Alors pour annoncer la couleur tout de suite avant que les lobotomisés par Google arrivent en mode World War Z dans les commentaires, je vous le dis, oui Qwant Maps est une alpha et ne fait pas encore grand-chose.

Mais on s’en fout, car c’est un excellent début. Hé oui, Qwant sort enfin son concurrent à Google Maps, basé sur OpenStreetMap. Et c’est bien pour plusieurs raisons.

Tout d’abord c’est bien parce que la concurrence c’est toujours bon. Ça laisse le choix aux utilisateurs que nous sommes et ça c’est parfait.

Ensuite, vous le savez, la philosophie de Qwant c’est de ne pas traquer ses utilisateurs. Ainsi, ce que vous cherchez sur Qwant Maps ne sera pas lié à vous pour ensuite être exploité pour vous servir de la pub, du service non sollicité ou renseigner les agents Smith d’un gouvernement quelconque.

Autre truc important, ça utilise OpenStreetMap, le projet de cartographie libre qui comme Wikipedia ou les logiciels libres dans leur ensemble, fait partie à mon sens du patrimoine numérique mondial de l’Humanité.

Cette première sortie publique de Qwant Maps est donc encore assez basique… Mais prochainement, cela s’enrichira des fonctionnalités que nous connaissons tous… Itinéraire, recherche de resto, trafic routier, navigation GPS…etc.

Je suis bien placé pour vous dire que rien de solide ne se construit en 1 jour, ni même en 10 jours. Alors bienvenu à Qwant Maps et hâte de voir la suite !

---

3ve – Une importante opération de fraude publicitaire en ligne perturbée

contenu proposé par ESET sécurité

De nombreux organismes internationaux d’application de la loi ont joint leur force contre une campagne de fraude publicitaire en ligne.

Les campagnes publicitaires frauduleuses affectent l’écosystème de la publicité sur Internet depuis des années, détournant les revenus publicitaires des entreprises légitimes. La base de la fraude est toujours la même : le logiciel imite le comportement de l’utilisateur pour faire croire que de vraies personnes cliquent sur des liens ou consultent des annonces en ligne, bien que ce soit un comportement automatisé et malveillant. D’autres stratégies existent : une autre grande campagne de fraude publicitaire est celle de Stantinko, qui a détourné les …

Lire la suite

---

Avec l’ami Remouk, nous allons vous parler aujourd’hui de WordPress dans ce nouvel épisode des Webosaures !

Ah et bonne nouvelle, nous venons de dépasser les 2 000 abonnés sur Youtube ! Rejoignez-nous !

Salut tout le monde,

Le mois de novembre touche à sa fin et j’ai la sensation que mes journées passent à une vitesse de dingue. Toujours à fond sur YesWeHack qui cartonne 😎 même si j’aimerais avoir plus de temps pour écrire ici, car ça me manque vraiment. Sniff.

En ce moment, je teste le Oneplus 6T qui est vraiment cool. Je pensais que la batterie durerait plus longtemps, non pas qu’elle soit mauvaise, mais il faut que je me rende a l’évidence, peu importe le smartphone que j’utilise, je le sur-exploite sans ménagement. Je vous ferai un topo plus détaillé si ça vous intéresse.

Autrement, j’ai enfin fini la biographie de Neil Armstrong (First Man) et c’était vraiment chouette. En le lisant, j’avais la chair de poule comme si je vivais ce moment en direct. J’ai aussi terminé le petit livre E=MC2 de Christophe Galfard qui permet de mieux comprendre ce qui se cache derrière la célèbre formule d’Einstein.

Et hier, j’ai suivi avec grand intérêt l’arrivée de la sonde Insight à la surface de Mars et c’était un soulagement de voir qu’elle ait pu se poser sans problème. Merci les maths, la physique, l’informatique, la mécanique et toutes les grosses tronches qui ont bossé dessus ! Heureusement qu’il y a ce genre de grands événements pour casser notre routine 🙂

Sur ce, je vous laisse et je vous souhaite une excellente semaine.

J’ignore pourquoi, mais depuis plusieurs semaines, j’ai de la pub dans Instagram pour un tracker GPS made in China (GF-07). Je me suis dit que ce serait cool de le tester, alors j’en ai commandé un pour voir exactement ce que ça faisait…

Rappel : Il est illégal d’utiliser ce genre d’appareil pour espionner d’autres personnes. Si vous le faites, vous irez probablement en prison pour de longues années.

Ce midi, j’en ai donc profité pour vous faire un petit test en live sur Instagram.

En conclusion, c’est un gadget rigolo, mais totalement décevant sur la partie tracking GPS.

Depuis la rentrée de septembre, je reçois ainsi que mes associés de YesWeHack, de nombreuses demandes de sociétés à la recherche d’une seule et même chose : des pentesteurs.

Les besoins en pentest augmentent notamment à cause du RGPD et de l’obligation de moyens à laquelle doivent répondre les sociétés pour s’y conformer.

Malheureusement, recruter des pentesteurs est très compliqué, et elles se confrontent à une pénurie chronique (et s’aggravant) de profils cybersécurité sur le marché du travail.

Pas assez de candidats, car pas assez d’écoles et pas assez de formations. D’après l'(ISC)², il y aurait actuellement une « pénurie mondiale d’environ 3 millions de profils cybersécurité« .

Autant dire qu’il faudra de nombreuses année pour résorber tout cela, sachant que la demande ne cesse de croître en parallèle.

Les entreprises en mal de recrutement se tournent alors vers les sociétés spécialisées en cybersécurité offrant des prestations de pentests, mais ces derniers ne peuvent répondre à la demande, tant leur carnet de commandes est déjà rempli. De plus, elles sont confrontées au même problème de recrutement d’experts en sécurité que leurs clients.

Bref, c’est assez tendu en ce moment et tout le monde commence à désespérer, RSSI en tête.

Alors en attendant, comment répondre à vos besoins pressants de pentests, sans pour autant dépenser des fortunes ni reporter vos audits aux calendes grecques ?

Et bien la réponse tient en 2 jolis mots d’anglais : Crowdsourced Security.

Autrement dit, le Bug Bounty qui permet de s’appuyer sur une communauté illimitée d’experts en sécurité capables de pentester les applicatifs, webservices, objets connectés, etc. Cela permet aux entreprises avec des besoins de pentests d’assurer leur maintien en condition de sécurité, malgré un marché du recrutement ultra-tendu.

Chez YesWeHack, épaulés par nos 6 000 chercheurs en sécurité, nous sommes capables de répondre à ce besoin immédiatement, sans aucune difficulté. D’ailleurs, nos clients comme Blablacar, Dailymotion, Qwant ou encore OVH pour ne citer qu’eux, l’ont bien compris et continuent à sécuriser sereinement leurs périmètres malgré la crise du recrutement et des prestataires toujours plus débordés.

Ils réduisent ainsi le délai entre l’apparition et la détection des vulnérabilités, tout en accélérant leurs développements et mises à jour sans avoir besoin d’attendre les résultats du prochain audit.

Ainsi, ils gardent la maîtrise de leur budget, du périmètre testé, de la durée et de la profondeur des tests, tout en s’appuyant sur une plateforme de confiance.

Voilà, j’espère que le message est passé. Si vous êtes confronté à ces difficultés relatives aux pentests, n’attendez plus et contactez-nous.

Bonne fin de semaine à tous !

Depuis plusieurs semaines, j’ai en test à la maison une caméra de sécurité : La C2 Wifi de Honeywell.

Son look est sympa et sa caméra offre un grand-angle vraiment top de 145° et une résolution HD 1080p. Niveau installation, c’est du no-brain… Rien de compliqué donc pas besoin d’être un génie de la domotique pour la configurer.

Comme toutes les caméras wifi (à mon grand regret), elle fonctionne via le cloud. C’est-à-dire que pour y accéder, vous devrez vous créer un compte sur l’application et les éventuelles vidéos enregistrées sont accessibles depuis les serveurs d’Honeywell. Toutefois celle-ci embarqué une carte SD qui permet de conserver une trace des images, même quand le Wifi est coupé.

Le cloud est un choix assumé par la plupart des fabricants de caméras wifi, qu’ils contrebalancent généralement par une sécurisation de leurs infrastructures afin de rassurer leurs clients.

Après en termes de fonctionnalités, la caméra dispose d’une vision nocturne de très bonne qualité. Bien meilleure que sur les précédentes caméras que j’ai déjà testées. D’ailleurs, cela a déjà déclenché la détection d’un papillon de nuit passant devant, visible sous la forme d’un point lumineux. La bonne nouvelle c’est que la sensibilité de détection peut-être réglée donc il est possible de déclencher l’enregistrement que lorsqu’il s’agit de mouvements beaucoup plus prononcés qu’un volet automatique qui se ferme.

Si vous avez un animal domestique, un ventilateur ou des trucs qui s’allument et s’éteignent tout seul, il est possible de définir des zones d’alerte. Ainsi vous pourrez augmenter la sensibilité de la caméra autour des portes ou des fenêtres et la réduire voire stopper la détection (donc les alertes) par exemple au sol (pour le chien). A vous de voir comment configurer cela.

La caméra détecte aussi les sons (pour recevoir une alerte quand bébé pleure ou pour les alertes monoxyde ou fumées si vous avez un détecteur compatible), permet de parler aux gens chez vous via un micro, et de prendre des photos à distance.

Évidemment, lorsqu’une intrusion est détectée, celle-ci est automatiquement sauvegardée et vous recevez une alerte sur votre téléphone portable. Mais vous pouvez aussi vous en servir tout simplement comme d’un baby-vidéophone. Par contre, elle n’est pas étanche et ne peut donc pas être installée à l’extérieur.

Enfin, si vous ne voulez pas être filmé lorsque vous êtes chez vous, il est possible de désactiver l’enregistrement automatiquement grâce à une fonctionnalité de geofencing. Cela permet à la caméra de savoir, grâce à votre smartphone, si vous êtes chez vous ou pas (vive le GPS). Ainsi, lorsque vous quittez votre domicile, la caméra se déclenche et lorsque vous approchez de votre domicile, celle-ci se coupe.

Voilà pour mes petits retours sur cette caméra. C’est une bonne petite caméra wifi qui fait exactement ce qu’on attend d’elle, sans aucune difficulté et avec une excellente qualité d’image. Je dois quand même vous dire que laisser tourner une caméra H24 à la maison ce n’est pas mon trip par contre, lorsque je suis en vacances ou pour le bureau c’est parfait.

Je l’aurai quand même bien installé à l’extérieur aussi, mais malheureusement, cela n’a pas été prévu par Honeywell. Tant pis.

+ d’infos ici

Vous avez aimé le film Tron Legacy et vous voulez vivre dans le cyber-turfu ? Alors j’ai ce qu’il vous faut !

Il s’agit de eDEX-UI, une interface au look épuré inspirée du film et destinée à être installée sur n’importe quel ordinateur Windows, Mac ou Linux (C’est de l’Electron). Il s’agit d’un fork de dex-ui. Ce dernier n’a pas été mis à jour depuis 2015, ce qui a donné envie au développeur de eDEX-UI de proposer sa version.

eDEX-UI est clairement destiné aux écrans tactiles, mais il fonctionnera aussi très bien sur un ordinateur classique ou une tablette.

Cette interface propose un terminal configurable, un explorateur de fichier, du live monitoring de la machine et du réseau ainsi qu’un clavier. Tout est configurable, et vous pouvez créer vos propres thèmes.

Si ça vous dit d’essayer, vous trouverez les binaires ici.

+ d’infos ici.

Dan est l’heureux propriétaire d’une Tesla et nouvel inscrit sur le forum de Tesla. Et ce qui lui est arrivé est plutôt amusant… Après avoir rédigé un post au sujet des horribles délais de livraison, il a souhaité l’éditer pour changer quelques petits détails… Et là, paf, c’est le thread (la conversation) entier qui disparait. Bizarrement, bien qu’il soit le propriétaire (« owner » en anglais) d’une Tesla, il n’est pas référencé comme tel sur le forum et ne peut donc pas poster plus d’un message par jour.

Dan appelle alors le support téléphonique de Tesla afin de se faire reconnaitre comme « owner » de Tesla. La personne du support Tesla qu’il a au bout du film lui explique alors qu’il ne sait rien au sujet de forums et que cela n’a surement pas de rapport avec le site officiel. Dan lui explique alors que l’URL est bien forums.tesla.com et l’agent décide alors de transmettre la demande de Dan au service informatique de Tesla.

On peut imaginer que cet agent demande littéralement au service informatique de passer le compte de Dan en compte « owner ». Ce qu’ils font sans réfléchir et c’est ainsi que quelques heures plus tard, Dan se retrouve avec les droits super admin sur tous les forums de Tesla.

Oups !

En explorant ses nouveaux super pouvoirs, Dan se rend compte qu’il peut éditer ou supprimer les posts de n’importe qui, et consulter les informations de contact de plus de 1,5 million d’inscrits.

Il retrouve alors les comptes de voisins et d’amis propriétaires de Tesla, mais aussi d’Elon Musk qui apparemment ne s’est pas connecté sur les forums depuis environ 3 ans et demi.

Il découvre aussi que plusieurs comptes admins sur les forums sont liés à des boites mail autres que @tesla.com.

Et en cherchant à republier son premier thread disparu, Dan efface par mégarde des centaines de conversations. La boulette !

Évidemment, il prévient Tesla et publie un article sur son blog où il raconte toute cette aventure. Suite à cela, Tesla lui a remis des droits plus classiques, a fait le ménage parmi les comptes admin étranges (des anciens employés semble-t-il) et a invité Dan a soumettre le souci via son programme de Bug Bounty.

N’empêche, trop fort le Dan. Sans le vouloir, et sans forcer, il a réussi à mener à bien une opération de social engineering auprès du service informatique de Tesla. Moi je dis respect. 😉

Source

Vous le savez sans doute, Youtube propose depuis un moment maintenant, la possibilité d’acheter des films, aux internautes américains..

Et depuis quelques jours, il est maintenant possible de visionner gratuitement des films financés via la pub. Il s’agit de classiques du cinéma et pas de films récents.

Il y en a pour le moment une bonne centaine, alors si vous avez le plaisir d’avoir un VPN passant par les US, ce serait dommage de vous en priver. Vous trouverez tous ces films ici.

Source

Si vous débutez et que la configuration NGINX vous pose quelques soucis, je vous invite à vous rendre sur nginxconfig.io.

Ce service dont les sources sont également disponibles ici, permet à tout le monde, de générer un fichier de config Nginx en fonction des informations entrées dans le formulaire.

Informations de bases sur votre domaine, configuration du HTTPS, sécurité, PHP, routage, cache, et même les logs.

Une fois le paramétrage effectué, il ne vous restera plus qu’à télécharger le fichier de conf, à le placer sur votre serveur et à relancer Nginx pour que les modifs soient prises en compte.

Cool non ?

A découvrir ici : nginxconfig.io