- Download:
- Triple A - Chroniques Underscore69 MB
Rappel : Nouveaux horaires : Dimanche 12h10, rediffusion le samedi suivant aussi à 12h10.
Actu
Attention il va y avoir plein de prête-à-clic !
Les FAILs de l’été
- Une base de données MongoDB contenant 390 000 ordonnances pour du Vascepa, un médicament utilisé pour prévenir les maladies cardiovasculaires, laissée ouverte sans mot de passe aux US.
- Les réseaux de la NASA piratées par un simple Raspberry Pi connecté sans précaution au JPL.
- Un ver écrit par un gosse de 14 ans brique des milliers d’objets connectés en se connectant avec les identifiants par défaut et en écrivant n’importe-quoi sur les partitions trouvées.
- Les serveurs de clefs GPG attaqués par l’envoi en masse de certificats empoisonnés.
- Les douaniers chinois installent des logiciels espions sur les téléphones des touristes au Xinjiang.
- Le logiciel du Boing 737 Max (celui-là même qui était « en option » et dont l’absence a causé des crash) aurait été conçu par des intérimaires sous-payés. (Vive le capitalisme?)
- Alexa conserve les enregistrements de voix sans limite de durée. Sauf si vous êtes au courant et savez comment les supprimer vous-même.
- Youtube cause l’indignation de la communauté de la sécurité informatique en supprimant des vidéo tutorielles sur le « piratage ».
- Le Raspberry Pi 4 a un soucis de design du port USB-C qui l’empêche de fonctionner avec certains câbles.
- Le Raspberry Pi 4 aura probablement besoin d’un ventilateur.
- En Dordogne une moissonneuse-batteuse coupe un câble et prive 800 personnes de téléphone et d’Internet.
- Dans le Doubs aussi ça coupe un peu facilement.
- La nouvelle plateforme de dépôt de brevets de l’INPI serait en contradiction avec le RGI.
- À Orléans on fabrique des écrans publicitaires qui réagissent à votre visage… et ils en sont fiers en plus.
- Les erreurs massives du système de reconnaissance faciale londonien analysées par des chercheurs britanniques impliqués dans les 6 essais, relancent la polémique sur le bien-fondé de ces technologies dans des pays démocratiques. 81% de faux positifs…
- Air France teste la reconnaissance faciale comme carte d’embarquement aux US.
- La Cour des comptes fustige le « service public du numérique éducatif » créé en 2013. C’est pas comme si on avait pas prévenu qu’acheter des tablettes ça faisait pas tout…
- Les applications web et mobiles de 97 des 100 plus grandes banques mondiales intègrent des vulnérabilités exploitables par des pirates. Et ça veut nous obliger à utiliser une authentification à double facteur…
- La sécu britannique s’allie à Amazon pour conseiller les malades…
- Confirmation de l’exploitation d’une faille 0-day dans Windows lors d’opérations d’espionnage gouvernementales.
- Une porte dérobée dans la bibliothèque Ruby « strong password », utilisée justement pour tester la fiabilité des mots de passe…
- Les claviers et souris sans fil Logitech utilisant le « Unified receiver » vulnérables à des attaques multiples.
- Une panne de 6 jours pour le GPS européen, Galileo.
- Le Syndicat de la médecine générale dénonce la nouvelle loi santé, par laquelle le gouvernement crée une Plateforme des données de santé (ou Health Data Hub) remplaçant l’actuel Institut national des données de santé (INDS).
- Des chercheurs ont du développer une appli qui tue à distance pour forcer la FDA et le fabricant d’une pompe à insuline à réagir à la divulgation d’une faille du matériel.
- Il est possible d’enregistrer ce qui sort du haut-parleur d’un téléphone sous Android en utilisant l’accéléromètre, sans demander de permission audio.
- Un laser permet d’identifier à distance les personnes par le battement de leur cœur.
- C’est enfin la fin pour UltraViolet, le DRM. Tfaçon le DRM c’est le mal !
- Google évite un procès sur la récupération d’identifiants wifi en payant seulement 13 millions de dollars.
- Le Kazakhstan intercepte tout le trafic HTTPS.
- Promod et Décathlon dématérialisent le ticket de caisse… pour obtenir votre email.
- Un hack permet de trouver les contacts de personnalités publiques dans Whatsapp.
- Johannesburg privée d’électricité à cause d’un ransomware.
- Oops des trous dans VxWorks (la version courante ne serait pas affectée).
- Des fraudes possibles par le paiement sans contact en dépassant même le plafond de 30€.
- Piratage de la banque Capital one, vol des données de 106 millions de clients
- Les données personnelles de 2000 journalistes fuités par l’organisation de l’E3. Si seulement ça pouvait les intéresser au sujet au lieu de parler seulement de jeux vidéo…
- Amazon entraîne les policiers à demander des enregistrements vidéo des propriétaires de sonnettes connectées Ring sans avoir de mandat.
- Microsoft avoue vous avoir écouté via Skype et Cortana.
- Une faille de plus de 20 ans dans toutes les versions de Windows depuis XP.
- Selon un rapport, Apple aurait activé un verrouillage logiciel des batteries de l’iPhone pour décourager les réparations par des tiers. Mais je croyais qu’il aidaient enfin les répareurs moi !
- Une école utilisait la reconnaissance faciale pour compter les absents.
- Une fuite de 23Go de données biométriques chez Biostar. On vous recommande de changer vos doigts, vos yeux, et…
- Des employés d’une centrale nucléaire ukrainienne avaient connecté ses ordinateurs à Internet pour miner une cryptomonnaie…
- 14 failles 0-day utilisées pour espionner des milliers d’utilisateurs d’iOS pendant 2 ans.
- Des ordinateurs Chromebook se déclarent tout seul en fin de vie, par erreur.
- Appel attaque la décision de la Commission européenne pour éviter de verser les 13 milliards d’euros à l’Irlande à cause des avantages fiscaux.
- Au Danemark, un moratoire de deux mois sur la géolocalisation des téléphones cellulaires suspend des procès à cause de nombreuses erreurs.
- Une nouvelle attaque nommée Simjacker permet de fuiter des données et localiser des téléphones en demandant à sa carte SIM.
- Les informations personnelles (nom, prénom, etc. Mais aussi niveau d’éducation, le travail et les informations de l’employeur, etc. Ainsi que les informations bancaires comme le montant actuel du compte.) de toute la population d’Équateur ont fuitées. Toute la population de l’Équateur. 16.6M de personnes.
- HP installerait des logiciels espions avec ses imprimantes.
- Deux failles de sécurité sur le nouveau site de Pôle-Emploi, visiblement ils s’en fichent.
Musique : Enterprise Waterfall
A musical parody of Pink Floyd’s « Another Brick in the Wall », about the joys of working on enterprise waterfall software development projects.
Dylan Beattie
Sujet : Le CCCamp19
Cet été, je suis allé au CCCamp, avec La Quadrature du Net, je vais tenter de vous raconter ce qui s’est passé, en tout cas ce que j’en ai vu.
CCC’est quoi ?
Le Chaos Computer Club est l’une des plus vieilles communautés de hackers. Tous les ans, ils organisent le Chaos Communication Congres, à Leipzig. Mais ça ne leur suffit pas, ils veulent aussi avoir droit à des vacances…
Le Chaos Communication Camp, c’est tous les 4 ans, 5000 personnes, hackers de tous poils, pendant 5 jours, avec des conférences, des éclairages magnifiques, plein de chose à voir et à faire.
Il y a 8 ans c’était sur une ancienne base aérienne de l’Allemagne de l’est reconvertie en musée à ciel ouvert. Et là pour la deuxième fois le camps se déroulait dans une vieille briqueterie, aussi reconvertie. Le lieu lui-même est déjà très intéressant avec les installations existantes, les bâtiments, les rails qui courent partout…
Mais lorsque des hackers s’en emparent pour le décorer et l’utiliser ça donne une touche féerique.
Le Camp, c’est aussi des conférences, sous d’énormes chapiteaux, pour la programmation officielle.
De plus, de nombreux groupes viennent et font leur propre programmation dans leur village respectif, sous des tentes plus modestes, ou des structures plus ou moins bizarres.
Cela donne une programmation gigantesque, difficile à afficher même dans Giggity sur ma tablette.
Les sujets sont très diverses, et pas limités à la technique, mais touchent justement aussi l’impact de la technique sur nos vie, et donc aussi la politique, la vie privée…
L’infrastructure
On l’a dit, le lieu est immense, et afin de permettre à 5000 personnes de vivre pendant les 5 jours du camp, il faut pas mal de matériel.
Il y a donc 6 générateurs électriques au diesel (oui, c’est pas top, mais on a pas trop le choix), des sanitaires, des douches… D’ailleurs les douches à l’ouest avaient une entrée très travaillée, avec de nombreuses palettes empilées qui donnaient des bancs, et même un bassin avec un déversoir, le tout ressemblant à un spa de luxe.
Le réseau aussi n’était pas en reste, puisque de nombreux « Datenklo » étaient disséminés sur la place, des toilettes de chantier abritant les routeurs et points d’accès wifi, reliés par des fibres.
Le badge card10
Les Allemands font tout en grand, non seulement le camp lui-même, mais le badge aussi. Parce que bon, un bout de carton c’est pas drôle.
Donc chaque édition a droit à son badge électronique, une carte avec un microcontrôleur et de nombreux capteurs. Il y a 8 ans c’était le R0ket, en forme de fusée, avec un écran, un joystick… qui pourrissait le pouce en jouant à Space Invaders, donc j’avais collé un bout de stylo bille dessus pour que ce soit plus confortable. L’édition 2015 c’était le Rad10, en forme de… radio, pour expérimenter avec la SDR, la radio définie logiciellement.
Et cette année, le badge était surtout prévu pour être porté au poignet, puisque le « card10 », c’est son nom, est en fait une montre connectée, avec une puce bi-cœurs Cortex-M3, programmable avec MicroPython, avec des accéléromètres, un compas magnétique, et plusieurs possibilités pour faire un électro-cardiogramme.
Quelqu’un a déjà codé une appli boussole.
Un dépôt existe avec les applications disponibles.
Et bien sûr les plans et codes sources du badge sont disponibles également.
Puisqu’il dispose aussi d’une LED infra-rouge, j’ai déjà commencé à coder une application TV-B-GONE, mais j’ai encore des modifications à faire dans le firmware avant que ça marche correctement.
Les anges et le Heaven
Bien sûr, le camp, comme le congrès, est géré uniquement par des bénévoles, et même si le ticket d’entrée n’est pas donné (300€), et difficile à trouver, on vous incite fortement à participer à l’organisation. Vous pouvez donc devenir un ange, et accéder au paradis, où boisson et nourriture sont disponibles pour compenser le temps donné à l’organisation. De nombreuses tâches sont disponibles, de la recharge de papier toilette au gardiennage du matériel sous les chapiteaux pendant la nuit.
La Hardware Hacking Tent
Les belges sont venus en nombre, avec un camion et la « Belgian Embassy« , et one géré un espace rempli de tables, chaises et fers à souder, pour apprendre à souder avec Mitch Altman himself, ou corriger les bugs de son badge par exemple.
La Tea House
Depuis 2013 la Quadrature propose une Tea House lors de ce genre d’évènements, pour permettre aux hackers de discuter tranquillement, et se ressourcer en dégustant un bon thé.
Pour aller plus loin
- Hackaday : CCCamp: 5,000 Hackers Out Standing In Their Field
- Des photos !
- L’ambiance en vidéo : We went to Chaos Communication Camp 2019!
- Vidéo : Visitor – Chaos Communication Camp 2019 Tribute – made with blender
- Le timelapse de l’évènement
- Le plan, si vous trouver une Delorean pour venir visiter la Tea House…
Musique : The Software Engineer Song
A simple parody about the life of Software Engineers.
Original Song : « Demons »
Agenda
Rappelons que l’agenda est celui de la semaine passée lors des rediffusions le samedi.
Permanence à partir de 19h au LOG: Laboratoire Ouvert Grenoblois, avec Rézine et Grésille…
…par Bénévoles de la Guilde
mardi 8 octobre, à 19h00.
LOG, 45 rue Nicolas Chorrier, Grenoble.
Astrologeek
- sysadmin : (chanson Johnny Retiens la nuit) Répare l’ordi…Pour windows jusqu’à la fin du mondeux
- libriste : Le #RGPD c’est comme la physique quantique : si tu comprends, c’est qu’on t’as mal expliqué ?
- technophile : en informatique, les ordinateurs sont lactofermentés
- hacker : range ta tente, le CCC camp c’est pour l’année prochaine
- atariste : Atari TT où ? Ouuuuuh ouuuh ouuuh ouuuuuuuuuuuuuuuuuuuuuh.
- électronicien : le CPL, mhm C’est Plutôt Lent