J’avoue que c'est un peu chelou comme idée de base. Peut-être pour les entreprise qui lient leurs imprimantes sur plusieurs sites... Mais même, il y a d'autre moyen plus sécure quand même ! ^^

Merci pour les liens

[plus de 150,000 imprimantes]

Salut à tous,

En ce début de mois de février, le pirate connu sous le nom de Stackoverflowin a effectué un tour de force en prenant le contrôle de plus de 150,000 imprimantes dans le monde entier !
Cette action reste cependant pacifiste dans le sens où les imprimantes compromises n'ont fait qu'imprimer une page en ASCII Art indiquant à l'utilisateur que son imprimante à été piratée, lui recommandant de contacter le support et de publier une photo des pages imprimées sur le web. De plus, le hacker transmet également ses coordonnées mail et Twitter, preuve de sa bonne foi.

Pour cela, le hacker a créé un script automatisé qui va rechercher tous les appareils connectés ayant :

• Le port 9100 ouvert
• Le protocole IPP (Internet Printing Protocol)
• Le protocole LPD (Line Printer Daemon)

Une fois les informations récoltées, le script envoi une commande d'impression Rogue à l'appareil ciblé qui imprimera le message désiré.

Malgré l'ampleur de l'attaque, le support et la majorité des victimes ne semblent pas l'avoir vue comme quelque-chose d’offensif. Le pirate nous informe également que le but de son geste reste tout de même de motiver les utilisateurs à sécuriser leurs appareils.

Plus d'informations : Hacker Compromised 150,000 Printers Across the Globe; Sends Notices to Users

Quelques liens supplémentaires :

• Jouer avec les imprimantes en réseau
• Hacker une imprimante avec un microphone
• Faites de la musique avec vos périphériques
• Printer Hacking - DEFCON Presentation
• Hacking printers : for fun and profit
• Hacking Network Printers
• From Patched to Pwned - Attacking Xerox’s Multifunction Printers Patch Process

[PHPMailer]

Salut à tous,

Imaginez, vous venez de créer votre site en PHP et vous souhaitez ajouter un formulaire de contact. De plus, vous voulez que ce formulaire envoie automatiquement un mail à votre adresse perso afin d'être informé rapidement. Et avec ça, n'ayant pas accès au fichier php.ini de votre hébergeur, vous voulez passer par un serveur SMTP (quelle exigence) !
Mais voilà, comment envoyer des mails en PHP via SMTP ? Une rapide recherche sur Google et vous trouvez une solution qui semble faire l'unanimité : PHPMailer.

PHPMailer est la bibliothèque la plus utilisée en ce qui concerne l'envoi de mail en PHP. Elle est utilisée dans le monde entier, traduite dans 47 langues, vue dans de nombreux projets tels que WordPress, Drupal, 1CRM, SugarCRM, Yii ou encore Joomla! pour ne citer que les plus populaires d'entre eux. Voyant tout cela, vous vous dites que vous seriez idiot de ne pas l'utiliser pour votre site, qu'il s'agit d'un système sûr, fonctionnel et surtout sécurisé... Et sur ce dernier point vous auriez tord car une faille a été découverte il y a à peine quelque jours !

Il y a 3 jours pour être précis, le 25 décembre 2016, une faille critique a été révélée dans la fonction mailSend() de la bibliothèque. Critique car elle permet l’exécution à distance de code arbitraire sur le serveur.

Cet extrait de la fonction mailSend() vous permettra de comprendre un peu mieux le principe de cette faille :

Code: (PHP)

if (!empty($this->Sender)) {
    $params = sprintf('-f%s', $this->Sender);
}

// [...]

$result = $this->mailPassthru($toAddr, $this->Subject, $body, $header, $params);

La fonction mailPassthru() appelle directement la fonction PHP mail() en utilisant les mêmes paramètres. Cette dernière utilise le serveur de messagerie sendmail afin d'envoyer le mail en question. Notez que la fonction mail() prend en paramètre optionnel additional_parameters qui permet au développeur de faire passer ses propres paramètres lors de l’exécution de sendmail.
Dans la fonction mailSend() de PHPMailer, la propriété Sender qui contient l'adresse de l’émetteur du message est envoyée vers la fonction mailPassthru() en tant que paramètre additionnel sous la forme -fMonAdresse@mail.com. Un utilisateur malveillant pourrait choisir d'entrer une adresse comme MonAdresse -evilparam -otherparam@mail.com ce qui aurait pour conséquence d'exécuter sendmail avec des paramètres que l'utilisateur aurait choisi ! Pas très safe tout ça...

Oui mais voilà, la propriété Sender est définie par le biais de la fonction setForm() qui n'accepte pas les espaces (normal, pas dans une adresse mail). En revanche, elle accepte le format Émetteur <emetteur@mail.com> à condition qu'il soit écrit entre guillemets. Soit, l'attaquant pourrait très bien inscrire "MonAdresse -evilparam -otherparam"@mail.com comme adresse mail... Sauf que sendmail reconnaitra tout ce qui est entre guillemets comme un seul et même paramètre. Inexploitable me direz-vous ?

Eh bien si ! Comment faire en sorte qu'un guillemet soit détecté par l'un mais pas par l'autre ? Tout simplement grâce aux caractères d'échappements. Si notre utilisateur malveillant utilise une adresse du style "MonAdresse\" -evilparam -otherparam"@mail.com, la fonction setform ne verra le second guillemet que comme un caractère faisant partie de l'adresse. En revanche, sendmail le verra comme le caractère de fin de la chaine MonAddress\ ! Il percevra donc la suite comme étant d'autres paramètres et là, danger !

Pourquoi danger ? Si l'attaquant utilise le paramètre -X logfile, il peut faire en sorte que sendmail écrive le corps de son mail dans le fichier de son choix sur le serveur (comme une nouvelle page par exemple, avec des fonctions malicieuses) !

Un patch correctif a été publié afin de filtrer la variable params avec la fonction escapeshellcmd(). Il est cependant toujours possible d'exploiter la faille en utilisant une adresse du type "MonAdresse\' -evilparam -otherparam"@mail.com.

Plus d'informations : CVE-2016-10033 et CVE-2016-10045 (bypass du patch correctif)

Quelques liens supplémentaires :

• Exploit de PHPMailer < 5.2.18
• Github de PHPMailer
• La commande sendmail

[Popcorn Time]

Bonsoir tout le monde,

Aujourd'hui je vais vous parler d'un ransomware tout fraichement produit : Popcorn Time !

Pour rappel, un ransomware est un petit programme qui, à défaut de voler des données, va les chiffrer et demander à l'utilisateur de payer une rançon en échange de la clé de déchiffrement. Là où Popcorn Time n'est pas comme les autres, c'est qu'il laisse à l'utilisateur deux choix pour obtenir la clé : Soit il paye, soit il infecte deux autres victimes, autrement dit il file le bébé à ses potes ! Inutile de dire que le sens moral de la victime est mis à l'épreuve.

La rançon s'élevant à 1 bitcoin (environ 800€ actuellement, c'est pas rien), si l'utilisateur décide d'infecter deux autres victimes il devra attendre que ces derniers choisissent de payer ou de diffuser le programme avant de revoir ses fichiers. Ainsi le ransomware se diffusera de lui-même suivant le sens moral des utilisateurs infectés !

Autre petit détail, toutes tentatives pour décrypter les fichier sans la clé effaceraient définitivement tous les fichiers touchés. De plus, il n'y a que quatre tentatives pour la clé de déchiffrement, autant dire qu'il ne vaut mieux pas faire le malin !

Pour information, le groupe de pirates ayant créé ce ransomware serait d'origine syrienne. Ils précisent d'ailleurs que les fonds obtenu seront utilisés pour la médecine, la nourriture et la construction d'abris.

Plus d'information : Evil Ransom: Infect Two People, Receive Free Decryption Key

Quelques liens supplémentaires :

• Locky, le ransomware de l'année
• No More Ransom : protégez-vous des ransomwares connus
• Une application pour leurrer les ransomwares
• Topic NC d'un membre ayant été infecté par locky
• Circl : Crypto Ransomware, comment s'en protéger
• Ransomware en entreprise, comment réagir
• Quelques statistique sur l'impact des locky (juillet 2016)
• Un outil pour récupérer ses fichiers sans payer (à vérifier)
• Des hôtels infectés par un ransomware
• Analyse du ransomware Killdisk
• Tracker de ransomwares

Salut,

Mettre en place une équipe de newseurs officiels est une super bonne idée, ça pourrait redonner vie à une partie du site. Après dans les faits, je pense qu'il faudrait adapter ça de manière à ce que ce soit aussi accessible que possible.

Être newseur ça demanderait déjà pas mal de temps à consacrer. Il faut se renseigner sur les nouvelles techno "en vogue", faire le tri entre l'utile et le futile, choisir un sujet et l'étudier un peu plus en profondeur avant de pouvoir rédiger un résumé de quelques lignes, et ce assez régulièrement afin de maintenir une certaine activité.
Seulement voilà, des membres motivés par "le poste" n'ont pas forcément le temps à consacrer à toutes ses tâches, de même que ceux qui l'ont n'ont pas forcément la motivation (sans parler de ceux qui ne se sentiraient pas à la hauteur )...

Du coup, plutôt que d'incomber toutes ces tâches à un utilisateur, ne pourrions-nous pas les séparer ? Les newseurs seraient alors un peu comme des rédacteurs auxquels n'importe-quel utilisateur (newseurs inclus) pourrait transmettre ses trouvailles

Je veux dire, ça peut arriver à tout le monde de tomber sur un article intéressant (moment de pause au boulot, suite à une recherche de tuto, etc...). D'ailleurs ceux qui fréquentent le chan IRC auront remarqués que ce genre de situation arrivent souvent : quelqu'un tombe sur un article intéressant et partage le lien comme ça pour tout le chan. La personne n'aurait pas forcément le temps de rédiger une news au sujet de son lien (ou tout simplement pas l'envie) mais quelqu'un d'autre pourrait très bien avoir le temps et la motivation !

Un autre exemple, toujours sur IRC, un membre (jesaispuqui) avait demandé si quelqu'un pouvait donner un retour d’expérience sur Qubes OS. Malheureusement pour lui, chou blanc. Pas de réponse. Sans doute qu'aucun membre présent sur le chan n'avait testé la chose, normal IRC c'est sur l'instant (contrairement à une news)... Cependant, peut-être que certains newbies avaient des informations/des conseils sur cet OS qu'ils auraient été ravi de partager avec tout le monde ! Et si le membre en recherche d'informations avait pu suggérer ce sujet à un newseur, newseur qui aurait rédigé un petit article à ce propos, les membres détenteurs d'informations pourraient partager leurs connaissances/expériences sur cet OS ! De plus, tous les autres membres auraient pu découvrir ce système (que personnellement je ne connaissais pas non plus avant ledit message ).

Imho ce serait plus efficace de permettre aux utilisateurs de partager leurs informations "brutes" avec une équipe capable de les présenter de manière attrayante aux membres. Comme The LSD le dit, un newseur ayant une bonne connaissance de NC pourra facilement faire le tri entre les informations utile ou non pour la communauté.

C'est juste une idée comme ça, mais il me semblait important de la partager car après tout j'aime NC, je chante NC, je danse NC... Je ne suis qu'amour ! (Oui, je suis un stockage de citations de films !)

Euh... Tu es sûr d'être sur la bonne épreuve ?

Génial ! Félicitation Pixis

A vue de nez, ça à l'air plutôt simple à faire

Salut,

A mon avis, une bonne épreuve sur les Échecs serait plus une épreuve de programmation (j'ai commencé à travailler sur un truc du genre mais non, je ne dis pas ça pour ça ).

Après, tout dépends du contenu de l'épreuve en elle-même. Par exemple, si tu penses à une épreuve où, partant d'un état précis du jeu, le joueur doit trouver le seul et unique moyen de ne pas être mit en échec avant un certain nombre de coup, cela pourrait être à mon avis une bonne épreuve de logique en effet.

Bref, tout dépend de ce que tu proposes

Salut,
L'idée est cool mais ça va être difficile de juger convenablement : à peu prêt toutes les épreuves nécessitent des connaissances que tout le monde n'a pas forcément en arrivant...
Dans ces cas là, ça risque d'être galère de pouvoir considérer une épreuve comme "entièrement offline"

Merci à toi de l'avoir testé

Je comptais ajouter de nouveaux achievements mais au final, je suis un peu en manque d'idées ^^

Super si ça marche

Oui le "Zzzzz" bug un peu dès qu'on a plusieurs onglets d'ouverts, il détecte l'absence d'action sur chaque onglet indépendamment... Faut que je corrige ça !

Pour "Ctrl + C" et "Ctrl + V", il détecte les actions sur le clipboard, donc ça ne marche pas si tu fais Ctrl + C dans le vide.
De même pour Ctrl + V s'il n'a aucune action

Hum... Non, ce n'est pas normal
Tu as bien un nouveau menu qui s'est ajouté à la barre d'outil ?

Bonjour à tous,

Récemment, je me suis mis dans l'idée d'apprendre à créer des extensions pour navigateurs (la raison ? Je me faisais chier et ça peut toujours être utile ^^). En guise d'entrainement, je me suis imposé un petit exercice dont je vous propose le résultat.

Le principe est simple, il s'agit d'un système d'achievements (ou succès, appelez ça comme vous voulez) sur navigateur, permettant ainsi d'ajouter une dimension "ludique" aux voyages sur le web

Vous pouvez télécharger et essayer l'extension ici. Ne comptant pas la publier, je la partage car le principe est légèrement similaire à celui du site et surtout pour avoir des retours (positif ou non) sur la qualité de l'extension/des achievements, sur les erreurs (que je me ferais une joie de corriger), sur les idées que certains pourraient avoir, des améliorations, etc...

Niveau contenu, il y a de tout : des succès que vous déverrouillerez sans peine ou par hasard, d'autres où il faut se creuser un peu plus la tête, certains où il faut de la chance, des connaissances... Bref, c'est large.

Quelques petites précisions tout de même :

• L'extension à été développée avec WebExtension, elle est donc censée fonctionner sur tous les navigateurs actuels (Chrome, Firefox 45+, Edge...). Cependant, elle n'a été testée que sous Firefox.
• Elle est multilingue (toujours pour l'entrainement), disponible en Anglais ou Français.
• C'est sans doute truffé de fautes d'orthographes, n'hésitez pas à me le faire remarquer, je n'ai jamais été un grand littéraire
• Les images sont horriblement moches car générés en php avec gd (je suis un dev, pas un graphiste !)
• Je suis au courant qu'il est évidement très facile de tricher donc essayez de jouer le jeu

Amusez-vous bien !

Justement le truc c'est qu'il n'y a pas grand chose à dire de plus, il y a un autre moyen (plusieurs ?) et la difficulté est bien de le trouver
Bonne chance