Fin mars 2010, Google dévoilait SkipFish, un outil un peu spécial dont on ne connaissait pas grand chose. A vrai dire il est même un peu apparu comme un cheveu sur la soupe dans le monde de la sécurité informatique. Après que quelques personnes téméraires qui l’aient testé on à pu apprendre quelques choses dessus comme:

• Déjà c’est un projet Open Source (et ça c’est bien!)
• Il s’agit d’un scanner de failles d’applications web
• Ca se manipule en lignes de commandes (H4x0Rz baby !)
• Ça bourrine jusqu’à 2000 requêtes en local et 500 en ligne
• Il sait apprendre tout seul en fonction des scans précédents
• Il respecte les principes de l’OWASP (et ça ça gère la fougère !)

Bon c’est bien tout ça me direz-vous mais on ne sait toujours pas comment on l’utilise. Et bien on va tout d’abord l’installer (je précise tout de suite, l’installation se réalise sous Linux et non sous Windows, pour ce dernier il faudra utiliser les librairies Cygwin dont je ferai un tuto plus tard)

• On va récupérer l’URL sur le site de l’application
  • http://skipfish.googlecode.com/files/skipfish-1.49b.tgz
• Attention car les versions changent très rapidement !!!
• On ouvre un terminal de commande sous Linux
• On se déplace sur le bureau … cd Desktop toussa …
• On télécharge l’archive
  • sudo wget http://skipfish.googlecode.com/files/skipfish-1.49b.tgz
• On extrait l’archive
  • sudo tar xfvz skipfish-1.49b.tgz
• On s’assure d’avoir les librairies bien à jour
  • sudo apt-get install libidn11-dev
  • sudo apt-get install libssl-dev
  • sudo apt-get install zlib1g-dev
• On se déplace dans le dossier
  • cd skipfish-1.49b
• On compile
  • make
• On crée le dictionnaire pour l’exploration des sites
  • cp dictionaries/default.wl skipfish.wl
  • Ici il s’agit du dictionnaire par défaut mais on peut changer default.wl par
    • complete.wl (le méga dico !)
    • extensions-only.wl (un dico qui ne tape que sur les extensions)
    • minimal.wl (le minimum syndical
• On lance le scan
  • ./skipfish -o /test/ http://www.test.com
• Petite explication de la syntaxe
  • Le « -o » c’est le répertoire de sortie
  • Si on a un htacess à passer on utilise « -A user:password »
  • Si on ne veut pas toucher au dico on utilise « -Q »
  • Après comme on dit, RTFM !

A la fin ça doit donner ça :

Un fichier index.html dans le dossier de sortie et qui répertorie tout le scan.

Attention cependant, certains scans peuvent être extrêmement longs, surtout si l’on utilise des dictionnaires de plus en plus gros. Les logs sont assez difficiles à comprendre pour des non-initiés. Mais surtout, surtout, surtout … ne l’utilisez pas sur votre site perso, ça risque de lui piquer assez fort ! Utilisez le en local et regarder le traffic ainsi que l’utilisation CPU, vous comprendrez de suite …

Au pire, si ça bombarde trop pour vous un petit coup de :

• ./skipfish -h (et il n’y-a plus qu’à lire !)

Tout à commencé ce jour, j’étais tranquillement assis sur ma chaise et il m’est apparu, comme ça sans prévenir, pas même un « Tcho Gros! », pas même un « Bien ou bien ? » … il m’a sauté dessus ! En fait, il ne m’a pas sauté dessus comme ça physiquement, il m’est apparu. Un peu comme certaines choses apparaissent à certaines personnes (remplacez « certaines choses » et « certaines personnes » par les mots de votre choix). J’ai nommé :

Le truc en plastique dont on ne se souvient jamais du nom qui sert à sortir les cornichons du bocal sans y mettre les doigts

J’ai cru à une blague au départ mais en effet, personne n’en connaît le nom ! La désencyclopédie tente d’y répondre avec des mots comme bidule, plateforme, pétouillon… mais aucun de ces termes ne m’a satisfait.

J’ai décidé de mener ma propre enquête !

On commence par les sites officiels des principaux intéressés :

• Amora : Un site full flash qui ne parle en aucun cas de ce fameux truc
• Maille : Un site sobre et épuré (bobo !) qui ne parle pas non plus du truc en plastique dont on ne se souvient jamais du nom qui sert à sortir les cornichons du bocal sans y mettre les doigts

Alors si les grands eux-même n’en parlent pas, qui va en parler ? Non mais dites moi ? Non mais sérieusement, arrêtez de me rire au nez, suis-je le seul au monde à vouloir savoir !?

Bon et bien je vais voir ma plus fidèle amie, la télé ! Elle elle va m’aider… elle ! Et puis puisque j’ai du temps de cerveau disponible, autant le lui donner. Pour faire plus intellectuel, on va voir du coté de Arte comme ça on peut paraître plus élevé culturellement parlant (ne pas confondre l’être et le paraître…). Et bien là j’ai une réponse, je la tiens !!! Ils parlent des cornichons sur cette page !

Eux ils n’ont pas peur, c’est des gros durs, ils n’hésitent pas à dire les choses telles qu’elles sont; ainsi on se retrouve avec un champ lexical pléthorique. On commence en douceur avec « une sorte de passoire en plastique vert avec une tige munie d’ergots ». Un registre descriptif, la rigueur scientifique on la sent ! C’est pas des rigolos eux ! D’ailleurs pour prouver leur sérieux, ils vont jusqu’à enfin reconnaître le génie Français en parlant d’un « ingénieux dispositif « . Alors la, messieurs dames, on se lève, on met la main gauche sur le coeur on arbore fièrement le buste bombé, le menton haut et insolent : Aux Grands Hommes La Patrie Reconnaissante (tiens va t’instruire!). Et puis, cerise sur le ghetto, ma télé va jusqu’à jouxter les plus tardives heures de la nuit du premier samedi de chaque mois en s’essayant à l’essai érotique (Éloignez les enfants !) : « on saisit la petite languette en plastique, on l’élève, les cornichons sortent grâce à cet ascenseur de leur saumure au vinaigre et se présentent à vous ». Joël Robuchon, retourne jouer à la dinette !

C’est bien beau tout ça mais moi la télé ça ne me suffit pas comme source et surtout « sorte de passoire » ça ne me parle pas. Je veux du concret moi! Alors je vais consulter Internet et là tout s’éclaire ! Facebook m’apprend qu’il existe une « amicale des collectionneurs de tirette à cornichon » et que leur pathologie passion s’appelle la tiretteacornichophilie. C’est beau ! Mais quoi ? J’apprends d’un autre côté sur le réseau français l’internaute (sisi, le clash franco-ricain) que notre truc en plastique est même désigné comme l’invention la plus marquante du XXème siècle mais grosse déception ! Ici on l’appelle le « tire cornichon ».

C’est malin je suis toujours perdu moi ! Je n’en sais toujours pas plus même si ça tourne autour du préfixe « tire- » je ne suis pas satisfait. Revenons-en à la science.

Une nouvelle recherche sur Internet et on apprend que ce sont des ingénieurs en packaging qui ont inventé ça (bon et puis quand on voit la source on se dit qu’eux non plus ce ne sont pas des rigolos). Comme tout ingénieur qui se respecte, on protège ses idées! Et bien allons voir…

Faites retentir la marseillaise :

Institut national de la propriété industrielle

Et là on creuse… on fouille… on peine… on récolte… on se sent l’âme d’un Alan Grant (la chemise années 80 en moins)… et au final, on trouve.

On va se la jouer de manière historique, j’ai nommé : L’histoire du truc en plastique dont on ne se souvient jamais du nom qui sert à sortir les cornichons du bocal sans y mettre les doigts

• Mai 1995 : Un dispositif dynamique releveur de produits solides conditionnés en pot
• Mai 1998 : Un conteneur comprenant un organe élévateur interne du contenu
• Décembre 1998 : Un dispositif permettant le retrait d’objets se trouvant dans un bocal

Personnellement ma préférence va pour le second qui possède un concept d’ascenseur pour bouger encore moins, manger plus et devenir plus gros !

C’est bien beau tout ça mais ça ne m’a toujours pas dit comment ça s’appelait. J’en reste toujours comme deux ronds de flan face à la pauvreté documentaire concernant mon bidule, ma plateforme, mon pétouillon…

C’est la qu’au final elle m’est apparue. Oui je dis elle ! Je m’étais trompé de genre… la puisette ! Cette belle et ravissante puisette que l’on avait précédemment affublée de sobriquets ridicules tous aussi insipides, quelconques et ennuyeux. Pardonne moi petite puisette ! Lave mon offense envers toi, permet moi de t’offrir la lune pour et accepte mes plus plates excuses.

Quand je pense qu’au final c’est la pub qui m’a délivré de cette soucieuse question. La voici en toute splendeur et qui répond enfin à notre question:

Notre question ? Oui d’accord mais il en reste encore une :

Qui c’est le con qui a laissé le dernier petit oignon dans le bocal ?

Dailymotion, tout le monde le sait c’est LE site de partage de vidéos français. Récemment ils ont lancé leur nouveau player avec par exemple l’intégration de la HD, de nouvelles fonctions …

Et bien aujourd’hui j’ai découvert une fonction « cachée ». Ça ne casse pas trois pattes à un canard mais ça peut toujours servir à l’occasion.

Il s’agit d’afficher les informations techniques d’une vidéo diffusée sur le site; pour cela il suffit d’appuyer sur la touche « i ». Oui, tout bêtement la touche « i » et on obtient de multiples indications comme la bande passante utilisée, la taille du buffer, le nombre de FPS, le bitrate, la taille de la vidéo… j’en passe et des meilleures.

Le meilleur moyen de vous le montrer c’est un exemple avant / après :

Avant

Après

Et voila ! Ça peut toujours servir.

De plus en plus aujourd’hui on entend parler de problèmes de sécurité informatique. HADOPI par-ci, TFI qui exacerbe notre sentiment de paranoïa par-là… Il est vrai que le quidam n’en à que faire de la sécurité informatique; il ne s’en soucie que dans les cas extrêmes, que dans les situations ou l’état montre les crocs et sanctionne non pas pour piratage mais pour défaut de sécurité. Parfois il faut savoir tester soi-même sa sécurité, son réseau, la fiabilité de ses mots de passe, la résistance de ses bases de données…

Et bien pour cela il existe une solution qui s’appelle une distribution Linux (bien évidemment il en existe de toutes sortes mais ici on se penche uniquement sur celles qui sont dédiées à la sécurité informatique). Voici donc une liste non exhaustive mais qui recense les meilleures distributions actuelles du marché :

• BackTrack : De loin la meilleure distribution mais nécessite de fortes connaissances techniques
  • Format : ISO CD ou DVD, Image virtuelle
  • URL : http://www.backtrack-linux.org/downloads/

• Web Security Dojo : Un méga environnement de test pour faire ce que vous voulez de vos applications
  • Format : Image virtuelle
  • URL : http://sourceforge.net/projects/websecuritydojo/files/

• Katana : Permet de créer une clé USB multiboot surpuissante !
  • Format : ISO à installer sur une clé USB
  • URL : http://mirror.cc.vt.edu/pub/katana/

• Ubuntu Pentest : Un genre de BackTrack (à espérer qu’ils fusionnent comme Whax, Auditor et Troppix)
  • Format : ISO DVD
  • URL : http://www.netinfinity.org/download/

• Operator :Un live CD plus orienté système et réseaux qu’applications web
  • Format : ISO CD
  • URL : http://www.ussysadmin.com/operator/

• Ophcrack :Un live CD qui permet de rentrer dans n’importe quel Windows (attention aux Rainbow Tables)
  • Format : ISO CD
  • URL : http://ophcrack.sourceforge.net/download.php?type=livecd

• Knoppix STD :Un vieux live CD que j’utilise de temps en temps par nostalgie (Knoppix inside)
  • Format : ISO CD
  • URL : http://s-t-d.org/download.html

PS : Toutes mes excuses pour l’illustration de H4X0Rz

Lorsque l’on tape une adresse dans son navigateur, on peut s’appercevoir que cette dernière commence toujours par « http:// »

Mais qu’est ce que ça veut dire ?

HTTP est l’acronyme de HyperText Transfer Protocol; il s’agit du protocole de communication le plus utilisé dans le web et la navigation de sites Internet.  Concrètement le web fonctionne initialement à base de liens hypertextes que l’on va rejoindre en cliquant dessus. Cet enchevêtrement de liens ou balises permet de créer les sites on que l’on connait aujourd’hui. Pour les plus techniques d’entre-vous, c’est cette définition que l’on trouve dans la RFC n° 2616 (une RFC est un document édité par un organisme qui décrit comment fonctionne Internet).

Le HTTP donc, vulgairement parlant est un protocole qui fait communiquer Internet et notre ordinateur. Sauf que ces communications ne sont pas cryptées et donc transparents pour quiconque veut savoir ce que l’on fait sur la toile. Sauf qu’il existe une déclinaison sécurisée du protocole HTTP et qui s’appelle HTTPS et qui va rajouter une couche sécuritaire afin de pouvoir naviguer en toute tranquillité. Ce HTTPS vous l’avez déjà vu quelque part … allez naviguer sur le site de votre banque. Vous ne voyez toujours pas ? Regardez bien l’adresse … et en bas de la page ? Le petit cadenas !

Et bien à partir de la semaine prochaine, Google va imposer le cryptage HTTPS sur tout son moteur de recherche afin de permettre une plus grande confidentialité. Tout comme ils avaient fait avec Gmail il y-a quelques temps. Ce qui signifie que maintenant vous pourrez surfer en toute tranquillité et faire tout un tas de recherches en toute confidentialité.

Enfin !

Source : Blog Officiel de Google (avant dernier paragraphe)

Ca y’est, ça fonctionne ! Avec @petermacaloai de La Boîte à trucs, un peu de patience et un esprit de geek, nous l’avons fait : installer Android sur un iPhone 2G !

Suite à cette vidéo qui montre l’OS mobile de Google tournant sur un iPhone que nous avons décidé de faire de même.

Pour cela, il suffit juste de suivre ce tutorial d’installation.

L’installation se fait tout simplement sur un iPhone jailbreaké en y installant quelques fichiers et surtout OpenIBoot qui permet de démarrer un second OS sur le téléphone. On tape quelques commandes et tout fonctionne … Enfin tout c’est vite dit, comme on peut le voir sur la vidéo, il faut désactiver le code PIN de sa SIM, l’appareil photo ne fonctionne pas tout à fait et d’autres petits désagréments comme le fait qu’on ne trouve pas de carte SD, que le navigateur n’accepte pas les DNS …

En tout cas, ici il s’agit de la version 0.1a soit donc la toute première du nom. Il existe une version 0.1b mais non officielle celle-là mais qui elle possède de nombreuses améliorations comme le comblement des lacunes que j’ai citées au dessus. Il est même possible d’installer la suite Google complète avec même l’intégration de l’Android Market

Le blog Officiel du développeur se trouve ici : http://linuxoniphone.blogspot.com/

Le forum avec toutes les aides nécessaires et quelques hacks se trouve ici : http://www.idroidproject.org/forum/index.php

Vivement la suite avec le portage complet, et surtout les implémentations qu’il faut comme une gestion de l’énergie (oui il est impossible de le mettre en veille ce qui fait que la batterie se crame en deux heures), le support du multi touch, les drivers de l’appareil photo … en gros faire tourner Android sur l’iPhone !

Alors, voila c’était hier, il était 17h46, le concours s’est arrêté, voici donc les réponses tout d’abord ainsi que, vous l’attendez tous, le résultat de qui que c’est qui qu’a gagné …

- Quel est le titre original de la chanson « Pink Ego Box » ?

- En effet tout le monde à trouvé, il s’agissait de « Instant Messenger » qui a du être renommée pour des raisons légales à cause d’AOL qui refusait de voir son « You’ve got post » dans une chanson. La preuve

- Comment s’appelle le luthier de Matthew et dans quelle ville se situe-t-il ?

- Tout le monde à trouvé ici, il s’agit bien de Hugh Manson dont le magasin est situé à Exeter dans le Devon. La Preuve

- De quel morceau classique est inspiré « Plug In Baby » ?

- Bien évidemment il s’agit de la Toccata et Fugue en Ré mineur BWV 565 de J.S Bach. La preuve

- Lors des années fin 90, début 2000, qu’accrochait le groupe à ses pieds de micro ?

- Alors beaucoup de monde à eu du mal à répondre à cette question, bravo à Shahor qui à même trouvé l’exemple que je voulais présenter, les lives entre 1999 et 2001, sur la plupart d’entre eux on peut en effet voir des bouquets de roses accrochés aux pieds de micros. La preuve

- De quel film est inspiré le clip de « Time Is Running Out » ?

- Dr Strangelove ou Dr Folamour, aucun problème pour cette question. La preuve

- Quelle est la première marque à avoir utilisé une chanson de Muse pour ses publicités ?

- Apple bien sur pour l’iMac en 2001 avec la chanson Sunburn, voici la publicité ici : La preuve. D’autres chansons de Muse ont été utilisées par la suite pour de nombreuses publicités.

- Quelle blaque le groupe a-t-il récemment fait à la chaîne italienne Rai Due ?

- Tout le monde l’a vu, la vidéo à buzzé sur Internet, le groupe n’ayant en effet pas apprécié de devoir jouer en playback a inversé les rôles de chacun où la présentatrice s’y est même laissé piéger. La preuve

- A quoi fait référence le titre de l’album live HAARP ?

- Matthew ayant une peur panique de tout ce qui est innovation (ça se ressent dans les chanons lorsqu’on écoute les paroles) il a répercuté sur une de ses tournées en particulier a Wembley et au Parc Des Princes, les antennes du fameux programme de recherche américain. La preuve

- Quelle pédale de guitare verte symbolise LE son de muse ?

- LE son de Muse, écoutez vous verrez. La preuve avec en parallèle quelques vieilles chansons (New Born, Plug In Baby, ou le live Hullabaloo) vous comprendrez de suite. En effet, très difficile à régler.

- Que s’est il passé à Atlanta en 2004 pour que le groupe soit obligé d’arrêter le concert ?

- EN plein sur Citizen Erased… en plein dans les dents surtout… tout bon à tout le monde pour cette question. La preuve

Et maintenant … roulement de tambour … et revival web 1.0 !

11 personnes ont correctement répondu aux questions, les questions 4 et 6 étaient celles qui posaient le plus de problème , il s’agit donc de …

Le numéro 10 et donc Valentine qui remporte la place de concert, toutes mes félicitations à elle !

Pour tous les autres, merci de votre participation, restez en ligne, d’autres concours seront bientôt à venir.

C’est en 2003 que la société Violet, spécialisée dans l’ingénierie, les études technique et la cuniculture (ce n’est pas un gros mot, a été fondée par Olivier Mével et Rafi Haladjian.
Leur produit le plus connu est bien évidemment cet espèce de boîte blanche qui une fois ressemble à un lapin sous acide LED; aussi appelle Nabaztag (traduction arménienne de « lapin »).

Ce civet sans fourrure et ultra connecté (Wifi, RFID…) est capable d’aller rapatrier au menu ou à la carte : Les flux RSS, les radios Internet, les podcasts pardon, les épisodes de baladodiffusion, la bourse, le trafic du périph’ parisien… j’en passe et des meilleurs. Si tu veux te la péter tu peux même donner ses mensurations : 23 cm de haut et 16 cm sans les oreilles, 418 grammes (soit l’équivalent de 38 clés USB ou 9,1 balles de golf ou 7,3 balles de tennis ou 3 souris sans fil ou 2,8 reins ou alors 1 boîte de haricots cuisinés… ce n’est pas moi, c’est http://www.sensibleunits.com/ qui le dit). Source Wikipédia pour les mensurations.

Sauf que… eh oui, sauf que… le 30 juin, 181ème jour de l’année (182ème pour les années bissextiles), oui je sais c’est l’anniversaire de Malmsteen et de Mike Tyson mais c’est aussi le funeste jour de la mise en redressement judiciaire de la société Violet.

Un appel d’offre à été publié dans le quotidien Les Echos et propose jusqu’au 4 septembre de trouver une entreprise apte à reprendre à la société au gibier numérique. Les rumeurs parlent de ci et de là d’Illiad, maison ère de Free mais rien de sérieux pour le moment si ce n’est des suppositions de création d’un avatar domestique ultra connecté.

Bizarrement le web regorge aussi de volontés émergentes totalement farfelues mais emplies de tellement de bonnec convictions qu’on à envie de les suivre. C’est ainsi que Emmanuel Moll (@petrean), Franck Nouyrigat (@peignoir) et Bertrand Lepage (@berti140) ont décidé de monter un site permettant de récolter des dons et permettre à toute une floppée d’internautes de devenir les nouveaux repreneurs de Violet, un petit peu à la manière de http://www.wehaveadream.com/ d’ailleurs je vois bien le concept « Je rêve de devenir actionnaire d’une société française pionnière dans les nouvelles technologies sans fil »… ouais ça fait un peu long mais ça en jette.

Allez, on se rend sur le site SaveNabazTag.com afin de tenter de réunir les deux millions d’euros. Allez un petit effort, ils en sont bientot à 100 000€. Mais que se passe-t-il si le montant n’est pas atteint, il serait intéressant de faire un don à quelque chose d’utile du type association caritative .

Jolicloud vient de passer en version Alpha 2C.Je n’ai pas encore testé cette version, elle n’est pas proposées en push sur les mises à jour de mon Jolicloud donc je pense refaire une installation en dur. Cette fois ci, plus besoin de convertir l’image pour l’installation, il suffit si on veut l’utiliser dans une machine virtuelle de renommer le fichier *.img en *.iso … aussi bête que ça !

Sinon on peut aussi désormais télécharger l’image par le biais de Torrent.

Youpi, Canon nous offre des cours de photo gratuits, d’ailleurs ils ne sont pas mal faits !

Pour les trouver c’est sur ce site là : http://ltbc.canon-europe.com/

Ohhh, zut il faut s’inscrire et accepter de recevoir des « offres promotionnelles de la part de Canon et de ses partenaires » … ouais en gros tu vas te faire spammer.

Allez je vais te donner une astuce, tu regardes bien l’url de chaque cours

http://ltbc.canon-europe.com/Form.aspx?cat=holidays

Non ! On regarde mieux que ça, qu’est-ce qu’on y voit ?
http://ltbc.canon-europe.com/Form.aspx?cat=holidays

Et bien voila tu as tout trouvé, y-à plus qu’a :

People & Portraits :

http://ltbc.canon-europe.com/Web/Locale/fr-FR/Courses/people.pdf

Travel & Holidays :

http://ltbc.canon-europe.com/Web/Locale/fr-FR/Courses/holidays.pdf

Animals & Nature :

http://ltbc.canon-europe.com/Web/Locale/fr-FR/Courses/nature.pdf

Landscapes & Architecture :

http://ltbc.canon-europe.com/Web/Locale/fr-FR/Courses/architecture.pdf

Parties & Special Events:

http://ltbc.canon-europe.com/Web/Locale/fr-FR/Courses/events.pdf

Et en plus c’est en français …