Bit est un outil permettant aux développeurs d’isoler, de synchroniser et de partager facilement des composants propres à leurs projets sans avoir à splitter les dépôts Git dans le but de publier et maintenir des packages.

Ainsi, chaque membre d’un projet peut parcourir les composants, choisir celui qui l’intéresse et l’utiliser, tout en collaborant, proposant des mises à jour, faisant des merges sur ce composant…etc.

Pas besoin de refactoriser le code ou de configurer quoi que ce soit. Bit se charge de tout, détecte automatiquement les composants de vos projets et détermine le graph de dépendances pour créer un environnement isolé pour chacun d’entre eux.

Ainsi chaque package peut alors être réutilisé dans n’importe quel projet, comme un bloc indépendant, augmentant ainsi drastiquement la réutilisation de code existant. Cool !!!

Bit est un projet open source donc vous pouvez le déployer chez vous comme ceci :

npm install bit-bin --global

Et pour ceux qui ont la flemme, c’est aussi un service hébergé auquel vous pouvez souscrire pour trouver et utiliser tous vos packages directement à partir du cloud magique à défaut d’être souverain.

Je vous invite à vous rendre sur la page du projet et à consulter la documentation pour connaître tous les détails.

Vous vous souvenez de mon article sur l’USB Killer ? Cette clé USB qui ressemble à n’importe quelle autre et qui est vendue ici pour la modique somme de 50 €, permet, une fois insérée dans un port USB, de griller l’appareil qui se trouve derrière.

Ainsi, en la branchant sur un ordinateur, en moins d’une seconde ou deux, on peut le détruire totalement. C’est moche et illégal si vous « testez » sur du matériel qui ne vous appartient pas.

Le maker Kedar Nimbalkar a réalisé une vidéo où il explique comment obtenir exactement le même résultat avec un ioniseur USB vendu à moins de 3$ sur Gearbest et Amazon.

Cet appareil est un purificateur d’air USB dans lequel se cache un condensateur qui est utilisé pour stocker l’électricité électrostatique récupérée à partir des ions de l’air. Il suffit alors de recâbler le condensateur au bon endroit pour en faire une arme de destruction massive.

Explications :

Malin et tellement simple !

Par contre, attention si vous voulez tester le truc sans risque, Kedar explique aussi comment faire un testeur. Autrement, vous cramerez votre matos.

Si pour votre projet en ligne, vous cherchez des idées et de l’inspiration pour les élements d’interface, je vous invite à faire un tour sur UIDB.io

Ce site regroupe des tas d’exemples d’UI, de la grille de prix, au dashboard, en passant par des pages d’inscription à des newsletters ou encore des exemples de pages de FAQ.

UIDB est un site communautaire, donc si vous avez des interfaces sympas à uploader, vous pouvez aussi participer en passant par ici.

Un petit défaut tout de même, avec ce site : Son interface est plutôt moche. Ironique non ?

Vous le savez, j’aime écrire. Mais j’aime aussi lire. Je lis le soir dans mon lit, le matin au petit déj posé sur mon balcon, aux chiottes pendant des heures, quand je suis sur les machines de la salle de sport, dans les transports, en vacances…etc.

Seulement, il y a tellement de livres sur cette terre qu’il me sera impossible de tout lire. Alors que faire ? Et bien Maxime, un ami, m’a recommandé une application super bien foutue baptisée Koober.

Cette app web, iOS et Android permet de lire ou d’écouter des synthèses de livres très variés. Pas mal de trucs de développement personnel, mais aussi des biographies, des livres d’économie, et des trucs un peu plus politiques.

Prenons par exemple le livre Fire & Furry qui retrace la 1re année de Donald Trump à la maison blanche. Ce livre de 336 pages est assez épais et disponible il me semble uniquement en anglais. Ceux qui ne sont pas à l’aise avec cette langue, et qui n’ont pas l’habitude de lire des pavés, ne vont certainement pas acheter ce bouquin. Et c’est bien dommage, car il est quand même intéressant. Et bien avec Koober, un tel livre est expliqué et résumé en 16 minutes d’écoute, ce qui permet de se faire un avis sur le contenu, d’en obtenir l’essence, le tout en un temps record. Et le fait qu’il soit en anglais n’est pas un souci puisque le résumé sera, lui, disponible en français. Donc ça peut vous permettre de goûter un peu de littérature anglophone l’air de rien. 🙂

Évidemment, ce sera toujours moins bien que de lire vraiment le livre qui est sûrement rempli d’anecdotes et de détails qui ne seront pas dans le résumé. Mais ça permet d’avoir un petit vernis sympathique pour améliorer son niveau de culture personnelle.

Et pour tous les livres de développement personnels où les auteurs tournent autour du pot pendant 300 pages, avant de lâcher leurs 10 conseils pour réussir sa vie, sur les 3 dernières pages, et bien c’est l’idéal puisque grâce à Koober, vous avez l’essentiel 😉 .

Koober est accessible gratuitement pendant une semaine et ensuite ça passe en payant, mais ça ne coute que 80 balles par an, ce qui est relativement économique quand on voit la quantité de bouquins résumés.

Pour moi qui fais pas mal de voiture en ce moment, je peux vous dire que c’est top ! J’ai beaucoup de mal avec les audiobooks qui sont trop longs, parfois mal lus et soporifiques. Alors que là avec Koober, ça va droit au but, c’est bien lu, on apprend des choses et on ne perd pas de temps.

Je voudrais quand même saluer le travail des rédacteurs qui lisent les livres et se tapent à écrire les résumés. C’est un boulot de dingue, alors chapeau !

Testez, et vous m’en direz des nouvelles ! Encore merci à Maxime pour la découverte.

Et dans le même style, mais en full english, il y a aussi Blinkist.

Quand on efface les photos de son smartphone, c’est toujours un peu la plaie.

Si vous êtes chanceux, vos photos étaient stockées sur une carte SD. Dans ce cas, en la sortant du téléphone pour la connecter à votre ordinateur, il est relativement simple de les récupérer à l’aide de PhotoRec (en ligne de commande) ou Disk Drill (payant) ou un équivalent. J’ai écrit un grand nombre d’articles sur le sujet tel que celui-ci, donc je ne reviendrai pas en détail dessus.

Mais quand les photos ont été effacées sur la mémoire interne du téléphone, je peux vous dire que c’est quasi mort. Sauf si votre smartphone est rooté. Dans ce cas, il est possible de récupérer des choses à l’aide d’applications Android.

Dans l’article de 2011 dont je parle un peu plus haut, j’évoquais Undelete Beta qui fonctionnait bien à l’époque. Je n’ai pas retesté depuis alors à vous de me dire :-).

Puis aujourd’hui, je suis tombé sur DiskDigger qui est assez similaire et permet de récupérer des photos perdues. Si votre smartphone n’est pas rooté, DiskDigger récupérera ce qu’il peut à partir des vignettes et du cache Android, mais bon, autant vous dire que le résultat sera un peu pourri.

Par contre si le smartphone est rooté, il sera capable de fouiller beaucoup plus en profondeur et de restaurer photos et vidéo effacées.

Evidemment, si votre téléphone n’est pas rooté, vous pouvez toujours le dévérouiller après coup, mais les procédures de formatage et de réinstallation de la ROM risques d’endommager fortement les zones mémoire où vos photos étaient stockées, rendant ainsi quasi impossible de récupérer des choses potables. Mais si c’est vraiment le désespoir, vous pouvez toujours tenter le coup.

Voilà pour la petite app Android du jour.

M’enfin, comme dirait Gaston, le mieux, c’est de faire des sauvegardes régulières pour ne plus vous prendre le chou avec des outils de récupération comme ceux que je viens de décrire.

Bon courage !

Ce week end, j’ai enfin pu voir Jurassic World 2 et je dois dire que j’ai bien kiffé, malgré le gars derrière moi qui respirait fort comme un vieux Triceratops.

Et comme la vie est bien faite, aujourd’hui je suis tombé par hasard sur un jeu mobile baptisé Jurassic World Alive plutôt sympa pour peu que vous aimiez marcher.

Oui, car Jurassic World Alive est un copié collé de Pokemon Go, sauf qu’au lieu de chasser des Pikachu et autre Dracaufeu et Tortank (z’avez vu, je m’y connais) et bien vous chassez l’ADN de dinosaures qui èrent près de chez vous à l’aide d’un drone. Pas si simple !

L’objectif ensuite est de recréer le dino en labo et de le croiser génétiquement avec d’autres et de l’améliorer pour en faire des animaux qui pourront combattre d’autres dinos plus féroces les uns que les autres. Et vous pourrez même faire des selfies avec vos bestiaux puisqu’il y a un mode réalité augmentée.

Bref, c’est con mais je trouve ça cool. Ça change des pokemons et ça permet de sortir un peu de la maison.

Jurassic World Alive est dispo sur Android et sur iOS.

Sous macOS, il y a une fonctionnalité qui est souvent appréciée et qu’on appelle les « coins actifs » anciennement connus sous le nom de « coins magiques », ce que je trouvais quand même beaucoup plus cool comme nom 🙂

Le principe est simple. Vous attribuez une action système comme lancer l’économiseur d’écran ou mettre l’ordinateur en veille, à chaque coin de votre écran, et ainsi, quand vous déplacerez votre curseur de souris dans ce coin, cela exécutera l’action.

C’est pratique si vous manipulez correctement votre souris. Par contre si vous êtes un peu maladroit sur les bords, ça risque de vous saouler rapidement.

Malheureusement, si vous êtes sous Windows, il n’y a pas d’option similaire intégrée au dernier OS de Microsoft (enfin, je crois pas). Mais heureusement, il existe un outil qui s’appelle WineXCorners qui va vous permettre d’obtenir le même comportement mais en mieux et d’avoir ces fameux coins magiques actifs sur votre OS fenêtré préféré !

Ça fonctionne à peu près pareil que sous Mac et vous avez le choix entre différentes actions comme éteindre l’écran, afficher le bureau, lancer l’économiseur d’écran…etc. Mais surtout, vous pouvez mettre des commandes « customs ». C’est à dire que vous pouvez lancer la commande de votre choix… Trop cool !

Et pour ceux qui ont peur de déclencher les coins par erreur toutes les 2 secondes, il y a la possibilité de configurer un délai de déclenchement de plusieurs secondes, pour être sûr que l’action se réalise si vous restez au moins X secondes dans le coin qui va bien. Cela manque sous macOS d’ailleurs.

Bref, ce serait dommage de ne pas tester 🙂

Vous pouvez télécharger WinXCorners ici.

Source

Hello les amis,

Ça va vous ? J’espère !! Avec ce beau temps et la Coupe du Monde pour ceux qui la regardent (pas moi, j’avoue), il y a de quoi se réjouir. 🙂

En ce qui me concerne, mai et juin ont été un interminable tunnel de déplacements, de rendez-vous et de conférences. Mais contrairement à l’année dernière, j’ai tenu bon, j’ai mieux géré mes temps de récupération malgré les heures passées en voiture (ceux qui me suivent sur Instagram savent de quoi je parle) et je pense que je ne finirai pas en pleurs et en sang comme l’année dernière. 😉

Je tenais quand même à vous dire merci, car j’ai croisé beaucoup d’entre vous ces derniers mois, et je vous kiffe. Toujours un petit mot gentil, un merci, un sourire, des échanges passionnés et constructifs et des encouragements qui me font continuer. De quoi me gonfler à bloc !!

Le point culminant de ces 2 derniers mois arrive à la fin de la semaine. Il s’agit de la Nuit Du Hack 16, et j’espère vous y croiser nombreux. J’aurai d’ailleurs des tas de goodies YesWeHack super cool à vous offrir durant cette nuit totalement folle donc passez nous voir sur notre stand !

Les cartons encombrent mon bureau alors que je l’avais péniblement rangé il y a 2 mois, et j’ai hâte de me débarrasser de tout ça !!! Donc vous me rendrez service en venant chercher votre Ninja Card spéciale YesWeHack ou votre porte clé « Bug Bounty Before Patch » qui sera du plus bel effet sur votre sac à dos. Ahaha !

D’ailleurs pour ceux que ça intéresse, côté YesWeHack, c’est la folie. Énormément de taf pour toute l’équipe, des clients heureux, des chercheurs de vulnérabilités refaits, et un business qui explose ! Nos efforts collectifs commencent à payer et ça nous boost encore plus ! D’ailleurs on recrute fort, donc n’oubliez pas, si vous êtes développeur ou business developer, vous pouvez rejoindre notre équipe donc la mission est de sécuriser la planète en se faisant plaisir. 🙂

Ce qui est cool, c’est que tous les gens que je croise et à qui je parle de YesWeHack, sont tous très intéressés et vont ensuite d’eux-mêmes présenter les énormes intérêts du Bug Bounty en termes de sécurisation des développements agile, de réduction des coûts et de remontée coordonnée de vulnérabilité à leur Boss / Responsable / RSSI. Pour résumer, j’ai des ambassadeurs partout et ça, c’est chouette ! Merci à vous de nous soutenir comme ça, et c’est grâce à vous que nous cartonnons.

Voilà pour les bonnes nouvelles. Et pour ceux qui veulent des news de mon potager, et bien sachez que mes plants sont énormes, que les premières tomates vertes sont déjà là et que les fleurs de courges et courgettes sont plus belles que jamais. Merci à toute cette alternance pluie / soleil que nous avons eue ces dernières semaines ;-). Et pour parfaire le tableau, j’ai réinstallé la piscine pour les enfants, et j’ai pu cette année en remplir la moitié à l’eau de pluie.

Sur toutes ces bonnes nouvelles, je vous laisse à votre mission quotidienne. Profitez bien du reste de la semaine, on se voit à la NDH16 pour ceux qui viennent et encore merci à tous pour tout !

Tchuss

OpenLogos, c’est le projet altruiste de Aras Atasaygın qui a dessiné un gros paquet de logos tous plus cools les uns que les autres, et qui les offre gratuitement aux projets open source.

Mais attention, pour obtenir un logo qui deviendra le symbole, la marque de votre projet open source, vous devez répondre à certains critères.

Tout d’abord, votre projet open source doit être actif. Ensuite, il faut en faire la demande en passant par ici. Puis c’est la communauté qui décidera des projets qui méritent de recevoir ces beaux logos. Enfin, sachez qu’une fois qu’un logo est attribué, il n’est plus disponible et le projet qui l’obtient hérite des droits.

À partir du 1er juillet, un logo sera donc attribué chaque jour à un projet open source jusqu’à ce que le stock soit épuisé.

Cool non ?

C’est très généreux de la part d’Aras, mais c’est aussi une super opportunité d’avoir enfin une vraie identité visuelle pour votre projet open source.

Bref, si vous maintenez ce genre de projet, je vous invite à postuler pour le logo de vos rêves en passant par ici.

A mon humble avis, ce que devrait faire Aras, c’est de développer un peu plus son site pour proposer à des graphistes volontaires de proposer généreusement des logos gratuits pour continuer à embellir tous les projets open source sur la durée. Un peu comme une mission divine pour les graphistes… et ça les changera des concours de créa non rémunérés ;-))

J’ai de bons souvenirs des vieilles séries de ma jeunesse…

K2000, l’Agence Tous Risques, Manimal, Mac Gyver sans oublier SUPERCOPTER !

Mais si souvenez-vous, l’hélicoptère noir capable de dépasser la vitesse du son, qui décollait de son volcan pour résoudre des missions secrètes. Quel kif !

Si cela ne vous dit toujours rien, je vous propose d’écouter tout simplement le générique de SuperCopter (Airwolf en anglais), rejoué tout simplement avec un orchestre de lecteurs de disquettes, de disques durs et de scanner.

Ça vaut le détour 🙂

Et si vous appréciez le style, d’autres vidéos sont également disponibles ici.

Source

Tous les jours, je prends un immense plaisir à regarder pousser mes plants de tomates et de courges… Mais vous êtes vous déjà demandé jusqu’où un arbre peut pousser ?

C’est en partant de cette question que Lanterne Cosmique, Astronogeek et d’autres ont réalisé cette vidéo à la fois instructive et poétique sur les arbres, l’univers et le voyage…

À ne pas manquer !

Si vous êtes développeur et que vous voulez vous perfectionner dans votre art, voici DevTube, un site qui source les vidéos Youtube les plus inspirantes et enrichissantes qui traitent de code.

DevTube propose une série de filtres qui vous permettront de sélectionner les vidéos qui vous intéressent le plus, en fonction de leur thématique (android, mobile, stockage, cloud, web, performance…etc) mais aussi en fonction des speakers, des chaines et de la langue de celles-ci.

Bref, y’a de quoi faire.

Bonne découverte à tous !

J’en parlais aujourd’hui sur ma story Instagram, et je me suis dit que ça vous intéresserait peut être que je développe un peu plus tout ça ici.

Si vous pensez que le mal de notre époque est Donald Trump et la Coupe du Monde, vous avez tout faux. Le mal de notre époque est la surcharge d’information, les notifications et les bons vieux reflexes pavloviens que nous avons acquis au fil des années et qui nous font vérifier et re-re-re-vérifier toutes les 60 secondes notre boite mail et nos comptes de réseaux sociaux.

A mis chemin entre la procrastination (clic clic clic) et le workaholisme, notre dépendance vis à vis de notre smartphone ou de notre ordinateur peut au mieux nous distraire de notre but, et au pire nous rendre totalement maboul en mode burnout-pétage-de-cable.

Je suis d’ailleurs le premier concerné par cela… Pourtant, à première vue, le remède est simple : Désactiver les notifications, laisser le portable hors de la chambre, ne pas l’emmener quand on part faire une course, basculer en mode avion souvent, et ne plus l’allumer lorsqu’on est en vacances.

Et globalement, sauf si vraiment, vous êtes addict, cela se passe plutôt bien. Cela fait un petit moment que je pratique et j’avoue que je me sens moins attaché à ce petit écran.

Mais là où ça se complique, c’est quand on a besoin du smartphone ou de l’ordinateur pour travailler ou avancer sur ses projets… Là l’outil est indispensable mais nos actions sur cet outil sont entravées de notifications, de vérification régulières de nos boites mails ou de lecture de nos comptes de réseaux sociaux. Et cela, c’est aussi mon drame. Difficile d’écrire sur une machine quand celle-ci est la source de toutes les distractions. Autant revenir au papier et au crayon.

Comment bosser convenablement quand un mail tombe toutes les minutes ? Oui, fermer son client mail est la solution qui parait la plus évidente mais quand on est conditionné, on y retourne encore et encore, parfois même sans s’en rendre compte.

On ne sait jamais, un nouveau message important aurait pu arriver entre temps. Mouarf…

Et je ne vous raconte pas quand ce nouveau message vous détourne de votre tâche actuelle pour vous entrainer dans une suite d’actions demandées par votre correspondant comme si cela était plus urgent que ce que vous êtes en train de faire actuellement.

Ne vous y trompez pas, quand quelqu’un vous demande quelque chose, il n’a absolument rien à foutre de ce que vous étiez en train de faire et s’il vous dérange. Son seul souhait est que vous accédiez immédiatement à sa requête.

Il s’imagine probablement que vous êtes en standby devant notre boite mail ou votre smartphone, en attente d’instructions pour enfin trouver un sens à votre vie grâce à lui.

Et malheureusement, quand on est un bon gars comme moi, qui aime rendre service, c’est souvent ce qui se passe. J’arrête immédiatement ce que je suis en train de faire pour répondre à la demande d’un tiers. C’est plus fort que moi.

Alors comment faire pour éviter à la fois les distractions et les réflexes conditionnés que nous avons lorsque nous sommes sur l’ordinateur ou le smartphone ?

Et bien ma technique c’est de créez un second compte utilisateur entièrement dédié à la tâche en cours. Sous Windows, Mac, Linux et Android, c’est possible très facilement. Et sous iOS, ce n’est pas possible (Il me semble). Dans ce cas précis, utiliser un second smartphone est la seule solution.

Sur ce nouveau compte utilisateur fraichement créé, pas de client mail configuré, pas de notification, aucune compte de réseau sociaux connecté, pas de messagerie instantanée, pas de raccourcis qui attirent l’oeil… Rien, excepté les outils dont j’ai besoin pour atteindre mon but.

Ainsi, il est plus facile de se plonger entièrement sur la tâche que l’on doit accomplir, sans tomber dans les pièges tendus aux 4 coins de notre écran.

L’idée est d’ailleurs la même si vous souhaitez utiliser votre ordinateur pendant les vacances pour par exemple regarder les horaires d’un musée ou mater un film, sans pour autant télécharger 3872 emails de boulot non lus, remonter dans l’historique du Slack pour voir si vous n’avez rien loupé ou vous ramasser un « Coucou, ça va ? T’es rentré de vacances ? » d’un collègue sur Skype. Brrrrr….

Bref, si comme moi, vous êtes toujours dérangé par autrui, et qu’en plus, vous vous dérangez vous-même en faisant 10 000 choses en même temps et du refresh compulsif sur vos boites mails et réseaux sociaux, je vous invite à opter pour le second compte utilisateur, épuré, avec simplement le nécessaire pour aller droit au but et accomplir votre destin !

A vous de jouer maintenant !

On trouve parfois des perles cachées dans les sous-domaines d’un site… Mais comment trouver ces sous-domaines sans forcement jouer aux devinettes ?

Et bien grâce à SubFinder qui s’est auto-proclamé le successeur de Sublist3r.

SubFinder utilise une combinaison de différentes techniques pour découvrir les sous-domaine de n’importe quel domaine. Pour cela il se repose sur des sources passives comme les moteurs de recherche, les pastebins, les services d’archivage….

Ask, Archive.is, Baidu, Bing, Censys, CertDB, CertSpotter, CrtSH, DnsDB, DNSDumpster, Dogpile, Entrust CT-Search, Exalead, FindSubdomains, Hackertarget, IPv4Info, Netcraft, PassiveTotal, PTRArchive, Riddler, SecurityTrails, SiteDossier, Shodan, SSL Certificates, ThreatCrowd, ThreatMiner, Virustotal, WaybackArchive, Yahoo

… mais aussi sur des méthodes de bruteforcing qui vont tenter des permutation dans les sous domaines existants pour tenter d’en trouver de nouveaux.

SudFinder fonctionne grâce à Go et vous pourrez trouver les sources du projet ici.

Si vous êtes l’heureux propriétaire d’un smartphone Android et que malheureusement, votre opérateur téléphonique ne vous autorise pas à utiliser le mode « Partage de connexion » de celui-ci, je n’ose imaginer votre tristesse.

Jusqu’à présent, ça fonctionnait dans la plupart des cas car les opérateurs ne pouvaient pas distinguer du trafic tether d’un trafic classique effectué depuis un smartphone.

Mais c’était sans compter sur le vilain méchant pas bô Google qui depuis Android 4.4 a positionné de manière stratégique un bug, euh pardon une fonctionnalité qui redirige le trafic dans 2 routes différentes. Une route avec son IP pour le partage de connexion, et une autre route avec une autre adresse IP pour le surf sur le smartphone.

La beauté de la chose, c’est que l’opérateur est ainsi capable de différencier le trafic et donc d’appliquer un filtrage. Merci Google !

Heureusement, Gildas GH a mis en ligne une solution sur son site BecauseOfProg. Merci à lui !!

L’opération ne nécessite pas d’être Root sur le smartphone, donc tout le monde peut la réaliser sans souci.

Tout d’abord, allez dans les paramètres -> A Propos puis cliquez plusieurs fois sur le numéro de build jusqu’à ce que le menu Développeur soit activé. Allez ensuite dans ce menu, et activez le débuggage USB.

Installez ensuite ADB qui se trouve dans le SDK d’Android sur votre ordinateur puis connectez votre Android à votre ordinateur. Ouvrez un terminal et entrez la commande suivante :

adb shell

Cela aura pour effet d’initialiser une connexion entre votre ordinateur et votre smartphone. Toujours dans le terminal, lancez la commande suivante qui modifiera un paramètre secret afin de désactiver la fonctionnalité permettant à votre opérateur de distinguer du trafic classique d’un partage de connexion.

settings put global tether_dun_required 0

Tapez ensuite…

exit

…pour sortir du shell et fermer la connexion. Débranchez votre téléphone et retournez dans les paramètres du menu développeur pour désactiver le debbugage USB.

Et voilà ! (à prononcer avec l’accent anglais)

Et si quelqu’un a une astuce pour continuer à avoir un débit normal quand on a explosé sa limite en data sans prendre les rallonges à 5 balles le Go, je suis preneur aussi ;-))) .

Encore merci à Gilles.

La chaine Youtube 4096 coutumière des remix de Windows comme celui-ci, a imaginé à quoi ressemblerait Windows 95 s’il était sorti sur smartphone à une époque pas si lointaine pour les anciens comme moi 🙂

Hyperterminal, Clippy et Word, Internet Explorer et même le bouton The Internet… Tout y est !

Et les mecs se sont même amusés à imaginé Whatsapp, Twitter, Youtube ou encore Skype en mode 95.

Magique !

Si vous cherchez un bon moyen de chiffrer facilement des fichiers avant de les envoyer à vos amis et collègues ou avant de vous balader avec sur clé USB, je vous invite à jeter un œil à Encrypto.

Développé par MacPaw, connu pour son outil de nettoyage CleanMyMac, Encrypto chiffre en AES-256 n’importe quel document, le tout protégé par un mot de passe de votre choix.

Ce qui est pratique c’est de pouvoir aussi noter un indice pour que le destinataire puisse deviner le mot de passe. Et une fois que le fichie est chiffré, vous pouvez le partager ou l’enregistrer en local sur votre disque dur.

Encrypto est minimaliste et simple à utiliser, ce qui peut permettre de partager des documents protégés avec des gens qui ne sont pas familiers avec la technique, les concepts de clés privées / publiques, les algos de chiffrement, ou encore des outils plus difficile à aborder pour les novices comme GPG.

De plus Encrypto fonctionne sous Mac et Windows et il est 100% gratuit !

Plus d’infos sur Encrypto ici.

Si vous lisez mon site depuis un petit moment, vous êtes surement familier avec Panopticlick et le concept de fingerprinting qui permet de tracker les internautes sans utiliser les bons vieux trackers, les cookies maudits et autres petites solutions techniques du genre.

Alors comment ça marche ? Et bien en fonction du type de navigateur que vous utilisez, de votre résolution d’écran, de votre système d’exploitation, des extensions en place sur votre browser, de la langue utilisée, des options activées ou non…etc, il est possible d’établir un « profil » de votre ordinateur.

Et bizarrement, ce profil est assez unique. Suffisamment en tout cas pour qu’on puisse vous suivre de site en site.

Alors comment faire pour remédier à cela ? Et bien si vous êtes utilisateur de Firefox (bravo !), il existe une extension nommée Chameleon, qui peut générer de manière aléatoire des tas d’infos dont le fameux User-Agent, afin justement de brouiller les pistes et d’empêcher un tracking à base de fingerprinting.

Ainsi, il est possible de renvoyer en mode random toutes les heures ou toutes les minutes :

• Un user-agent de navigateur (mobile ou desktop… C’est important de pouvoir choisir pour ne pas se retrouver avec des versions mobiles de sites quand on est sur son ordi et inversement). Celui-ci peut aussi être spécifié manuellement.
  
• Les références d’un système d’exploitation
• Le Referer (c’est à dire le site source par lequel vous êtes arrivé)
• Le type d’encodage et la langue que votre navigateur accèpte
• Et tout un tas d’autres choses comme l’Etag if-none-match, le Referer X Origin Policy, ou encore le Referer Trimming Policy.
• La résolution et la taille de votre écran.

De plus, Chameleon active le Do-Not-Track et propose de désactiver des choses comme les WebSockets, le Referer, la récupération d’infos via les capteurs de mouvements, PDF.js pour l’affichage natif des fichiers PDF ou encore l’API qui permet d’obtenir des infos sur la batterie.

Mis bout à bout, toutes ces choses, quand elles sont désactivées ou générées aléatoirement, permettent d’empêcher le tracking / fingerprinting.

A vous après de régler plus finement les options de Chameleon pour que cela ne viennent pas entraver votre surf quotidien. Notez aussi qu’il y a un système de liste blanche qui vous permettra justement d’éviter que Chameleon mette le boxon sur certains de vos sites.

Vous pouvez télécharger Chameleon ici.

Source

Je cherchais un éditeur markdown sympa et fonctionnant sous Mac pour remplacer MacDown et je suis tombé sur Mark Text.

Mark Text est un nouvel éditeur Markdown disponible en open source sous Windows, Linux et MacOS.

MarkText a été conçu pour proposer une interface minimaliste et sans distraction, ce qui permet de se concentrer sur sa rédaction, sans pour autant perdre en fonctionnalités.

Mark Text réagit instantannément à la syntaxe que vous utilisez afin de générer le bon rendu qui va bien grâce au moteur Snabbdom. Et si vous aimez placer des emojis partout, ce sera super facile puisque MarkText gère l’autocomplétion d’émojis.

Mark Text propose aussi 2 thèmes (fond blanc ou fond noir) et vous pouvez switcher en mode « typewriter » pour retrouver les sensations d’une machine à écrire, ou en mode « Source Code » pour avoir une numérotation de lignes et le code markdown directement visible. D’ailleurs le module de coloration syntaxique reconnait de nombreux langages de programmation.

Un mode « Focus » vous permet aussi de voir en clair uniquement le paragraphe sur lequel vous intervenez et garder en plus sombre le reste du contenu. Et si vous êtes matheux, il est possible de rédiger vos équations directement dans Mark Text.

Bref, un outil super puissant qui offre aussi des possibilités d’export en PDF, HTML (avec ou sans style).

Si cela vous intéresse, vous pouvez télécharger Mark Text ici.

Flatpak anciennement connu sous le nom de xdg-app est une technologie qui permet de distribuer une une application Linux, sans avoir à se soucier des problèmes de compatibilités entre distribution ou des soucis de bibliothèques. En effet, les applications Flatpak fonctionnent sous la forme de sandbox dans lesquelles les lib sont intégrées, ce qui permet d’avoir une application qui se lance directement, et cela peu importe l’état de votre distribution Linux.

L’inconvénient évidemment, c’est que les app sont un peu plus grosses (du fait de la redondance des libs) mais mis à part ça c’est quand même super pratique y compris quand on veut faire cohabiter plusieurs versions d’une même application. Et en matière de sécurité, comme on est en mode bac à sable, les applications doivent demander l’autorisation à l’utilisateur pour pouvoir accèder aux fichiers du système ou aux périphériques.

Si vous êtes sous Ubuntu >= 17.04, vous pouvez installer Flatpak directement en faisant un :

sudo apt-get install flatpak

Si vous avez besoin d’ajouter le dépôt :

sudo add-apt-repository ppa:alexlarsson/flatpak
sudo apt update

Pensez aussi à installer le plugin Flatpak pour intégaer le support à Gnome.

sudo apt install gnome-software-plugin-flatpak

Pensez à relancer Gnome ou à rebooter votre ordinateur pour que le plugin fonctionne. Ensuite pour installer une application Flatpak, 2 choix s’offrent à vous.

Premièrement, vous pouvez l’installer en ligne de commande :

flatpak install nom_du_flatpak

Et pour ajouter un dépôt Flatpak spécifique, vous pouvez faire un :

flatpak remote-add une_adresse_url

Et si vous n’êtes pas inspiré, vous pouvez aussi récupérer directement des applications au format Flatpak sur le site Flathub.

Grâce au plugin Gnome vous n’aurez qu’à double cliquer sur le .flatpakref.  Notez aussi que vous pouvez ajouter le dépôt de Flathub comme ceci pour installer les flat du site en ligne de commandes :

flatpak remote-add --if-not-exists flathub https://dl.flathub.org/repo/flathub.flatpakrepo

Ensuite vous pouvez lancer votre application simplement en cliquant dessus ou via un terminal en tapant subtilement cette commande :

flatpak run nom_de_l_appli

Et pour désinstaller un flatpak :

flatpak uninstall nom_du_flatpak

Je vais vous donner un exemple car la syntaxe n’est pas forcement super intuitive. Imaginons que je veuille rechercher le nom du paquet VLC, le nom du Remote associé (ici c’est flathub), l’installer puis le lancer sur mon système.

flatpak search VLC
flatpak install flathub org.videolan.VLC
flatpak run org.videolan.VLC

Voilà en gros pour le petit topo sur le fonctionnement de Flatpak. Et si vous voulez packager vos propres apps au format Flatpak, je vous invite à lire cette docu.

Toutefois, je profite de cet article pour mettre en avant un second projet utilisant Flatpak et qui s’appelle Winepak.

En gros, c’est pareil que Flatpak sauf que ça sert à distribuer des applications Windows qui seront lancé avec Wine. Et pour ceux qui pratiquent Wine, ça risque d’être un soulagement de ne plus avoir à se battre avec des libs tordues ou des dll à importées pour pouvoir lancer telle ou telle application Windows sous Linux.

Avec Winepak, on télécharge, on lance et paf, ça fonctionne. Génial !

Pour installer Winepak, il suffit d’ajouter son dépôt à Flatpak comme ceci :

flatpak remote-add --if-not-exists winepak https://dl.winepak.org/repo/winepak.flatpakrepo

Puis de rechercher le nom (com.xxxx.xxx) l’application Windows de vos rêve Attention, vos rêves doivent être raisonnable car pour le moment, il n’y a pas grand chose dans leur dépôt des apps Windows. Quelques jeux, IE 8 et Notepad++.

Donc pour installer Notepad++ fourni avec un Wine et sa bonne config sous Linux avec Flatpak et le lancer , il suffit de faire :

flatpak search notepad
flatpak install winepak org.notepad_plus_plus.Notepad-plus-plus
flatpak run org.notepad_plus_plus.Notepad-plus-plus

Sympa non ?

Reste plus qu’à attendre que les développeurs s’emparent de Flatpak et Winepak pour pouvoir utiliser toutes ces merveilleuses apps sous Linux sans aucune prise de tête. Moi j’attends le Winepak de Age of Empires de pied ferme.

J’ai joué 1 seule fois à Fortnite pour voir. Enfin, « jouer » c’est un grand mot. Disons que je me suis offert en pâture aux joueurs plus expérimentés que moi 😉 .

Mais bon, sur le smartphone c’est pas super pratique alors je suis content de voir que le jeu d’Epic est sorti hier sur Nintendo Switch. Je vais pouvoir refaire plusieurs essais un peu plus sérieusement.

Le truc cool c’est que ce jeudi (si tout va bien), Fortnite sur Switch verra son chat vocal activé et cela passera directement via le casque audio. Ça permettra aux joueurs de discuter ensemble, sans avoir à installer une application tierce parfois bien pénible.

Fortnite on Switch supports party chat through the headphone jack. Not through the Nintendo mobile app. Currently turned off but will turn on Thursday pic.twitter.com/TdfVkDZ8qj

— Wario64 (@Wario64) 12 juin 2018

Hâte de tester ça pour voir si ça fonctionne bien.

Source

/!\ YesWeHack recrute des développeurs /!\

Salut à vous Hackers de tous poils !

Si vous souhaitez vous rendre à la Nuit du Hack 16 qui aura lieu les 30 juin et 1er juillet prochains à la Cité des Sciences et de l’Industrie à Paris, et que vous n’avez pas de place, arrêtez tout puisque je vais vous en faire gagner !

Cette année la Nuit du Hack sera donc à la Villette (PARIS) avec au programme de super conférences, le wargame, un CTF privé, la fameuse NDH Kids pour que vos enfants s’amusent comme des petits fous, le Confessional de Zataz, une session quizz bien délire de « Qui veut gagner des Bitcoins » ainsi que le Spying Challenge qui vous permettra d’exercer vos talents en Social Engineering.

ET BIEN SÛR le traditionnel Bug Bounty organisé par YesWeHack !

Dans le respect des règles de ce bug bounty et durant les 24h de l’événement, vous aurez donc accès à des périmètres à tester tout frais, tout beaux qui vous permettront d’empocher de jolies primes.

Si ça vous branche, vous pouvez donc tenter de gagner des places pour la NDH.

Alors comment ? Et bien il suffit de laisser un petit message dans les commentaires de cet article et je ferai un tirage au sort à la fin de la semaine en invoquant le Dieu du Random !! Ça faisait longtemps !

Bonne chance et on se voit là bas puisque j’y serai !

SQLPad est une application web qui s’autohéberge et qui permet de lancer des requêtes SQL et observer les résultats de celles-ci via de jolis graphiques.

SQLPad est donc conçu pour aider les data analysts à explorer des données et à en sortir des visualisations sympas totalement configurables, le tout via une interface web épurée et agréable.

Chaque requête que vous créez peut être sauvegardée sous la forme d’un snippet pour être reprise plus tard et un outil de mesure permet de connaitre les performances de vos requêtes SQL.

Pour installer SQLPad, il vous faudra NodeJS et lancer la commande suivante :

npm install sqlpad -g

Et pour lancer SQLPad

sqlpad

Vous pouvez voir les détails du projet ici. Attention, c’est un outil destiné à être utilisé en local, alors si vous décidez d’exposer SQLPad sur le net pensez à activer le TLS, à mettre un bon mot de passe, désactiver la fonctionnalité de création de compte, un petit WAF devant, sans oublier si vous le pouvez, une détections des éventuelles vulnérabilités.

Enjoy !

Le youtubeur Primum Non Nocere a réalisé une vidéo assez longue mais passionnante si vous vous intéressez un peu aux sciences et à la médecine.

Il a pris comme point de départ le sujet « chaud » de la vaccination obligatoire, pour faire un rappel nécessaire sur les maladies contre lesquelles ces vaccins protègent.

C’est bien expliqué, et bien illustré avec des photos et des vidéos bien hardcore qui pourraient choquer certaines personnes. 
Donc âmes sensibles et hypocondriaques s’abstenir.

Si vous voulez en savoir plus sans voir les images des malades, vous pouvez écouter simplement le son, ce sera tout aussi bien.

Si vous voulez vous essayer à la lecture rapide, voici un nouvel outil qui fonctionne dans n’importe quel terminal Linux et macOS.

Nommé Uniread, ce logiciel suit la méthode de lecture rapide mise au point par la société Spritz dont j’ai déjà parlé ici, là et là. Cette méthode est simple puisqu’elle consiste à faire défiler les mots un à un très rapidement. Cela permet de « flasher » vos rétines et donc votre cerveau avec les mots d’un livre ou d’un article.

Uniread fonctionne grâce à NodeJS et support le format epub propre aux ebooks. Que du bonheur.

Pour installer Uniread, assurez-vous d’avoir d’abord installé NodeJS puis lancez la ligne de commande suivante :

sudo npm install -g uniread

Bonne lecture à tous !

Hier pendant la pause déj, avec l’ami Remouk, nous avons enregistré un nouvel épisode des Webosaures.

L’occasion était trop belle de ne pas parler de Github, de Microsoft et des risques de la centralisation des données.

Voici donc le replay pour ceux que ça intéresse. Et pour ceux qui voudraient voir les lives et interagir avec nous lors des prochaines sessions, abonnez-vous !

Je ne sais pas ce que vous utilisez pour faire vos captures écran et les partager avec vos contacts, mais si vous utilisez Lightshot, faites attention.

En effet, Lightshot permet d’uploader automatiquement sur leurs serveurs des captures écran pour les partager en ligne via leur service https://prnt.sc/ .

Suite à cet upload, ce que vous obtenez alors c’est une simple URL publiques comme celle-ci par exemple : https://prnt.sc/jrfslz

On pourrait la penser aléatoire mais en fait, pas du tout, car si j’envoie juste derrière une autre image, j’obtiens une séquence qui se suit plus ou moins. Ex :  https://prnt.sc/jrfsyt

Entre mes 2 uploads, comme vous pouvez le voir, il y a eu pas mal d’autres gens qui ont aussi partagé des photos ou des screenshots : m1, m2, m3, […], yq, yr, ys…

On comprends donc qu’en entrant une suite de chiffres et de lettres de 1 à 6 caractères, il est très facile d’aller mater les screenshots / photos d’autres personnes. Et on y trouve à boire et à manger. Des captures écran de jeux vidéo, des messages d’erreur mais aussi des captures de conversation Skype ou des données plus personnelles comme des adresses postales et des noms. Pas très GDPR compliant tout ça d’ailleurs.

Bravo la sécu et clap clap à Naïm Gallouj qui a pointé du doigt ce souci. Notez aussi qu’un POC (pas testé de mon côté) permet de récupérer les images en suivant les séquences.

Des services comme Dropbox proposant le même genre de fonctionnalité, balancent comme ID une chaîne aléatoire de genre 100 caractères, ce qui rend plus compliqué la « découverte » de contenus partagés.

Lightshot de son côté a fait très light… et une fois encore, ça rejoint ce que j’expliquais dans ce post un peu énervé.

En attendant, je vous conseille de changer de crèmerie pour le partage de vos screenshots.

Merci à Charles pour l’info

Oyez oyez ! Si vous écumez Le Bon Coin, eBay, ou les brocantes à la recherche de votre prochain Mac d’occasion, ARRÊTEZ TOUT et lisez cet article.

Vous n’êtes pas sans savoir qu’Apple a fait sa petite keynote hier. Et parmi toutes les annonces merveilleuses de la firme à la pomme que je n’ai pas encore eu le temps de regarder en détail, nous avons eu le droit à un teasing sur macOS 10.14 alias Mojave (oui comme le désert).

Toutefois, vous vous en doutez, cette nouvelle version ne fonctionnera pas sur certains modèle de Macbook et iMac plus anciens. Adieu donc les mises à jour et autres fonctionnalités dans le vent. Édit : les maj de sécurité resteront possibles.

Donc si vous avez prévu d’acheter un Mac d’occasion, attention au modèle que vous choisissez car selon son millésime, vous ne pourrez pas le mettre à jour vers Mojave.

Cela s’explique par l’ancienneté du matos mais comme il n’est pas rare de trouver en occaz des Mac de 2009, 2010 ou 2011 parfaitement fonctionnels, certaines personnes pourraient se faire avoir. Notez donc bien que si le matos est plus ancien que 2012, 2013 et dans certains cas 2015, vous l’avez dans l’os pour la MAJ vers Mojave.

Voici donc la liste du matériel qui supportera Mojave.

• Macbook début 2015 ou plus récent
• Macbook Air, mi-2012 ou plus récent
• Macbook Pro, mi-2012 ou plus récent
• Mac mini, fin 2012 ou plus récent
• iMac fin 2012 ou plus récent
• iMac pro de 2017 ou plus récent
• Mac Pro fin 2013, mi 2010 et mi 2012 ayant des puces graphiques (GPU) supportant les API Metal.

Comme tous les possesseurs de Mac < 2012 vont vendre leurs machines en masse dans les jours qui viennent avant qu’elles ne perdent trop de valeur, vous risquez d’être déçu au moment de vouloir faire la mise à jour.

Par contre, si vous n’avez rien à cirer de Mojave, c’est aussi une info à connaître pour négocier le prix à la baisse 😉

Source

J’ai écris ce matin un super long article sur le rachat de Github par Microsoft, prenant bien le temps de développer tous mes arguments. Malheureusement, suite à un crash de ma machine + auto-sauvegarde non fonctionnelle (ce que je n’avais pas vu) et bien j’ai tout perdu comme un couillon. Erreur de noob. Ouin.

Donc, comme ça m’a un peu dégouté, mais je vais quand même vous faire un résumé qui sera un peu plus brut de décoffrage, moins bien tourné, moins sourcé et argumenté mais tant pis.

Microsoft rachète Github. Ca fait hurler dans les chaumières parce que c’est « Microsoft ».

Je comprends l’émoi mais il ne faut pas oublier le contexte :

• Que Github est aussi une boite commerciale
• Que Github est centralisé
• Que Microsoft finance très fortement le logiciel open source depuis des années que ça n’a pas l’air de trop stresser la majorité des contributeurs open source
  
• Que les employés de Microsoft sont les plus gros contributeurs sur Github, loin devant Google
• Que Microsoft est avant tout une boite de dev qui conçoit des outils et des services pour les dev. (Azure, Visual Studio, et une tonne de SDK…)
• Que Microsoft aussi publie masse d’outils open source

Alors que va faire Microsoft ?

• Laisser Github en l’état (peu probable) ?
  
• Reproduire le drame Sourceforge avec Github (possible) ?
  
• Intégrer Github (en conservant la marque ou pas) dans son panel de services pour les dev (fort probable) ?
  

Après si quelques développeurs se barrent du service, je pense que ça ne va pas trop inquiéter Microsoft qui de toute façon va pouvoir continuer à adresser un marché de professionnels qui ont des gros besoins techniques pour leurs équipes de devs.

Sur le coup, on peut dire que Microsoft a bien joué car ils récupèrent un outil aux fonctionnalités incontournables pour compléter leur gamme de services, tout en mettant la main sur une communauté ultra riche de développeurs, et une bibliothèque de codes tout aussi riche.

Maintenant les options qu’ont les développeurs qui utilisent Github :

• Ne pas migrer et voir ce qui va se passer. (ce que la majorité va faire je pense)
  
• Migrer sur un autre service commercial comme Gitlab ou équivalent (ce qui est en train de se passer…) mais je trouve ça un peu dommage car c’est tout aussi centralisé. Donc si Gitlab se fait racheter dans 2 mois, rebelote.
• Passer sur un gitlab géré en mode associatif comme Framagit. C’est cool mais ça n’empêchera pas la centralisation.
• S’auto-héberger avec un script open source comme celui de Gitlab, ce qui est cool mais on aura alors de la fragmentation et on perdra ainsi le côté « bibliothèque de codes » de Github

Enfin, la dernière option serait qu’émerge un Mastodon du Git qui offrira à la fois de la décentralisation mais aussi la possibilité de retrouver les contenus via des moteurs de recherches ou des sites. Cela pourrait par exemple se faire sur une base de Mango, un git décentralisé utilisant IPFS…

Ce serait l’idéal, c’est sûr.

Disons donc que les options pour ceux qui veulent fuir Microsoft restent pour le moment assez standards.

Heureusement, la résilience est une chose magnifique et je suis certain que dans quelques mois, tout le monde se sera un peu calmé sur le sujet à part une poignée d’anti-microsoftiens bloqués et en boucle depuis 1998.

Voilà pour le résumé express avec pas mal de listes à la place de jolies phrases et moins de pincettes. Mais globalement, ça résume bien ma pensée sur tout ça. Je comprends parfaitement les inquiétudes de certains utilisateurs de Github mais on reste dans une configuration assez simple d’une boite privée qui achète une autre boite privée.

Heureusement, Internet est grand et chacun trouvera rapidement son bonheur.

En tout cas, j’ai hâte de voir comment tout ceci va évoluer.

---

Original Xiaomi WiFi HomePlug

45,79 €

Le Xiaomi WiFi Homeplug est à la fois un répéteur et un routeur internet.
Composé d’une base centrale à brancher par ethernet à votre box internet, il peut communiquer avec pas moins de 7 plug disposés dans les différentes pièces de votre maison ou appartement pour étendre votre couverture réseau.

Compatible avec la plupart des routeurs du marché, le HomePlug de Xiaomi a une fréquece de 2.4GHz et une vitesse de transmission de 300Mbps.

Vous pouvez gagner jusqu’à 40% de wifi en plus dans les pièces les plus éloignées de votre box internet.

Et pour les grandes habitations, pour couvrir plus de pièces vous avez la possibilité d’étendre la couverture avec des Plugs supplmentaires.

En Savoir +

Je viens de lire une réflexion intéressante sur le site de Daring Fireball concernant l’option d’iOS qui active un effacement total de l’iPhone après 10 entrées de mots de passe erronés.

En ce qui me concerne, ayant des enfants et un ou deux potes bien boulets, je n’ai jamais activé cette option de peur que cela efface toutes mes données après que ces êtres chers à mon cœur se soient emparés de mon téléphone.

Toutefois, j’ignorai qu’iOS imposait un délai d’attente de plus en plus long entre chaque saisie de mot de passe erroné. En effet, après le 5ème essai, iOS oblige à 60 secondes de pause avant d’entrer à nouveau un code. Après le 6ème essai erroné, c’est 5 minutes qui sont imposés. Puis après le 7ème essai, c’est 15 minutes… et ainsi de suite.

Ainsi, pour pouvoir entrer 10 codes erronés, il faudra (d’après les essais de John Gruber de Daring Fireball) patienter au total 3h. Autant dire qu’il y a peu de chance que votre enfant ait la patience ou l’opportunité de rester plus de 3h avec votre téléphone à tenter de le déverrouiller.

Ainsi, objectivement, il n’y a *pas* vraiment de raison de ne pas activer cette option qui peut servir dans certains cas un peu extrêmes à « protéger » votre vie privée. De plus, avec les sauvegardes qu’il est possible de mettre en place (iCloud ou en local avec iTunes), même si un effacement total de votre iPhone survenait, ce ne serait pas un drame.

J’ai donc décidé d’activer l’option tant redoutée quand on est parent.

Et j’aurai encore appris un truc aujourd’hui.

J’ai voulu réinstaller TrueCrypt 7.1a sur mon macOS et après l’avoir téléchargé ici, je me suis heurté à l’erreur suivante :

Pas cool, sachant que la version actuelle de macOS est la 10.13.4.

Heureusement, il existe un moyen de contourner le problème. Voici comment.

Etape 1, copiez le fichier TrueCrypt7.1a.mpkg sur votre disque dur. Faites ensuite un clic droit dessus et faites « Afficher le contenu du paquet »

Rendez-vous ensuite dans le dossier « Contents » et éditer avec Textedit ou l’éditeur de texte de votre choix, le fichier distribution.dist.

Repérer ensuite les lignes que j’ai surligné dans la capture écran ci-dessous. Il s’agit du code qui vérifie la version de votre macOS et qui empêche TrueCrypt de s’installer. Vous pouvez supprimer tout ce que j’ai surligné ou simplement modifier les valeurs.

Sauvegardez le fichier, et relancez l’installation du package comme au début.

Problème résolu !

Vous n’avez peut-être jamais prêté attention à cela mais les webmasters qui utilisent Google Analytics, aiment souvent mettre des trackers dans les URLs de leur site.

Un peu comme ça :

https://korben.info/?utm_source=google&utm_medium=cpc&utm_campaign=promo&utm_term=youpi%2Bjoie&utm_content=1

Cela se matérialise par tout une série de tags que vous pouvez mieux voir lorsque par exemple vous partagez une URL via Twitter ou que vous la copiez collez. Ces trackers Made by Google, ce sont les suivants :

• utm_source
• utm_medium
• utm_term
• utm_campaign
• utm_content
• utm_cid
• utm_reader
• utm_name

Le webmaster peut mettre un peu ce qu’il veut dans ces paramètres mais globalement, cela lui permet de savoir dans le cadre d’une opération publicitaire depuis où vous êtes rentré (moteur de recherche, newsletter, Twitter…), la campagne publicitaire en cours, le type de contenu que vous êtes en train de consulter (dans le cadre de tests A/B).

En ce qui me concerne, je m’arrange pour les nettoyer dans de partager un lien sur mes rézosozios mais il m’arrive de zapper.

Heureusement, il existe une extension Chrome et Firefox qui s’appelle Tracking Token Stripper qui est capable de nettoyer automatiquement ces petits paramètres AVANT que l’URL soit appelée et le site chargé.

Pratique donc pour le côté esthétique de l’URL mais aussi pour la vie privée.

Bref, si ça vous intéresse, Tracking Token Stripper est dispo pour Firefox, pour Chrome et les sources sont ici sur Github.

Bon vendredi à tous !

Source

Fièr-e-s camarades, si vous utilisez Firefox et plus particulièrement le compte Firefox qui permet de synchroniser son historique, ses favoris, ses identifiants, ses onglets, ses préférences et ses plugins, voici une petite astuce qui va vous permettre d’augmenter grandement le niveau de sécurité de votre compte.

Cette astuce permet tout simplement d’activer la double authentification de votre compte Firefox, même si elle n’est pas encore officiellement proposée.

En effet, si vous vous rendez à cette adresse, vous devriez voir quelque chose comme ceci :

Et en ajoutant le paramètre

?showTwoStepAuthentication=true

à la fin de l’URL, vous verrez apparaitre l’option « Validation en deux étapes »

Cliquez dessus, activer l’authentification, scanner le QR code avec l’application que vous utilisez pour la double authent, puis pensez bien à conserver dans un endroit sécurisé les clés de récupération fournies.

Et vous voilà avec un compte Firefox un peu mieux sécurisé.

Source

Si vous rédigez des documents full text (genre des RFC ou trucs dans le genre) et que vous êtes mauvais en ASCII, je vous recommande d’utiliser ASCII FLOW pour faire vos schémas.

ASCII Flow est un site web qui propose une boite à outil minimaliste permettant de dessiner des boites, des lignes, des flêches et de dessiner librement, pour faire vos petits dessins, que vous pourrez ensuite exporter au format texte.

ASCII Flow propose une gomme, la possibilité de redimensionner certains objets (flêches, box…etc) et aussi d’importer de l’ASCII en provenance d’ailleurs.

Pratique donc pour illustrer basiquement certains de vos documents textuels sans passer trop de temps sur l’aspect artistique.

ASCII Flow est à découvrir ici.

Hello les amis,

Vivatech est terminé, 3 jours debout à discuter avec vous (lecteurs du site) et personnes intéressées par le bug bounty de YesWeHack. Et les retours sont excellents alors tant mieux. De plus en plus de sociétés s’y mettent pour améliorer leur niveau de sécurité.

Autrement, j’ai aussi 2 autres excellentes nouvelles…

La première c’est que je serai aux Geek Faeries pour faire une conf sur la sécurité mais aussi pour enregistrer un épisode Live des Webosaures, et plus encore si affinité. J’avais vraiment adoré cet événement l’année dernière. Une vraie bouffée d’air frais. J’en avais d’ailleurs ramené cette vidéo qui je pense finira de vous convaincre de venir. En tout cas, j’ai hâte d’y être.

L’autre grande nouvelle, c’est que ça y est, j’ai ENFIN la fibre… Woohoo ! J’ai du Orange et je monte en DL à 900 Mbps ce qui est plutôt chouette. En tout cas, ça va me permettre enfin de faire des lives vidéo de qualité.

Sur ce, je vous souhaite une excellente semaine. Prenez soin de vous et j’espère vous croiser nombreux aux Geek Faeries.

K.

MyDataRequest est un site gratuit qui rassemble environ une centaine de services bien connus tels qu’Amazon, Netflix, Tinder ou encore Snapchat et qui propose toutes les infos permettant de récupérer nos données personnelles.

Dans les 3/4 des cas, ce sont des adresses mails auxquelles il faut faire la demande grâce au modèle d’email fourni.

Mais dans d’autres cas comme celui de Snapchat, il s’agit simplement d’un lien sur lequel il faut se rendre pour pouvoir récupérer une archive de ses données.

A explorer donc…

Décrite dès 1979, le Shamir’s Secret Sharing (partage de clé secrète de Shamir) est une technique consistant à diviser un secret (un texte ou un fichier) en plusieurs morceaux chiffrés, à distribuer ces morceaux à différentes personnes, et exiger qu’un quorum (nombre minimin de personnes) soit constitué pour déchiffrer le secret.

Vous pouvez par exemple chiffrer l’un de vos documents, en distribuer les bouts à 8 personnes différentes mais exiger que 5 personnes mettent en commun leurs morceaux pour que ce secret soit déchiffrable.

Pratique pour fonctionner sur un principe de « confiance distribuée ». Après cela peut aussi être un moyen de renforcer la sécurité de certains secrets en distribuant le risque, ce qui exigerait d’un attaquant qu’il s’en prenne à x personnes / machines plutôt qu’une seule.

Pour mettre ce partage de secret en pratique, il existe un outil qui s’appelle Sunder disponible sous Mac et Linux. Son fonctionnement est simple. Vous choisissez un fichier ou écrivez un texte à protéger, puis vous indiquer le nombre de morceaux que vous souhaitez distribuer, ainsi que le nombre minimum de morceaux à rassembler pour déchiffrer le document.

C’est très simple. Et cela vous donnera ensuite les petits bouts à partager.

Ensuite, il suffit de disposer du minimum requis de morceaux du secret pour le récupérer en intégralité.

Un cas d’utilisation « amusant » serait de chiffrer en 2 parts un secret, d’en publier une sur votre site web et de ne révéler l’autre publiquement uniquement via votre testament.

Bah quoi ? 😉

Enfin, vous voyez le concept quoi. Bon, par contre, Sunder est encore en alpha, et n’a pas été testé par des experts ni audité. Il est donc à prendre pour ce qu’il est, un joli proof of concept dont la solidité reste à prouver.

Toutes les explications se trouvent ici et l’article de Freedom of Press donnant tous les détails se trouve ici.

Vendredi dernier, avec Remouk, nous avons fait un petit live Youtube pour vous expliquer comment nous faisons notre veille d’actu quotidienne et répondre aux questions des gens sur ce sujet.

Je partage donc avec vous cette vidéo. De mon côté la qualité vidéo est toujours pourrie mais cela risque de s’améliorer prochainement puisque Orange a prévu de m’installer la fibre bientôt 🙂 Woohoo !

Si vous souhaitez vous entrainer un peu au pentest et au bug bounty, il existe un outil baptisé Juice Shop qui se présente sous la forme d’une application web de boutique en ligne et qui intègre l’ensemble du top 10 des vulnérabilités de l’OWASP et bien plus encore.

Juice Shop est écrit en javascript et repose sur Node.js, Express et AngularJS.  L’application est simple à installer et cela peut se faire par node.js, Docker ou Vagrant pour tourner aussi bien sous Windows, Linux et macOS.

La base de données de Juice Shop est réinitialisée proprement à chaque redémarrage du service et chaque challenge réussi est inscrit sur un tableau de scores et peut être utilisé dans le cadre d’un CTF. Surtout qu’il est possible de personnaliser l’application pour lui donner le look et le contenu de votre choix.

Et pour ne rien gâcher, Juice Shop est libre (licence MIT) et en téléchargement ici.

Amusez-vous bien !

Et si vous en voulez plus, je vous renvoie à cet article.

Débusqué par l’ami Fred, CryptoZombies est un site absolument génial qui va vous apprendre comment développer des jeux basés sur Ethereum.

Entièrement gratuits, ces cours interactifs s’adressent aux débutant qui veulent apprendre les bases du langage Solidity. Grâce à ces leçons, vous pourrez créer votre premier jeu entièrement basé sur la blockchain.

Cryptozombies propose ainsi dans sa première leçon, de se créer une usine à zombies pour constituer son armée. Chaque zombie dispose d’un ADN généré de manière aléatoire et d’une apparence unique.

Les leçons suivantes (déjà publiées ou publiées dans les prochaines semaines) vous permettront d’étendre le jeu avec par exemple la possibilité pour les zombies de se battre avec l’armée ennemie ou d’activer la possibilité de collectionner les petits zombies (comme on peut le faire avec les cryptokitties et ce genre de choses).

Bref, un bon moyen de faire ses première armes en Solidity et de commencer à développer avec les outils du futur 🙂

Découvrez CryptoZombies ici.

Merci Fred !

Si vous êtes sous Linux et que vous cherchez un autre moyen que LibreOffice pour concevoir une présentation, j’ai peut-être ce qu’il vous faut.

Cela s’appelle Spice Up et c’est un outil libre qui va vous permettre de designer et rédiger vos futures présentations.

Spice-Up propose donc d’ajouter sur vos slides, des textes, des formes, des images et bien sûr de superbes fonds avec possibilité de faire des dégradés.

Et une fois que vous êtes satisfait du résultat, vous pouvez les diffuser en mode diaporama ou les exporter en PDF.

Notez que Spice-Up supporte les contrôleurs externes (télécommande, souris ou clavier pour passer les slides) et offre plusieurs templates que vous donneront un peu d’inspiration.

Enfin, pour ceux qui le désirent, les présentations réalisées avec Spice-Up peuvent être lues directement depuis n’importe quel navigateur sans que cela ne nécessite l’installation de Spice-Up ou d’un quelconque plugin.

Pour installer Spice-Up, ouvrez un terminal et entrez les lignes de commande suivantes :

sudo add-apt-repository ppa:philip.scott/spice-up-daily
sudo apt-get update
sudo apt-get install com.github.philip-scott.spice-up

Pour ma part, ce que je peux vous recommander aussi c’est de tester MARP qui est une autre façon de faire des slides à l’aide de la syntaxe markdown. J’utilise cette méthode sous Mac avec un outil qui s’appelle Deckset et ça déchire.

Source

Si vous êtes sous macOS et que vous utilisez Homebrew pour installer des paquets, vous ne le savez peut-être pas mais après une mise à jour (brew upgrade), les anciens paquets sont conservés sur votre système.

Histoire de faire un peu de place, il est possible de supprimer ces anciennes version simplement avec la commande :

brew cleanup

Ça devrait libérer quelques giga sur votre disque dur.

Pour les jardiniers et pour tous ceux qui souhaitent remodeler un peu leur potager et disposer d’un calendrier de gestion de leurs plantations, il existe OpenJardin.

OpenJardin est un outil libre dispo sous Linux qui permet de gérer finement ses parcelles en permacultures avec des fiches de cultures pour chacune d’entre elle et une planification annuelle de vos cultures.

Un grand nombre d’espèces potagères sont présentes dans open jardin, et cela vous permettra de garder un historique (quand vous avez semé, quand vous avez récolté…etc) et d’associer correctement vos plants, sans oublier la planification de la rotation de vos cultures.et une planification des rotations de cultures.

Edit : Le site d’OpenJardin semble rencontrer quelques difficultés ce matin mais le projet est aussi accessible via Sourceforge.

Source

Si comme moi, vous êtes abonné à Netflix, je suis certain que cet article va vous intéresser. Sur Netflix, il y a quelques catégories assez classiques proposées telles que Action, Horreur, Romance…etc.

Mais Netflix offre un énorme choix de films et de séries, dans de nombreux sous-genres que vous affectionnez peut-être comme les films sur la boxe, les films indiens, les mélodrames ou encore les films de zombies.

Seulement, ces catégories ne sont pas accessibles directement via le site ou les applications Netflix, sauf en passant par leurs liens directs. Et ce sont ces liens que les internautes s’amusent à découvrir et à partager.

L’info n’est pas nouvelle mais sur Reddit, l’internaute karljt a mis en ligne hier une version rafraîchie de cette liste, que je me fait un plaisir de partager avec vous.

• Action & Adventure: 1365
• Action Comedies: 43040
• Action Sci-Fi & Fantasy: 1568
• Action Thrillers: 43048
• Adult Animation: 11881
• Adventures: 7442
• African Movies: 3761
• Alien Sci-Fi: 3327
• Animal Tales: 5507
• Anime: 7424
• Anime Action: 2653
• Anime Comedies: 9302
• Anime Dramas: 452
• Anime Fantasy: 11146
• Anime Features: 3063
• Anime Horror: 10695
• Anime Sci-Fi: 2729
• Anime Series: 6721
• Art House Movies: 29764
• Asian Action Movies: 77232
• Australian Movies: 5230
• B-Horror Movies: 8195
• Baseball Movies: 12339
• Basketball Movies: 12762
• Belgian Movies: 262
• Biographical Documentaries: 3652
• Biographical Dramas: 3179
• Boxing Movies: 12443
• British Movies: 10757
• British TV Shows: 52117
• Campy Movies: 1252
• Children & Family Movies: 783
• Chinese Movies: 3960
• Classic Action & Adventure: 46576
• Classic Comedies: 31694
• Classic Dramas: 29809
• Classic Foreign Movies: 32473
• Classic Movies: 31574
• Classic Musicals: 32392
• Classic Romantic Movies: 31273
• Classic Sci-Fi & Fantasy: 47147
• Classic Thrillers: 46588
• Classic TV Shows: 46553
• Classic War Movies: 48744
• Classic Westerns: 47465
• Comedies: 6548
• Comic Book and Superhero Movies: 10118
• Country & Western/Folk: 1105
• Courtroom Dramas: 528582748
• Creature Features: 6895
• Crime Action & Adventure: 9584
• Crime Documentaries: 9875
• Crime Dramas: 6889
• Crime Thrillers: 10499
• Crime TV Shows: 26146
• Cult Comedies: 9434
• Cult Horror Movies: 10944
• Cult Movies: 7627
• Cult Sci-Fi & Fantasy: 4734
• Cult TV Shows: 74652
• Dark Comedies: 869
• Deep Sea Horror Movies: 45028
• Disney: 67673
• Disney Musicals: 59433
• Documentaries: 6839
• Dramas: 5763
• Dramas based on Books: 4961
• Dramas based on real life: 3653
• Dutch Movies: 10606
• Eastern European Movies: 5254
• Education for Kids: 10659
• Epics: 52858
• Experimental Movies: 11079
• Faith & Spirituality: 26835
• Faith & Spirituality Movies: 52804
• Family Features: 51056
• Fantasy Movies: 9744
• Film Noir: 7687
• Food & Travel TV: 72436
• Football Movies: 12803
• Foreign Action & Adventure: 11828
• Foreign Comedies: 4426
• Foreign Documentaries: 5161
• Foreign Dramas: 2150
• Foreign Gay & Lesbian Movies: 8243
• Foreign Horror Movies: 8654
• Foreign Movies: 7462
• Foreign Sci-Fi & Fantasy: 6485
• Foreign Thrillers: 10306
• French Movies: 58807
• Gangster Movies: 31851
• Gay & Lesbian Dramas: 500
• German Movies: 58886
• Greek Movies: 61115
• Historical Documentaries: 5349
• Horror Comedy: 89585
• Horror Movies: 8711
• Independent Action & Adventure: 11804
• Independent Comedies: 4195
• Independent Dramas: 384
• Independent Movies: 7077
• Independent Thrillers: 3269
• Indian Movies: 10463
• Irish Movies: 58750
• Italian Movies: 8221
• Japanese Movies: 10398
• Jazz & Easy Listening: 10271
• Kids Faith & Spirituality: 751423
• Kids Music: 52843
• Kids’ TV: 27346
• Korean Movies: 5685
• Korean TV Shows: 67879
• Late Night Comedies: 1402
• Latin American Movies: 1613
• Latin Music: 10741
• Martial Arts Movies: 8985
• Martial Arts, Boxing & Wrestling: 6695
• Middle Eastern Movies: 5875
• Military Action & Adventure: 2125
• Military Documentaries: 4006
• Military Dramas: 11
• Military TV Shows: 25804
• Miniseries: 4814
• Mockumentaries: 26
• Monster Movies: 947
• Movies based on children’s books: 10056
• Movies for ages 0 to 2: 6796
• Movies for ages 2 to 4: 6218
• Movies for ages 5 to 7: 5455
• Movies for ages 8 to 10: 561
• Movies for ages 11 to 12: 6962
• Music & Concert Documentaries: 90361
• Music: 1701
• Musicals: 13335
• Mysteries: 9994
• New Zealand Movies: 63782
• Period Pieces: 12123
• Political Comedies: 2700
• Political Documentaries: 7018
• Political Dramas: 6616
• Political Thrillers: 10504
• Psychological Thrillers: 5505
• Quirky Romance: 36103
• Reality TV: 9833
• Religious Documentaries: 10005
• Rock & Pop Concerts: 3278
• Romantic Comedies: 5475
• Romantic Dramas: 1255
• Romantic Favorites: 502675
• Romantic Foreign Movies: 7153
• Romantic Independent Movies: 9916
• Romantic Movies: 8883
• Russian: 11567
• Satanic Stories: 6998
• Satires: 4922
• Scandinavian Movies: 9292
• Sci-Fi & Fantasy: 1492
• Sci-Fi Adventure: 6926
• Sci-Fi Dramas: 3916
• Sci-Fi Horror Movies: 1694
• Sci-Fi Thrillers: 11014
• Science & Nature Documentaries: 2595
• Science & Nature TV: 52780
• Screwball Comedies: 9702
• Showbiz Dramas: 5012
• Showbiz Musicals: 13573
• Silent Movies: 53310
• Slapstick Comedies: 10256
• Slasher and Serial Killer Movies: 8646
• Soccer Movies: 12549
• Social & Cultural Documentaries: 3675
• Social Issue Dramas: 3947
• Southeast Asian Movies: 9196
• Spanish Movies: 58741
• Spiritual Documentaries: 2760
• Sports & Fitness: 9327
• Sports Comedies: 5286
• Sports Documentaries: 180
• Sports Dramas: 7243
• Sports Movies: 4370
• Spy Action & Adventure: 10702
• Spy Thrillers: 9147
• Stage Musicals: 55774
• Stand-up Comedy: 11559
• Steamy Romantic Movies: 35800
• Steamy Thrillers: 972
• Supernatural Horror Movies: 42023
• Supernatural Thrillers: 11140
• Tearjerkers: 6384
• Teen Comedies: 3519
• Teen Dramas: 9299
• Teen Screams: 52147
• Teen TV Shows: 60951
• Thrillers: 8933
• Travel & Adventure Documentaries: 1159
• TV Action & Adventure: 10673
• TV Cartoons: 11177
• TV Comedies: 10375
• TV Documentaries: 10105
• TV Dramas: 11714
• TV Horror: 83059
• TV Mysteries: 4366
• TV Sci-Fi & Fantasy: 1372
• TV Shows: 83
• Urban & Dance Concerts: 9472
• Vampire Horror Movies: 75804
• Werewolf Horror Movies: 75930
• Westerns: 7700
• World Music Concerts: 2856
• Zombie Horror Movies: 75405

S’il en manque, n’hésitez pas à le signaler dans les commentaires de l’article.

Edit:  Nicolas m’a signalé une liste encore plus riche ici.

Bon netflixage à tous !

J’encourage tout le monde depuis des années à activer l’authentification double facteur (2FA) sur un maximum de services. Mais il arrive parfois que certaines personnes mal intentionnées déjouent la sécurité et réussissent à se connecter à des comptes qui ne leur appartiennent pas.

A ce niveau, pas de mystère. Si ça vous est arrivé, cela doit probablement coller à l’un de ces scénarios.

1. Vous avez été infecté par un malware, donnant ainsi la possibilité à l’attaquant de récupérer le code 2FA à votre insu, au moment où vous l’entrez dans le formulaire concerné ou juste après, une fois votre compte déverrouillé par vos soins.
   
2. Si le code 2FA est envoyé par SMS et que vous êtes ciblé par l’attaquant, celui-ci peut, en accédant au réseau SS7 encore utilisé par les opérateurs, intercepter le SMS. Ça demande un peu plus de taf, mais c’est possible.
   
3. Via une campagne de phishing. En cliquant sur un lien non légitime, il est possible que vous vous soyez retrouvé sur un clone du site de votre banque ou de votre webmail. Vous avez alors entré vos identifiants (intercepté par l’attaquant) et on vous demande ensuite d’entrer le code 2FA (demandé par l’attaquant). Comme vous avez l’impression d’être sur le vrai site, vous ne vous méfiez pas et hop, si l’attaquant agit suffisamment vite, il peut utiliser votre code 2FA et vos identifiants et accéder à votre compte. Tout est une question de timing et la procédure peut être automatisée.
   
4. Enfin, le scénario le plus courant, c’est celui du social engineering. Et c’est d’ailleurs la raison d’être de cet article, car j’ai trouvé cette image énorme et je voulais absolument la partager avec vous. Je suis tombé il y a quelques jours via Twitter sur ces quelques messages envoyés par SMS qui ont permit à l’attaquant de récupérer un code 2FA sans aucun problème. 

Pour ceux qui ne parlent pas anglais, en gros, l’attaquant envoie un SMS à sa cible, expliquant qu’il est l’ancien propriétaire du numéro de téléphone et qu’il souhaite se connecter sur l’un de ses vieux compte en ligne. Il demande alors à la cible si elle peut lui transférer le code qu’elle va recevoir. Et voilà…

Bref, comme souvent, c’est avant tout un sérieux problème entre la chaise et le clavier. Un manque de vigilance et un abus de confiance.

Pour se protéger, il vaut donc mieux utiliser une application type authenticator plutôt qu’un envoi par SMS du code 2FA et surtout rester vigilant à chaque instant. Ce n’est pas très compliqué, mais vérifiez bien à chaque fois qu’un service vous demande un code 2FA, que vous êtes bien sur un site légitime et que vous y avez accédé en direct et pas en cliquant sur un lien contenu dans un email obscur.

Et si ce n’est pas encore fait, activez le 2FA ! Il y a de nombreux sites qui le proposent.

Ce matin, j’enfilais ce t-shirt, lorsque je me suis dit que ce serait intéressant de vous faire un petit article historique sur le logo qui s’y trouve.

Connu comme le symbole des hackers, ce dessin est appelé un « Glider ». C’est un mot anglais qui signifie « Planeur ». Ce symbole fait référence à un schéma mathématique connu dans une simulation baptisé « Game of Life » (Le jeu de la vie).

Cette simulation, inventée par John Conway, un mathématicien de Cambridge, en 1970 répond à quelques règles simples censées imiter la vie cellulaire sans toutefois la laisser exploser. Ainsi, en laissant faire la simulation, différentes structures mathématique sont alors apparues spontanément. Des structures inertes (stables), des oscillateurs, des vaisseaux (structures en mouvement comme notre Glider), des canons (structure d’oscillateur relâchant des débris provoquant l’apparition de vaisseaux)…etc.

C’est super passionnant et vous pouvez le tester ici ! Le Youtubeur de « ScienceÉtonnante » a réalisé à ce sujet il y a quelques mois.

Mais revenons à nos moutons.

Ce glider est donc la structure capable de se mettre en mouvement qui est aussi la plus simple.

Et en 2003, le hacker américain Eric Raymond, a proposé ce symbole du planeur comme signe de reconnaissance de la culture hacker. L’idée d’adopter un symbole était de pouvoir se reconnaitre entre hackers, et affirmer des valeurs communes qui aillent bien au delà du simple fait de se déclarer fan de Linux, de BSD ou de Perl.

Vous l’aurez compris, la culture hacker dont il est question ici est prise au sens large même si elle concerne principalement la culture du libre et tous ceux qui changent le monde en mettant au point des choses comme le web ou Unix. D’ailleurs dans ses explications, Eric Raymond indique bien que cela n’est pas réservé aux crackers. C’est à dire aux personnes mal intentionnées qui crackent les systèmes informatiques.

Eric Raymond encourage d’ailleurs tous ceux qui se reconnaissent dans son manifeste baptisé « Comment devenir un hacker« , à adopter ce symbole. Une lecture passionnante que je recommande à tous.

Le symbole du Glider a semblé évident à Eric Raymond pour plusieurs raisons. Tout d’abord le jeu de la vie est né dans la publication « Scientific American » en 1970, soit quasiment en même temps que l’invention d’Internet et d’Unix.

De plus, le jeu de la vie fonctionne selon des règles simples de coopérations qui mènent à des structures plus complexes qu’on n’aurait pas pu prédire à partir des règles (phénomènes émergents). Eric Raymond y a donc vu un parallèle avec un développement open source qui évolue, se fait adopter par la communauté hacker et possiblement, change le monde.

De plus ce symbole est simple, unique, facile à imprimer et peut être facilement associé avec d’autres graphiques ou modifiable facilement. Bref, un petit côté pratique que Eric Raymond a aussi pris en compte.

Il a donc proposé ce logo à la communauté qui semble depuis l’avoir adopté.

Il est temps de changer cet édito tout fané, pour vous donner quelques nouvelles. Pour ceux qui me suivent sur Instagram, vous avez pu voir que mes plants de tomates ont bien poussé mais SURTOUT que la fibre arrive chez moi bientôt. Je viens de prendre RDV avec Orange pour fin mai !

Ah bordel, ça va faire plusieurs années que j’attends ! Je vais enfin pouvoir bosser dans de bonnes conditions.

Autrement, pour ceux qui veulent, je serai demain matin à Lyon pour la conf de C-Cure, puis à l’ESIEA ce jeudi 17, puis la semaine prochaine à Vivatech, l’équivalent du CES de Vegas mais à Paris. D’ailleurs, si les 24 et 25 sont réservés aux pros, en tant que particulier, vous pouvez passer le samedi 26, c’est un peu moins cher et ouvert à tous.

Vous pourrez me trouver durant les 3 jours sur le stand de YesWeHack C16-0002 donc n’hésitez pas à venir au contact et découvrir le monde merveilleux de la cybersécurité et du bug bounty.

Sur ce, je vous souhaite une bonne fin de semaine à tous !

K.

Le problème n’est pas nouveau mais lorsque vous achetez un téléphone Android, ce qui se passe la plupart du temps, c’est que le constructeur fait quelques mises à jour puis arrête totalement parce que de nouveaux modèles sont sortis et que ça coûte trop cher à maintenir.

Mais pendant ce temps là, les pauvres clients de ces constructeurs se retrouvent avec des smartphone qui ne sont plus mis à jour et qui présentent de fait, des vulnérabilités et des bugs.

Histoire d’arranger ça, Google a annoncé lors de sa conférence I/O, que les constructeurs et autres opérateurs seront obligés contractuellement de déployer les correctifs de sécurité d’Android dans leurs version OEM.

Cela sera possible grâce notamment au projet « Treble » qui consiste à séparer la couche basse d’Android de la couche logicielle customiée par les constructeurs et les opérateurs. Ainsi, les mises à jour d’Android pourront être déployées sur cette couche basse sans impacter la couche de l’équipementier.

Super nouvelle ça ! Ca va permettre à toute une nouvelle génération de smartphone Android de rester dans la course et surtout aux utilisateurs d’être plus en sécurité.

Reste à savoir quand cela entrera en vigueur.

Source

Si vous êtes du genre addict à Youtube, et que vous vous laissez embarquer dans des heures et des heures de visionnage sans vous en rendre compte, vous allez pouvoir revivre un peu.

En effet, Google a tout prévu et propose maintenant dans les options de son application mobile, la possibilité de se faire avertir toutes les XX minutes
que vous devez / pouvez prendre une petite pause.

Histoire de reposer vos yeux, votre cerveau et arrêter de vous uriner dessus.

Bon à savoir !

On n’a pas encore tous les détails mais un groupe de chercheurs en sécurité dont Sebastian Schinzel, Damian Poddebniak, @dr4ys3n, @jensvoid, @Murgi, @seecurity, @cryptosorcerer, @jurajsomorovsky et Jörg Schwenk de @fh_muenster, @ruhrunibochum, @LeuvenU, ont découvert des vulnérabilités au niveau du chiffrement des emails avec PGP/GPG et S/MIME.

On ne connait pas encore les détails de ces failles qui seront révélées demain, mais elles permettent de lire en clair des emails chiffrés avec PGP,  y compris les anciens emails.

Autant dire que ça craint un max. Pour le moment, il n’y a pas de patch et ce que recommande l’EFF et le groupe de chercheurs, c’est tout simplement de désactiver les plugins PGP/GPG qui sont capables de déchiffrer automatiquement vos emails dans des clients mails comme Apple Mail, Thunderbird ou encore Outlook.

D’après ce que j’ai pu lire, et sauf erreur de ma part, ce ne sont pas des failles qui touchent réellement le coeur de PGP/GPG ou son niveau de chiffrement mais plutôt des failles qui au travers de plugins pour client mail, permettent d’exploiter le mode de déchiffrement automatiquement pour ensuite extraire les emails en clair.

On verra bien demain.

En attendant, pour savoir comment désactiver ces plugins, l’EFF a réalisé des petits guides que voici :

• Thunderbird avec Enigmail
• Apple Mail avec GPGTools
• Outlook avec Gpg4win

Source

Depuis un bon paquet de temps, je tente diverses recettes pour faire un peu de pain frais le matin, mais toujours sans succès. Trop long, trop compliqué, ou du pain tout raplaplat ou tout dur.

Et j’ai découvert il y a quelques temps une recette que vous connaissez surement qui permet de faire du pain sans prise de tête et surtout sans machine et sans pétrissage. Ça fait donc quelques semaines que je l’expérimente en faisant des petits changements et je me suis dit que ce serait marrant de la partager avec vous. Ça changera un peu des posts tech 😉

J’ai d’ailleurs fait un petit live Instagram où j’explique une première version de ma recette mais ça a encore changé depuis 1 semaine, donc je vous la mets par écrit.

Avant de commencer, notez que tout est sujet à modification et que cela dépendra de vos préférences gustatives. A vous de tester et d’adapter la recette en fonction de ce que vous aimez. Vous pouvez mélanger plusieurs types de farines, ou ajouter des graines ou autre chose si vous aimez les pain un peu plus spéciaux.

Le matos

Voici donc les ingrédients à prévoir :

• 1 kg de farine. J’utilise de la T65 mais vous pouvez essayer avec d’autres genre T55…etc.
• De la levure de boulanger. 10 g de levure fraiche ou 1 sachet de levure sèche.
• 700 ml d’eau
• 16g de sel fin (j’avais commencé par 20g et j’ai réduit jusqu’à 16 sans noté de différence de goût)

Matériel :

• Un grand saladier
• Une spatule pour mélanger
• Une cocotte (récipient avec un couvercle et qui peut passer au four à 240°C. De mon côté, j’ai emprunté une vieille cocotte en fonte à mes beaux parents mais une cocotte Pyrex, ça peut le faire aussi je pense)

La préparation

Etape 1 :

Faites tiédir l’eau pour qu’elle soit à environ 40°. Dans le saladier, mélangez l’eau et la levure.

Etape 2 :

Ajoutez ensuite le sel, remélangez un peu et ajoutez le kilo de farine. Mélangez, mélangez, et mélangez avec la cuillère en bois. Et dès que ça vous fait une bonne grosse boule de pâte, recouvrez d’un torchon et laissez lever 1h à température ambiante.

Etape 3 :

Au bout d’1 heure, fermez le saladier pour que ça soit étanche avec un bout de cellophane ou un couvercle si vous avez, et mettez ça au frigo.

Le repos

Ensuite vient l’attente. En effet, se passer de pétrissage implique de laisser la pâte reposer minimum 48h et vous pouvez laisser votre pâte en théorie jusqu’à 15 jours au frigo. De mon côté, j’ai tenté 5 jours max et plus vous attendez, plus votre pain aura un goût rustique. Je préfère quand le goût est moins rustique (moins piquant), donc je le fais cuire en général au bout de 48h.

La cuisson

Nous sommes donc 48h plus tard. Votre boule de pâte s’est un peu liquéfiée, et c’est normal.

Etape 1 :

Pour ne pas utiliser de papier sulfurisé dans votre cocotte, vous pouvez la chemiser. C’est à dire passer un peu de beurre partout dedans et mettre un peu de farine pour que ça n’accroche pas au fond.

Au moment où j’ai pris ces photos, j’utilisais encore du papier mais maintennt, je chemise, c’est plus sympa et ça économise le papier.

Versez ensuite toute votre pâte ou simplement la moitié dans la cocotte en prenant soin de ne pas la faire trop dégazer. Au début je mettais tout dans la cocotte mais ça fait vraiment un gros pain. Je sépare donc la pâte en 2 et quand j’en n’ai plus, j’en refais 🙂

Etape 2:

Fermez la cocotte, et laissez reposer 1h au four à 40° pour que la pâte se remette à lever tranquillement.

Etape 3 :

Au bout d’une heure, faites des petits traits au couteau (faut que ça coupe bien pour que les traits soient nets) sur le pain pour la déco, ajoutez un peu de farine par dessus si vous voulez lui donner un petit look rustique et remettez le dans le four pour 45 min à 1h de cuisson à 240°C. Vous pouvez planter un couteau dans le pain à la fin de la cuisson pour voir si l’intérieur est cuit ou non, comme pour les gâteaux.

Et voilà !

Quand le temps est écoulé, sortez votre cocotte du four (sans vous bruler !!), et laissez refroidir votre pain à l’air libre. C’est aussi très bon quand c’est encore un peu chaud alors avis aux gourmands 🙂

Au total, niveau temps, c’est donc 5 min de préparation le temps de mélanger les ingrédients et ensuite c’est un peu d’attente pour que la pâte se fasse et environ 2 heures pour la cuisson (1h à 40°C et 1h à 240°C).

Le goût changera ensuite en fonction du temps de maturation, mais aussi en fonction de la quantité de levure que vous mettrez. Pour celui-ci (en photo), j’ai laissé la pâte 5 jours au repos et mis 1 sachet et demi de levure, ce qui est trop. On voit d’ailleurs la mie est un peu brune. Maintenant je laisse 48h et je ne mets qu’un seul sachet de levure pour une mie parfaitement blanche.

Ça vaut le coup et c’est un régal. Je suis super content du résultat et les enfants l’adorent. N’hésitez pas à me dire si ça a fonctionné pour vous 😉

Bonne fin de dimanche à tous !

Lors de sa dernière conf Google i/o, le géant américain a présenté sa technologie Duplex.

Duplex est une fonctionnalité intégrée à Google Assistant qui permettra prochainement de prendre des rendez-vous téléphoniques automatiquement.

Alors comment est-ce que ça fonctionne ? Et bien, vous demandez à Google Assistant de vous réserver une table pour 2 personnes dans votre resto préféré et ce dernier se chargera de téléphoner pour vous au restaurant et de prendre une réservation à votre nom.

Là où c’est très fort, c’est que la techno Duplex à base d’IA est capable de répondre à plusieurs questions à la chaine, le tout avec une voix qu’on pourrait qualifier de parfaitement humaine.

Flippant et à la fois totalement fou. En tout cas, l’illusion est totale.

Écoutez plutôt…

C’est certes très pratique, mais je me demande quelles sont les limites du système si l’humain à l’autre bout du fil commence à sortir du « scénario ». J’imagine que le problème sera temporaire grâce au deep learning qui s’améliorera au fur et à mesure… En tout cas, cela va être de plus en plus difficile de faire la différence entre un vrai humain et un bot.

Imaginez les fameux call centers qui vous appellent à tout va pour vous demander si vous voulez renouveler votre abonnement à l’opérateur machin ou faire réviser votre voiture chez bidule. Quand ces derniers adopteront cette techno, couplée à leurs scénarios d’appels, ce sera redoutable ;-).

Date de sortie de Duplex : Cet été.

Source

Si vous cherchez un outil vous permettant de monter un serveur Git sur un petit serveur ou un Raspberry Pi en local, pourquoi ne pas jeter un œil à Gitea ?

Fork de Gogs dont j’ai déjà parlé ici, Gitea est né d’une poignée de contributeurs de Gogs qui étaient frustrés de dépendre d’un unique mainteneur de projet. Ce fonctionnement ralentit pas mal le développement de l’outil, et ils ont donc décidé de créer leur propre clone de Gogs avec des process de développement et de validation de fonctionnalités, plus souples et plus réactifs.

Maintenant Gitea vit sa vie et se destine, comme Gogs, à des machines peu puissantes, capables de compiler du Go (le langage dans lequel est écrit Gitea).

Vous pouvez trouver toutes les infos sur Gitea ici et tester la démo ici.

C’est toujours bien d’avoir quelques activités annexes pour se détendre le soir après le boulot ou le week end. Et certains comme le Youtubeur The Brick Wall ont de l’or au bout des doigts et arrivent à construire de véritables robots simplement en utilisant des Lego Technics.

Voici donc sa dernière œuvre : Un robot, en 2 modules autonomes, capable de préparer un petit déjeuner (english breakfast) à base d’œufs sur le plat ou brouillés et d’une tranche de bacon histoire de bien entretenir ses artères ;-)).

Et même si on est encore loin du robot autonome, l’exploit reste cool 😉

Source

La semaine dernière avec l’ami Remouk de Dans Ton Chat, nous avons enregistré un épisode de Webosaures dont le thème était « L’argent et le web ». En gros l’idée c’était de passer en revue les moyens existants de gagner de l’argent (voire de gagner sa vie) grâce à ses activités sur internet.

Comme à chaque fois, le sujet a légèrement dérivé et 1 heure d’émission, c’est toujours trop court. Mais je pense qu’on a au final quelque chose d’intéressant.

Sur ce, bon visionnage à tous et à très vite ! Et pensez à vous abonner à notre chaine YouTube pour ne pas manquer les prochains épisodes.

Si vous avez un peu de temps devant vous, je vous présente Soundscape. Ce script encapsulé sous la forme d’une image Docker à déployer sur n’importe quel serveur, vous permettra d’avoir en un claquement de doigts, votre propre serveur de streaming musical.

Soundscape vous permettra ainsi de gérer l’ensemble de votre collection musicale en ligne qu’elle soit en MP3 stockée sur votre serveur ou sous la forme de vidéos Youtube agrégées dans le système.

Ainsi, que ce soit via votre mobile ou votre ordinateur, vous pourrez écouter votre musique de n’importe où et bien sûr créer et partager vos playlists pour encore plus de fun.

Soundscape est un logiciel sous licence libre et vous trouverez toutes les explications pour l’installer ici.

Amusez-vous bien !

Si vous cherchez à vous exercer au Ethical Hacking (hacking éthique et parfaitement légal), il existe des tas des sites comme Root-Me, de bons bouquins comme celui-ci que je suis en train de lire ou encore des plateformes de bug bounty comme BountyFactory.io pour toucher des récompenses en échange des vulnérabilités découvertes.

Mais il existe aussi de très nombreux challenges et machines virtuelles conçues pour l’apprentissage du hacking, et intégrant certaines vulnérabilités et défauts d’intégration volontaires pour vous permettre de vous entrainer en toute sécurité, légalement et en local depuis votre ordinateur.

La bonne nouvelle, c’est que ces challenges et distribs sont tellement nombreux que quelqu’un a eu l’excellente idée de toutes les rassembler sur un site baptisé Vulnhub.

Vulnhub a déjà quelques années donc les connaisseurs n’apprendront rien, mais si vous débutez, c’est un incontournable.

Notez aussi qu’une bonne page de ressources est disponible et vous donnera accès à quelques sites, livres, tutos et mooc pour compléter vos connaissances.

Encore une histoire un peu moche qui va faire rayonner l’image de la France à l’étranger. Depuis 1994, Jean-Noël Frydman, un français expatrié aux États-Unis, est l’heureux propriétaire du nom de domaine France.com.

Sur ce site destiné à l’origine aux expatriés français, il proposait depuis quelques années un portail touristique pour conseiller et aider les touristes à venir visiter la France. Jean-Noël Frydman travaillait avec de nombreux partenaires du tourisme, y compris le Ministère des Affaires Étrangères pour faire la promo de notre beau pays à l’étranger. Un site avec un objectif commercial certes, mais son site vu qu’il est le premier à avoir réservé le nom de domaine.

Mais c’était sans compter sur ce même Ministère des Affaires étrangères qui a déposé une plainte en France pour récupérer le nom de domaine, sous prétexte que le mot France est une marque déposée.

Et malheureusement, le juge a dit OK et le registrar qui n’est autre que Web.com a, sans prévenir Jean-Noël Frydman, rendu France.com à la France.

France.com redirige donc maintenant vers France.fr.

Ce qui est moche c’est la réaction de Web.com qui est une boite basée aux US, donc censée répondre aux lois américaines. Le jugement étant rendu en France, et le TLD étant un .com (US), il n’y avait techniquement aucune raison qu’ils lâchent aussi facilement le nom de domaine France.com.

Mais voilà, c’est ce qui s’est passé.

Seulement, Jean-Noël Frydman n’est pas du genre à se laisser dérober un gagne pain, et vient à son tour de déposer une plainte aux Etats-Unis contre la France pour cybersquatting afin de récupérer son nom de domaine. C’est de bonne guerre. Mais ce qui est encore plus fun c’est toute la mauvaise publicité qu’il est en train de faire au registrar Web.com.

I’m probably [one of Web.com’s] oldest customers, I’ve been with them for 24 years… There’s never been any cases against France.com, and they just did that without any notice. I’ve never been treated like that by any company anywhere in the world. If it happened to me, it can happen to anyone.

Et la France n’est pas épargnée non plus…

They claim to be a company that’s good for small businesses, what a joke. They’ve been absolutely horrible, not even answering our emails.

Je ne pense pas que récupérer un domaine comme celui-ci par la force était bien malin, et c’est encore un beau gâchis qui aurait pu se régler à l’amiable avec quelques billets.

De plus si j’en crois les commentaires sur la toile, l’opinion publique est du côté du « petit » qui s’est fait flouer son NDD plutôt que du côté du pays outragé qui s’est fait voler sa marque.

Moche.

Source

Je vais vous raconter une expérience assez amusante qu’il m’est arrivée le week end dernier. C’est pas Ze Truc de Ouf mais je pense que c’est riche d’enseignements sur l’apprentissage et l’établissement de passerelles entre les générations de geeks.

Ma vie de « Casual Gamer » en pantoufles a commencé à une époque lointaine avec la NES, suivi de la SNES, puis de la Gameboy et dans le même temps pas mal de jeux PC. Mes amours de jeunesse sont donc Age of Empires, Sim City 2000, Mario, Super Mario Kart, Zelda, Tetris…etc. Du grand classique auquel il m’arrive encore de jouer régulièrement, version d’origine ou nouvelles éditions sur consoles récentes.

La sortie des premiers jeux Pokemon en Europe sur Gameboy, c’était en 1999. Et moi en 1999 j’avais délaissé ma Gameboy pour l’ordinateur, Internet et la création de sites web. Je suis donc passé totalement à côté du phénomène Pokemon.

Et je vivais très bien comme ça.

Évidemment, Pokemon étant un incontournable dans la culture populaire, gamer et geek, j’avais quand même 2/3 notions de bases mais pas suffisamment pour faire illusion 🙂

Puis un jour j’ai eu des enfants, et je ne sais pour quelle raison, mon plus grand s’est rapidement passionné pour les Pokemons. Il a commencé par les dessins animés ( 💕 Infirmière Joëlle 💉), puis les bouquins (Pokedex… Des pavés remplis de machins techniques sur des animaux qui n’existent pas vraiment) puis il s’est mis il y a 2 ans aux cartes Pokemon. Des cartes en papier cartonné qui de mon point de vue d’adulte ne représentaient pas grand chose mais qui dans ses yeux d’un enfant, valent tout l’or du monde (même s’il les laisse souvent trainer n’importe où ;-)).

Et la passion est bien là puisqu’il n’y a pas une journée qui se passe sans qu’il ne prononce le mot « Pokemon ». A son dernier anniversaire, je lui ai donc offert 2 decks Pokemon Lune et Soleil. Je vous laisse imaginer sa joie (beaucoup plus grande que pour son vélo tout neuf).

Puis le drame est arrivé : « Papa, tu joueras avec moi ?« 

Ce qu’il faut que vous sachiez déjà c’est qu’à quelques exceptions prêt, les jeux qu’ils soient vidéo, sportifs, de cartes ou de société m’ennuient assez rapidement. Je préfère être dans la création et j’ai vraiment l’impression de ne rien faire quand je me mets à « jouer » (pareil avec les films). De plus, la complexité des règles qu’il faut parfois se farcir ne m’encourage pas forcement à passer le cap.

Mais bon, pour le fiston, je me suis dit que j’allais quand même faire un effort. Alors j’ai commencé à lire les règles fournies avec les decks qu’il avait mais je vous raconte pas le blocage de cerveau que je me suis pris. Lire des règles de jeux de société ou de jeux de cartes, c’est vraiment le summum du boring pour moi.

Je me suis alors dit que j’allais plutôt résoudre ce problème en faisant comme d’habitude, à savoir me former grâce à des vidéos en ligne, des bouquins trouvés gratuitement sur Amazon, et des tutos en ligne. Je suis beaucoup plus réceptif à ce genre de supports et ça me permet un niveau d’expertise correct sur tout un tas de sujets très différents. (Voir ma vidéo sur mes méthodes d’apprentissage)

Un autre truc qu’il faut que je vous dise, c’est qu’apprendre à jouer aux cartes Pokemon, c’était important pour moi pour 2 raisons. D’abord pour que je puisse jouer avec le fiston mais aussi pour que lui apprenne les bonnes règles. En effet, j’étais à ce moment de l’histoire, persuadé qu’il était simplement collectionneur et que quand il jouait avec ses copains, ils inventaient tous des règles à leur sauce en mode random. Un peu comme je le faisais quand je jouais aux billes avec mes copains dans la cours de récré.

Je me suis donc rendu sur Youtube, et je suis tombé sur cette vidéo de 2 jeunes humains très sympathiques qui m’ont expliqué à moi, le vieux con, comment démarrer une partie de Pokemon dans les règles de l’art.

Vous m’auriez vu, hyper concentré, buvant leurs paroles et essayant de tout mémoriser pour pouvoir ensuite retransmettre ce savoir ancestral à mon rejeton dresseur de Pokemon depuis 2015.

La vidéo terminée, je débarque victorieux dans le salon pour le débrief avec mon grand et c’est là que je me rends compte qu’en fait, il connait *vraiment* toutes les régles des cartes Pokemons.

Et là j’hallucine….

Il sait vraiment lire depuis peu, donc ce n’est pas en potassant les règles comme j’ai tenté de le faire mais plutôt grâce à ses copains de l’école et en particulier une de ses petites copines super geek qui lui a tout appris. Et oui, le savoir transmis à l’oral est encore très puissant, surtout dans les cours d’école maternelle et primaire.

Il faut dire que la copine en question est, du point de vue de mon fils, la plus chanceuse du monde, car son papa tient un magasin de jeux vidéo (IMAGINEZ LA CHANCE DE CETTE PETITE !!), et abreuve sa fille avec les derniers jeux et produits dérivés qui sortent. Une famille de gros gamers donc.

A ce moment de l’histoire, je comprends alors mieux pourquoi cette petite fille est devenue LA référence des Pokemon Master de l’école. Sans compter qu’en plus, elle est super généreuse puisqu’elle a donné pas mal de cartes à mon Sacha d’enfant. Une perle.

Le samedi soir, quand les enfants sont allés au lit, j’ai donc entrepris, fort de mes fraiches connaissances inculquées par Jean du 62 (Respect éternel mec !), de me mettre en conditions réelles. J’ai installé Pokemon JCC sur l’ordi et j’ai mené quelques parties, histoire de bien ancrer mon jeune apprentissage.

Puis le lendemain, à la première heure du dimanche matin, un père et son fils, Pokemon Master se sont affrontés dans une première partie épique. Pioche, Energies, défausse, re-pioche, placement des Pokemons de base dans le banc, combats, évolutions…etc. Bref, LA GUERRE !

Et contre toute attente, j’ai gagné. La chance du débutant à coup sûr.

Mais mon grand était ravi d’avoir enfin quelqu’un avec qui jouer à la maison. Et même si je n’ai pas encore le level du papa qui vend des jeux vidéo en matière de classe internationale, je m’en rapproche.

Toutefois, j’ai dégagé plusieurs leçons de cette mini aventure qui vont vous sembler surement évidentes mais osef.

La première leçon c’est que peu importe les ages, on a tous des choses à apprendre les uns des autres, y compris des morveux ou des vieux cons ;-). Jean du 62 et son copain m’ont donc appris à jouer aux Pokemon et pour cela, je les remercie.

La seconde, c’est qu’il existe un monde passionnant à explorer du côté des enfants. Leurs passions, leurs connaissances, leur culture… Les marketeux, publicistes et vendeurs en tout genre savent exploiter cela depuis longtemps mais quand on est parent, c’est bien aussi de descendre un peu de son perchoir et de s’intéresser à tout ça. Et Youtube est une excellente passerelle pour cela.

Enfin, la dernière est plus personnelle mais je me suis rendu compte que je ne parlais peut-être pas assez avec mes enfants. On discute, certes, mais sans forcement que je leur pose les bonnes questions ou que je m’intéresse plus en profondeurs à leurs activités perso. C’est mal et je vais corriger le tir. 😉

Voilà pour la petite histoire. Je suis donc officiellement Pokemon Master et même si je dois encore me perfectionner, je sais enfin mener une partie presque comme un vrai pro de maternelle 🙂

Sur ce, je vous laisse car je dois ressusciter mon HP Touchpad.

Yo,

Je sais pas pour vous mais ici, c’est la quasi-canicule. Ma pelouse doit faire 1m90 de haut et je galère à retrouver la porte de chez moi en mode « Chérie j’ai rétréci les gosses« . à chaque fois que je rentre.

Mais vu le temps que je passe en conf à gauche et à droite, on va dire que ça va, je m’en sors pas si mal.

Après un Hackpero de folie à Aix en Provence, après une conf exceptionnelle sur le RGPD dans le cadre des Entretiens de la Confiance Numérique hier soir, sachez que cette semaine, 26 et 27 avril,  je serai à TheWebConf à Lyon (Stand 28 dans le village FrenchTech) pour faire découvrir à tous les curieux comment YesWeHack et plus spécifiquement le bug bounty peuvent les aider à améliorer la sécurité opérationnelle de leurs systèmes, mais aussi à retrouver l’appétit et le sommeil ;-).

Donc si vous passez dans le coin, vous êtes OBLIGÉ de venir me faire un coucou !

Autrement, j’espère que la forme est avec vous et que l’appel de la nature n’est pas trop fort, parce que bon, faut pas déconner, il y a encore un peu de boulot avant les vacances 🙂

Portez vous bien et à jeudi pour ceux qui viennent !

Si vous êtes amateur de jeux vidéo, notamment de retro gaming, de vieux jeux DOS ou de choses plus récentes récupérées via Steam, j’ai l’outil qu’il vous faut pour gérer et centraliser tout cela de manière plutôt cool.

Cet outil c’est Launchbox et en gros, ça permet à partir d’une interface unifiée sous Windows, d’organiser la totalité de sa vidéo-ludothèque, de lancer des ROMs depuis n’importe quel émulateur, de faire tourner des jeux DOS avec DosBox ou de démarrer des jeux PC récents.

Idéal pour ceux qui ne savent jamais à quoi jouer ou qui oublient des jeux au fond de leur disque dur.

Launchbox dans sa version gratuite permet donc tout ceci mais si vous avez un peu d’argent (20$), il existe une option premium baptisée Big Box qui ressemble fortement à un Kodi pour jeux vidéos et qui offre des fonctionnalités supplémentaires de personnalisation et le support des gamepads pour changer de jeux bien calé au fond du canap.

D’ailleurs Big Box est très différent de Launchbox comme vous pouvez le voir sur la démo :

J’espère que cela vous sera utile dans votre vie de gamer acharné 😉

Si vous produisez du contenu et que vous cherchez de la musique sous licence libre, ce ne sont pas les sites qui manquent.

Mais trop de choix, tue le choix et c’est parfois difficile de débusquer de la musique sympa qui n’est pas déjà utilisé par 20 000 youtubeurs ou podcasteurs aux 4 coins de la planète.

Heureusement, il y a toujours des passionnés capable de faire le tri parmi cette masse de données et d’en sortir le meilleur. Cela s’appelle faire de la curation et c’est ce que propose le site cchound qui liste des morceaux de musique sous licence Creative Commons ayant la particularité d’être de la BONNE musique.

Qualité et liberté, que demander de plus ?

Dans le même style, n’oubliez pas Phonosti.co dont j’ai déjà parlé.

Avis aux amateurs de Raspberry Pi. Après Despotify, voici le client Raspotify qui permet de jouer le son de Spotify Connect directement sur une distrib Raspbian.

Ce client Spotify Connect utilise la bibliothèque Librespot qui permet aux développeurs d’intégrer les services de Spotify sans utiliser la bibliothèque officielle fermée proposée par la société. Notez qu’il vous faudra un compte premium.

Pour l’installer sur votre Raspberry Pi, rien de plus simple. Ouvrez un terminal et entrez la ligne de commande suivante :

curl -sL https://dtcooper.github.io/raspotify/install.sh | sh

Pour ceux qui ont des réticences avec les installs à base de Curl, vous pouvez aussi installer Raspotify de manière plus traditionnelle comme ceci :

sudo apt-get -y install curl apt-transport-https

curl -sSL https://dtcooper.github.io/raspotify/key.asc | sudo apt-key add -v -
echo 'deb https://dtcooper.github.io/raspotify jessie main' | sudo tee /etc/apt/sources.list.d/raspotify.list

sudo apt-get update
sudo apt-get -y install raspotify

Ou récupérer le .deb ici.

Une fois que Raspotify est en place, vous n’aurez plus qu’à le configurer avec votre propre compte Premium et certains réglages comme le bitrate, la normalisation du volume, l’emplacement du cache…etc en allant éditer le fichier /etc/default/raspotify

Vous pouvez trouver toutes les infos sur Raspotify ici.

Labex.io est un site qui propose des cours en ligne pour apprendre à coder, mais aussi à exploiter les fonctionnalités de base de Linux, git ou encore MySQL.

Et là où se démarque Labex, c’est qu’à chaque cours en ligne est associée une machine virtuelle qui se lance dans votre navigateur et qui vous permet de réaliser les exercices.

Vraiment top, car ça évite de déployer un environnement de dev spécialement pour ça.

Voici une démo de ce que ça donne :

De quoi vous occuper pendant les prochaines vacances 😉

Ça se passe sur Labex.io

Nouveau live des Webosaures avec Rémi de DansTonChat et moi-même aujourd’hui à 12h !!

Le thème sera les sauvegardes. A quoi ça sert, pourquoi il faut les faire, comment les faire…etc.

A tout à l’heure !

J’ai eu le plaisir il y a 2 semaines de rencontre l’équipe de MyTeepi et j’ai décidé cette semaine de faire un petit live pour parler de leur projet, et de leur kickstarter.

Je me suis planté lors de l’enregistrement de la vidéo en local donc j’ai du ripper mon propre live pour pouvoir l’uploader ici. C’est pour cette raison que vous voyez les commentaires des gens qui sont passés me faire coucou sur Instagram.

Pour résumer si vous n’avez pas la patience de regarder cette vidéo, le MyTeepi existe en 2 formats, Square (plastique) et Woody (bois) et propose les fonctionnalités suivantes :

• Détecteur de présence infrarouge (10 mètres de portée)
• Capteur de taux d’humidité
• Capteur de température
• Connecté au réseau Sigfox (donc pas besoin de wifi ou de 4G)
• Fonctionne avec des piles (8 mois d’autonomie pour la version Square)
• Et si vous le branchez sur le courant, il peut vous alerter si vous subissez une coupure de courant.

Et un truc que j’ai oublié de dire dans le live, c’est qu’il est capable de détecter les sonneries incendie ainsi que les grosses variations de volume (Pour être informé des grosses chouilles dans l’appartement que vous louez sur AirBnB par exemple).

Son autonomie en énergie et en réseau en font l’outil idéal pour les gens qui voyagent (camping car, lieux isolés, bateaux..etc) ou pour ceux qui veulent surveiller des emplacements isolés ou non connectés (cabane de jardin, maison de campagne, cave à vin…etc). Le réseau Sigfox a la particularité d’être un réseau longue portée et peut fonctionner jusqu’à 20 km au large des côtes. De plus il couvre quasiment toute l’Europe et certaines parties du reste du monde.

Bref, si le projet vous intéresse, tout est sur MyTeepi.fr et sur leur Kickstarter.

Il arrive parfois qu’on ait besoin de garder son Mac réveillé et énergique, pour éviter qu’une mise en veille inopportune ne sabote une synchronisation ou un téléchargement.

Pour ce faire, il existe une application gratuite nommée Amphetamine, qui une fois lancée se loge dans la barre de menu et permet de garder votre ordinateur éveillé en fonction de différents paramètres :

• De manière indéfinie
• En paramétrant une durée.
• En sélectionnant une application qui lorsqu’elle sera quittée remettra votre Mac dans son état normal
  
• En paramétrant une horaire précise
• Ou en fonction de certains déclencheur tels que le réseau wifi ou le niveau de batterie.

Amphetamine permet de régler finement si vous voulez lancer l’économiseur d’écran uniquement et/ou mettre l’écran en veille, sans bien évidemment que l’ordinateur ou vos disques durs ne se mettent eux-même en veille. Et des raccourcis clavier sont paramétrables pour rendre tout cela plus rapide.

Si vous avez parfois ce besoin qui se présente, je pense que vous pouvez y aller les yeux fermés.

À partir des données et des photos prises par son satellite de reconnaissance lunaire, la NASA a réalisé cette vidéo 4K hallucinante, montrant de nombreux détails de la surface de la Lune.

Vous passerez par les pôles, visiterez quelques cratères célèbres et redécouvrirez les endroits visités par les astronautes.

Vraiment magique si comme moi, vous aimez vous relaxer en observant le plus vieux satellite de la Terre.

Je viens de voir la tête de Mark Zuckerberg devant le Sénat te je vous avoue qu’il m’a fait de la peine.

La merde commence à rejaillir et à mon avis, ce n’est que le début. Il semblerait aussi que les politiques américains débutent une lente prise de conscience concernant la protection de leurs données personnelles. Ils auront donc peut-être un jour leur propre version du RGPD.

En attendant, si vous voulez savoir si vos données ont été « captées » directement ou indirectement par Cambridge Analytica, il suffit de vous rendre sur ce lien et de lire le petit texte encadré.

De mon côté, ça semble OK. En même temps, je dois aller une fois par mois sur Facebook et je n’y fais rien de très exotique.

Et même si je n’approuve pas du tout ces abus de Facebook concernant l’exploitation des données personnelles de ses utilisateurs (et non utilisateurs), je ne peux m’empêcher de dire à Mark Zuckerberg : BON COURAGE FRÈRE !

Mailinator est un service qui permet d’avoir une boite mail temporaire publique ayant le nom que vous désirez.

Par exemple, korben9999@mailinator.com ou temptemp@mailinator.com ou cequevousvoulez@mailinator.com.

Le service n’est pas nouveau mais ce qui est nouveau par contre, c’est qu’ils proposent maintenant un numéro de téléphone public sur lequel recevoir des SMS temporaires.

Cela peut vous permettre de vous créer un compte sur un service quelconque puis de contourner l’activation SMS avec ce numéro fourni par Mailinator.

Actuellement, il n’y a qu’un numéro proposé qui est le +1 201 676 8877 et les SMS atterriront dans cette boite.

Je rappelle quand même que la consultation des boites mail et des SMS est entièrement publique donc éviter d’y mettre vos petits secrets.

Source

Le 26 janvier dernier, des cybercriminels ont dérobé via la plateforme Coincheck, environ 550 millions de dollars en NEM, une cryptomonnaie très appréciée en Asie et notamment au Japon. (Je vous vois venir, rien à voir avec le nom en lui-même…)

Coincheck a bien sûr été négligent puisque ses NEM étaient stockés dans un wallet logiciel accessible depuis le net (hot wallet) alors que la règle est plutôt de conserver ce genre de grosse somme dans plusieurs cold wallet (déconnectés et sur des supports physiques non alimentés).

Et d’après les services de renseignement de Corée du Sud, ce vol aurait été organisé par des hackers de Corée du Nord. Ces derniers auraient envoyé un email contenant un malware, à des employés de Coincheck, obtenant ainsi accès aux ordinateurs de la société.

Les vols massifs de cryptomonnaies arrivent de temps en temps, mais souvent, les cybercriminels se retrouvent bloqués au stade du blanchiment. Toutefois les hackers de Coincheck ont pensé à tout puisqu’ils ont mis en place sur le darknet, une plateforme d’échange automatisée, permettant d’échanger des Bitcoins contre du NEM avec une réduction de 15% sur le tarif. Autant dire que les gens se sont jetés sur la bonne affaire.

Résultat, une grande part des NEMs volés ont été blanchis rapidement, avant même que la Fondation NEM ne puisse marquer au fer rouge les crypto adresses des criminels, ce qui aurait eu pour effet de bloquer leurs comptes. En effet, ce système de marquage baptisé Mosaic est plutôt lent et il faut 2 à 3 minutes pour tagger chaque compte. Les voleurs ont simplement utilisé ce temps de latence afin de transférer les NEMs entre différents comptes, pour ensuite les placer sur des plateformes d’échange, échappant ainsi au marquage.

Ce serait donc environ 100 millions de dollars qui ont été récupérés en Bitcoin via ce site web et qui sont probablement en train d’être converti en billets verts via divers moyens anonymisants.

De son côté Coincheck a promis qu’il rembourserait les clients spoliés à auteur de 400 millions de Yens, mais pour le moment, le site reste fermé. Hmm.

L’enquête se poursuit, mais la piste nord-coréenne semble être privilégiée par les enquêteurs. D’ailleurs, le site utilisé pour blanchir les NEMs a disparu affichant simplement la photo suivante de Kim-Jong-Un entouré de billets. On appréciera l’humour.

Cela laisse donc à penser que l’intégralité des NEMs a été blanchie. De son côté, le NEM a perdu environ 75% de sa valeur et la fondation en charge a refusé la possibilité d’un hard fork.

N’empêche, ils sont détendus les Nord-Coréens. La question qu’on peut se poser maintenant c’est « A quoi va servir cet argent ?« 

D’ailleurs vous feriez quoi avec 550 millions vous ?

Source

Voici un projet open source nommé P4wnP1 qui devrait intéresser les chercheurs en sécurité ou les curieux qui veulent tester la sécurité de leur machine.

Je précise quand même que ce n’est à utiliser que sur votre propre matériel, dans  le cas contraire, vous aurez de gros ennuis avec la justice, la police et probablement le rouleau à tarte de votre maman chérie.

P4wnP1 est donc une distrib conçue pour fonctionner sur Raspberry Pi Zero et Raspberry Pi Zero W et qui permet de transformer le mini ordinateur en plateforme USB de pentest.

P4wnP1 propose de nombreuses fonctionnalités comme le Windows 10 Lockpicker qui permet de déverrouiller automatiquement une session Windows ayant un mot de passe faible, simplement en branchant le P4wnP1 sur le port USB de la machine. Démonstration :

P4wnP1 est aussi capable de se transformer en hotspot wifi, en récupérateur d’identifiants contenus dans le navigateur, ou permet d’obtenir un powershell (à distance ou non) sur une machine Windows. Et comme il y a du wifi sur le Raspberry Pi Zero W, c’est l’ennemi n°1 des ordinateur dit « air gapped », c’est à dire isolé de tout réseau.

Ainsi, le Raspberry Pi Zero étant reconnu comme un périphérique HID (comme un clavier), un peu comme le bash bunny ou l’USB Rubber Ducky, il offre tout un éventail de possibilités une fois branché.

Une fois encore, au delà de l’aspect ludique et éducatif de la chose, c’est un bon rappel à sécuriser ses ports USB.

L'étudiant au MIT, Anish Athalye et ses amis Kevin, Guillermo, et Logan ont mis au point une technique surprenante pour pouvoir rendre n'importe quel écran de MacBook tactile, le tout sans modifier physiquement la machine et pour 1$ de matos !!

C'est fou !

Alors comment ça fonctionne ? Tout simplement en mettant en place devant la webcam un petit miroir pour détecter le reflet du doigt sur l'écran du MacBook.

En plus de ce petit bricolage à 1$, ils ont développé un logiciel sous licence libre baptisé Sistine que vous pouvez trouver ici, qui est capable grâce à la lib OpenCV, de déterminer s'il y a ou non contact entre le doigt et l'écran. Va en enfer Jeannot Lapin.

Et voilà comment transformer un écran classique en écran tactile. Cette technique est inspirée du projet ShinyTouch de Kevin Kwok de la même équipe du MIT, qui partait de la même idée, mais à partir d'une webcam placée sur le côté de l'écran. (Je vais finir Pandi Pandu !!)

Évidemment, tout ceci n'est qu'un proof of concept et demande encore à être amélioré, notamment concernant le calibrage, la prise en compte de la largeur totale de l'écran et bien sûr la détection de l'emplacement du doigt en hauteur. Mais je pense que ça doi(g)t être jouable.

En tout cas, si vous développez et que vous aimez bidouiller, je suis certain que ce projet vous donnera quelques idées.

Amusez-vous bien !

(Cet article a été rédigé très douloureusement en supportant du Chantal Goya à fond la caisse. De plus c'était les 2 mêmes chansons en boucle. Donc si vous voyez des choses étranges dans le texte, n'hésitez pas à me les remonter.)

Source

Si l'anonymat en ligne, c'est important pour vous, vous connaissez peut-être TorBrowser qui permet de faire passer via le réseau Tor, l'ensemble de votre surf sous Firefox.

Mais si vous désirez aller plus loin, il existe une extension similaire pour Thunderbird.

Une fois en place, cette extension baptisée TorBirdy permet d’accéder à votre boite mail de manière anonyme, au travers du réseau Tor. De plus, elle peut fonctionner sans aucun problème avec l'extension Enigmail qui permet de chiffrer vos communications.

TorBirdy est encore en beta mais est mise à jour une à deux fois par an. L'extension est compatible avec les versions de Thunderbird > 45.

Vous pouvez la télécharger ici.

Source

Des  chercheurs de l'université de Columbia à New York ont mis au point un nouveau moyen de cacher un message dans un texte sans en altérer le sens et sans dépendre d'un format de fichier particulier.

Nommée FontCode, cette idée est plutôt ingénieuse puisqu'elle consiste à déformer de manière quasi imperceptible les lettres qui composent ce texte, pour y encoder un second message. Ensuite, il suffit d'un algorithme capable de détecter ces perturbations pour reconstituer le message.

Démonstration en vidéo :

Ainsi, peu importe que le message soit affiché sur un écran d'ordinateur ou imprimé sur du papier, le texte caché reste récupérable.

Au-delà de l'aspect stéganographique, cela pourrait avoir des applications intéressantes comme intégrer directement des meta données au texte, ou une signature validant l'authenticité d'un document, sans oublier la possibilité d'utiliser ce système pour y intégrer un code similaire à celui d'un code-barre pour scanner des produits à partir du texte présent sur le packaging, sans avoir besoin d'y imprimer des codes barres tout moches

Si vous êtes développeur et que vous cherchez un moyen rapide et facile de gérer vos packages NPM, voici Luna.

Luna est une application à base d'Electron qui vous permettra de manipuler l'ensemble de vos packages npm. C'est à dire en installer de nouveaux, désinstaller ceux que vous ne voulez plus et mettre à jour le reste d'un seul clic.

Mais Luna permet aussi d'explorer en détail chacun d'entre eux, d'en chercher de nouveaux, de détecter les dépendances manquantes…etc.

Et si vous vous plongez dans un nouveau projet, Luna est capable en analysant le fichier package.json de lister et d'installer l'ensemble des paquets nécessaires au projet.

En gros, cet outil offre tout ce qu'on peut faire avec npm au niveau de la gestion de paquets, mais matérialisé dans une interface graphique.

Bref, un bon petit gestionnaire à tester, qui pour le moment n'est disponible que sous Linux (et bientôt sous Windows).

Le dépôt github de Luna est ici.

Ça n'a failli pas se faire car il y a une épidémie de gastro – otites à la maison. Mais il faut croire que tout s'arrange puisqu'avec l'ami Remouk de DansTonChat, on fera bien un live Webosaures à partir de 12h aujourd'hui.

Et cette fois, on discutera des données que nous livrons à l'insu de notre plein gré aux géants du web.

Rendez-vous donc sur la chaine Youtube à 12h ! Et n'oubliez pas de vous abonner pour être informé des prochains live.

Faire un lien symbolique sous Linux ou Mac ce n'est pas très compliqué. Il suffit d'ouvrir un terminal et d'y entrer la commande suivante :

ln -s FICHIER_OU_DOSSIER NOM_DU_LIEN_SYMBOLIQUE

Pour ceux qui ne connaitraient pas les liens symboliques, cela permet de placer une référence qui pointera vers un fichier ou un répertoire, à l'endroit de votre choix. Ainsi, le fichier ciblé par votre lien symbolique sera vu par les autres programmes comme étant physiquement présent à l'endroit où vous avez placé votre lien symbolique. Cela permet d'éviter qu'un fichier se retrouve dupliqué à différents endroits de votre arborescence. C'est très utilisé sous Linux.

Mais si vous êtes sous Mac et que la ligne de commande, ce n'est vraiment pas votre truc, il existe une extension macOS baptisée SymbolicLinker qui permet de créer des liens symboliques d'un simple clic droit sur un fichier ou un dossier.

Rien de plus simple.

Pour télécharger SymbolicLinker c'est par ici.

Et si vous êtes sous Windows, j'ai trouvé l'extension Link Shell qui permet de faire la même chose sur les systèmes en NTFS. Par contre, je n'ai pas pu encore la tester.

Amusez-vous bien !

Source

J'ai pris 5 min aujourd'hui pour faire mon tout premier Instagram Live histoire de vous montrer la petite installation que je me suis faite dans mon bureau pour démarrer mes semis de tomate.

En gros, j'ai un Prêt à Pousser qui permet soit via des capsules en hydroponie, soit carrément en remplissant les pots de terre, de faire pousser quelques petits trucs sympas sous lumière artificielle. Et la lumière est dosée parfaitement.

Et j'ai aussi un bac Ikea (Ref : KRYDDA + VÄXER) destiné aussi à l'hydroponie que j'utilise maintenant simplement pour la lumière, avec un mélange terre + terreau. Et comme ce bac Ikea est équipé de lumière, je l'ai aussi domotisé avec une prise Fibaro (+ une box jeedom derrière), afin que ça s'allume automatiquement au lever du soleil et que ça s'éteigne au coucher du soleil. Rien de bien complexe.

Enfin, comme j'ai un projecteur dans le bureau, je me suis aussi installé un bouton Fibaro, collé sur le meuble qui soutient le projo, pour pouvoir tout couper manuellement quand je désire plonger la pièce dans le noir.

Bref, une petite installation qui n'a rien de bien compliquée, mais qui me permet d'avoir quelques plantes aromatiques en intérieur et qui me permet aussi de démarrer mes semis de tomate OKLM.

Et vous, comment ça se passe chez vous ?

Et pour ne pas louper les prochains, retrouvez-moi au choix sur :

• Instagram
• Facebook
• Youtube

C'EST MOINS CHER QUE GRATUIT !!

Vous n'en avez peut-être pas conscience, mais à chaque fois que vous tapez une URL dans la barre d'adresse de votre navigateur, celle-ci transite en clair jusqu'au serveur DNS que vous utilisez. Celui-ci se charge alors de la résolution du nom de domaine, et vous indique à votre machine comment se mettre en relation avec le bon serveur qui vous distribuera la donnée attendue.

Seulement voilà, niveau confidentialité, c'est pas top, car dans la majorité des cas, les appels DNS se font en clair. Ainsi, une entité située entre vous et le site contacté est donc parfaitement capable de savoir sur quel site vous allez. Après évidemment, comme la plupart des sites sont maintenant en HTTPS, ce que vous faites précisément sur ces sites est chiffré. Mais "on" sait encore sur quels sites vous allez.

Et cette donnée a de la valeur, car c'est grâce à cela qu'on peut enrichir de la "big data", analyser vos habitudes, mieux vous cibler pour vous afficher de la publicité…etc.

Pourtant des solutions existent comme DNS-over-TLS et DNS-over-HTTPS qui permettent d'encapsuler les requêtes DNS dans des protocoles chiffrés. Malheureusement, elles sont encore peu implémentées.

Toutefois, cela risque de changer, car Cloudflare qui accélère une grosse partie des sites de la planète grâce à son CDN, propose maintenant son propre DNS. Et il est encore plus facile à retenir que le 8.8.8.8 de Google puisqu'il s'agit du :

Ou encore :

• 1.0.0.1
• 2606:4700:4700::1111
• 2606:4700:4700::1001

Ma première pensée lors de cette annonce a été par rapport à la vie privée des internautes. Car comme toujours, cela est une solution à double tranchant. En effet, le fournisseur du DNS sait sur quels sites vous surfez.

Le DNS de Cloudflare est un bon DNS, car il est le plus rapide, mais aussi parce qu'ils ont pris les devants et s'engagent à ne pas revendre les données, et ne conservent pas les logs au-delà de 24h.

Le principal avantage bien sûr c'est que contrairement au DNS de Google qui permet de mieux vous profiler pour vous balancer de la pub, on sait que Cloudflare ne trempe pas là dedans. Cela reste une boite américaine donc c'est évidemment à prendre avec toutes les précautions d'usage.

Donc OK pour l'internaute c'est super.

Mais j'imagine que pour Cloudflare, connaitre les requêtes vers l'ensemble des sites web d'un grand nombre d'internautes, va leur apporter un avantage technique et commercial pour mieux gérer et vendre leur réseau CDN.

D'un côté, Cloudflare vous rend service, mais en échange, vous lui fournissez vos données de surf. (car Cloudflare continuera à le savoir alors que les intermédiaires comme votre FAI seront dans le noir). Ce n'est ni bien, ni mal, mais il faut en avoir conscience.

Si cela vous dérange, vous pouvez toujours vous retourner vers un DNS comme celui de FDN ou celui de Quad9 dont l'IP est 9.9.9.9 qui est géré par une organisation à but non lucratif, et qui propose le même niveau de sécurité que celui de Cloudflare, avec je crois un peu d'intelligence dans la détection des menaces pour vous empêcher de vous retrouver sur des sites contenant des malwares ou des pages de phishing.

Il est un peu moins rapide, mais je pense que ça reste un bon compromis.

En tout cas, que vous choisissiez 9.9.9.9 ou 1.1.1.1, c'est à vous de décider, mais c'est l'occasion de stopper la collecte de vos données personnelles en passant par le 8.8.8.8.

---

ASUS DSL-AC88U – Routeur sans fil

promo

modem ADSL – commutateur 4 ports – GigE – ports WAN : 2 – 802.11a/b/g/n/ac

Une expérience fluide avec la technologie NitroQAMQue vous participiez à une compétition en ligne ou que vous regardiez un événement en direct en 4K/UHD, les lags et la mise en mémoire tampon ne sont pas admis.
La technologie NitroQAM du DSL-AC88U offre un débit combiné de 3167 Mb/s pour que chacun sur le réseau puisse profiter d’un streaming fluide avec une faible latence sur les jeux en ligne.Technologie DSL pour un streaming fluideAvec un débit total de 900 Mb/s, le DSL-AC88U intègre la technologie G.fast, assurant un débit rapide et des performances fluides pour toutes les tâches gourmandes en bande passante

En Savoir +

---

Rendez-vous le 1er avril prochain pour un autre poisson d'avril 😉

Mon copain Moulla, le célèbre magicien qui fait toujours des trucs de fou dans ses spectacles avec de la high tech a eu une excellente idée et m'a demandé de participer un peu à son projet.

Dans l'un de ses shows, on peut y voir des parapluies voler sur l'écran puis sortir physiquement de l'écran. C'est très impressionnant.

Mais quand les parapluies se mettent à voler vraiment dans la vraie vie, on dépasse le domaine de l'illusion. Avec l'équipe d'ingénieurs de sa société Augmented Magic, il a mis au point le Dronebrella, un parapluie connecté capable de voler et suivre son propriétaire dans la rue.

Impeccable pour manger son kebab sous la pluie 🙂

Connecté en Bluetooth et pilotable avec le smartphone, le dronebrella est un genre de drone autonome qui peut fonctionner en automatique avec suivi du propriétaire ou être piloté manuellement via l'app, comme vous le feriez avec un drone traditionnel.

Et comme chez Augmented Magic, ils aiment bien s'amuser, ils ont même intégré un mode fun qui consiste à essayer d'attraper le parapluie en mode "catch me if you can" durant un temps limité.

Le projet n'en est qu'à ses débuts, mais une campagne de financement participative est lancée et va permettre de développer le Dronebrella et pourquoi pas lui apporter de belles améliorations comme l'ajout d'une commande vocale, de lumières LED pour vous éclairer le chemin la nuit ou encore une version XXL pour y abriter toute votre famille.

Annoncé avec quelques heures d'avance sur la date prévue, ce prototype rencontre déjà un franc succès et Moulla a reçu des tonnes de propositions d'accompagnement et de financement du monde entier. Je pense d'ailleurs que Décathlon a un coup à jouer pour proposer un nouvel accessoire au rayon pêche.

Si le projet vous botte, je vous invite à le contacter directement en passant par le site d'Augmented Magic.

Bon week end à tous !

---

ASUS DSL-AC88U – Routeur sans fil

promo

modem ADSL – commutateur 4 ports – GigE – ports WAN : 2 – 802.11a/b/g/n/ac

Une expérience fluide avec la technologie NitroQAMQue vous participiez à une compétition en ligne ou que vous regardiez un événement en direct en 4K/UHD, les lags et la mise en mémoire tampon ne sont pas admis.
La technologie NitroQAM du DSL-AC88U offre un débit combiné de 3167 Mb/s pour que chacun sur le réseau puisse profiter d’un streaming fluide avec une faible latence sur les jeux en ligne.Technologie DSL pour un streaming fluideAvec un débit total de 900 Mb/s, le DSL-AC88U intègre la technologie G.fast, assurant un débit rapide et des performances fluides pour toutes les tâches gourmandes en bande passante

En Savoir +

---

Je suis en phase de retour du Breizhcamp à Rennes où j'ai vraiment passé un bon moment. Les organisateurs et les visiteurs étaient vraiment cools, les conférences vraiment enrichissantes, et je me suis bien amusé.

Maintenant, la prochaine étape pour moi, ce sera d'aller dans le Sud, et plus exactement à Aix-en-Provence, où avec la team YesWeHack, nous organisons ce premier Hackpero sudiste.

Le principe du Hackpero est simple : des conférences cybersécurité, des entreprises qui recrutent des profils en sécurité informatique et bien évidemment un Bug Bounty sur la durée de l'événement.

Au programme des conférences, une introduction au bug bounty par votre serviteur, suivi d'une conf sur le hack d'objets IoT par Mhack Gyver. Ensuite, l'Unicef qui est partenaire, viendra parler de ses dernières actions. Sans oublier Cyril Ceresola qui parlera de la compréhension des enjeux de la cybersécurité et Renaud Lifchitz qui abordera le sujet de la blockchain et des applications décentralisées sous un angle cybersécurité.

Notez aussi, que le soir, Global Hackcess avec qui nous coorganisons cette édition du Hackpero, proposera un CTF avec des lots à gagner. De quoi bien s'amuser, apprendre plein de choses et rencontrer des gens sympas.

N'oubliez pas, si vous êtes une entreprise à la recherche d'experts en cybersécurité, vous pouvez réserver votre stand en nous écrivant : contact@yeswehack.com . Il en reste encore, mais ne tardez pas, car il y aura peu d'élus.

Même chose si vous êtes visiteur, passionné de sécurité et que vous avez envie de networker et d'assister aux conférences. Tout se passe ici. Pensez bien à vous inscrire.

Le Hackpero débutera à partir de 14h sur le campus YNOV à Aix-en-Provence et j'ai hâte de vous y voir et d'échanger avec vous.

A très vite !

Étant abonné Netflix et voyageant régulièrement à l'étranger, j'ai remarqué à plusieurs reprises que les films et séries qui m'étaient proposés différaient selon les pays où je me trouvais.

Je pouvais commencer un film sympa en Suède et ne pas pouvoir le finir en France, car rendu indisponible dans le catalogue FR. Ou alors le commencer en France en version française et n'avoir accès qu'à la version doublée en espagnol en Espagne.

Oui c'est regrettable, mais malgré le fait qu'on soit tous sur Internet, un réseau connecté mondial conçu pour le partage des connaissances, il existe encore des frontières invisibles comme celles-ci.

Et n'allez pas pointer du doigt Netflix ou d'autres acteurs, car il ne s'agit pas spécialement de leur volonté. C'est plutôt, comme toujours, un problème ou plutôt une exigence imposée par les ayants droit pour garder leurs griffes bien accrochées à leurs royalties et continuer encore et toujours à remplir leur porte monnaie avec de la donnée qui ne leur coûte à rien à copier-coller à l'infini sur les serveurs du monde entier.

Mais plutôt que de régler le problème une fois pour toutes en abolissant ces frontières invisibles imposées par le droit d'auteur, notre cher Parlement européen, histoire de faire plaisir à tout le monde, a trouvé la parade.

Dorénavant, une nouvelle loi baptisée Digital Single Market et concernant la "Cross-border portability" (portabilité transfrontière) va permettre aux citoyens européens d'être rattachés à un pays et donc de pouvoir accéder au catalogue FR partout en Europe s'ils sont français. Ça va donc régler la moitié de mon problème qui est de pouvoir finir un film commencé en France, dans un autre pays de l'UE.

Mais l'autre moitié de mon problème à défaut d'être réglé, s'aggrave.

Comment ?

Et bien quand j'allais par exemple en Islande (ou que j'utilisais un VPN islandais – c'est moins cher ^^), je pouvais découvrir de nouvelles œuvres réservées à mes amis vikings. Ainsi, je pouvais m'enrichir culturellement en découvrant les "catalogues" Netflix d'autres pays. C'était bien.

Mais grâce à l'Europe, c'est terminé. En bon petit français, je serai donc cantonné aux productions audiovisuelles que les ayants droit ont décidé de réserver au marché français (oui, car nous sommes un "marché"). Et je parle de Netflix, mais cela vaut aussi pour les restrictions par pays de YouTube et j'imagine que c'est valable pour Amazon Prime Video, Spotify, Deezer…etc.

Cette loi sur la portabilité transfrontière (transfrontalière ?) des données est donc une demi-solution qui règle un petit problème, tout en générant ce qui à mes yeux est maintenant un gros problème : Celui de la censure des contenus en fonction de la nationalité de l'internaute. Avant cela, on pouvait encore contourner la restriction avec des VPN, mais après le 1er avril 2018, date d'application de ces nouvelles règles (oui, et c'est loin d'être une blague), comme votre compte sera rattaché à un pays, même en passant par un VPN allemand, vous continuerez à accéder à du contenu réservé aux Français.

On est donc bien sur une loi qui génère une forme de censure culturelle et intellectuelle et qui emprisonne les utilisateurs de ces services, permettant aux ayants droit de nous diviser en petits groupes pour maximiser leurs profits.

À mon sens, ce que la Commission européenne et les acteurs comme Netflix auraient dû défendre, c'est tout simplement l'abandon de cette notion de frontières dès qu'on parle d'Internet. Les mêmes données, les mêmes contenus pour l'ensemble des habitants de la planète. Et voilà. Problème réglé.

Cela aurait été une avancée majeure pour la culture, mais aussi une manière de combattre la censure et la main mise de certains sur ce qui devrait revenir à l'humanité dans son ensemble. Et pour ceux qui auraient peur de se retrouver avec des milliers de films Bollywood dans leur Netflix, je tiens à leur dire que techniquement ça n'aurait pas été un problème. Il aurait toujours été possible de segmenter les contenus en fonction des intérêts de l'utilisateur comme c'est le cas actuellement par exemple sur YouTube, sans pour autant imposer un blocage ou une censure de contenu étranger au pays d'origine de l'abonné.

Bref, même si ces règles peuvent sembler améliorer le confort des utilisateurs européens, elles génèrent selon moi un effet de bord hyper négatif qu'on peut appeler de la censure.

Mais évidemment, tout est packagé, markété comme étant un bon en avant dans le progrès. Notez donc qu'une fois encore, on nous prend pour des cons.

---

B&O Beoplay M5

promo

160 Watts, BeoLink multiroom & ChromeCast Built-in

La B&O Beoplay M5 est la troisième enceinte sans-fil sédentaire et multiroom du fabricant d’audio haut de gamme Bang & Olufsen ! Elle succède donc aux enceintes A6 et A9, auxquelles elle peut être associée via l’application Beoplay App. Cette enceinte dernier cri multiroom est compatible Bluetooth, AirPlay, Google ChromeCast, Spotify Connect ou encore Deezer. Compacte, elle dispose d’un design irréprochable et de 130 Watts de puissance au total.

En Savoir +

---

Attention, scoop : Facebook vous traque, conserve vos données personnelles et permet à des tiers d'en profiter directement ou indirectement.

Tu parles d'un scoop.

Mais dans un cadre professionnel, voire personnel, il peut être parfois délicat de se séparer de Facebook. Tout le monde n'est pas encore en mode "ballec" comme Elon Musk et la dépendance peut être forte pour certains.

Toutefois, en attendant de couper le cordon avec la plus grande agence de renseignement du monde, il est possible de limiter le tracking en forçant Facebook à se lancer dans un conteneur Firefox grâce à l'extension suivante proposée par Mozilla.

Ainsi, à chaque fois que le domaine facebook.com sera ouvert sur votre navigateur, ce sera via un conteneur qui séparera le cache et les cookies Facebook du reste de votre surf, permettant ainsi d'éviter que le réseau social ne vous traque de sites en sites grâce aux boutons "Like" et autres scripts disséminés partout sur la toile.

Cette extension reste quand même incomplète, car il existe d'autres moyens de tracer les gens sur la toile, sans avoir recours à des cookies, mais ça permet quand même de limiter un peu la gêne.

Et si vous voulez en savoir plus sur ce dont dispose Facebook en terme de données vous concernant, c'est très simple. Vous allez sur cette page, puis vous cliquez sur le lien "Télécharger une copie de vos données Facebook" situé en bas de page.

Source

---

B&O Beoplay M5

promo

160 Watts, BeoLink multiroom & ChromeCast Built-in

La B&O Beoplay M5 est la troisième enceinte sans-fil sédentaire et multiroom du fabricant d’audio haut de gamme Bang & Olufsen ! Elle succède donc aux enceintes A6 et A9, auxquelles elle peut être associée via l’application Beoplay App. Cette enceinte dernier cri multiroom est compatible Bluetooth, AirPlay, Google ChromeCast, Spotify Connect ou encore Deezer. Compacte, elle dispose d’un design irréprochable et de 130 Watts de puissance au total.

En Savoir +

---

Sylvain Leroux a mis en ligne une vidéo tuto (en anglais) qui je pense va vous intéresser puisqu'il y explique comment installer un Raspberry Pi en mode headless (sans tête), c'est à dire sans clavier, sans écran et sans câble Ethernet (mais en activant le wifi au cours du processus bien sûr).

C'est pas très compliqué. A la limite, le truc le plus long c'est de vérifier la signature de l'image de Raspbian téléchargée. C'est rare de voir ça dans un tuto donc profitez-en aussi pour acquérir cette connaissance supplémentaire. 🙂

Voici donc les explications en vidéo :

Et si vous avez besoin d'un support texte, le tuto rédigé est disponible ici.

---

B&O Beoplay M5

promo

160 Watts, BeoLink multiroom & ChromeCast Built-in

La B&O Beoplay M5 est la troisième enceinte sans-fil sédentaire et multiroom du fabricant d’audio haut de gamme Bang & Olufsen ! Elle succède donc aux enceintes A6 et A9, auxquelles elle peut être associée via l’application Beoplay App. Cette enceinte dernier cri multiroom est compatible Bluetooth, AirPlay, Google ChromeCast, Spotify Connect ou encore Deezer. Compacte, elle dispose d’un design irréprochable et de 130 Watts de puissance au total.

En Savoir +

---

La 20th Century Fox a mis en ligne la nouvelle bande annonce de Deadpool 2. De quoi se régaler encore un peu en attendant sa sortie le 16 mai prochain !

Hâte de le voir celui-là !

Bonne fin de journée à tous.

---

B&O Beoplay M5

promo

160 Watts, BeoLink multiroom & ChromeCast Built-in

La B&O Beoplay M5 est la troisième enceinte sans-fil sédentaire et multiroom du fabricant d’audio haut de gamme Bang & Olufsen ! Elle succède donc aux enceintes A6 et A9, auxquelles elle peut être associée via l’application Beoplay App. Cette enceinte dernier cri multiroom est compatible Bluetooth, AirPlay, Google ChromeCast, Spotify Connect ou encore Deezer. Compacte, elle dispose d’un design irréprochable et de 130 Watts de puissance au total.

En Savoir +

---

Le mois de Mars s'achève bientôt alors autant le finir sur une note positive.

Et cette note c'est bien sûr le Breizhcamp 2018 qui aura lieu les 28, 29 et 30 mars à Rennes. Pour ma part, j'y serai le 29 mars pour faire une petite conf matinale au sujet du bug bounty dans le cadre du Breizhcamp 2018.

J'espère donc vous y voir nombreux, car je sens que ça va être bien cool comme event. En tout cas, le teaser vidéo est énorme, ne le manquez pas.

Sur ce, je vous souhaite une excellente fin de semaine !

Kenavo !

Lors de l'émission Webosaures que j'ai enregistré ce mardi avec Remouk, notre invité, Renaud, nous a parlé d'un site génial pour tous ceux qui s'intéressent aux usages d'Ethereum et de ses smart contracts.

Ce site, c'est State of the DApps. Inspiré de feu Freecode (freshmeat) pour ceux qui ont connu, ce site est un annuaire d'applications décentralisées (d'où le "ÐApps") basées sur la blockchain Ethereum.

Et c'est super intéressant, car on peut y trouver pleins de projets cools.

Il y a bien sûr beaucoup de jeux à base d'Ethereum, de lotteries et de choses à collectionner (y'a même un "CryptoTitties", avec un T oui, c'est vous dire…), mais moi, ce qui m'a le plus intéressé, ce sont les projets un peu plus utiles comme cette plateforme baptisée Bounties Network qui permet aux freelances de trouver des petites missions rémunérées, ETHLend pour du prêt financier entre particuliers, docStamp qui permet de marquer et dater des documents dans la blockchain pour prouver que vous en être bien l'auteur / propriétaire, sans oublier les réseaux sociaux et autres moyens d'expression incensurable.

Bref, il y a beaucoup de choses à regarder, découvrir et expérimenter. Cela vous donnera peut-être de l'inspiration pour de futurs projets.

State of the DApps c'est par ici et encore merci à Renaud pour le tuyau.

Lors de l’OVH Meetup du 27 février dernier, Sébastien Mériot, security software engineer au sein du pôle sécurité d’OVH,  a fait une présentation sur la capture et l’analyse de malwares. Donc en gros, l’installation d’un honeypot pour attirer les menaces puis les différentes étapes nécessaires à l’analyse d’un malware via une sandbox.

Passionnant !

Source

L'organisation Security Without Borders propose un outil nommé Hardentools, qui permet de désactiver un ensemble de "fonctionnalités" présentes dans Windows et présentées comme à risque.

L'objectif est donc de réduire la surface d'attaque des ordinateurs personnels en désactivant des choses comme cmd.exe, Powershell, les macros d'Office, le JS dans les fichiers PDF…etc.

Vu ce que ça désactive, Hardentools est totalement déconseillé dans des environnements d'entreprise, car ces outils sont nécessaires pour les administrateurs système. Par contre, pour des gens qui utilisent leur ordinateur en mode "Comme tout le monde" et qui n'ont pas peur de ne plus pouvoir lancer l'invite de commande MS-DOS ou se lancer dans des tableurs complexes à base de macros, cela peut augmenter un peu la sécurité de leur environnement de travail / loisirs.

Et si vous vous rendez compte que Hardentools vous bloque à un moment, dans votre utilisation de l'ordinateur, il est heureusement possible de restaurer ces fonctionnalités.

Bref, à réserver aux gens qui savent ce qu'ils font.

Hardentools est téléchargeable ici.

J'ai eu la joie aujourd'hui d'enregistrer un nouveau Webosaures avec l'ami Remouk de DansTonChat.

Et au programme de cette émission, nous avons choisi le thème du Bitcoin et des cryptomonnaies. L'idée c'est de commencer doucement et d'expliquer les concepts de base pendant une heure.

Et pour nous aider, nous avons invité Renaud Lifchitz, expert en sécurité et en blockchain, qui a l'habitude de vulgariser tout ça à destination du grand public. Évidemment, 1h, c'est trop court donc il est probable qu'on en fasse d'autres sur la même thématique.

J'espère que cela vous plaira.

Si vous cherchez un éditeur markdown WYSIWYG à intégrer dans votre projet web, voici Pell.

Développé par Jared Reich et écrit 100% en JavaScript, Pell fonctionne sans aucune dépendance et ne pèse que 1,38 kB (minifié et gzippé), ce qui en fait l'éditeur le plus léger de sa catégorie.

Pour vous rendre compte des possibilités de Pell, le mieux c'est encore de le tester ici. Et si vous voulez l'utiliser ou l'intégrer, le code sous licence MIT est disponible ici.

Et dans le même genre, vous avez aussi :

Et pour ceux qui veulent en savoir plus sur la syntaxe markdown, je suis aussi tombé là dessus.

Au commencement, il y avait Spotifyd, un daemon écrit en C qui utilisait la lib officielle de Spotify, pour streamer de la musique sous Linux / Unix.

Malheureusement, Spotify a mis fin à sa bibliothèque, forçant les développeurs de Spotifyd à réécrire entièrement le démon. Et c'est chose faite depuis peu.

Ce daemon fonctionne comme le client officiel puisqu'il utilise le protocole Spotify Connect et peut ainsi être déployé sur n'importe quels machine ou objet connecté avec un système UNIX afin de jouer votre musique préférée. Notez qu'un compte premium Spotify est nécessaire.

Mieux, il permet de piloter la lecture à partir de n'importe quel client Spotify officiel (Desktop, Android, iOS).

Vous pouvez trouver la doc et les sources de Spotifyd ici et des binaires pour amd64 et arm64 sont dispo ici. Donc si vous avez la lib Alsa en place, vous pouvez par exemple faire tourner Spotifyd sur un Raspberry Pi.

Amusez-vous bien !

Pour lutter contre la centralisation du web, il existe parfois des moyens simples, mais que peu de monde connaît.

Prenons par exemple Beaker. Ce navigateur open source permet de surfer sur le web de manière classique, mais aussi d’accéder de manière sécurisée (chiffrée) à des contenus distribués en Peer 2 Peer (de pair à pair). Pour cela, il suffit de connaître l'URL de la ressource que vous souhaitez consulter, et les fichiers HTML, images, CSS ou autres, seront récupérés en P2P.

Et pour proposer des sites ou des fichiers au travers de Beaker, pas besoin d'une mise en place technique complexe. Non, non, tout se passe au sein du navigateur, avec la possibilité de mettre à dispo des sites directement en sélectionnant les fichiers. Vous pouvez même le faire de manière déconnectée et Beaker se chargera de mettre à disposition vos fichiers dès qu'une connexion sera retrouvée.

Chaque fichier aura alors son URL en dat:// et cela fonctionnera comme n'importe quel site statique. Beaker repose sur le protocole Dat, un super projet de décentralisation des données que je vous encourage aussi à regarder.

Beaker intègre aussi un système de versionning, donnant à toutes les différentes versions d'un même fichier. Pratique pour faire un peu de suivi ou retrouver une ancienne version de page.

Et évidemment, une série d'API est disponible, offrant la possibilité pour ceux qui veulent aller plus loin, d'automatiser par exemple la mise à jour des sites…etc.

Wakefy est une application gratuite qui s'installe sur votre Mac pour le transformer en réveil.

Et ce réveil, il est cool puisqu'il jouera la playlist Spotify de votre choix. Une fois Wakefy configuré, vous pouvez mettre votre ordinateur en veille, mais assurez-vous bien qu'il est connecté au réseau et au secteur (pour pas tomber en rade de batterie). Pensez bien à débrancher votre casque audio et à garder l'ordinateur "ouvert" si c'est un MacBook.

Notez aussi qu'il est possible d'éteindre totalement l'ordinateur, mais dans ce cas, il faudra retirer le mot de passe de session au démarrage (ce que je ne recommande pas) pour que l'application puisse programmer un boot automatique de votre ordinateur et se lancer correctement.

Et à vous les réveils parfaits comme ces gens jeunes et beaux de la vidéo.

Wakefy est dispo ici.

Source

Microsoft vient de revenir sur une décision prise en début d'année qui consistait à exiger une clé particulière en base de registre de Windows 7, 8.1, et 10, faute de quoi, les mises à jour Windows Update ne se feraient plus.

C'était assez gonflé de la part de MS de mettre la sécurité de ses utilisateurs sur la sellette comme cela, mais l'idée a germé suite aux failles Meltdown et Spectre pour forcer les éditeurs d'antivirus à être compatible avec les patchs MS pour Meltdown et Spectre. En effet, certains éditeurs AV s'amusaient à patcher en injectant du code dans le kernel, ce qui rentrait en conflit avec les patchs de Microsoft et faisait crasher les ordinateurs des gens.

Donc pour résumer, pas d'antivirus à jour = Pas  de mise à jour.

Ok mais le problème c'est que certains éditeurs d'antivirus n'ont pas voulu ajouter cette clé dans l'ordinateur de leurs utilisateurs pour différentes raisons, légales, techniques et marketing. Donc GROS BORDEL aussi bien côté utilisateur que côté éditeur d'antivirus.

Et je ne vous parle pas des utilisateurs de Windows 7 qui n'ont pas Windows Defender (l'antivirus de Microsoft) intégré à leur OS et qui n'ont pas d'antivirus commerciaux. Eux, sans rien demander à personne, ne peuvent plus faire leurs MAJ.

Heureusement depuis hier, tout cela n'est plus qu'un mauvais souvenir pour les utilisateurs de Windows 10. Cette clé de registre n'est plus exigée pour leurs mises à jour.

Mais qu'en est-il des gens qui sont sous Windows 7 qui  n'ont pas Windows Defender ?

Et bien ils doivent avoir un antivirus à jour qui ajoute cette clé à leur base de registre pour pouvoir faire leurs mises à jour Windows Update. C'est dingue !

Donc si vous êtes dans ce cas là, voici comment ajouter manuellement cette clé à votre base de registres pour débloquer vos mises à jour Windows.

Lancez donc une invite de commande MS-Dos et entrez la commande :

regedit

Ensuite, quand l'éditeur de base de registres est lancé, rendez-vous dans la clé suivants :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat

Faites un clic droit sur la clé QualityCompat et cliquez sur "Nouveau" -> "Valeur DWORD 32 bits"

Et dans cette valeur, entrez ceci comme nom :

cadca5fe-87d3-4b96-b7fb-a231484277cc

Et laissez-lui sa valeur par défaut qui est "0x00000000".

Rebootez (pas sûr que ce soit nécessaire) et voilà. Les mises à jour devraient à nouveau se faire.

Merci Microsoft, 🙂

Source

Vous voulez rire un bon coup ?

Dans le contrôleur de domaine Active Directory de Samba 4 (AD DC), n'importe quel utilisateur authentifié peut changer le mot de passe des autres utilisateurs du LDAP, même si ces derniers sont des users de type "service" (contrôleur de domaine) ou administrateurs.

Mouarf.

La raison ?

Samba 4 ne valide pas correctement les permissions concernant le changement de mot de passe, provoquant une réinitialisation du mode de passe du LDAP.

Pour contourner temporairement le problème, jetez un oeil à cette page wiki. Puis mettez à jour votre Samba vers une version plus récente.

Source

A l’époque du grand retour du DIY, quoi de plus naturel qu’un ado qui fabrique sa propre prothèse de bras en Lego ?

David Aguilar, habitant à Andorre, a mis au point avec ses Legos, son bras mécanique ce qui lui permet d’attraper des objets ou ouvrir des portes.

Bien joué mec !

source

Si vous aimez les framboises, vous allez être content puisque le Raspberry Pi 3B+ vient d'être annoncé aujourd'hui.

Il ne s'agit pas d'une nouvelle version à proprement dit, mais plutôt d'une évolution du Pi 3.

Parmi les nouveautés, un processeur plus performant cadencé à 1,4 GHz accompagné d'un dissipateur thermique avec une jolie framboise dessus.

Un nouveau chipset wifi Cypress et une antenne Prolant qui offre un accès aux réseaux sans fil 2,4 ET 5 GHz. De plus, la puce qui gère la connexion Ethernet a elle aussi été mise à jour, améliorant la vitesse de transfert jusqu'à 300 mbps.

Un petit refresh donc en attendant le Pi 4. La distrib Raspbian a aussi été mise à jour pour supporter cette nouvelle version du Raspberry Pi.

Bref, si vous avez besoin de vitesses de transfert réseau plus élevées ou d'un processeur plus performant, c'est surement le Raspberry qu'il vous faut. Autrement, vous pouvez passer votre tour.

Source

C’est avec tristesse que j’apprends aujourd’hui le décès de Stephen Hawking, l’un des plus grands cosmologiste et physicien théorique de notre temps. Ses spécialités : les trous noirs et la gravité quantique.

L’occasion pour moi de saluer son travail et de partager avec vous cette vidéo de vulgarisation sur les trous noirs, basé sur le travail de Hawking et d’autres.

C’est un triste jour pour l’ensemble de l’Humanité.

Zstd (Zstandard) est un algorithme de compression sans perte mis au point par Yann Collet pour le compte de Facebook, qui remporte un franc succès. Le principal avantage de zstd, c'est la vitesse de compression et de décompression qu'il offre, beaucoup plus rapide que xz ou gzip.

L'algorithme zstd est déjà implémenté dans les packages dpkg et apt Debian et Ubuntu et Canonical prévoit de mettre en place zstd au niveau du process d'installation de Ubuntu 18.10 qui sortira à la fin de l'année.

Cela devrait entraîner de base une augmentation de la vitesse d'installation d'Ubuntu d'environ 10%, ce qui n'est pas négligeable. Toutefois, le revers de la médaille sera une augmentation de la taille des fichiers nécessaires à l'installation d'environ 6%.

Encore mieux, si la bibliothèque EatMyData conçue pour désactiver fsync et ses packages associés sont présents, la vitesse d'installation peut atteindre les +40% d'augmentation.

Et si vous voulez tester zstd, c'est possible grâce à cette version en ligne de commande ou à cette implémentation de Zstd dans 7zip.

Un peu comme dans une bonne vieille pub Herta, il est parfois bon de revenir aux choses simples. Et quand il s'agit de lire simplement un MP3 ou une playlist MP3 sous Mac, ça devient vite relou avec iTunes. Quand à VLC que j'adore, il peut parfois être un peu trop chargé en fonctionnalités pour certains.

Heureusement, il existe Tiny Player, un lecteur natif pour macOS capable de lire les fichiers MP3, FLAC, AAC, AIFF et WAV, et les playlists qui en contiennent.

Et rien de plus. Comme ça plus de prise de tête.

Et pour les vrais nostalgiques, il reste toujours WinampJS.

Source

Github, qu'on ne présente plus, a mis en ligne sous licence MIT, git-sizer, un outil en ligne de commande, développé en Go, destiné à aider les développeurs à faire maigrir leur dépôt git.

Étant donné que chez Github, ils ont une bonne expérience de ce qui prend de la place dans les dépôts git, ils sont capables d'évaluer l'état de votre dépôt et de vous indiquer avec où se situe le votre par rapport à une moyenne réalisée sur les 78 millions de dépôts, hébergés par Github.

D'après les experts de Github, un dépôt devrait toujours être en dessous des 1GB. Au-delà de 5 GB, ça commence à devenir craignos. En général, cela est dû au stockage de fichiers générés, aux blobs (médias vidéo, photo, binaires. etc.) alors qu'il est possible de les stocker hors dépôt grâce à Git-LFS, aux zip et autres fichiers tar qui se retrouvent là par manque de rigueur, sans oublier les trop nombreux tags et branches qui ne servent pas à grand-chose, les arborescences contenant plus de 200 répertoires et sous répertoires, les fichiers textes très gros versionnés, ou tout simplement un trop grand nombre d'objets référencés. Et dans ce cas-là, c'est peut-être pas con de diviser son projet en sous-projets plus modestes.

Il existe encore de très nombreuses raisons qui font qu'un git peut être trop gros et pour les connaitre, je vous invite à lire la doc de git-sizer ici.

Pour installer Git-Sizer, vérifiez bien que vous avez le dernier client git >=2.6, puis rendez-vous ici pour récupérer le binaire qui correspond à votre système d'exploitation. Dézippez-le puis rendez l’exécutable et ajoutez le répertoire d'installation à votre PATH pour pouvoir le lancer directement depuis vos dépôts.

Placez-vous ensuite dans le dépôt dont vous voulez évaluer la taille et lancez la commande

git-sizer --verbose

Et vous obtiendez un joli résultat comme celui-ci (là ça concerne le dépôt Linux)

$ git-sizer --verbose
Processing blobs: 1652370
Processing trees: 3396199
Processing commits: 722647
Matching commits to trees: 722647
Processing annotated tags: 534
Processing references: 539
| Name                         | Value     | Level of concern               |
| ---------------------------- | --------- | ------------------------------ |
| Overall repository size      |           |                                |
| * Commits                    |           |                                |
|   * Count                    |   723 k   | *                              |
|   * Total size               |   525 MiB | **                             |
| * Trees                      |           |                                |
|   * Count                    |  3.40 M   | **                             |
|   * Total size               |  9.00 GiB | ****                           |
|   * Total tree entries       |   264 M   | *****                          |
| * Blobs                      |           |                                |
|   * Count                    |  1.65 M   | *                              |
|   * Total size               |  55.8 GiB | *****                          |
| * Annotated tags             |           |                                |
|   * Count                    |   534     |                                |
| * References                 |           |                                |
|   * Count                    |   539     |                                |
|                              |           |                                |
| Biggest objects              |           |                                |
| * Commits                    |           |                                |
|   * Maximum size         [1] |  72.7 KiB | *                              |
|   * Maximum parents      [2] |    66     | ******                         |
| * Trees                      |           |                                |
|   * Maximum entries      [3] |  1.68 k   |                                |
| * Blobs                      |           |                                |
|   * Maximum size         [4] |  13.5 MiB | *                              |
|                              |           |                                |
| History structure            |           |                                |
| * Maximum history depth      |   136 k   |                                |
| * Maximum tag depth      [5] |     1     | *                              |
|                              |           |                                |
| Biggest checkouts            |           |                                |
| * Number of directories  [6] |  4.38 k   | **                             |
| * Maximum path depth     [7] |    13     | *                              |
| * Maximum path length    [8] |   134 B   | *                              |
| * Number of files        [9] |  62.3 k   | *                              |
| * Total size of files    [9] |   747 MiB |                                |
| * Number of symlinks    [10] |    40     |                                |
| * Number of submodules       |     0     |                                |

[1]  91cc53b0c78596a73fa708cceb7313e7168bb146
[2]  2cde51fbd0f310c8a2c5f977e665c0ac3945b46d
[3]  4f86eed5893207aca2c2da86b35b38f2e1ec1fc8 (refs/heads/master:arch/arm/boot/dts)
[4]  a02b6794337286bc12c907c33d5d75537c240bd0 (refs/heads/master:drivers/gpu/drm/amd/include/asic_reg/vega10/NBIO/nbio_6_1_sh_mask.h)
[5]  5dc01c595e6c6ec9ccda4f6f69c131c0dd945f8c (refs/tags/v2.6.11)
[6]  1459754b9d9acc2ffac8525bed6691e15913c6e2 (589b754df3f37ca0a1f96fccde7f91c59266f38a^{tree})
[7]  78a269635e76ed927e17d7883f2d90313570fdbc (dae09011115133666e47c35673c0564b0a702db7^{tree})
[8]  ce5f2e31d3bdc1186041fdfd27a5ac96e728f2c5 (refs/heads/master^{tree})
[9]  532bdadc08402b7a72a4b45a2e02e5c710b7d626 (e9ef1fe312b533592e39cddc1327463c30b0ed8d^{tree})
[10] f29a5ea76884ac37e1197bef1941f62fda3f7b99 (f5308d1b83eba20e69df5e0926ba7257c8dd9074^{tree})

Plus il y a d'étoiles, plus c'est mauvais, car la note dépasse la moyenne des autres dépôts git présents sur Github. Donc ça vous permettra de mieux cibler vos efforts pour réaliser la cure d'amaigrissement de votre dépôt.

Les sources et la doc de Git-Sizer sont ici.

Amusez-vous bien !

Source

Si vous cherchez votre musique en passant par YouTube et que vous trouvez des playlists sympas que vous aimeriez importer dans Spotify, c'est possible grâce à Spotlistr.

Vous indiquez l'URL d'une playlist YouTube dans l'outil et si celui-ci se chargera de trouver les morceaux correspondants disponibles sur Spotify.

En cas de doute, il vous proposera même de choisir entre plusieurs chansons trouvées, ce qui peut bien sûr être un peu long si vous avez beaucoup de morceaux.

Spotlistr fera ce qu'il peut pour trouver les équivalences sur Spotify, mais au cas où certains morceaux resteraient inconnus au bataillon, il vous les listera aussi en bas de page.

Donnez ensuite un nom à votre playlist et vous n'aurez plus qu'à en profiter directement depuis Spotify.

Enfin, notez que Spotlistr sait aussi générer des playlists Spotify à partir de Reddit ou Soundcloud.

The Verge a réalisé une présentation rapide de la future version d’Android, baptisé Android P.

Il s’agit d’une preview pour les développeurs, donc on est encore loin de la version finale, mais vous découvrirez quelques nouvelles fonctionnalités comme un système de notifications revu, la possibilité d’avoir une encoche noire en haut comme sur les iPhone X, l’exploitation de capteurs multiples, une amélioration de l’autonomie, un système de sécurité permettant d’empêcher les applications en arrière-plan de vous écouter avec le micro ou de vous filmer et bien sûr le futur design d’Android.

Je viens de découvrir, sûrement après tout le monde, l'existence de services en ligne qui fonctionnent un peu comme AirBnB, sauf qu'au lieu de louer une chambre, vous louez de quoi stocker vos bagages durant un temps limité.

Et ça c'est vachement pratique donc je me le note ici, en mode pense-bête. Ces services qui sont disponibles pour certains en France, mais aussi aux États-Unis, au Royaume-Uni, en Italie, en Espagne et j'en passe, permettent de réserver et payer en ligne le droit de déposer ses valises dans des conciergeries qui sont le plus souvent des hôtels ou des boutiques.

Et c'est vachement pratique, car pour des gens qui voyagent souvent ou qui sont en transit le temps d'une journée dans une ville, c'est super pénible de se trimballer partout ses valoches (oui, avec un "v").

Là au moins, vous pourrez profiter de l'endroit où vous êtes, ou cachez vos grosses valises avant d'aller en réunion. Ça peut dépanner grave.

Voici quelques-uns de ces services de consigne bagages :

• Eelway : disponible à Paris et Lyon, dans les gares et les aéroports pour 25 € le bagage (et le 2ème bagage est offert). Contrairement aux autres services de consigne, ils peuvent aussi récupérer votre bagage à la sortie de l'avion et vous le livrer à l'adresse de votre choix (ou dans une gare / hôtel Accor)
• Hollibag : disponible à Paris et dans d'autres villes de France et d'Europe grâce à son réseau de commerçants. Le coût démarre à moins de 4 € pour 4 heures de consigne.
• Nannybag : disponible dans toute la France, le Royaume-Uni, l'Italie, l'Espagne, les Pays-Bas, le Portugal, la Belgique, l'Irlande, l'Allemagne, la République tchèque, la Grèce, la Suisse, l'Autriche, la Finlande, le Luxembourg et les États-Unis (New York seulement). Coût: 6$6/€6/£6 par sac par 24 heures. Et il est possible d'ajouter 24 heures supplémentaires pour 4$4/€4/£4 par sac. Comprend jusqu'à 1 500 € (environ 1 800 $) d'assurance par sac.
• CityStasher : disponible dans plusieurs villes du Royaume-Uni, ainsi qu' à Paris, Berlin et Amsterdam. Coût : £6 ($8.28) par sac par 24 heures. Et il est possible d'ajouter 24 heures supplémentaires pour £5 ($6.90) par sac. Comprend jusqu' à 750 £ (environ 1 000 $) d'assurance par dépôt.
• LuggageHero: disponible à New York, Londres et Copenhague et prochainement dans d'autres villes. Coût : 2 $ de l'heure par sac pour les 24 premières heures. Comprend jusqu' à 2 000 $ d'assurance pour chaque sac.
  
• Knock Knock City : Disponible à New York et prochainement à San Francisco. Ça coûte 2 $ de l'heure par sac. Inclut jusqu' à 500 $ d'assurance par dépôt.
  
• Vertoe : disponible uniquement à New York. Propose un service d'entreposage des bagages à 5,95 $ par sac par jour. Vous pouvez aussi stocker vos bagages pour une semaine ou pour un mois. Comprend jusqu'à concurrence de 1 000 $ d'assurance par bagage.

Je pense que ça me servira un jour 😉

Source

Si vous êtes un fondu de Disneyland, vous allez taper dans vos mains de bonheur comme le ferait Minnie en apercevant Dingo, un soir où Mickey est en déplacement à Donaldville.

Car oui, Google vient d'ajouter dans son Streetview, pas moins de 11 parcs d'attraction Disney de la Californie à la Floride.

• Magic Kingdom
  
• Pandora – The World of Avatar
  
• Disney’s Animal Kingdom
  
• Epcot
  
• Disney Springs
  
• Disney California Adventure
  
• Disneyland
  
• Hollywood Studios
  
• Typhoon Lagoon
  
• Downtown Disney
  
• Blizzard Beach

De quoi de se balader un peu virtuellement et découvrir autre chose que Disneyland Paris. Moi je suis plus Team Asterix, donc bon… Toutefois, en mettant de côté l'aspect religieux et politique du business, celui que j'ai préféré reste le Puy Du Fou. Mais là c'est mon esprit Viking qui parle 😉

Allez, bonne balade chez Mickey.

J'espère que vous allez bien. Comme vous avez dû le deviner, je suis un peu sous l'eau en ce moment, une vraie baleine à bosse en apnée.

Toutefois, j'ai reçu quelques messages de votre part pour me signaler des erreurs quand vous cliquez sur les liens contenus dans mon flux RSS. Cela concerne l'ancien flux feedburner que je ne maintiens plus depuis environ… pfff.. 1985, nom de Zeus.

Donc si vous ne l'avez pas encore fait, il est temps de le mettre à jour et d'utiliser le bon flux RSS qui est https://korben.info/feed

A très vite !

Qu'est ce qui est mieux qu'un Youtubeur ?

Un gamer qui streame sa partie en live.

Et qu'est ce qui est mieux qu'un gamer en live ?

Un DÉVELOPPEUR ou une DÉVELOPPEUSE qui streame ce qu'il ou elle code en live, évidemment !!

Mais pas forcément facile de les trouver.

Heureusement, tout est sur le github de Awesome Developer Streams, avec pour chacun sa spécialité, allant de NodeJS en passant par l'IoT sans oublier le C++ ou le reverse engineering.

Bref, de quoi apprendre en se divertissant. Même si Minimoi ne sera pas d'accord avec moi, je trouve ça plus cool que de voir de parfaits inconnus se refaire 20 000 fois le même niveau à Mario sur Twitch. 😉

• Suz Hinton – streaming: IoT, Web Development, Hardware Hacking, 3D Printing, Node.js, JavaScript
• Feross Aboukhadijeh – streaming: JavaScript, Node.js, Frameworks, Developer Tooling, Web Development
• Thorsten Lorenz – streaming: Node.js, Module Development, Developer Tooling, Web Development, JavaScript
• Shirley Wu – streaming: Data Visualisation (DataViz), JavaScript, React
• Sean Larkin – streaming: Webpack, OSS, JavaScript, Gaming
• Kent C. Dodds – streaming: JavaScript, React, Web Development, Open Source, Node.js
• Kyle Shevlin – streaming: React, JavaScript, Functional Programming, Web Development
• Brian Clark – streaming: Node.js, JavaScript, IoT, Web Development, Swift
• Yosh – streaming: OSS maintenance, Tooling Development, JavaScript, Node.js, Choo
• Micah Elizabeth Scott – streaming: Reverse Engineering, Rust, C++, Hardware
• Russell Hay – streaming: Rust, Functional Programming, Hardware, Generative Art
• Collin Henderson – streaming: JavaScript, PHP, Laravel, Vue.js
• Tim Ermilov – streaming: OSS, building things with JavaScript, React
• Nicholas Brochu – streaming: Python, Serpent.AI Framework Dev, Machine Learning, AI, Computer Vision
• Tierney Cyren – streaming: Node.js, Node.js Community Committee, JavaScript, Maintaining OSS Projects
• Erik Guzman – streaming: JavaScript, Node.js, ReactJS, React Native, APIs, Web Development
• Gary Kramlich – streaming: Pidgin Development, Convey Development, OSS Development, C, Golang, Python, JavaScript, Docker, Containers
• Thomas Soerensen – streaming: Golang, PHP (Laravel), JavaScript
• Sallar Kaboli – streaming: JavaScript, Node.js, Electron, React, OSS Projects, APIs
• Pavithra Kodmad – streaming: JavaScript, CSS, Open Source Stuff
• Mattias Petter Johansson – streaming: JavaScript, Node.js, Programming in general
• HardlyDifficult – streaming: Game Development (Unity3D, C#), C# Programming, Cryptocurrency
• RadicalFishGames – streaming: Game Development (JavaScript, WebGL) (Game: CrossCode)
• Daniel Shiffman – streaming: JavaScript, Processing, P5.js, WebGL, Machine Learning, Algorithms
• Casey Muratori – streaming: C, C++, Game Development, Algorithms
• Ferris – streaming: Emulator Development, Demoscene Tools, Hardware Hacking, Rust, C, C++
• Jeff Fritz – streaming: C#, .NET, ASP.NET, OSS and Pair Programming
• Jessica Mak – streaming: C++, OpenGL, Game Development
• Swizec Teller – streaming: JavaScript, React, D3
• Sergio Cinos – streaming: JavaScript, React, Node.js, Full stack development
• Ragnar Thor – streaming: JavaScript, React, Web Development, Open Source, Node.js
• Alexander Simovic – streaming: Serverless, Node.js, JavaScript, Claudia.js, Chat bots, Web Development, OSS
• Adam13531 – streaming: Node.js, JavaScript, React, PixiJS, Full Stack Development, Game Development
• Luke Gorrie – streaming: C, Lua, RaptorJIT, R, Nix, Network drivers
• Josh Hawkins – streaming: JavaScript, Node.js, Rust, Python, OSS Projects, Gaming
• DrunkDevs – streaming: Game Development, Game Maker: Studio, Aseprite
• Antonio Maiorano – streaming: Emulator Development, C++

Le youtubeur Sylvqin et son ami Ando, ainsi que l’ensemble de la communauté Facebook de Bescherelle Ta Mère, ont subi pendant plusieurs semaines, du harcèlement de la part d’une personne qui bien évidemment restait anonyme. Et malheureusement, quand la technique ne suffit pas, il faut parfois employer d’autres moyens comme le Social Engineering (SE).

Et c’est là que ça devient intéressant, car grâce à un peu de technique et beaucoup cran, ils ont pu remonter jusqu’à leur harceleur, prénommé Philippe.

En ce qui me concerne, j’ai déjà eu affaire à ce genre de situation. Et évidemment, ce n’est pas simple de s’en dépatouiller. Le harceleur m’écrivait par email, avec des boites mail anonymes ou @LaPoste.net créées spécialement pour l’occasion. J’ai réussi sans aller jusqu’à déposer plainte, à le décourager avec une méthode non violente que je ne vous dévoilerais pas ici, car ça me sert encore. 🙂

Bref, regardez cette vidéo, c’est frais 😉

Bravo aux 2 héros, c’est une enquête rondement menée comme disent les fans de Columbo.

Vous ne le savez peut-être pas, mais Amazon autorise la réalisation de tests d'intrusion et les analyses de vulnérabilité dans leur environnement AWS. Sous conditions évidemment.

Mais cela signifie qu'il est possible d'utiliser leurs instances EC2, comme machine de pentest, avec par exemple une Kali dessus.

Et ça tombe bien puisque Kali est même proposé sous la forme d'AMI (Amazon Machine Image).

Grâce à cela, le chercheur en sécurité Jerry Gamblin a mis au point durant un long trajet en avion, un script permettant de déployer en quelques secondes, une instance de Kali Linux en moins de 60 secondes chrono.

Ce script que vous pouvez trouver ici, initialise une politique de sécurité autorisant uniquement votre IP publique à se connecter au SSH, génère les clés SSH qui vont bien puis initialise une instance EC2 de type t2.medium avec Kali dessus.

C'est magique et surtout pratique. Et je pense que ça pourra servir à certains d'entre vous.

Nombreux sont les projets qui se sont cassé les dents en essayant de détrôner YouTube. Et je doute que cela arrive prochainement.

Toutefois, c’est toujours intéressants d’observer ces nouvelles plateformes. Et aujourd’hui, il y en a une qui a retenu mon attention.

Il s’agit de d.tube, une plateforme vidéo lancée en milieu d’année dernière.

Première impression, l’interface ressemble trait pour trait à YouTube. On dira ce qu’on voudra, mais je pense que c’est une excellente idée d’avoir copié à ce point l’UI de YouTube. D’abord parce que quand une recette cartonne, c’est toujours un peu dommage d’en faire une totalement différente. Mais surtout ça permet aux nouveaux utilisateurs de ne pas être perdus et de ne pas devoir changer leurs habitudes. Donc de faciliter le taux d’adoption.

Mais ce qui est vraiment intéressant avec d.Tube, c’est-ce qu’il y a sous le capot. En effet, cette plateforme repose sur la blockchain Steem et sur le protocole de stockage IPFS. Si vous avez séché les cours quand votre prof en blockchain vous a parlé de Steem, pour vous résumer rapidement la chose, ça permet de stocker des données relatives à des contenus mis en ligne, de récompenser les créateurs de contenu et de suivre la répartition des droits.

Dans le cas de d.tube, Steem est donc utilisé comme base de données, comme moyen de rémunération, et fait notable, il n’y a pas besoin de dépenser de l’argent pour uploader une vidéo, la regarder ou la commenter.

Concernant IPFS, j’avais déjà fait un article dessus, donc je vous invite à le lire. Mais pour résumer, c’est un système de fichier versionné (Git) dont les blocs sont partagés en P2P (Kademlia + BitTorrent), offrant un stockage de fichier décentralisé et permanent. D.Tube utilise donc IPFS pour stocker entre autres les vidéos uploadées par ses utilisateurs.

La décentralisation des données via Steem et IPFS rend donc toute tentative de censure inutile. Mais surtout, cela va permettre aux créateurs de gagner de l’argent (cryptomonnaie Steem). De plus, D.Tube revendique une liberté totale en matière de contenu (y compris NSFW) et ne dispose pas d’algorithme permettant de contrôler la visibilité ou la monétisation d’une vidéo comme ce que fait YouTube.

D.Tube est donc encore un bébé monstre (open source !) qui grâce à son absence de règles, à sa décentralisation, à la rémunération des créateurs et à l’ensemble de la communauté Steem déjà bien active, risque de rencontrer un beau succès, notamment grâce à tous ceux qui se sont fâchés avec YouTube.

Logan Paul, si tu me lis, tu sais ce qu’il te reste à faire.

Si vous avez été touché par le ransomware Gandcrab, qui exige un paiement en Dash pour que vous puissiez récupérer vos données déchiffrées, vous allez souffler.

En effet, Bitdefender a eu l'excellente idée de mettre en ligne un outil de déchiffrement spécifique à Gandcrab, toujours dans le cadre du projet No More Ransom dont j'ai déjà parlé ici et là.

Vous pouvez télécharger cet outil ici.

---

Trépied pour caméra (1/4″) + Smartphone (5,5 – 8cm)

promos

Trépied adaptable pour téléphone portable et appareil photo

8,95 €

Ce Trépied vous garantira la stabilité nécessaire pour accomplir vos meilleures photos. Stabile, adaptable et transportable partout, ce trépied empêchera les photos floutées ou mal cadrées. Le trépied repliable est de 22cm. Le trépied d’excellente résistance et de qualité est idéal pour capturer un instant entre amis et en famille, ou bien pour un usage professionnel

En Savoir +

---

Les Gifs animés, on ne saurait s'en passer. Mais malheureusement, les 3/4 du temps, ceux-ci sont absolument petits et dégueulasses en termes de qualité. C'est dû à une optimisation un peu trop poussée et parfois à des outils de compression qui bousillent sérieusement le nombre de couleurs.

Mais si vous voulez en faire ou en refaire vous-même, il y a un moyen simple. Cela s'appelle Gifski encoder et c'est un petit soft pour macOS qui permet de convertir des vidéos en gif animés utilisant des centaines de couleurs par frame, donc avec une qualité bien meilleure.

Qui dit qualité meilleure, dit forcement poids de fichier plus important. Oui, mais pas vraiment non plus, sachant qu'avec Gifski, vous pouvez choisir la taille de votre gif, le nombre de frames par seconde et sa qualité.

La compression est d'ailleurs assurée par la bibliothèque pngquant utilisée aussi par les outils ImageAlpha ou ImageOptim.

Je me suis donc amusé à refaire le smart guy en meilleure qualité.

Voici l'original :

Et voici le mien. (Taille doublée et je l'ai ralenti par rapport à la vidéo d'origine)

Il est légèrement plus lourd, mais ça reste correct. Je pense que je peux encore l'optimiser un peu sans que ça dégrade trop la qualité.

Bref, si ça vous branche, Gifski c'est par ici.

---

RODE Microphone Vidéo Micro

promos

Micro compact et ultra lège
Corps en métal
Capsule 1/2 pouce directionnelle

49,00 €

En savoir +

---

Bien que basé sur Linux, ChromeOS ne permet pas vraiment d'utiliser tout le panel des applications Linux qui existent.

Heureusement, avec Crouton dont j'ai déjà parlé, il est possible d'installer en parallèle de ChromeOS, un petit Ubuntu ou Debian pour faire des choses plus intéressantes qu'utiliser Google Docs ou Gmail.

Mais de base, ChromeOS c'est un peu chiant quand on aime l'informatique. Toutefois, cela risque de changer prochainement si on en croit de récents commits. Une nouvelle option va permettre de faire tourner des machines virtuelles Linux sous Chrome OS à l'aide de conteneurs. Et ce "projet" porte même un nom : Crostini.

Pour le moment, rien d'officiel bien sûr, mais cela va permettre faire tourner des applications Linux sous ChromeOS, sans avoir besoin de chroot, de Crouton ou d'activer le mode développeur qui réinitialise tout à chaque fois.

Je vais donc suivre ça de près, car ça commence à devenir  intéressant.

La suite, probablement lors de la conférence dev Google I/O du 8 mai.

Source

Si vous êtes sous Linux et que vous utilisez Steam pour vos jeux vidéos, je pense que SLSK va vous plaire.

SLSK, ça veut dire Steam Linux Swiss Knife (couteau suisse pour Steam Linux) et ça permet tout simplement de conserver en base les chemins d'accès aux sauvegardes et à la config des jeux pour ensuite pouvoir sauvegarder vos jeux, leur config et vos sauvegardes de manière automatisée.

Et évidemment, de les restaurer plus tard. Ça peut servir !

Pour installer SLSK sous Ubuntu, il faudra le compiler comme ceci :

sudo apt install sqlite3 qt5-default g++ make qt5-qmake git
git clone https://github.com/supremesonicbrazil/SLSK
cd ~/SLSK
./BUILD.sh && sudo ./INSTALL.sh

Plus d'infos ici.

Source

Si vous devez récupérer régulièrement des factures de vos voyages en Uber, vous savez sans doute que c'est bien relou.

Heureusement, il existe un petit outil sous licence libre baptisé Uber Run qui permet de télécharger en une seule fois sur votre disque dur, toutes vos factures Uber en PDF.

Super pratique donc ! Et du temps gagné !

Disponible sous Mac, Windows et Linux, cet outil reposant sur Chromium est téléchargeable ici.

Et les sources sont là.

Ce serait bien que d'autres services comme Chauffeur Privé soit intégré par la suite 🙂

Euronews avec l'ESA, ont mis en ligne un reportage super intéressant sur le Rio Tinto, au zone au sud de l'Espagne, proche de Séville, qui offre des caractéristiques de minéralogie semblables à celles de Mars.

En gros, les cailloux là bas, la composition du sol, et l'acidité de l'eau est quasi-similaire à ce qu'on peut trouver sur la planète rouge, ce qui permet aux scientifiques de mener leurs expériences sans quitter la Terre.

La chaine Youtube Kurzgesagt – In a Nutshell fait le point sur l’homéopathie et ses principes de fonctionnement. Je sais que le sujet est très controversé, mais regardez cette vidéo, elle est vraiment bien faite.

Et cela vous permettra enfin de savoir si l’homéopathie est quelque chose qui fonctionne ou simplement une croyance avec effet placebo.

Je dédicace cette vidéo à l’ami Julien 🙂

Si vous vous intéressez un peu à tout ce qui est lanceurs d'alertes, vous devez savoir que ce n'est pas si simple de faire fuiter des documents pour la bonne cause, sans s'exposer.

Et pourtant, il existe des solutions techniques comme SecureDrop dont je vous ai déjà parlé, Briefkasten mais aussi GlobaLeaks que je ne connaissais pas encore.

Globaleaks est un logiciel libre mis au point par le centre Hermès pour la transparence et les droits numériques, une ONG italienne dont la mission première est de défendre le droit à la liberté d'expression.

Et ce que permet Globaleaks est assez clair : permettre aux lanceurs d'alerte de transmettre des infos en restant à l'abri et sans avoir besoin de compétences techniques. Globaleaks est traduit dans 20 langues et beaucoup plus simple d'utilisation que SecureDrop. Nombreux sont les groupes médias et ONG à l'avoir adopté comme vous pouvez le voir sur cette page.

Pour assurer la confidentialité des lanceurs d'alertes, Globaleaks propose une utilisation via le réseau Tor, du chiffrement end-to-end et même un chiffrement AES pour toutes les données stockées sur le disque dur du serveur.

Si cela vous intéresse de mettre un Globaleaks en place, toute la documentation se trouve ici. Et les sources sont ici.

Et de manière plus générale, si vous cherchez des ressources sur ce sujet, tout se trouve ici.

Vous le savez sans doute, avec mes compères de YesWeHack, nous organisons régulièrement des Hackperos qui sont des événements IRL où des experts en cybersécurité viennent faire des conférences, où des entreprises recrutent des profils dans la sécurité informatique et où nous inaugurons des Bug Bounties exclusifs.

Jusqu'à présent, nous n'avions fait que des Hackpero à Paris mais l'heure est venue de lancer le premier Hackpero hors périphérique parisien.

Et parce qu'on envoie du lourd direct, on s'est dit qu'on commencerait par la charmante ville de Rennes en Bretagne.

Du coup, si vous êtes sur Rennes ou pas loin, le 21 mars, sachez que nous serons ravis de vous accueillir à partir de 15h à la Pépinière numérique de Cesson-Sévigné.

Le détail des conférences et le nom des sociétés qui recrutent seront diffusés la semaine prochaine.

Que vous soyez un passionné de sécurité informatique (à la recherche d'un emploi ou pas), ou une société bretonne qui cherche à recruter des profils cybersécu, n'hésitez pas à vous inscrire via le site Hackpero et à préciser dans le formulaire si vous voulez un stand pour recruter ou si vous proposez une conf sécu.

Kenavo les potos !

Si vous avez besoin de transférer de gros fichiers à vos collègues ou amis, passer par la boite mail n'est pas vraiment possible.

Alors ce que font la plupart des gens, c'est qu'ils envoient leurs précieux fichiers sur un site comme WeTransfer (ou équivalent), ou si leurs données doivent être sécurisées, ils peuvent aussi passer par BlueFiles.

Mais pour ceux qui veulent le faire eux-mêmes comme des grands, il y a ZendTo, un outil libre qui s'héberge sur votre propre serveur et qui offre une interface web permettant d'uploader et de partager ensuite n'importe quel fichier, même les plus gros.

L'avantage de ZendTo, c'est qu'il est simple à utiliser donc vous pouvez laisser des utilisateurs en totale autonomie dessus, mais aussi il peut s'intégrer avec des systèmes d'authentification (LDAP, Active Directory, IMAP).

L'interface peut-être localisée dans la langue de votre choix, vous pouvez faire du glisser-déposer et surtout, pas besoin d'envoyer les liens par email car il est possible aussi de récupérer un code que vous pourrez communiquer par SMS ou téléphone à votre correspondant pour qu'il puisse télécharger votre fichier.

ZendTo est téléchargeable ici avec toute sa doc d'installation.

Si vous aimez le format et le fonctionnement du Wiki pour prendre vos notes ou écrire votre documentation, sans avoir besoin d'y faire collaborer d'autres personnes, laissez-moi vous présenter Zim.

Zim est donc un éditeur de texte qui permet de gérer une collection de pages Wiki contenant des liens, du texte formaté (avec la syntaxe wiki), des images et des fichiers attachés. Et tout est conservé en local sur votre disque dur en respectant la structure des dossiers que vous définirez.

Pratique pour prendre des notes, se faire un petit brainstorming, rédiger de la doc, préparer vos futurs articles de blogs ou organiser une liste de tâches.

Et pour ne rien gâcher au plaisir, Zim propose des plugins permettant par exemple de gérer une todo list, d'écrire des équations mathématiques ou de faire du versionning sur vos docs.

Comme tout est conservé sur votre disque dur, pensez bien à faire vos backups quand même pour ne pas perdre vos notes. Il ne lui manque qu'une fonctionnalité de chiffrement. (Et pour ça, je vous renvoie vers Standard Notes qui propose un outil de prise de notes chiffrées).

Zim est un petit outil distribué sous licence GPL et fonctionne sous Linux et Windows.

Demain c'est jeudi et le jeudi à 12h pile, ce sera l'heure d’un nouveau live avec Remouk pour les Webosaures !

On parlera des meilleurs services abandonnés par Google, des alternatives et de la démarche de dégooglisation. Et évidemment, vous pourrez intervenir et poser vos questions.

A demain !

A demain !

Le projet Orbit est un timelapse de photos prises depuis l’ISS par la NASA, et retouchées par Seán Doran à coup de Photoshop pour donner cette merveilleuse vidéo en 4K à la musique envoutante.

Ce qui est rigolo avec le côté temps réel de cette vidéo, c’est que chaque photo représente 1 seconde. La durée de la vidéo est donc équivalente à la durée que met la Station Spatiale à faire le tour de la Terre, soit 92 min et 39 sec.

---

Lenovo Y Gaming Precision Souris 9 boutons

promos

85,08 €

DPI ultra élevé, jusqu’à 8200 dpi9 boutons programmables

Avec des commutateurs Omron ultra-sensibles avec un cycle de vie de 20 millions de clics. Cartouches amovibles pour ajuster le poids et un taux d’appel de 1000 Hz. Ajouter ici l’accélération en pouces par seconde et un voyant personnalisable

En Savoir +

---

Que votre vue soit plus douce avec un thème plus sombre, ou que vous soyez simplement amateur des designs dark lorsque vous surfez sur le web, je pense que Dark Reader va vous plaire.

Cette extension pour Chrome et Firefox permet d'activer un thème obscur sur tous les sites que vous visitez. Mais Dark Reader ne se contente pas d'inverser les couleurs… non, non, il propose un vrai filtre noir dont vous pouvez ensuite régler la luminosité, le contraste, les niveaux de gris ou de sépia.

Et en plus il offre la possibilité de modifier automatiquement la police de caractère utilisée sur les sites, et offre une liste blanche ou noire pour pouvoir spécifier les sites sur lesquels vous voulez activer / ne pas activer ce thème black.

Voici ce que ça peut donner sur mon site :

De quoi pouvoir surfer toute la nuit sans vous abimer les yeux 🙂

Le code de DarkReader est ici

Source

---

Lenovo Y Gaming Precision Souris 9 boutons

promos

85,08 €

DPI ultra élevé, jusqu’à 8200 dpi9 boutons programmables

Avec des commutateurs Omron ultra-sensibles avec un cycle de vie de 20 millions de clics. Cartouches amovibles pour ajuster le poids et un taux d’appel de 1000 Hz. Ajouter ici l’accélération en pouces par seconde et un voyant personnalisable

En Savoir +

---

Je viens de tomber sur OneLang, un IDE (environnement de dev) qui permet de coder en même temps dans plusieurs langages.

Hé ouais.

Et à défaut de ne pas savoir si cela est vraiment techniquement pertinent / pratique, j'ai trouvé ça suffisamment rigolo pour en faire un article.

D'après Koczkatamas, le développeur de OneLang, cet outil est ce qui s'appelle un "transpiler". Un genre de compilateur spécial qui permet de compiler du code source d'un langage en un autre langage. D'ailleurs, vous remarquerez à l'usage que OneLang suit ses propres règles et ne respecte pas forcement la syntaxe ou ce qui est rentré dans la fenêtre d'input pour produire en sortie du code qui au final aura le même résultat que le code initial.

Et je vous rassure, cela ne vous dispensera pas de bien connaître les langages dans lesquels le code sera produit.

Bref, un IDE OVNI dont voici la démo :

Maintenant si ça vous dit de l'essayer pour de vrai, une démo est disponible ici.

Et pour l'installer sur votre machine, il suffit de lancer la commande suivante

git clone --recursive https://github.com/koczkatamas/onelang
./compile.sh
./serve.py

What a time to be alive, comme disent les ricains !

Vous seriez surpris de ce que les développeurs peuvent oublier dans leur code. Une petite clé API par ici, un petit mot de passe par là, un nom de serveur à un autre endroit…etc.

Vous êtes d'ailleurs peut-être concerné sans le savoir, et il est possible que dans le code que vous poussez vers des dépôts Git visibles de tous, il y ait ce genre d'oublis.

Heureusement, il y a Gitleaks, un script en Go, qui sait débusquer ce genre de choses.

Voici comment fonctionne Gitleaks. Tout d'abord il clone le dépôt choisi, puis lance un diff sur tous les commits, pour sortir ensuite un fichier json. Gitleaks scanne ensuite toutes les lignes de tous les commits de ce fichier à l'aide de quelques expressions régulières que voici.

Comme vous pouvez le voir, il n'y a pas beaucoup de regexp, mais vous pouvez en ajouter en éditant le fichier main.go.

Notez que si vous tombez sur des trucs oubliés dans votre code, ne paniquez pas et référez vous à cette page de Github qui explique comment faire le ménage.

Et pour installer et utiliser Gitleaks, c'est plutôt simple :

git clone https://github.com/zricethezav/gitleaks
cd gitleaks
go get github.com/zricethezav/gitleaks
go build
./gitleaks -o {URL DU DEPOT GIT}

Bonne exploration de vos dépôts les amis !

LNAV (Logfile Navigator) est un outil dispo pour Linux et macOS qui permet de visualiser et de parcourir des fichiers de logs de manière agréable et efficace.

En plus de la coloration syntaxique, de la prise en charge de formats de logs standards (Syslog, CUPS, dpkg, sudo, strace…etc), LNAV est aussi capable de décompresser à la volée des logs zippés (ou gzippés ou bzippés) mais aussi de rassembler (merge) des logs segmentés pour en faciliter la visualisation.

LNAV surligne automatiquement en jaune ou rouge les warnings et les erreurs qui apparaissent dans les logs, et vous permettra aussi de filtrer ces fichiers avec vos propres expressions régulières ou d’y lancer des requêtes comme vous le feriez avec du SQL. Super pratique surtout que tout se fait en live devant vos yeux ébahis !

LNAV propose aussi de la mise en forme automatique (Pretty View avec le raccourci SHIFT + P), de la complétion avec la touche TAB, un mode « headless » pour exploiter ses fonctionnalités sans interface, directement en ligne de commande (pratique pour automatiser des choses). Et en beta, de l’extraction automatique de données.

Si cet outil vous semble utile, vous pouvez le télécharger ici.

Et la documentation est là.

Mis au point par l'Université de Tartu en Estonie, Thonny est un IDE (environnement de développement) minimaliste qui permet d'apprendre le Python.

Conçu pour les débutants, cet outil intègre son propre interpréteur Python 3.6 (mais vous pouvez aussi utiliser le vôtre), et offre des fonctionnalités plutôt sympas quand on est dans un processus d'apprentissage.

Par exemple, il est possible de visualiser la valeur des variables, d'avoir de la complétion de code, de le debugger, d'ouvrir vos fonctions individuellement dans de nouvelles fenêtres, de détecter facilement les erreurs de syntaxe et bien d'autres choses.

Disponible sous Windows, macOS et Linux, Thonny est destiné à tous ceux qui veulent apprendre ou enseigner le Python, mais qui ne veulent pas sortir l'artillerie lourde. Ici, il suffit de Thonny et d'un bon tuto / mooc et c'est parti !

Si Thonny vous intéresse, vous trouverez toutes les infos ici.

Il m'arrive parfois d'utiliser Google Images et depuis quelques jour, le bouton "view image" qui permettait d'avoir un accès direct à l'image a disparu pour une raison inconnue.

Certaines pensent que cela est dû au partenariat commercial que Google a conclu avec Getty Images.

En effet, un bouton "View Image" sur Google ça a de quoi stresser les ayants droit de la photographie. Donc j'imagine que pour les calmer, Google a décidé sagement d'enlever ce petit bouton, sachant qu'en faisant un clic droit sur n'importe quelle image affichée via Google Images, vous pouvez toujours l'enregistrer ou l'ouvrir dans un onglet de votre navigateur.

Autrement dit, ce bouton ne servait à rien à l'origine. Et l'enlever n'apporte rien non plus. Donc au final, cette décision politique n'a pas vraiment de conséquences. Surtout qu'il y a maintenant des extensions pour Chrome et Firefox qui permettent de restaurer l'existence de ce bouton "View Image" sur Google Images, comme si, il ne vous avait jamais quitté.

Et pour les plus équipés, le script Greasmonkey / Tampermonkey est dispo ici.

C'est beau la technologie.

Ça faisait un petit moment que je n’avais pas posté un court métrage ici et je viens d’en découvrir un de science-fiction plutôt sympa.

Baptisé FTL pour « Faster Than Light » (Plus rapide que la lumière), ce film d’Adam Stern et d’Artifex Studios raconte l’histoire d’un astronaute qui tester le premier vaisseau spatial capable d’aller plus vite que la lumière.

Évidemment, à un moment, ça se met à déconner un peu…

Code.org, qui s'est donné pour mission de démocratiser l'apprentissage du code, surtout auprès des jeunes, a mis en ligne sur YouTube une série de vidéos (en anglais, mais sous-titrées en FR) plutôt intéressantes.

Introduite par Bill Gates, cette série baptisée "How Computers Work" permet d'apprendre et de comprendre comment fonctionnent les ordinateurs. La logique binaire, les entrées et sorties mémoire, le CPU, les circuits…Etc.

C'est à mon sens un bon support pour apprendre aux plus jeunes comment ça fonctionne vraiment et ne pas simplement les laisser végéter dans leur position d'utilisateur / consommateur.

En matière de Wiki, jusqu'à présent à part MediaWiki et Dokuwiki, difficile d'en trouver un qui soit sympa à utiliser et qui tienne la route. Le Wiki est un sujet complexe. 😉

Toutefois, un outsider est arrivé et il s'appelle Wiki.js.

Utilisant NodeJS, MongoDB et Git pour se synchroniser, Wiki.JS est plein de surprises.

Premièrement, il a été conçu pour consommer très peu de ressources système et conviendra très bien à un petit serveur.

Wiki.js sait aussi gérer l'édition nativement au format Markdown ce qui est maintenant la moindre des choses, et se synchronise avec le repo Git de votre choix. Les contenus ne sont donc pas conservés en base, mais en local ou sur un git, donc pour l'exploiter ensuite afin de générer des PDF, des sites web ou autres choses, ce n'est plus un souci.

Niveau connecteurs, Wiki.js peut se brancher sur n'importe quel fournisseur d'authentification externe comme Microsoft Account, Google ID, Facebook, Github ou votre serveur LDAP.

Au-delà de l'édition wiki qui se fait via une interface web agréable, la bibliothèque de médias est plutôt bien fichue, car elle permet d'organiser vos médias par dossier et par tags. 

Et le moteur de recherche, en plus de répondre vite aux demandes des utilisateurs, saura ressortir un historique et fera même des propositions de recherches possibles en rapport avec ce que vous avez entré.

Et bien sûr, le meilleur pour la fin, il est totalement open source.

Bref, je l'ai trouvé plutôt bien fichu et agréable à utiliser, ce qui, quand on rédige de la documentation bien reloue, n'est pas quelque chose qu'il faut négliger.

Si ce Wiki vous intéresse, vous trouverez toutes les infos ici ainsi qu'une démo ici.

Aujourd'hui c'est vendredi et le vendredi c'est permis !

A l'occasion de la sortie de Stargate Origins dont je vous ai déjà parlé ici, le film Stargate original de 1994 est disponible en version complète et légale sur la chaine YouTube de la série.

Il s'agit de la version en anglais, mais des sous-titres en anglais sont également disponibles pour ceux qui ont encore un peu de mal avec la langue de DJ Khaled (oublions Shakespeare un moment, voulez-vous).

Merci à Pyxels pour le partage et bonne séance nostalgie à tous !

Si vous faites partie d'une société / organisation avec de l'éthique et qui a à cœur de défendre la vie privée et la sécurité de ses utilisateurs / clients, pourquoi ne pas postuler au Fond "Security & Privacy" initié par Qwant le moteur de recherche européen ?

Chaque année et cela depuis 2014, Qwant n'hésite pas à mettre la main au portefeuille pour récompenser les meilleurs chercheurs de vulnérabilités lors du Bug Bounty qui se déroulent pendant la Nuit du Hack.

Et cette année encore, Qwant va sponsoriser à hauteur de 10 000 euros, les entreprises et organisations qui partagent ses valeurs et qui souhaitent faire tester leur sécurité par les meilleurs experts en sécurité de France dans le cadre d'un Bug Bounty organisé par YesWeHack.

Si cela vous intéresse, vous avez jusqu'au 15 avril pour postuler. Toutes les infos se trouvent ici.

Synology DS218J NAS 2 Baies

promos

NAS polyvalent d’entrée de gamme à deux baies pour un stockage cloud domestique et personnel

184,80 € soit 21% de réduction

Un NAS 2 baies d’entrée de gamme polyvalent pour le stockage en cloud domestique et personnel
Lecture de plus de 113 Mo / s, écriture de 112 Mo / s
Processeur dual-core avec moteur de cryptage matériel
Accès partout avec des applications mobiles compatibles iOS / Android / Windows
Un serveur multimédia intégré prenant en charge le streaming multimédia

En Savoir +

---

Une petite news en passant qui devrait faire plaisir aux gamers sous Linux.

C'est confirmé, Rise of the Tomb Raider disponible sur Steam, sera porté officiellement sous Linux et macOS et tournera grâce à Vulkan.

C'est Feral Interactive qui l'a annoncé et c'est prévu pour le printemps. Une annonce qui tombe à pic pour les 20 ans de la franchise.

Plus d'infos ici.

Si comme moi vous êtes mauvais en maths, vous serez heureux d'apprendre l'existence d'Omni Calculator, un site qui regroupe pas moins de 374 calculatrices aux usages les plus variés.

Des calculatrices de ROI (retour sur investissement), de point d’ébullition, de quantité de papier peint en passant par des calculs d'intérêts, de taux de sucre dans le sang, sans oublier des calculatrices pour déterminer votre bande passante ou le nombre de points d'expérience que vous prendrez dans Pokemon Go en fonction du nombre de bonbons amassés.

Il y en a vraiment trop pour que je puisse toutes les décrire mais c'est sans hésiter un site à bookmarker dans un coin.

Omni Calculator c'est par ici.

Si cela vous intéresse, je tiens à vous informer que le Projet Tor a mis en ligne sur son site, une nouvelle version à jour de son guide expliquant comment créer son relai Tor.

Ce guide est divisé en 3 parties. La première vous expliquera exactement ce qu'est un relai Tor et pourquoi cela est utile. La seconde partie est plus technique puisqu'elle vous permettra d'installer et configurer votre relai Tor sur votre distribution Linux ou BSD préférée. Enfin, la dernière partie de ce guide est consacrée aux aspects légaux et sociétaux  qui entourent les relais Tor.

Le principal intérêt de faire tourner un relai Tor c'est bien évidemment de rendre le réseau Tor dans son ensemble plus rapide, plus robuste contre les attaques, plus stable en cas de pannes et beaucoup plus sûr (plus il y a de relais, plus la surveillance de ces relais se complique).

À consulter ici

Depuis un an, je m'intéresse un peu aux cryptomonnaies et j'ai découvert tout un univers, notamment du côté des traders, avec leurs marottes, leurs memes et leur vocabulaire.

Au-delà d'une pratique, c'est une véritable culture qui est en train de se créer et ce vocabulaire n'est que la partie émergée de cet iceberg. Ces mots à connaitre sont en grande partie issus du monde du trading (que je ne connaissais absolument pas avant l'année dernière), mais d'autres termes sont nés spontanément de l'univers de la cryptomonnaie.

Je vous propose donc de passer un peu en revue tout ça, et de vous donner des billes pour mieux comprendre ces gens qui hodl ou qui font de la TA pour un jour obtenir une lambo. 🙂

HODL

C'est sans doute le terme le plus connu. Il s'agit du mot HOLD qui en anglais et dans ce contexte signifie conserver sa cryptomonnaie et ne pas la revendre. Quand le marché est agité, il y a donc ceux qui hold et ceux qui revendent, soit parce qu'ils savent ce qu'ils font, soit parce que ce sont des weak hands (voir plus bas). Comme je le disais, les "pro" de la cryptomonnaie écrivent ce mot HODL, car en décembre 2013, sur un forum consacré au Bitcoin, l'un des membres a posté un message dont le titre était "I AM HODLING" avec une faute de frappe donc, et ceci est devenu un meme qui s'est popularisé. Certains sont même allés jusqu'à transformer le mot HODL en acronyme voulant dire : "Hold On for Dear Life".

FOMO

FOMO, ça veut dire "Fear of missing out". En gros c'est quand tout le monde s'emballe sur une cryptomonnaie et que les gens ont peur de rater une bonne affaire. Ils l'achètent donc à n'importe quel prix et la valeur peut monter jusqu'à des prix très élevés avant de se casser la gueule et d'entamer une période de correction (Une chute du prix pour revenir à un niveau raisonnable).

FUD

FUD est un terme connu hors de la sphère cryptomonnaie. Cela veut dire "Fear, uncertainty and doubt" et ça consiste à semer la peur et le doute dans la tête des gens en répandant des rumeurs ou des annonces douteuses, mais effrayantes pour inciter les gens à vendre leurs valeurs et donc faire baisser le cours d'une cryptomonnaie.

Moon

La lune. En gros, c'est pour indiquer qu'une cryptomonnaie décolle en termes de prix et va monter très haut (To the moon !!!). C'est plus un cri d'espoir qu'une vérité cela dit.

Pump

Pump, ça veut dire "pomper" et c'est quand le prix grimpe en flèche, accompagné d'un fort volume. C'est souvent dû à un emballement des gens pour une valeur ou à une manipulation du marché par une ou plusieurs baleines (Whales)

Dump

Même chose que Pump, mais à la baisse. Les gens paniquent et revendent, provocant un effondrement du prix. Cela peut aussi être provoqué par des baleines et quand c'est précédé d'un pump, on parle alors de Pump & Dump.

Pump & Dump

Un Pump & Dump (ou P&D pour les intimes) est une manipulation du marché. En gros, des personnes organisées en groupe ou une baleine s'amusent à amasser lentement mais surement une grande quantité d'un coin précis et lorsqu'ils estiment qu'ils en ont assez, se revendent à eux-mêmes massivement cette valeur ou balancent des rumeurs positives, provoquant une hausse artificielle du prix de la monnaie (Pump). Les petits poissons (fish) pensent alors flairer la bonne affaire et se mettent aussi à acheter ce coin. La baleine ou le groupe revend alors tout son stock au prix le plus élevé à tous les gogos et quand tout est écoulé, il n'y a plus d'acheteurs (ou très peu) et le prix s'écroule (Dump).

Whale

Une baleine est un gros joueur (avec un gros capital) ce qui lui permet de provoquer de sérieux mouvement à la hausse ou à la baisse sur le marché.

Fish

Ce sont les petits poissons. Des gens ordinaires qui ont des petits montant en cryptomonnaie.

ATH

ATH pour All Time High indique simplement que la cryptomonnaie a atteint le cours le plus élevé de son histoire.

BTFD

Buy The Fuckin' Dip. C'est quand les gens vendent tout en masse à des prix très bas et qu'il est temps pour d'autres d'acheter ces "restes" à prix défiant toute concurrence.

DYOR

Do Your Own Research. Ça c'est important. Ça consiste à dire à quelqu'un de ne pas se reposer sur l'analyse d'autres personnes et de faire ses propres recherches, qu'elles soient FA ou TA. Bref, ne soyez pas des moutons et utilisez votre cerveau pour ne pas vous faire plumer.

FA

Analyse Fondamentale. En gros ça consiste à analyser les possibilités d'une cryptomonnaie en observant les dernières news à son sujet, les noms des gens derrière, le projet technique en tant que tel.

TA

Analyse Technique. C'est l'analyse des graphiques que vous voyez partout. En gros ça consiste à repérer des schémas passés pour anticiper les mouvements à venir.

MCAP

Pour Market Capitalization. En gros, le prix de la monnaie multipliée par la quantité en circulation (circulating supply). Cela donne la valeur globale de cette monnaie.

Lowcap / midcap / highcap

Permets de définir les coins en fonction de leur MCAP. Par exemple, Bitcoin et Ethereum sont des coins qui ont un fort volume et un prix élevé et qu'on peut donc définir comme highcap.

FIAT

C'est comme ça qu'on appelle les monnaies gouvernementales.. Euros, Dollars et compagnie. Donc quand vous voyez quelqu'un dire qu'il va repasser en FIAT, cela ne veut pas dire qu'il va changer de voiture, mais plutôt qu'il va sortir de ses valeurs cryptomonnaies pour repasser en euros, avant de re-rentrer plus tard.

Exchange

Ce sont des plateformes en ligne où les traders peuvent acheter et vendre leurs coins. Parmi les plus connues, il y a Poloniex et Bittrex.

Brokers

Ce sont les vendeurs de coins… Bitcoin le plus souvent, mais certains vendent aussi des altcoins. J'ai réalisé tout un dossier là dessus que vous pouvez consulter ici.

Altcoin

Dans la vie, il y a 2 types de coins. Le Bitcoin qui est la cryptomonnaie mère sur laquelle toutes les autres cryptomonnaies sont indexées. Et les autres ce sont les altcoins (Les coins alternatifs).

Rekt

C'est une expression qui signifie que vous avez perdu un gros paquet d'oseille sur un trade ou sur un coin précis. C'est tiré du mot anglais "wrecked" qui signifie "anéanti". Tout est dit. 🙂

Bag

Un bag c'est un sac. Cela correspond à votre portfolio.

Bagholder

Cela désigne quelqu'un qui conserve longtemps son "bag" de telle ou telle cryptomonnaie. En gros, quand le cours de votre coin préféré baisse et que vous loupez la fenêtre de tir pour le revendre, il arrive souvent qu'il soit trop tard. Donc plutôt que de revendre pour une misère votre valeur, vous devenez Bagholder en espérant qu'un jour ça remonte.

Bullish

Un cours est "bullish" quand il monte. Le Bull (Taureau) est celui qui compte profiter de cette hausse.

Bearish

Un cours est "bearish" quand il baisse. Le Bear (l'ours) est celui qui compte profiter de cette baisse.

Shilling

C'est lorsque quelqu'un prend position publiquement pour une cryptomonnaie en espérant éveiller l'intérêt des autres pour celle-ci et donc faire monter sa valeur. A ne pas confondre avec certains passionnés de projets "blockchain" qui se prennent d'amour pour une techno ou une autre.

Long & Short

Un trade dit "Long" débute par un achat dans l'espoir de revendre ensuite plus cher sa valeur. C'est du classique.
Un trade dit "Short" débute par une vente (avant même l'achat), avec l'espoir d'acheter ensuite un stock de valeur à un prix plus bas et donc de réaliser un profit.

Margin trading

C'est quand vous faites du trading avec des valeurs empruntées à d'autres sur les exchanges. En gros, vous empruntez les Bitcoins des autres, vous tradez avec, et vous leur rendez avec des intérêts et le reste de la marge est pour vous.

Limit Order

C'est un ordre de vente ou d'achat qui se met en place automatiquement quand le prix atteint le palier de votre choix (à la hausse ou à la baisse).

Consolidation

C'est quand la valeur d'une crypto monte bien puis redescend un peu pour stagner durant une période de temps plus ou moins longue. On parle alors de consolidation.

Correction

C'est quand après une grosse envolée soudaine du prix causée par le FOMO, celui-ci dégringole violemment à un niveau plus raisonnable, avant de reprendre doucement sa course à la hausse.

Buy or Sell Wall

Si vous regardez le carnet d'ordres sur votre Exchange préféré, vous verrez peut-être ces murs qui ne sont rien d'autre qu'une accumulation de Limit Order au même prix.

ICO

Initial Coin Offering. C'est l'équivalent d'une introduction en bourse pour une cryptomonnaie. Une levée de fond publique qui consiste à prendre de la monnaie traditionnelle ou du Bitcoin en échange d'une certaine quantité de cryptomonnaie. Cela permet de financer le projet et les investisseurs peuvent s'y retrouver ensuite si la valeur du coin augmente dans un futur plus ou moins proche.

Mining

C'est le fait de miner de la cryptomonnaie. C'est à dire utiliser de la puissance machine pour valider mathématiquement des transactions, ce qui a pour effet d'augmenter la taille de la blockchain. Et évidemment, les mineurs sont rémunérés pour cela grâce aux frais de transaction.

Lambo

C'est un genre de meme qui revient encore et encore. Lambo, c'est tiré de Lamborghini, la voiture de luxe que tous les fondus de crypto rêve de se payer un jour.

Faucet

Ce sont des sites qui offrent aux internautes de passage (souvent au travers d'un jeu), des satoshis gratuits.

Sats / Satoshi

Et un satoshi c'est 0.00000001 BTC, autant dire une poussière. Et il faut vraiment passer sa vie sur les Faucets pour espérer gagner quelque chose de significatif.

Satoshi

Mais Satoshi Nakamoto c'est aussi le "nom" du père du Bitcoin. On ne connait pas sa vraie identité, mais les rumeurs disent que la NSA, elle, elle sait 🙂

Vitalik

Vitalik Buterin est né en 1994 et c'est le créateur de l'Ethereum, la cryptomonnaie la plus puissante après le Bitcoin.

Arbitrage

C'est quand vous jouez avec les différences de prix d'achat et de vente de vos cryptomonnaies entre différents Exchanges, pour réaliser une plus-value.

Panic Sell

C'est quand les gens paniquent et revendent sans réfléchir lorsque le prix commence à baisser, ce qui en général aggrave la panique et ainsi de suite.

Weak Hands

Ce sont les faibles. Ceux qui achètent un truc et qui le revendent très vite au premier FUD en paniquant totalement.

Fork

Un fork (dans un contexte de cryptomonnaie) c'est quand la blockchain utilisée subit une évolution, ce qui provoque une divergence. Par exemple, le Bitcoin Cash (BCH) est un fork du Bitcoin (BTC). Ce qui est intéressant avec les forks, c'est que si vous aviez par exemple 3 BTC, et bien après le fork, vous auriez 3 BTC + 3 BCH. Donc si le fork prend, vous serez potentiellement un peu plus riche sans rien faire.

Shitcoin

Un shitcoin, c'est un coin de merde. Pour moi c'est quand le projet derrière est inexistant ou vraiment foireux. Mais j'ai remarqué aussi que pour certains coinxtrêmists, quand on sort du Top 10 de CoinMarketCap, tout est shitcoin à leurs yeux. Question de point de vue.

Whitepaper

Un whitepaper, c'est la doc technique d'une cryptomonnaie. Cela décrit le projet et si vous faites de l'analyse fondamentale, c'est une lecture incontournable.

Voilà, c'est terminé. j'espère que cela vous aura éclairé. Si vous pensez que j'ai oublié certains termes, n'hésitez pas à partager les vôtres et leur définition sur le forum.

Et bien sûr, comme toujours lorsqu'il s'agit d'argent, soyez prudent.

Source & Source

Vous ne le savez peut-être pas, mais le groupe Pasquier a commencé cette année à casser les pieds à 5 startups qui utilisent le mot "Pitch" dans le cadre de leurs activités. En effet, en anglais, un pitch est un discours de moins d'une minute qu'on sert à un investisseur ou un prospect pour lui expliquer son business. C'est d'ailleurs devenu une tradition de "pitcher" dans des événements comme Pitch in The Plane ou durant des Pitch Parties.

Seulement, voilà. Pasquier commercialise une brioche au chocolat baptisée Pitch. Et c'est là que ça coince.

Tout le monde y va de sa petite analyse du genre : "MAIS QU'EST-CE QUI A BIEN PU SE PASSER ??? ILS SONT CONS OU QUOI CHEZ PASQUIER ????"

Je vais vous dire ce que je crois. Je pense que personne avec un cerveau chez Pasquier n'aurait eu volontairement l'intention de se prêter à ce petit jeu et subir un tel bad buzz sur un mot clé aussi basique de la langue anglaise. Seulement voilà, c'est sans compter sur un cabinet d'avocats médiocres spécialisés en propriété industrielle qui pour justifier leurs honoraires, ont dû coller un stagiaire devant un poste Windows98 en lui disant :

"Tu vois là c'est le moteur de recherche de l'INPI. Tu tapes les marques déposées de nos clients et si tu obtiens des résultats, tu leur fais un courrier qui fait peur"

Pour avoir déjà reçu ce genre de courrier sur des mots très génériques, ce que je peux vous dire c'est que tout cela est quasi automatisé et que Pasquier n'a pas dû avoir son mot à dire.

Ensuite, ce qui se passe le plus souvent, c'est que les avocats des 2 bords discutent entre eux (et donc facturent leurs clients respectifs) et s'entendent sur des classes précises ou des conditions d'exploitation de telle ou telle marque. Par exemple, l'organisateur des Pitches Parties pourrait obtenir le droit d'utiliser le mot "pitch" dans le cadre de son activité à la seule condition qu'il signe un contrat stipulant qu'il n'a pas le droit d'utiliser la marque Pitch dans le cadre d'une activité agroalimentaire. Ce ne sont bien sûr que des suppositions, mais je pense que les gens chez Pasquier n'ont malheureusement pas été consulté.

Le seul fautif à mon sens est le cabinet d'avocat qui a voulu faire du zèle sans sortir une once de jugeote.

S'il faut juger Pasquier, ce sera dans les heures qui viennent quand ils auront réagit publiquement, et présenté leurs excuses en se désolidarisant de leur cabinet d'avocat.

Et bien sûr s'ils veulent aller plus loin, ils peuvent aussi rembourser les frais engagés par les startups visées ;-). Et sinon, Niko a eu une bonne idée si vous avez une startup et que vous aimez les additifs chimiques, les graisses saturées et les calories :

Vous vous souvenez de cette scène dans le premier Jurassic Park, où les raptors apprennent à ouvrir les portes de la cuisine ? Flippant n'est-ce pas ?

Et bien, vous aurez la même sensation en regardant cette vidéo de ces nouveaux Spotmini (une version plus petite de leur célèbre BigDog) capablent d'ouvrir une porte et de s'entraider.

Et la pour le coup, c'est encore plus flippant !

Espérons que cette technologie soit utilisée pour sauver des vies plutôt que pour courir après des retraités dans des manifs ;-).

On a tous eu à un moment donné ce fond d'écran noir et vert reprenant la pluie de codes chiffrés en provenance directe de la matrice.

Mais attention, un mythe va s'effondrer. Si vous êtes psychologiquement fragile, je vous invite à arrêter immédiatement la lecture de cet article et à cliquer sur le bouton "Découvrez un article au hasard" de la sidebar pour être redirigé vers un article moins violent.

Et pour ceux qui veulent vraiment savoir et bien accrochez-vous car simon Whiteley qui n'est autre que le designer en chef de la production Matrix, a raconté dans une interview accordée à CNet que ces fameux codes indéchiffrables était tout simplement un mélange de caractères hiragana, katakana, et kanji japonais issus de recettes de sushis.

I like to tell everybody that The Matrix's code is made out of Japanese sushi recipes

Simon Whiteley

AAaaaAaaah !

Bon, moi je m'en fous, j'aime bien les sushis mais franchement, avoir le menu du jap qui défile sur votre écran toute la journée, c'est moins classe qu'un code mystérieux d'une matrice omniprésente.

Merci à Sebsauvage pour cette révélation 🙂

Si vous cherchez un moyen d'utiliser Instagram à partir de votre ordinateur, notamment pour envoyer des photos, il existe Ramme, une application open source fonctionnant sous Linux, macOS et Windows que vous pouvez télécharger ici.

Ramme qui veut dire "cadre" en Danois est basé sur Electron et vous permettra de voir les photos de gens que vous suivez, d'en suivre des nouveaux, de faire des recherches, d'uploader vos images (avec filtres svp !), de mettre des likes et d'écrire des commentaires.

Par contre, il ne gère pas encore le multi-user, ni les réponses à des commentaires précis et niveau outil, à part les filtres, le reste n'a pas encore été développé et sous macOS il y a encore quelques petits bugs d'affichage. Mais comme je vous le disais, c'est un projet open source donc les contributions sont ouvertes et je parie qu'il va rapidement évoluer.

Ramme est disponible ici.

Source

J'ai appris via Techcrunch que Facebook faisait maintenant la promo dans son application mobile, d'une autre application baptisée "Protect" qui est tout simplement un VPN.

Facebook a racheté le service de VPN Onavo Protect en 2013 pour une simple raison : Vous traquer encore plus.

Je vous explique… Lorsque vous utilisez un VPN, l'ensemble de votre connexion au net transite de manière chiffrée par un serveur tiers. Ce qui veut dire que seul votre fournisseur VPN connaît le contenu de vos paquets IP et les méchants qui s’incrustent entre vous et ce fournisseur de VPN ne peuvent observer que des données chiffrées.

Le VPN est donc super pratique pour sécuriser un peu son usage d'internet, pour se protéger du tracking publicitaire (puisque vous changez souvent d'IP, et passez parfois par différents pays), et surtout pour utiliser par exemple des connexions wifi d’hôtel sans subir un Man In The Middle.

Et Onavo Protect ne fait pas exception à la règle comme vous pouvez le voir dans sa description. Et si Facebook n'était pas derrière, Onavo ne serait qu'un VPN de plus dans la galaxie des services de ce genre.

Seulement voilà, quand on creuse dans les petites lignes d'Onavo Protect, il est clairement indiqué ceci :

When you use our VPN, we collect all the info that is sent to, and received from, your mobile device. This includes info about: your device and its location, apps installed on your device and how often you use those apps, the websites you visit, and the amount of data you use.

This helps us improve and operate the Onavo service by analyzing your use of websites, apps and data. Because we’re part of Facebook, we also use this info to improve Facebook products and services, gain insights into the products and services people value, and build better experiences.

Pour les non-anglophones, ce que ça veut dire c'est qu'Onavo collecte tout un tas de données sur vos usages : Le type de téléphone que vous avez, votre géolocalisation, les applications installées, combien de fois vous les utilisez, les sites web que vous regardez, et la quantité de données que vous cramez.

Et puis après, c'est écrit noir sur blanc et sans pudeur aucune que cette collecte de données aide à améliorer les services d'Onavo MAIS AUSSI (et c'est là où c'est fun) les services de FACEBOOK, car vous comprenez, on est une société appartenant à Facebook et bla-bla-bla expérience utilisateur bla-bla-bla.

Bah oui tranquille. Tiens ça me fait un peu penser aux transmissions de données utilisateurs entre Facebook et Whatsapp que la CNIL avait ciblé.

Aurait-on le même schéma avec Onavo ?

Bon, de base, Facebook sait bien vous traquer quand vous êtes sur son site et quand vous visitez des sites qui ont intégré leurs petits boutons de partages. Mais là, avec ce client VPN, il peuvent aller encore plus loin puisqu'il peuvent connaître tout ce que vous avez sur votre téléphone (ce qu'il faisait déjà avec leur app mobile Facebook j'imagine) et en plus, comme toutes vos connexions transitent par les serveurs d'Onavo (donc de Facebook), et bien ils savent aussi exactement où vous allez et que vous faites sur le net en temps réel.

Ils sont forts chez Facebook, car imaginez toute la big data qu'ils vont pouvoir sortir de l'usage qu'on les gens de leur téléphone et de leur connexion Internet. Et tout ça sur le dos des couillons qui installeront ce truc.

Ouin.

Si chercher des secrets dans le cœur des applications Android vous intéresse, voici StaCoAn (Static Code Analyzer), un script Python (cross plateforme donc…) qui va vous permettre de parser vos APK à la recherche d'identifiants codés en durs, de clés API, d'URL d'API, de clés de déchiffrement et autres petites et grosses boulettes de dev.

StaCoAn fonctionne en ligne de commande, mais offre aussi une interface web via un conteneur Docker, qui va rendre son utilisation quotidienne très pratique aussi bien sur mobile que sur desktop.

Le fonctionnement de cet outil est assez simple, puisqu'il vous suffit de glisser et déposer l'APK sur l'application StaCoAn pour que celle-ci génère un rapport visuel que vous pouvez bien sûr personnaliser avec le look et les listes de mots clés de votre choix.

Pour réaliser son analyse, StaCoAn par fouiller dans tous les fichiers de code (java, .js, .html, .xml…etc) qu'il peut trouver et repère les trucs intéressants à l'aide des listes de mots clés par défaut ou que vous avez définies.

Une fonctionnalité "loot" pour permettra aussi de bookmarker vos trouvailles, pour ensuite tout retrouver d'un seul coup d'oeil.

Un super outil qui aidera les développeurs à corriger leurs boulettes et aux experts en sécurité de décrocher quelques Bug Bounty ;-).

Si vous connaissez l'anglais et que vous voulez apprendre un peu de vocabulaire dans des langues étrangères, je vous présente Backwords.

Cette application disponible uniquement sous Mac (désolé ^^), affichera chaque jour, sur votre fond d'écran, un mot dans la langue sélectionnée. Au total, ce sont plus de 15 000 mots proposés, donc de quoi vous occuper.

Backwords permet de passer au mot suivant si vous connaissez déjà le mot du jour et propose des mots de vocabulaire Chinois, Japonais, Coréen ou Néerlandais.

Pratique donc pour mémoriser quelques idéogrammes qui pourront vous servir dans la vie de tous les jours, que vous aimiez les animes ou que vous voyagiez.

Si vous êtes développeur et que tout ce qui est administration système vous donne des boutons, j'ai découvert un truc qui s'appelle ServerLess et qui je pense va vous intéresser.

ServerLess est un mouvement "spirituel" (bon j'exagère un peu, mais vous voyez l'idée) qui permet de redonner le pouvoir aux développeurs qui souhaitent se concentrer uniquement sur leur code. Je ne suis pas développeur (d'où ma découverte tardive de ce truc), mais j'ai trouvé ça passionnant, ce qui explique cet article d'aujourd'hui.

Cette technologie permet de faire abstraction de tout ce qui concerne l'hébergement et le déploiement de votre application. Grâce à l'approche ServerLess, vous allez pouvoir développer directement des applications qui vont supporter un trafic en production et que vous n'aurez pas besoin de scaler. Pas besoin non plus de provisionner des serveurs et de payer des ressources non utilisées. Pas besoin de mettre à jour un Linux… Bref, plus besoin de se concentrer sur des actions à peu de valeur ajoutée pour vos utilisateurs.

Et le secret de tout ça c'est AWS Lambda, Microsoft Azure, Google Cloud Platform ou encore IBM OpenWhisk qui proposent des offres FaaS (Function As A Service) permettant de faire exécuter votre code sur une infrastructure de calcul à haute disponibilité et de faire effectuer au provider du service toute l'administration des ressources de calcul, y compris la maintenance du serveur et du système d'exploitation, le dimensionnement des capacités et la mise à l'échelle automatique, le déploiement du code et des correctifs de sécurité, ainsi que la surveillance et la journalisation du code.

Il existe aussi OpenFaaS, un projet open source qui permet de packager n'importe quoi en fonction ServerLess

(Merci Benoit)

ServerLess exploite donc ce concept de FaaS pour redonner une entière autonomie aux développeurs et leur fera surtout gagner du temps. Et même si je suis plutôt partisan de gérer soi-même son serveur et éviter de tout mettre chez Amazon, Google ou un autre, il faut reconnaître que le côté "J'ai plus qu'à coder et basta !" fait saliver. Cela peut-être aussi intéressant pour du déploiement en test, car la plupart des fournisseurs FaaS proposent des offres gratuites en dessous d'un certain nombre de requêtes mensuelles. Par exemple, chez Amazon, c'est 1 million de requêtes offertes ainsi que 400 000 Go-secondes de temps de calcul par mois.

Le Framework ServerLess que vous pouvez trouver ici permet donc de déployer facilement votre code chez le provider de votre choix, en configurant automatiquement les paramètres qui vont bien, le langage que vous utilisez, et les plugins ServerLess dont vous avez besoin. Et ensuite, c'est easy :

#Install serverless globally
npm install serverless -g

#Login to your Serverless account
serverless login

#Create a serverless function
serverless create --template hello-world

#Deploy to cloud provider
serverless deploy

#Function deployed! Trigger with live url
http://xyz.amazonaws.com/hello-world

L'approche ServerLess a déjà été adoptée par des gros comme Coca Cola, Expedia, Reuters, ou encore EA. Et pour le coup, vous ne paierez que ce que vous consommerez.

Bref, à tester à l'occasion.

Et si vous restez sur votre faim après la lecture de cet article d'introduction, je vous invite à lire celui-ci beaucoup plus détaillé sur le sujet.

Il n'y a pas beaucoup d'infos, mais c'est dans un tweet que fail0verflow qu'on ne présente plus, a publié il y a quelques jours cette photo d'une Nintendo Switch avec un joli Linux dessus.

D'après fail0verflow, son exploit utilise un bug situé dans la rom nécessaire au boot, ne nécessite aucune puce et qui plus beau encore, ne peut pas être patché sur les Switch sorties jusqu'à présent.

Bien que Nintendo propose depuis l'année dernière, un programme de Bug Bounty pour justement récompenser ce genre de découverte et corriger ses vulnérabilités, il semble que certains préfèrent s'amuser avec des homebrews et éventuellement plus tard, avec des jeux piratés sur des consoles rootées.

Affaire à suivre, surtout si effectivement, l'impossibilité de patcher s'avère vraie.

Vous connaissez sans doute ces petits emojis tout en texte construits à base de parenthèses et autres caractères ASCII.

Comme ce petit joyeux…

\ (•◡•) /

ou encore ce gros musclé…

ᕦ(ò_óˇ)ᕤ

Et bien, il existe un constructeur d'emoji texte nommé oji à installer comme ceci :

npm i -g oji

Lancez ensuite oji et vous n'aurez plus qu'à sélectionner les petits morceaux de votre emoji et laisser libre cours à votre créativité.

Ça ne sert pas à grand-chose donc c'est méga indispensable. 😉

Et si comme moi, vous n'avez aucun talent de création en emoji text, voici 2 sites qui vous en donneront des tous tout fait, tout beau.

• https://www.lennyfaces.net
• https://textfac.es

Zerodium, spécialisé dans l'achat / revente de vulnérabilité 0day a fait hier, une annonce sur son compte Twitter.

Si pour vous tout ceci n'est qu'un amas de gros mots techniques, je vous explique. En gros, Zerodium propose 45 000 $ en échange d'un 0day (une vulnérabilité non patchée et non connue) fonctionnant avec les distribs Linux les plus connues (Fedora, Ubuntu, Debian, CentOs et Red Hat Entreprise).

À titre de comparaison, ils avaient, il y a quelques années, proposé 1,5 million de $ pour un 0day touchant iOS 10.

45 000$ c'est une belle somme et ça pourrait tenter pas mal de monde. Mais ce business reste un business de merde, et je vais vous expliquer pourquoi.

Premièrement, s'ils lancent cet appel, c'est qu'ils ont des clients. Probablement des gouvernements ou des boites privées puissantes. L'objectif de ces clients, c'est de pouvoir s'introduire sur des machines Linux pour les véroler ou en sortir des informations. Y'a pas vraiment de mystère.

Le premier problème, c'est que par définition, celui qui vendra son 0day à Zerodium se fera arnaquer. 45 000$ un 0day qui sera surement revendu avec une doc d'utilisation, le double de son prix (voire plus) à 2, 3, 4…10 ou 100 clients, j'appelle ça se faire arnaquer 🙂

Bon, ça c'était pour la blague.

Maintenant ce qui est grave c'est-ce que ce 0day va permettre.

Repensez aux révélations Snowden, repensez à votre vie privée et à votre vie tout court. Un 0day Linux qui grosso modo peut ouvrir une porte sur un grand nombre de serveurs est un sacré problème, y compris si vous n'avez pas de machine Linux sous la main. Car vous ne le savez peut-être pas, mais toutes vos données et votre activité en ligne circulent ou se retrouve stockées sur des machines Linux. Donc même si vous êtes un utilisateur lambda, cela vous concerne totalement.

Pensez ensuite aux gens qui pourraient souffrir directement d'une telle arme. Les activistes, les opposants politiques, les gens qui travaillent dans les entreprises et qui ont des secrets industriels à défendre, les gouvernements au travers de ses soldats ou de ses agents sur le terrain, sans parler de ceux qui se retrouveraient en position de subir un chantage ou une humiliation à cause de données dérobées via de tels moyens.

Le champ des possibilités est vaste et même si on est totalement dans les hypothèses, celles-ci sont parfaitement plausibles, car déjà vues.

Et je ne vous parle pas, le jour où le 0day est enfin découvert et annoncé publiquement, du bad buzz que cela peut ensuite avoir sur Linux, sur les sociétés touchées, sur les serveurs non patchés subissant les ravages des scripts kiddies et bien sûr de la surcharge de boulot non prévue pour les admin sys et la communauté Open Source.

J'ai beau retourner le problème dans tous les sens, vendre une telle vulnérabilité à un tiers qui est tout sauf de confiance, c'est un peu comme vendre une kalachnikov à un intermédiaire, sans savoir qui va l'utiliser, ni quand et contre qui, tout en espérant qu'on ne sera pas l'une des victimes.

Maintenant c'est sûr, 45 000$ c'est une belle somme. On peut s'en payer des jolies choses avec 45 000$… Une belle voiture, des travaux pour la maison, faire la fête pendant 1 an, ou arrêter de bosser quelques temps.

Mais s'il y a un truc que vous ne pourrez pas vous payer avec ces 45 000$, ce sera une éthique. Car oui, quoi qu'en disent les pubs à la TV et quoi qu'en disent les médias qui s’esclaffent sur la proposition de Zerodium, la notion d'éthique reste à mon sens primordiale.

Car toute l'année, que ce soit mes copains de YesWeHack, ou d'autres hackers de par le monde, on se casse le cul à sécuriser la planète, à remonter le niveau de compétence des gens et des boites dans un seul but : Que chacun puisse évoluer dans le cyberespace avec une relative tranquillité d'esprit.

Tout n'est pas parfait, c'est sûr, mais ça va dans le bon sens pour servir l'intérêt général, grâce aux efforts de chacun. Malheureusement, l'initiative de Zerodium est à l'opposé de ces efforts.

Seulement, pour contrer de telles pratiques qui n'ont comme but que de faire du pognon au détriment de l'intérêt général, il n'y a malheureusement que 3 possibilités.

– Soit les Américains décident que Zerodium va dans le sens contraire de leurs intérêts, et décident d'interdire de telles pratiques. Mais j'imagine que cela n'arrivera jamais, car ils sont surement leurs premiers clients et ont probablement négocié quelques exclusivités mondiales avec eux.

– Soit je trouve une planche à billets magique, et je propose x3 en pognon pour racheter les 0day avant qu'ils ne tombent entre de mauvaises mains pour ensuite les offrir à la communauté open source dans un cadre de divulgation coordonnée de vulnérabilités.

– Soit, j'en appelle au bon sens, en ayant conscience du côté bisounours de la chose, en expliquant aux gens que tout ceci est éthiquement malsain et que la seule option quand on découvre une vulnérabilité sur un site, un soft, un service (peu importe), c'est de la remonter à celui qui est impacté par ce problème pour qu'il puisse patcher au plus vite.

Pour le moment, à moins que vous ne soyez tous Milliardaires, c'est cette dernière possibilité qui est à notre portée à tous. Et cela peut se faire de 2 façons :

– Via un principe de CVD (Divulgation Coordonnée de Vuln) en passant par une plateforme non-profit comme Zerodisclo.com

– En passant par le Security.txt ou le programme de Bug Bounty de l'organisation / site / projet impacté pour remonter au plus vite la vuln.

Vous voilà informé. N'oubliez pas que la vraie richesse débute quand vous amassez toutes ces petites choses qui ne peuvent pas s'acheter.

À vous de voir maintenant ce que vous préférez.

Si vous avez un site internet, que ce soit un site sur lequel transitent des informations personnelles ou une simple vitrine statique, il est maintenant grand temps, si vous ne l'avez pas encore fait, de passer en HTTPS.

Alors oui, si vos internautes remplissent des champs ou s'identifient avec un mot de passe sur votre site, il est vital que ce dernier propose à minima une connexion HTTPS.

Mais si vous avez un site statique, qui n'est qu'une vitrine et qui ne présente aucun risque à être diffusé via le protocole HTTP uniquement, je vais vous donner 2 bonnes raisons de passer en HTTPS.

La première (et c'est déjà le cas) c'est que Google (et probablement d'autres moteurs de recherche) favorise dans leurs résultats les sites en HTTPS au détriment de ceux en HTTP. Donc si vous avez des besoins de positionnement dans les moteurs de recherche, vous n'avez pas d'autre choix que le HTTPS.

La seconde raison est celle qui va faire le plus mal. À partir de la version 59 de Firefox et de la version 68 de Chrome, TOUS les sites diffusés en HTTP seront marqués dans le navigateur comme "Not Secure" (Pas sécurisé). Même si techniquement l'impact d'un tel marquage est nul, celui en terme d'image auprès de vos internautes va être violent.

Ils seront très peu à savoir exactement de quoi il retourne et la plupart en voyant ce "Not Secure" prendront peur, passeront leur chemin, vous contacteront pour vous faire part du problème ou vous donneront de grandes leçons sur l'importance du chiffrement (ah ah).

Et à service équivalent, entre choisir le joli petit cadenas vert ou l'alerte rouge "Not Secure", je vous laisse deviner où vos internautes iront.

Vous n'avez donc plus le choix. Le HTTP c'est de l'histoire ancienne et vous allez devoir migrer tous vos sites même le plus basique et le moins à risque, en HTTPS, simplement pour préserver votre image 

Si maintenant vous êtes motivé, sachez qu'il existe des tas de tutos sur le net qui expliquent comment faire. De mon côté, j'ai appliqué la méthode Certbot qui est sans doute la plus simple et la plus gratuite 🙂

À bon entendeur, salut !

La nouvelle version 3.0 de VLC vient de sortir en version finale (mais pas encore annoncée).

Au rayon des nouveautés, rien concernant le design, mis à part une icône rafraichie, mais cette version 3.0 qui est considérée comme une LTS (Long Term Support) va quand même permettre de faire pas mal de nouveaux trucs cools.

Tout d'abord, si vous avez un Chromecast, et bien vous allez pouvoir balancer vos flux vidéo dessus directement depuis VLC. Cette version permet maintenant la lecture de vidéos 360°, supporte tout ce qui est Audio 3D, affichage HDR, de nouveaux décodeurs hardware et formats de vidéo/sons.

VLC autorise le changement en live de la taille des sous-titres et concernant la partie réseau, il gère maintenant le HTTP/2 et permet de parcours de systèmes de fichiers distants (SMB, FTP, SFTP, NFS).

Il y a beaucoup de petits et gros changements que vous pouvez retrouver listés ici.

Vous pouvez retrouver la version finale pour Mac, Linux et Windows ici.

Bravo à toute l'équipe de VLC, c'est une fois encore du très bon boulot !

Si vous êtes développeur et que vous bossez sur un site de recette ou quelque chose d'approchant qui nécessite de savoir si des ingrédients sont vegan ou pas, j'ai la solution.

Il s'agit d'une lib nommée Is-Vegan qui à partir d'un tableau d'ingrédients et d'une base de données issue des sites suivants, veganpeace, peta, veganwolf, permet de déterminer si tel ou tel ingrédient est vegan et par conséquent si une recette dans son ensemble est vegan.

Voici un exemple d'utilisation :

const isVegan = require('is-vegan');

// or

import * as isVegan from 'is-vegan';

// example for single ingredient
isVegan.isVeganIngredient('soy'); // true
isVegan.isVeganIngredient('milk'); // false

// example for list of ingredients
isVegan.isVeganIngredientList(['aspic', 'albumin']); // false
isVegan.isVeganIngredientList(['soy', 'cacao butter']); // true

// example for list of ingredients
isVegan.containsNonVeganIngredients(['aspic', 'albumin', 'soy']); // ['aspic', 'albumin']
isVegan.containsNonVeganIngredients(['soy', 'cacao butter']); // []

// example for list of ingredients wich contain flagged and non-vegan ingredients
isVegan.checkIngredients(['soy', 'cacao butter', 'pork', 'beef', 'glycine']);
// returns
// {
//   nonvegan: ['pork', 'beef'],
//   flagged: ['glycine']
// }

// or

import { checkIngredients } from 'is-vegan';

// example for list of ingredients wich contain flagged and non-vegan ingredients
checkIngredients(['soy', 'cacao butter', 'pork', 'beef', 'glycine']);

// returns
// {
//   nonvegan: ['pork', 'beef'],
//   flagged: ['glycine']
// }

Voici d'autres exemples d'utilisation en live.

Si cette lib vous intéresse, vous pouvez retrouver Is-Vegan sur Github.

Deadpool est de retour dans une bande-annonce bien décalée comme vous pouvez vous en douter, où il va croiser le chemin d'un nouvel ennemi nommé "Cable". Tout un programme !

Et voici le pitch officiel complètement barge lui aussi.

Après avoir survécu à une violente attaque bovine, un cuistot défiguré (Deadpool – Wade Wilson) se bat désormais pour réaliser son rêve : Devenir le barman le plus sexy du Mayberry, alors qu'il a complètement perdu le sens du goût. Pour retrouver les plaisirs pimentés de la vie ainsi qu'un convecteur de flux, Deadpool devra affronter des ninjas, des Yakuzas et une meute de chiens méchamment excités. Dans son périple, il découvrira l'importance de la famille, l'amitié et de nouvelles saveurs, ainsi qu'un goût insoupçonné pour l'aventure. Il finira par remporter le très prestigieux mug personnalisé de "Meilleur Coup du Monde".

Je ne sais pas ce que vous faites demain (jeudi 08/02/2018) à 13h mais en ce qui me concerne, je serai avec l’ami Remouk (DansTonChat) dans un nouveau live Youtube qu’on a lancé il y a peu.

Baptisé avec amour Webosaures, cette émission sans prétention est un échange d’environ 1h entre dinosaures du web qui décortiquent la tech d’aujourd’hui avec nos yeux d’ancêtres à l’échelle d’Internet.

Et donc ce jeudi 8 février, l’émission portera sur le cloud et les données personnelles et nous aurons un invité spécial qui n’est autre que Tristan Nitot (Cozy Cloud).

Sachez que je vous mettrais aussi à contribution, donc si vous avez des idées de sujet, vous pouvez les proposer ici.

A très vite !

La nouvelle version 3.0 de VLC vient de sortir en version finale (sur le channel nightly, mais pas encore annoncée officiellement).

Au rayon des nouveautés, rien concernant le design, mis à part une icône rafraichie, mais cette version 3.0 qui est considérée comme une LTS (Long Term Support) va quand même permettre de faire pas mal de nouveaux trucs cools.

Tout d'abord, si vous avez un Chromecast, et bien vous allez pouvoir balancer vos flux vidéo dessus directement depuis VLC. Cette version permet maintenant la lecture de vidéos 360°, supporte tout ce qui est Audio 3D, affichage HDR, de nouveaux décodeurs hardware et formats de vidéo/sons.

VLC autorise le changement en live de la taille des sous-titres et concernant la partie réseau, il gère maintenant le HTTP/2 et permet de parcours de systèmes de fichiers distants (SMB, FTP, SFTP, NFS).

Il y a beaucoup de petits et gros changements que vous pouvez retrouver listés ici.

Pour ceux qui peuvent attendre (ce que je recommande), VLC 3.0 sera disponible ici demain en fin de journée, mais pour les impatients, vous pouvez retrouver la version finale pour (Liens désactivés. Les serveurs de VLC ne supportent pas le trafic que vous provoquez.) Mac, Linux et Windows ici (prenez bien la 3.0.0 à la dernière date).

Bravo à toute l'équipe de VLC, c'est une fois encore du très bon boulot !

Sorti en 1994, Sim City 2000 a été l'un de mes tous premiers jeux sur PC. J'y ai passé des heures à gérer des émeutes, régler des problèmes de circulation et construire des merveilles. Le mien était une version DOS piratée, et il était tout en américain. J'ai donc dû déchiffrer les mécanismes du jeu par moi-même, enrichissant par la même occasion mon vocabulaire anglais.

C'est un excellent souvenir pour moi alors quand je vois que des développeurs sont en train de faire un remake de Sim City 2000 à base de JavaScript, HTML5 Canvas, SQLite et le tout sur Electron, je ne peux qu'être fan !

OpenSC2K disponible ici sur Github n'en est pour le moment qu'à ses débuts et permet d'importer et de voir ses villes. Et beaucoup de choses restent à intégrer comme la simulation, certains bâtiments, le zoom…etc. On est plus proche pour le moment d'un outil de visualisation de map que d'un jeu.

Mais le développeur derrière ce projet est ambitieux et souhaite même améliorer Sim City 2000 en proposant par exemple des cartes plus grandes, de nouveaux types de réseaux (en plus du routier, ferroviaire ou du réseau d'eau…etc.)…etc.

Ça me plait beaucoup comme projet. Si cela vous dit de tester, voici comment installer cette première version.

git clone https://github.com/rage8885/OpenSC2K.git
cd OpenSC2K

Si vous êtes sous Windows, pensez bien à ajouter les outils prérequis propres à cet OS :

npm install --global --production windows-build-tools
npm install

Puis faites passer cette commande pour mettre en place la bonne lib SQLite dans Electron

node_modules/.bin/electron-rebuild -f -w better-sqlite3

Et faites ceci pour lancer le "jeu" :

npm start

Par défaut et pour des questions de droits, OpenSC2K ne propose pas de carte, mais vous pourrez importer les vôtres (format .sc2) sans problème.

Amusez-vous bien et surtout n'hésitez pas à contribuer au projet pour le faire progresser plus vite !

Si vous êtes développeur et que vous voulez partager proprement du code source sur vos réseaux sociaux, voici un script qui devrait vous intéresser.

Ça s'appelle Carbon et ça permet de faire des imitations de captures écran de fenêtres avec du code source tout joli tout propre, comme ceci :

Choisissez le style de fenêtre, le langage utilisé, copiez-collez votre code source et voilà ! Il n'y a plus qu'à enregistrer l'image où à la tweeter avec les boutons prévus à cet effet.

Vous pouvez copier-coller du code directement dans Carbon, mais aussi glisser un fichier de code source dessus ou encore ajouter l'ID d'un gist au bout de l'URL comme ceci :

https://carbon.now.sh/0db00e81d5416c339181e59481c74b59

Les sources de Carbon sont disponibles ici donc vous pouvez aussi l'héberger chez vous ou l'améliorer (licence MIT).

À découvrir ici !

Ethan Hunt est de retour dans "Mission Impossible : Fallout", en partie tourné à Paris l'été dernier.

Je ne vous spoile pas l'histoire, tout est dans la BA diffusée lors du Super Bowl hier. Mais une fois encore, les cascades de Tom Cruise sont au rendez-vous, y compris le fameux saut entre 2 immeubles où le malheureux s'était blessé la cheville.

Ça sort le 1er août !

Source

Les gens sont de plus en plus vigilants au sujet des scripts que proposent les sites qu'ils visitent, mais restent négligents quand il s'agit des extensions qu'ils installent sur leur navigateur, reportant leur confiance sur les gérants des "stores".

Les chercheurs de Trend Micro viennent d'identifier plus de 89 extensions pour Google Chrome totalement dangereuses, car ayant en leur sein, une fonctionnalité de "Session Replay" (Pour enregistrer et rejouer les sessions des utilisateurs.)

Les scripts de Session Replay permettent donc aux sociétés qui mettent en ligne ces extensions, de savoir exactement ce que fait l'internaute avec son navigateur. Et TOUT son navigateur. Pas uniquement sur un site web précis…

C'est donc un bon gros mouchard qui enregistre aussi bien les mouvements de la souris, les touches du clavier et toutes les interactions avec la page en cours.

Conçus pour (en théorie) ne pas enregistrer les mots de passe, ces scripts qu'on pourrait comparer à des keyloggers, ne font pas de distinction entre l'un de vos tweets, votre adresse, vos n° de CB ou encore vos messages personnels.

Le point commun de ces 89 extensions proposées sur le Chrome Webstore de Google, c'est qu'elles intègrent toutes le script Session Replay de Yandex modifié volontairement pour devenir un véritable malware opéré par le groupe Droidclub.

L'apparition de ces extensions (aux doux noms de Air Plant Holder, Applesauce Christmas Ornaments ou Cuban Sandwich) sur le Chrome Store découle donc bien d'une volonté cybercriminelle.

Le plus beau là-dedans c'est que ces extensions sont liées à un système de contrôle central (C&C Server) exactement comme pour les botnets, ce qui permet aux cybercriminels d'injecter dans les pages web visitées par la victime, de la pub ou des scripts pour miner de la cryptomonnaie. Le tout bien évidemment à l'insu des 425 000 personnes qui les ont installés.

Google a retiré toutes les extensions découvertes par Trend Micro et a neutralisé celles déjà en place dans les browsers des gens.

Bref, que ce soit avec votre ordinateur, votre smartphone ou votre navigateur, soyez toujours vigilant lorsque vous installez quelque chose (surtout si ça porte un nom chelou ^^)

Source

Le 30 janvier dernier, Facebook communiquait à mort sur leur nouvelle politique de blocage des publicités ayant pour thème les ICO, le Bitcoin et autres cryptomonnaies.

La raison évoquée : Trop d'arnaques en tous genres.

OK pourquoi pas. C'est bien de protéger ses utilisateurs. Google a d'ailleurs la même problématique avec Adwords.

Et pourtant, ils ne se sont pas vraiment foulés pour mettre en place ce blocage. L'expert en sécurité, Matthieu Suiche a remarqué que certaines publicités concernant le Bitcoin et les ICO passaient encore sur Facebook.

Comment cela est possible ?

Et bien il a simplement suffit aux annonceurs de mettre un 0 à la place du o de Bitcoin et d’utiliser un L minuscule à la place d’un i majuscule dans le mot ICO.

Les bonnes vieilles méthodes des spammers…. C’est aussi simple que cela.

Je ne comprends même pas comment Facebook a pu passer à côté de ça…

Bref…

Si vous travaillez en équipe et que vous en avez assez de passer des coups de fil toute la journée, voici une application qui vous aidera ou qui vous rendra totalement fou. Au choix.

Son nom ? Switchboard.

Il s'agit d'une app présentée comme un intercom, qui permet d'être en contact immédiat avec ses amis, sa famille, ses collègues. Un peu comme si vous étiez dans la même pièce qu'eux ou que vous pratiquiez un genre de télépathie.

Mais rassurez-vous, c'est vous qui contrôlez, évidemment, le niveau "d'intrusivité" de votre entourage. Vous pouvez vous rendre disponible ou indisponible et mettre en silencieux n'importe qui à n'importe quel moment.

Et si quelqu'un n'est pas disponible, vous pouvez lui laisser un message vocal. Switchboard a vocation à se substituer aux petits coups de fil ou aux petits SMS et de fluidifier la communication. L'application se pilote à la voix et propose même une intégration avec Slack.

Sur le principe, je trouve que c'est une excellente idée, surtout si vous bossez dans une équipe où la plupart des gens travaillent à distance. Mais attention, comme toute chose de ce genre, il y a le revers de la médaille qui dans le cas de Switchboard pourrait ressembler à un abandon de nos petits moments seuls avec nous mêmes, ou avec notre famille physiquement présente, ou encore de temps de créativité sans interruption.

C'est donc un soft pratique, mais à utiliser avec intelligence en gardant bien à l'esprit que ce n'est qu'un outil et que c'est à vous de vous discipliner pour l'utiliser efficacement sans que cela n'impacte votre santé mentale et la vie des gens autour de vous.

Switchboard est dispo uniquement sous iOS, Mac et Web App (en beta). Aucune mention de chiffrement malheureusement… :-((

Voilà une vidéo tuto qui fera plaisir à mes copains Youtubers (ou pas ;-)).

Dans cette vidéo, vous apprendrez les secrets des plus grands pour faire une vignette YouTube bien clickbait histoire d'attirer le chaland, peu importe la qualité du contenu.

Attention, c'est du lourd ! (et de l'humour surtout)

Alors ça c'est rigolo. Depuis la dernière Creators Update de Windows 10, Microsoft a eu la bonne idée d'ajouter une fonctionnalité Anti-Ransomware à son Windows Defender.

Pour rappel, Windows Defender est un outil de sécurité censé protéger votre ordinateur contre des virus et autres petites saloperies du genre. C'est donc une bonne idée d'y ajouter une sécurité qui utilise les droits d'accès en place sur les répertoires pour détecter si un programme tiers y accède et tente de chiffrer vos données.

Et d'ailleurs, cela fonctionne bien comme le montre Yago Jesus sur son blog qui teste cette protection avec un petit code Python de son cru.

file = open('C:/Users/YJ/Documents/test.docx','w')
file.write('Random text.')
file.close()  

En lançant ce script, son Windows Defender se met tout de suite en route…

Seulement voilà, il y a une faille. En utilisant dans un autre script Python des fonctionnalités de chiffrement basé sur les objets OLE de Word (donc en gros, les outils natifs d'Office), et bien ça passe tranquillou la sécurité de Windows Defender.

import win32com.client
filetoberansom = r'C:/Users/YJ/Documents/test.docx'
word = win32com.client.Dispatch("Word.Application")
word.visible = 0
doc = word.Documents.Open(filetoberansom)
word.Documents.Item(1).Password= '12345678'
word.Documents.Item(1).Save()
word.Documents.Item(1).Close()
word.Application.Quit()

C'est beau.

Un autre moyen proposé par Yago Jesus consiste simplement à copier les fichiers visés à un autre endroit du disque dur, là où les accès sur les répertoires ne sont pas surveillés, puis supprimer les fichiers d'origine, tout en chiffrant ceux copiés. Et là pareil, Windows Defender n'y verra que du feu.

Yago Jesus a donc contacté Microsoft qui apparemment, vu sa réponse, ne considère pas cela comme une faille de sécurité, mais qui devrait quand même améliorer la fonctionnalité anti-ransomware de Windows Defender dans une prochaine mise à jour.

On ne peut pas penser à tout !

Source

Développé par Laurent THIEBAULT, ce gestionnaire en Electron et Vue.js va vous permettre de conserver vos bouts de code sous la main.

Code Notes est plutôt bien pensé, car il est capable de gérer la coloration syntaxique de plusieurs langages, mais offre aussi de la complétion qui vous permettra de coder directement vos snippets dans l'outil sans perdre de temps. (Pour comprendre de quoi je parle exactement, regardez la vidéo)

C'est un outil qui en est à ses débuts, mais il est déjà bien pratique. Laurent ne compte pas s'arrêter là et prévoit déjà d'autres fonctionnalités plutôt cool comme :

• L'intégration des Github Gists
• La possibilité d'ajouter des tags sur les snippets
• Grouper les snippets (dans des dossiers)
  
• Ajouter des raccourcis clavier pour améliorer la productivité

Je suggère aussi à Laurent d'intégrer un système de backup ou de stockage en ligne des snippets pour pouvoir utiliser la même bibliothèque sur plusieurs machines et je souhaite donc à Code Notes une belle et longue vie !

Découvrir une vie extraterrestre sera-t-il une bonne nouvelle ? Ou le début de la fin ?

C'est en substance le contenu de cette vidéo de la chaine Kurzgesagt, a regarder en anglais (car les sous-titres FR sont tout nuls). On est encore loin de trouver une vie extraterrestre et encore très loin d'un monde à la Men In Black, mais je pense que je m'y ferai assez rapidement.

Je croise tellement d'humains chelous que ce n'est pas une limace géante ou un alien gazeux qui fera grande différence, à partir du moment où ils sont courtois et qu'ils ne me dévorent pas tout cru.

La nouvelle coqueluche de Reddit depuis fin janvier, s'appelle Deepfakes.

Il s'agit d'un soft qui en utilisant du machine learning, est capable de décomposer frame par frame une vidéo, pour remplacer le visage de quelqu'un par quelqu'un d'autre.

Mais attention, il ne s'agit pas d'un simple trucage cinématographique… non, non.

En nourrissant l'algo de nombreuses photos, celui-ci est capable de reconstituer un visage dans ses moindres détails et de le faire parfaitement correspondre à un autre, en reconstituant, y compris, les parties qu'il ne connaît pas.

Machine learning FTW !

L'utilisation première de Deepfakes est donc pour le moment, de remplacer le visage d'acteurs ou d'actrices pornos par celui de célébrités pour faciliter la vie de ceux qui manquent d'imagination.

Évidemment, la mise à disposition de tous de cet outil provoque la colère de certains (à Hollywood principalement) et soulève beaucoup de questions sur la légitimité ou pas de faire ça. Nicolas Cage continue sa carrière de meme, marchant dans les pas de Chuck Norris, et même Pornhub ne veut plus de vidéo DeepFakes sur ses serveurs.

Mais si on fait abstraction de cet usage, c'est quand même une chouette techno. Comme je n'ai pas vraiment envie d'afficher du porno ici (à votre plus grand regret, je sais), je vais plutôt reprendre comme exemple cette utilisation qu'a fait Sven Charleer de DeepFakes.

Il a pris en photo le visage de sa femme Elke, sous de nombreux angles…

Puis a sélectionné un morceau d'interview d'Anne Hathaway au Tonight Show avec Jimmy Fallon…

Et voilà le résultat. Sa femme au Tonight Show plus réaliste que réaliste…

Sympa comme utilisation non ? Amusant de pouvoir faire figurer quelqu'un dans son émission ou son film préféré.

C'est une chouette surprise je trouve 😉

Quoiqu'il en soit, si cet outil vous intéresse, voici quelques liens qui vous en apprendront plus.

• Il y a une application nommée FakeApp disponible ici.
• Un tutorial ici
• Un site entièrement consacré à ça
• Et pour le lien du sub Reddit, je vous laisse vous débrouiller 😉

Amusez-vous bien !

Hello la compagnie,

Février est déjà là et je n'ai rien vu passer de janvier. Le site commence à se stabiliser donc c'est une bonne nouvelle. Je vois aussi que le forum et le wiki retrouvent une seconde jeunesse, ce qui est cool.

Pour ma part, j'ai sévèrement allégé la quantité de flux RSS que je lisais pour passer moins de temps sur ma veille et plus sur l'écriture. Donc j'en profite pour vous mettre à contribution. Si vous voyez des trucs cools passer et que vous pensez que ça peut m'intéresser, balancez par mail ou Twitter. On ne sait jamais. Je suis mauvais, car je ne réponds pas forcément à tout le monde, mais je regarde chacun de vos messages.

Je voulais aussi vous remercier pour votre aide sur la remontée des problèmes de la nouvelle version du site. Ça a bien aidé Léo et moi ça m'évitera de découvrir trop de mauvaises surprises cachées dans 6 mois. Vous êtes trop fort !

Sur ce, je vais aller faire un petit break. Après tout c'est vendredi, faut bien se détendre un peu. Je vous souhaite donc à tous un excellent….

A une époque, durant 6 mois de ma vie, je suis devenu un proche de Jack O'Neill, Samantha Carter, Daniel Jackson et Teal'c… sans oublier tous les autres… De SG-1 à Universe en passant par Atlantis, j'étais à fond. (Et si vous avez lu mon article d'hier sur l'Univers, vous devez maintenant comprendre pourquoi)

Et je vous avoue que ça me manque beaucoup. Du coup je suis content de voir qu'ils vont sortir le 15 février le premier épisode de Stargate : Origins, une web série qui se passe avant le film Stargate, en 1939 à Gizeh (Égypte) à une époque où les Nazis sont bien installés.

L'héroïne de l'histoire est Catherine Langford interpétée par Ellie Gall (qui, tenez-vous bien, à joué dans un film baptisé "Puberty Blues"… tout un programme…). Elle est donc la fille du professeur Langford, qui initia le programme de recherche sur la Porte des Étoiles.

Là où ça devient drôle c'est que le personnage de Catherine Langford a déjà fait une apparition dans plusieurs épisodes de SG-1 (comme Le Supplice de Tantale où elle retrouve son fiancé disparu en 1945 après avoir traversé la Porte des Étoiles le premier). Mais aussi dans le tout premier film ! TOUT SE TIENT, C'EST FORMIDABLE !

Maintenant tout ce que j'espère c'est que les mecs qui reprennent les licences Stargate, enquillent sur le SUITE (et pas sur un prequel détendu). Une suite bien dark qui se déroulerait après Stargate Universe. Ce serait tellement cool…

Mais bon, vu qu'ils ont annulé la série SGU après 2 saisons, mon espoir reste mince.

A suivre donc…

S’il y a bien un truc que j’aimerai faire quand je passerai l’arme à gauche ou quand je serai assez élevé spirituellement pour quitter mon corps à la demande, c’est voyager librement dans l’Univers.

Je ne sais pas si cela sera possible alors en attendant de le découvrir, je rêve à comment c’est là bas très loin.

J’ai d’ailleurs commencé ce livre absolument magique de Christophe Galfard qui doit rêver des mêmes choses que moi.

Cela s’appelle « L’Univers à portée de main » et dans ce livre, l’auteur nous emmène voyager dans l’Univers exactement comme dans mes rêves les plus fous. Bref, c’est un gros kiff et je savoure chaque page.

Mais tout cela ne reste que des mots, et même si Christphe Galfard trouve toujours la comparaison juste pour nous aider à imaginer la taille des objets célestes qu’il évoque, ce n’est pas forcement simple.

Heureusement, je viens de tomber sur 2 vidéos qui permettent de comparer la taille des étoiles et des galaxies. Je vous les mets ici pour que vous puissiez me rejoindre dans mon délire. 🙂

La première permet de se rendre compte des différences de tailles entre par exemple notre beau Soleil et des étoiles comme Proxima du Centaure (l’étoile la plus proche de nous) ou Arcturus qui fait environ 20 fois le diamètre du soleil.

L'autre vidéo, très impressionnante aussi, permet de comparer la taille des galaxies que nous (l'espèce Humaine) avons pu découvrir jusqu'à présent. Nous, nous sommes dans la Voie Lactée (Milky Way en anglais), et la plus proche de la notre c'est bien évidemment la Galaxie d'Andromède (Andromeda Galaxy en anglais).

De quoi avoir le vertige… Moi ça me fait rêver. 🙂

Concernant le bouquin, sans vous spoiler, j'en suis au moment où l'auteur commence à évoquer l'idée d'un univers sphérique, au-delà duquel nous ne pouvons voir. Cette limite pour le moment infranchissable est située à un peu moins de 14 milliards d'années-lumière…

Truc de ouf !

Bon je vous laisse, je retourne essayer de sortir de mon corps :-))

La messagerie chiffrée Telegram qui permet de discuter entre amis, mais aussi de créer des groupes, des canaux de discussions publics, et d'y faire tourner des bots, vient d'ajouter une nouvelle corde à son arc.

Il s'agit de TDLib (Telegram Database Library), une bibliothèque open source pour les développeurs qui va permettre à ceux qui le désirent de créer ou d'améliorer les clients tiers Telegram avec tout ce que cela implique, des canaux publics aux stickers, en passant par les appels vocaux ou les GIF animés.

Bref, y'a de quoi s'amuser. Pour voir plus en détail ce que permet de faire TDLib, la team Telegram a mis en ligne sur le PlayStore, Telegram X, le nouveau client pour Android qui repose entièrement sur cette lib.

TDLib est disponible dans tous les langages de dev, et la documentation est ici.

Source

Parce qu'il n'y a pas que les compil d'accidents de la route sur YouTube, voici une compilation de caméras embarquées dans des Tesla qui évitent des collisions parfois difficiles à détecter pour les humains.

Souvent aussi, c'est la personne qui est derrière le volant qui fait preuve de négligence.

Enfin, ça a sauvé la vie à quelques animaux sauvages…

Source

Ce 29 janvier, Cisco a publié une alerte code rouge de la mort auprès de ses clients utilisant du matos ou des logiciels de la marque.

Tous les produits Cisco utilisant la fonctionnalité WebVPN qui permet de se connecter à un réseau d'entreprise sans avoir à passer par un client lourd, mais simplement en utilisant le navigateur sont vulnérables à une attaque web.

Cette attaque permet de contourner la sécurité, autorisant quelqu'un de mal intentionné à lancer des commandes sur les machines pour ensuite en prendre le contrôle total.

Ouch !

Pour vous dire l'importance de la vuln, celle-ci a atteint le merveilleux score CVSS de 10 (Common Vulnerability Scoring System), ce qui est le maximum en termes de "criticité" comme on dit dans le milieu 😉

Un message XML spécialement forgé pour l'occasion et envoyé à l'interface WebVPN permet d'exécuter une commande libérant une adresse mémoire spécifique. Cela entraine alors une fuite mémoire qui permet à l'attaquant d'écrire des commandes ou des données directement dans la mémoire système. Ainsi, les commandes sont exécutées ou la mémoire corrompue, provoquant un crash de l'appareil.

Et ce qui est bien avec WebVPN, c'est qu'il permet de se connecter aux réseaux d'entreprise depuis n'importe où simplement avec une connexion au net et un navigateur (même pas besoin de certificat préalable).

Je vous laisse imaginer la cata.

Les produits Cisco impactés sont les suivants :

• 3000 Series Industrial Security Appliance (ISA)
• ASA 5500 Series Adaptive Security Appliances
• ASA 5500-X Series Next-Generation Firewalls
• ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
• ASA 1000V Cloud Firewall Adaptive Security Virtual Appliance (ASAv)
• Firepower 2100 Series Security Appliance
• Firepower 4110 Security Appliance
• Firepower 9300 ASA Security Module
• Firepower Threat Defense Software (FTD)

Cisco recommande à tous de mettre à jour et si vous avez des outils Cisco sans contrat de maintenance, vous pouvez en vous rapprochant du support Cisco, obtenir quand même les mises à jour. Donc, déconnez pas. 😉

Bon courage !

Source

La Document Foundation vient d'annoncer la nouvelle version de LibreOffice estampillée 6.0.

Dispo sous Mac, Windows et Linux, cette version apporte son petit lot de nouveautés comme un correcteur d'orthographe plus efficace, un petit relooking au niveau des icônes, l'ajout de polices de caractères, une barre donnant accès aux caractères spéciaux et des bugs corrigés par-ci par-là.

Mais si je vous en parle aujourd'hui, c'est surtout pour vous avertir de 2 nouvelles fonctionnalités de poids.

La première concerne les documents ePub. Dans cette version de LibreOffice, vous allez pouvoir sauvegarder directement vos documents en .epub depuis Writer pour ensuite les lire sur vos liseuses électroniques préférées. Top ça !

Et la seconde nouveauté concerne PGP qui fait donc son entrée dans la suite d'outils bureautiques. Vous allez pouvoir signer / valider la signature et (dé)chiffrer vos documents directement depuis LibreOffice, à l'aide d'un outil PGP externe de votre choix (comme Gpgp4win si vous êtes sous Windows). Vous pourrez même signer certains paragraphes individuellement.

Alors oui c'est totalement subjectif, mais à mon sens, ces 2 fonctionnalités sont importantes, d'où cet article 🙂 .

Si vous voulez télécharger et installer cette nouvelle version, c'est par ici que ça se passe.

Source

L'ami Gaël Musquet que vous connaissez sous le pseudo de RatZillaS et que j'avais interviewé ici l'année dernière, viens de découvrir quelque chose d'amusant dans les Tesla.

En analysant les trames radio en 433 mhz qui déclenchent l'ouverture des trappes pour la recharge de la voiture électrique, il s'est rendu compte que celles-ci étaient identiques pour toutes les Tesla et pour tous les SuperCharger.

Simplement en rejouant la séquence, il est donc possible d'ouvrir à distance la trappe de recharge de n'importe quelle Tesla.

Bien sûr, vous l'aurez compris, le risque est limité, et ouvrir la trappe ne va pas servir à grand-chose. Avec un petit levier et un peu de muscle, ça peut s'ouvrir tout aussi facilement.

Mais ce qui est intéressant ici, c'est de mieux comprendre comment fonctionne la Tesla pour justement pouvoir la hacker au sens noble du terme.

La prochaine étape pour Gaël sera donc de tester si la trappe de recharge peut aussi s'ouvrir pendant que la voiture roule ;-).

Tout ce que j'espère maintenant c'est que les autres éléments de la voiture comme les freins, l'accélérateur, les portes…etc ne sont pas "pilotables" avec des trames radio identiques…

A suivre

Ps: Apparemment, ce tip était connu depuis déjà quelques temps et un code source est même disponible ici pour essayer de votre côté.

Vous vous souvenez de cet algo baptisé Seam Carving qui permet de redimensionner une photo sans avoir à déformer les éléments principaux de l'image ?

Et bien pour ceux qui voudraient intégrer ça dans leurs projets, il existe une bibliothèque en Go baptisée CAIRE, utilisable en ligne de commande, qui est capable de distinguer les parties importantes d'une photo pour ensuite réduire ou augmenter la taille de l’image sans toucher aux proportions des éléments qui la composent.

CAIRE permet de redimensionner verticalement ou horizontalement des images, soit individuellement soit, par lot en spécifiant le répertoire à traiter.

Voici ce que ça donne concrètement sur une petite série de photos :

Si cela vous intéresse, je vous invite à tester CAIRE (sous licence MIT) en cliquant ici.

Si vous avez un smartphone avec Android 5.0 Lollipop ou supérieur, il est possible de lui donner un look un peu plus sympa, copiant le launcher du Pixel 2 de Google.

Nommé « The Rootless Pixel Launcher 3.0« , ce launcher destiné à remplacer l’interface graphique de votre Android, vous permettra d’avoir de jolies icônes arrondies, une icône calendrier avec la date qui change, et des nouveaux comportements comme de la suggestion d’apps, la possibilité d’ouvrir et de fermer les notifs depuis n’importe où, et des menus popup d’actions rapides et de notifications quand vous laissez votre doigt appuyé sur une icône.

Si vous voulez installer le launcher, pas besoin d'être root sur votre smartphone. Il suffit d'activer le support des sources inconnues dans les paramètres, puis de télécharger et installer l'APK qui se trouve ici.

Une fois en place, appuyez sur le bouton home de votre téléphone, et un menu vous proposera de choisir le launcher par défaut. Sélectionnez alors "Pixel Launcher". De quoi faire un peu de neuf sur du vieux 🙂

Si vous voulez en savoir plus sur Rootless Pixel Launcher et lire la FAQ, c'est par ici.

Source

• Pour installer BlockShell c’est ici.

• Et pour l’utiliser c’est ici.

Vous avez aimé Firefox OS et l'Ubuntu Phone ?

Alors vous allez adorer Plasma Mobile !

Mais si, souvenez-vous, je vous en ai parlé en 2015. Il s'agit d'un OS libre pour mobile développé par KDE.

Basée à 100% sur du libre, conçue pour être modulable et respectant la vie privée de ses utilisateurs, la distrib Plasma Mobile doit vous permettre d'exploiter totalement les capacités de votre smartphone, un peu comme si vous étiez sur un PC.

Et si je vous en reparle aujourd'hui, c'est parce que de nouvelles ISO viennent enfin d'être rendues disponibles et qu'il est possible de les installer sur un vrai mobile / tablette ou sur QEMU/KVM ou encore VirtualBox histoire de tester un peu la bête.

Alors bien sûr, on est encore sur de la bonne grosse alpha, donc n'imaginez même pas remplacer votre Android par ce truc. Mais si vous souhaitez découvrir Plasma Mobile et y contribuer d'une manière ou d'une autre, n'hésitez pas !

Source

Si vous êtes sur les réseaux sociaux, vous avez peut-être vu arriver dans le week-end, des mentions au sujet de Strava.

Pour les athlètes comme moi, ce nom ne vous dira sans doute rien. Mais pour ceux qui font vraiment du sport, Strava est une application qui permet de visualiser tout son personnal tracking, qu'il soit généré à partir de votre téléphone ou de petits appareils comme ceux de Polar, Fitbit ou encore Garmin.

Souvent quand on parle de ce genre de matériel, on met en avant le fait que ça pourrait permettre à un cybercriminel ou une organisation mal intentionnée, de vous suivre à la trace de manière individuelle.

C'est vrai, mais un des risques dont on parle le moins est celui de la big data. Strava a mis à jour en fin d'année dernière sa heatmap (carte de chaleur) qui permet de visualiser 10 TB de données en provenance de son application, sur des cartes vraiment très jolies.

On peut donc y voir plus de 1 milliard de parcours, soit environ 200 ans d'activité. Ça en fait de la sueur à grosses gouttes.

Et depuis quelques jours, des experts en cyber sécurité (et en sécurité militaire tout court) s'inquiètent du fait que ces données permettent de mettre au jour des emplacements secrets de forces militaires. En effet, un bon soldat, ça fait du sport, ça court autour de sa base secrète, ça prend des chemins un peu cachés, et parfois, ça rentre dans des endroits où ça ne devrait pas rentrer.

Ainsi, même si les données de Strava proviennent de particuliers comme de militaires, dans des pays comme l’Afghanistan, la Somalie, Djibouti, le Mali et la Syrie, l'utilisation de cette app est quasi-exclusivement du fait de forces étrangères postées dans le pays. On peut donc grâce à ces données, remarquer des choses étranges comme des parcours aux angles bien droits en plein désert.

En plus d'aider à localiser des bases secrètes, ces données pourraient aussi aider des forces ennemies à anticiper certains parcours empruntés par les militaires pour leur tendre des embuscades.

Tout cela se focalise beaucoup sur les militaires postés à l'étranger, mais certains trouvent aussi des parcours en France qui pourraient révéler certaines intrusions dans des sites sensibles.

En réaction à tout cela, Strava s'est engagé à aider les gouvernements (et surtout le gouvernement américain) à faire le ménage dans ses cartes, un peu comme a pu le faire Google à une époque sur ses photos satellites.

On a donc là, un parfait cas d'école que même de la bonne grosse big data bien anonymisé peut nuire à l'intérêt de certains, et dans ce cas, des états (et surtout des États-Unis ^^)

Et si vous voulez jouer avec la carte c'est par ici.

L'outil est fourbe mais au moins, vous aurez conscience qu'il existe et vous ferez attention la prochaine fois que vous mettrez une clé USB dans une machine qui ne vous appartient pas.

Car en plus des joyeux malwares, ce qui peut vous arriver, c'est de vous faire dérober vos fichiers en à peine quelques secondes, simplement en branchant votre clé USB.

Démonstration avec USB Capture, qui copie automatiquement fichiers et répertoires présents sur une clé USB, dans un répertoire en local.

Dans le même genre, j'avais déjà parlé d’USB Grabber et pour se prémunir de ça, il n'y a pas grand-chose à faire, car même si vous chiffrez votre clé avec un outil, pour vous en servir sur le poste en question, vous aurez besoin de la déchiffrer, donc l'outil de capture pourra accéder aux fichiers au même titre que vous.

Donc à part avoir conscience de ne pas mettre n'importe quoi sur sa clé et ne pas l'insérer à tous les endroits glauques, il n'y a rien à faire.

Et si ce sont les ports USB de votre machine que vous voulez sécuriser, je vous invite à lire cet article ou celui-ci.

Pour alerter les gens aux dangers de l’abandon de la neutralité du net, Burger King a eu la bonne idée d’appliquer le concept à l’un de ses restaurants.

Résultat : Des clients qui n’y comprennent plus rien, qui s’énervent et qui surtout doivent payer plus cher s’ils veulent leur burger plus rapidement.

Si avec ça, les gens ne saisissent pas que c’est important, je ne sais pas ce qu’il faut. En tout cas, bien joué Burger King !

Autant on peut se passer de Nutella, autant, se passer d'un éditeur hexadécimal est beaucoup plus difficile.

Mais si vous êtes en galère, loin de votre machine, il existe heureusement des éditeurs hexadécimaux en ligne qui vous permettront d'analyser rapidement des binaires depuis votre navigateur.

Le premier s'appelle Hex Works et permet de surligner en couleur ce qui vous intéresse, d'inspecter les valeurs hex et leur équivalent décimal. De plus, il offre la possibilité d'ouvrir plusieurs fichiers en même temps et de les comparer.

Le second c'est HexEdit qui est un peu plus austère, mais qui offre plus de possibilités de visualisation (entier 8-bit, 32-bit, 64-bit, binaire, date et heure MS-DOS…etc.) et permet de faire de la recherche dans le fichier.

À bookmarker, car ça peut servir.

Source

L'idée n'est pas nouvelle, mais celui-là est sympa et comme c'est le week-end et qu'il fait moche dehors, c'est peut-être l'occasion de se remettre à Mario, Lemmings, ou encore Zelda pour ne citer qu'eux.

JSNES est développé en JavaScript et fonctionne dans n'importe quel navigateur. Une série de ROMs est disponible, mais vous pouvez aussi glisser-déposer vos propres ROMs NES dessus pour y jouer.

Ça fonctionne super même si j'ai eu quelques ralentissements sur les tortues Ninjas. Mais c'est sûrement à cause de ma machine qui n'est pas très puissante.

Amusez-vous bien !

Et pour ceux qui veulent les sources, elles sont ici.

Tous les jours, je vois de plus en plus de projets qui intègrent des blockchains et parfois, certains sortent un peu du lot.

C'est le cas de Gitcoin, qui permet aux développeurs d'être récompensés avec de l'Ethereum pour des améliorations apportées à des projets open source en place sur Github.

La liste des projets backés par Gitcoin est disponible ici. Pour que cela soit agréable et utilisable par tous, Gitcoin propose sur son site plusieurs outils pour trouver des projets financés ou pour envoyer des pourboires aux développeurs présents sur Github.

Ce genre d'initiative est intéressante, car elle offre aux développeurs une nouvelle façon de faire progresser des projets open source tout en vivant de leur talent en mode freelance.

À suivre donc…

Source

Je vous ai déjà parlé des conteneurs Firefox qui permettent dans un même navigateur de bien séparer vos usages. Un peu comme se créer 2 profils différents sauf que là, tout est accessible directement dans la même session sans basculer d'un profil à un autre.

Chaque onglet "conteneurisé" est isolé de l'autre et possède ses propres cookies, son propre stockage local (local storage) sans oublier son propre cache. L'isolation technique de ces éléments offre un meilleur niveau de sécurité et permet par exemple de se logger sur un même site avec différents identifiants ou encore d'éviter les sessions de publicité reciblée ou le tracking.

Pour profiter de cette fonctionnalité toute nouvelle, il y a l'extension Firefox "Temporary Containers" qui permet de déclencher automatiquement (ou manuellement) l'ouverture en conteneur de vos onglets ou de certains sites web particuliers.

Vous pourrez identifier qu'un onglet est mis en conteneur grâce au petit trait de couleur présent sur celui-ci ainsi qu'une icône qui se place dans la barre d'adresse et toute votre séance de surf sur un même domaine (*.domain.com) se fera dans le même conteneur.

Par contre, mon conseil c'est de désactiver le mode automatique qui peut être vite relou et de rester sur un mode manuel avec la petite icône conteneur, ou via le menu clic droit.

Vous pouvez télécharger cette extension ici.

Source

Woutch, quelle semaine les amis.

Le lancement de la nouvelle version du blog s'est vraiment bien passé malgré les petits bugs et plantages que vous avez pu croiser.

En effet, tester un site en preprod avec 1 visiteur à la journée, c'est différent d'un site en prod avec 200 visiteurs / seconde. Il y a donc eu quelques petits réglages serveurs à prendre en compte pour que tout se passe bien et Léo a fait un travail formidable et je le remercie encore une fois. Et si vous voyez encore des choses à améliorer / corriger, c'est par ici pour les remonter.

Au moment d'écrire ces lignes, je suis dans le train, en route pour Clermont-Ferrand. Le FIC s'est bien passé aussi et j'étais vraiment ravi d'échanger avec certains d'entre vous. Encore merci pour votre immense gentillesse, c'est grâce à vous que j'ai pu parcourir tout ce chemin, et je vous en suis reconnaissant.

Avec ma team YesWeHack, nous avons distribué des goodies trop cools, des barres chocolatées, et surtout, nous avons fait d'excellents contacts.

Quasi tout le monde est maintenant chaud comme la braise pour faire son bug bounty et après 2 ans d’évangélisation intensive, j'ai l'impression que les sociétés mesurent enfin la valeur ajoutée de la crowd security. Ça fait plaisir 😉

Je pense donc que 2018 sera une année importante pour YesWeHack, mais aussi pour Korben.info qui avec cette refonte de ouf est prêt à repartir pour 10 ans ;-).

Y'a du boulot, mais je m'éclate. Toutefois, nous sommes vendredi, le week-end est presque là, et je suis claqué. Donc REPOS bien mérité pour les 2 jours qui arrivent !

Je vous souhaite donc à tous un excellent week-end ! Portez-vous bien.

Ils sont vraiment trop cools chez Mozilla. En plus de tout ce qu'ils proposent déjà comme logiciels, outils pour les dev, et services pour les internautes, ils ont sorti il y a quelques temps (hello Tobozo !) le framework A-Frame qui va permettre à tout à chacun de créer facilement de la réalité virtuelle pour le web.

L'idée derrière A-Frame est d'enrichir le web avec des expériences immersives faciles et peu couteuses à réaliser et à déployer, pour, pourquoi pas raconter de nouvelles histoires ou proposer de nouveaux outils aux gens.

Pour illustrer tout ça, à cette adresse, vous trouverez de nombreux exemples de ce qu'il est possible de faire avec A-Frame comme cette anim dans l'espace, ou encore cette carte 3D enneigée.

On peut imaginer beaucoup de choses, de l'animation au jeu de serious gaming en passant par la vidéo 360° ou des exemples de datavisualisation. Le tout exploitable sur mobile, ordinateur, mais aussi dans des casques de réalité augmentée (HTC Vive and co), sans oublier les jeux avec contrôleurs.

Ce qui est intéressant au delà de l'aspect technique de cette solution, c'est de voir Mozilla proposer une boite à outil pour inciter les gens (et apparemment les journalistes) à s'emparer de ces nouveaux usages déjà pris en compte par Firefox (et les autres browsers). Reste maintenant à savoir si la réalité virtuelle va se développer dans les années à venir ou si cela restera un phénomène qui n'ira jamais au delà de quelques jeux ou d'outils de formation pro.

Si ça vous intéresse, toute la doc de A-Frame se trouve ici et les exemples de code sont ici.

Si vous êtes jeune, vous n'avez sûrement pas connu les premières versions de MS-Paint, le logiciel de dessin inclus dans Windows.

C'était pourtant un incontournable, car à ce moment, il n'y avait pas vraiment d'outils gratuits pour créer ou retoucher (un grand mot pour l'époque) des images. J'ai d'ailleurs moi-même passé pas mal de temps dans cet outil à faire tout un tas de conneries créatives 😉

DES BONS SOUVENIRS !

MS-Paint a dailleurs bien failli disparaitre après 32 années de bons et loyaux services mais heureusement, face aux utilisateurs mécontents, Microsoft a fait machine arrière.

^Mais comme il vaut mieux prévenir que guérir, des amoureux de MS Paint se sont mis en tête de recréer cet outil entièrement en JS. Vous pouvez trouver les sources de JS Paint ici et si vous voulez le tester, c'est par là.

C'est très impressionnant, car identique au MS Paint d'origine, avec la majorité des fonctionnalités et bien sûr comme ça tourne dans le navigateur, ceux qui n'ont jamais connu Windows vont pouvoir éprouver cette sensation uniquement de colorier avec le pinceau et gommer comme un sagouin.

Evidemment, le but de ce projet est aussi d'améliorer un peu tout ça et d'étendre MS-Paint avec quelques nouvelles fonctionnalités comme le support des PNG transparents ou des GIFs animés.

Mais c'est aussi un bon moyen de découvrir quelques fonctionnalités méconnues de ce logiciel mythique. Vous en trouverez une bonne liste ici.

Amusez-vous bien !

Ce mois-ci dans le cadre de mes activités pour YesWeHack, j'ai réalisé avec la team, une magnifique infographie reprenant les principales données de notre plateforme de bug bounty : Bountyfactory.io

Je sais que certains d'entre vous apprécient la thématique de la sécurité informatique donc je joins l'utile à l'agréable en la publiant ici.

D'ailleurs, si vous vous rendez au FIC 2018 à Lille demain et après demain, venez me faire un petit coucou. Je serai sur le stand D7 et voici la carte au trésor imprimée sur du parchemin en peau de fesse d'ange ici :

Et voici l'infographie pour ceux qui aiment la "data-visualisation"

A très vite !