaisir à rester dans son monde romantique classique et à ne pas adhérer à la devise d'une de ses écoles, "ils s'instruisent pour vaincre"...
Le livre "Attention Cyber ! " est donc une bonne surprise puisqu'écrit par 2 officiers supérieurs ( Aymeric Bonnemaison et Stéphane Dossé ) il montre qu'aux moins eux ont une conscience aigüe du problème.
Le titre peut faire un peu "naze" mais il fait en fait référence au livre du général allemand Guderian qui écrivait avant la seconde guerre mondiale "Achtung Panzer".
Le début d' Attention Cyber ! montre bien l'enjeu du sujet:
Lire la suite "Attention Cyber ! La cyberguerre vue par 2 officiers français"
dans Avenir du web, d'internet ?, Hacking light, trucs et astuces | Attention Cyber ! La cyberguerre vue par 2 officiers français | Commentaires (0) | mars 19, 2014
Ton site a-t-il été hacké ?
Mon ami, ton site a-t-il été hacké ou plutôt: un méchant s'est-il introduit dans ta base de données pour voler des données relatives à des clients ?
Le site https://haveibeenpwned.com/ se propose de révéler si ton site a été victime ..
Lire la suite "Ton site a-t-il été hacké ?"
dans Hacking light, trucs et astuces | Ton site a-t-il été hacké ? | Commentaires (0) | février 7, 2014
DLP Data Loss Prevention: 3 solutions russes à étudier
La DLP ou Data Loss Prevention est un des principaux soucis des directeurs de sécurité, sûreté et IT des grosses entreprises.
Certains spécialistes de la sécurité estiment que 6 employés sur 10, partant d'une entreprise, en emportent des données.
Lire la suite "DLP Data Loss Prevention: 3 solutions russes à étudier"
dans Hacking light, trucs et astuces | DLP Data Loss Prevention: 3 solutions russes à étudier | Commentaires (0) | février 5, 2014
Hacker Linkedin
Hacker Linkedin ? C'est peut-être possible au sens commun de l'expression mais c'est déjà faisable, montré et réalisé quand on a comme idée d'aspirer ou récupérer toutes les données d'un business, d'un concurrent ou des gens.
Un soft est même spécialisé pour ceci: Linkedin Klepto.
Il fonctionne avec un Mac ou Linux Unix mais pas avec Microsoft (A quand l'agalité entre genres en informatique ?? ;-))
Linkedin Klepto se récupère sur https://github.com/dingzj/linkedin_klepto
Et voici une vidéo de démonstration concrète de ce qu'il fait quand il "hacke Linkedin" de la création de faux profil Yahoo à la récupération d'informations:
Lire la suite "Hacker Linkedin"
dans Hacking light, trucs et astuces | Hacker Linkedin | Commentaires (0) | février 5, 2014
Comment casser un Nexus Android par une attaque DOS de SMS !!!
C'est la première fois qu'on entend une histoire d'attaque DOS par SMS ! (ok les haters, on n'est pas des spécialistes et d'ailleurs on n'a ni Android ni iPhone pour éviter de se faire en filets par Apple ou Google ;-))
Bogdan Alecu, un admin d'une société hollandaise (Levi9) a montré le hack au DefCamp de Bucarest.
Le problème concerne Android 4.X et les modèles Nexus 4 et 5. L'attaque peut faire rebooter le téléphone, stopper certains processus (mobile data), etc..
Tout se passe par l'envoi de flash SMS.
Comme dirait Ardisson, "video !":
Lire la suite "Comment casser un Nexus Android par une attaque DOS de SMS !!!"
dans Hacking light, trucs et astuces | Comment casser un Nexus Android par une attaque DOS de SMS !!! | Commentaires (0) | décembre 1, 2013
Jailbreak de la PS4, bonne ou mauvaise réaction de Sony ?
Récemment, le "hacker" Reckz0r a mis en ligne le jailbreak de la PS4 de Sony.
Qui est l'auteur de ce "débridage" ? Pas très clair car si https://twitter.com/Reckz0r est au top de la comm, l'auteur mentionné est le mystérieux https://twitter.com/xs4nd3r mais il se peut aussi que ce soit LA meêm personne (ou le même groupe).
Lire la suite "Jailbreak de la PS4, bonne ou mauvaise réaction de Sony ?"
dans Hacking light, trucs et astuces | Jailbreak de la PS4, bonne ou mauvaise réaction de Sony ? | Commentaires (2) | décembre 1, 2013
Waking Shark II ou un stress test de sécurité pour les banques .. britanniques
On ne rigole pas avec la cybersécurité et les dangers des cyber attaques en Grande Bretagne.
Cette semaine a lieu Waking Shark II (du calme ! A priori pas de relation avec Wireshark, quoique ;-)), 2ème édition 2 ans après (la première édition ben tiens cf http://www.bankofengland.co.uk/financialstability/fsc/Documents/DesktopCyberExercise%28WakingShark%29.pdf) d'une simulation de cyber attaque sur les banques.
La réalité rejoint a fiction de l'excellente série anglaise Spooks (ou MI5) où plusieurs épisodes et un en particulier imaginaient un tel scenario.
Lire la suite "Waking Shark II ou un stress test de sécurité pour les banques .. britanniques"