Aller au contenu
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

— Article en partenariat avec Incogni —

Salut la compagnie. Alors si vous avez l’habitude de me suivre, vous savez que j’ai déjà présenté l’outil Incogni de Surfshark d’un tas de façons différentes. Et mentionné les nombreux services qu’il peut rendre en fonction de votre situation. Mais s’il y a une cible que je n’ai pas abordée, c’est celui de nos marmottes marmots.

Parce que oui, lorsqu’on pense aux informations personnelles récupérées pour le plus grand bonheur des datas brokers (courtiers en données), on pense souvent aux nôtres, celles des « grands ». Et cela afin de créer des profils les plus complets possibles, notamment pour obtenir une image assez précise des sites que nous visitons, de nos achats en ligne, notre situation financière, nos centres d’intérêt, etc.

Sauf qu’il y a une catégorie d’utilisateurs que l’ont a tendance à oublier dans l’histoire, les enfants. Et oui, à notre époque pas mal de gamins passent déjà des heures en ligne (sur un smartphone ou à la maison) sans se préoccuper de savoir s’il y a un danger. Et les parents ne sont pas souvent capables de sécuriser leur environnement et leur apprendre les bons réflexes. Peu vont se renseigner sur les pratiques et les accès accordés aux applications installées (déjà que les parents eux-mêmes utilisent encore des passoires notoires comme Meta & Co …). Or les outils qu’utilisent les enfants, même s’ils semblent aussi peu dangereux que Oui-Oui, n’en sont pas mieux sécurisés pour autant. Ces bases de données centralisent et récupèrent leurs actions et peuvent ensuite tomber entre des mains malhonnêtes.

Le laboratoire de recherche d’Incogni a ainsi analysé 74 applications parmi les plus téléchargées et utilisées au monde par les plus jeunes. Sans surprise cela a permis d’épingler presque 50% de celles-ci (34) dont 2/3 (21) annoncent directement partager leurs données avec des tiers. Quasi 15% récoltent jusqu’à 7 types d’informations différentes : email, historique d’achat, localisation … voire photo. On comprend vite comment les choses peuvent mal tourner. En Europe c’est en moyenne 5 informations qui sont récupérées, la 2e région du monde la plus surveillée.

Incogni applis android pour enfants

Bon après il s’agit la plupart du temps de récolter de la data pour raison marketing, ou pour diagnostiquer des problèmes techniques (bugs & co). Mais encore faut-il faire confiance aux développeurs de l’appli en question. Ainsi Pokémon Quest annonce être clean sur le Google Play Store alors qu’elle récupère des données et les partage. À peine 1 appli sur 7 permet de désactiver cette récolte de données, et 1 sur 3 ne permet pas de supprimer ses infos (pas très RGPD). Une bonne nouvelle s’il faut en trouver une ? 94% chiffrent les données. C’est déjà ça.

Pour différencier les bons des mauvais élèves, vous pouvez vous rendre sur ce lien (onglet « App Rankings » puis cherchez votre pays). En France les cartons rouges sont pour Toca Life World, Kahoot et Avatar World (7 à 12 infos collectées), par contre les jeux des studios YovoGames et BabyBus c’est safe. Ainsi que Pat Partouille à la Rescousse … ouf, je vais mes gosses vont pouvoir continuer à jouer.

Du coup, pour en revenir à Incogni, disposer d’un service qui va nettoyer les bases de données du web des informations liées à vos enfants pourra s’avérer une bonne pratique à mettre en oeuvre. Plus vous commencez tôt et moins les informations se retrouveront dans de multiples bases de données. Si l’adresse mail de votre enfant se retrouve chez un broker, la faire retirer au plus vite est un bon réflexe à avoir, avant qu’elle ne soit reprise à gauche et à droite. N’attendez pas d’intégrer la liste de dizaines de brokers comme je l’ai fait, ça m’apprendra à laisser mon email chez n’importe qui 😉

Encore faut-il se rendre compte que tel ou tel courtier a ces informations en main. C’est le travail d’Incogni, qui va scanner l’ensemble des brokers qu’il surveille afin d’y trouver les éléments que vous voulez faire supprimer. Il contactera alors en votre nom ces derniers et leur demandera des retraits, et répétera l’opération jusqu’à ce qu’ils lâchent l’affaire. Des heures et des heures de recherches économisées et vous aurez l’esprit tranquille en sachant qu’il va s’assurer que ces retraits soient définitifs. Vous pouvez même suivre l’avancée des travaux directement depuis une interface simple.

Mais n’oubliez pas que VOUS êtes le premier rempart de votre progéniture. Eduquez-les, expliquez-leur les conséquences potentielles de tout ce qu’ils font sur la toile, etc. Vous ne les laisseriez pas jouer n’importe où ni avec n’importe qui en extérieur, il n’y a pas de raison que ce soit différent en ligne. Et si vous vous y mettez un peu tard, appelez le soldat Incogni à la rescousse pour vous assurer que les dommages sont limités !

Je découvre Incogni



Non, Toolong n’est pas ce qu’a dit votre correspondante américaine la première fois qu’elle vous a vu en maillot de bain. C’est plutôt (le chien) un outil vachement pratique qui s’utilise ne ligne de commande et qui permet d’afficher, suivre en temps réel, fusionner les fichiers de log et d’y rechercher tout ce que vous voulez.

L’outil est capable d’appliquer une petite coloration syntaxique sur les formats de journalisation classique comme ceux d’un serveur web par exemple. Il est également capable d’ouvrir très rapidement de gros fichiers même s’ils font plusieurs gigas.

Si vous travaillez avec des fichiers JSONL, Toolong les affichera également au format pretty print. Il prend également en charge l’ouverture des fichiers .bz et .bz2.

De quoi arriver à vos fins beaucoup plus facilement qu’en jouant avec tail, less, ou encore grep.

Toolong est compatible avec Linux, macOS et Windows et pour l’installer Toolong, la meilleure solution actuelle consiste à utiliser pipx :

pipx install toolong

Vous pouvez également l’installer avec Pip :

pip install toolong

Note : Si vous utilisez Pip, il est recommandé de créer un environnement virtuel pour éviter les conflits de dépendances potentiels.

Une fois Toolong installé, la commande tl sera ajoutée à votre PATH. Pour ouvrir un fichier avec Toolong, ajoutez les noms de fichiers en arguments de la commande :

tl fichierdelog.log

Si vous ajoutez plusieurs noms de fichiers, ils s’ouvriront dans des onglets. Ajoutez l’option --merge pour ouvrir plusieurs fichiers et les combiner en une seule vue :

tl access.log* --merge

Voilà, l’essayer, c’est l’adopter. Si vous manipulez de gros logs, Toolong pourra vous faire gagner un max de temps !

Merci à Lorenper


Vous vous souvenez sûrement de Neuralink, la startup fondée par Elon Musk qui veut révolutionner les interfaces cerveau-machine ? Eh bien, figurez-vous que leur premier cobaye humain, un certain Noland Arbaugh, s’est amusé comme un petit fou avec son nouveau gadget greffé dans le ciboulot !

Ce cher Noland, un jeune homme de 29 ans paralysé des épaules jusqu’aux pieds suite à un accident de plongée, a eu l’immense privilège de recevoir l’implant Neuralink N1 en janvier dernier. Et croyez-moi, il n’a pas perdu de temps pour tester son joujou high-tech !

Lors d’un livestream sur X (l’ex-Twitter, vous suivez ?), notre cher patient a fait une démonstration époustouflante en jouant aux échecs sur ordi rien qu’avec la force de son esprit. Tel un Jedi de la stratégie, il a déplacé les pièces sur l’échiquier virtuel en un clin d’œil, laissant les spectateurs bouche bée.

Mais ce n’est pas tout ! Noland nous a confié qu’il avait déjà passé une nuit blanche à s’éclater sur Civilization VI, le célèbre jeu de stratégie. Avant son opération, il devait compter sur un pote pour l’aider à jouer, ce qui était loin d’être idéal pour enchaîner les parties jusqu’au bout de la nuit.

Maintenant, grâce à son implant miracle, il peut s’adonner à sa passion sans limites ! Enfin, presque… La seule contrainte, c’est d’attendre que son gadget se recharge quand il a épuisé toute la batterie. Mais bon, c’est un détail quand on peut à nouveau profiter des joies du gaming de manière autonome, non ?

Et ce n’est pas fini ! Notre champion a aussi réussi l’exploit de terminer deuxième à Mario Kart 8 Deluxe en affrontant son père et un ami. Pas mal pour un débutant qui pilote son kart à la force de la pensée !

Bien sûr, comme le souligne Noland, tout n’est pas encore parfait avec cette technologie. Il reste du chemin à parcourir pour que Neuralink tienne toutes ses promesses. Mais avouez que c’est quand même un sacré bond en avant pour redonner de l’autonomie et des loisirs aux personnes paralysées. Bravo Elon 🙂

D’ailleurs, le grand gourou de la tech, ne compte d’ailleurs pas s’arrêter là. Son objectif ultime ? Utiliser les implants pour « shunter » les signaux du cortex moteur directement vers les membres paralysés, histoire de contourner les lésions de la moelle épinière. Carrément !

Mais avant d’en arriver là, Neuralink va devoir convaincre les autorités américaines que ses expériences sont éthiques et sans danger, car la startup a déjà fait polémique avec ses tests sur les animaux, accusée d’avoir provoqué des souffrances inutiles sur des singes, des cochons et probablement Bruno Le Maire si on en croit la dernière annonce du déficit français.

Espérons que cette success story avec Noland ouvre la voie à des essais cliniques plus larges, histoire de transformer la vie d’autres personnes dans sa situation. En attendant, on peut toujours rêver au jour où on pourra tous s’affronter sur Civilization ou Mario Kart par la simple force de notre cerveau !

Perso, si Neuralink me permet de débrancher à la demande le son de mes oreilles quand j’ai les enfants dans les pattes, je me le fait implanter tout de suite !

Source


Est ce que vous avez entendu parler de ce qui s’est passé lors du tournoi ALGS d’Apex Legends ? C’était complètement dingue ! Un hacker qui se fait appeler Destroyer2009 a réussi à s’introduire dans le jeu en plein milieu d’un match et a filé des cheats (aimbot, wallhack…) à des joueurs pro sans qu’ils ne demandent rien.

Déjà, mettez-vous à la place des joueurs concernés, ImperialHal de l’équipe TSM et Genburten de DarkZero. Vous êtes tranquille en train de jouer le tournoi le plus important de l’année et d’un coup, PAF, vous vous retrouvez avec des hacks que vous n’avez jamais demandés ! Voir à travers les murs, avoir un aimbot pour mettre dans le mille à coup sûr… La totale quoi. Évidemment, ils ont dû quitter la partie direct, impossible de continuer à jouer dans ces conditions.

Mais le pire, c’est que ce hacker a fait ça « just 4 fun » ! Il voulait montrer à Respawn qu’il y avait des failles dans leur système de sécurité EAC (EasyAntiCheat). Bah mon gars, t’as réussi ton coup, bravo ! Tout le tournoi a été interrompu et reporté à plus tard. Les organisateurs étaient furax et je les comprends.

Bon après, faut reconnaître que ce Destroyer2009 est un sacré filou. Il a quand même réussi à pirater un des plus gros jeux du moment en plein milieu d’un événement majeur, c’est pas rien. Et en plus, il a fait ça sans toucher aux PC des joueurs, juste en passant par le jeu. Un vrai petit génie du hacking.

Mais quand même, ça fout les jetons de voir que même un mastodonte comme Apex Legends peut se faire avoir comme ça. Ça montre qu’aucun jeu en ligne n’est à l’abri, même avec toutes les protections anti-triche du monde. Et puis ça gâche la compétition pour tout le monde, les joueurs, les spectateurs, les organisateurs…

Après ce bad buzz monumental, Respawn a dû réagir au quart de tour. Ils ont balancé dans la foulée une flopée de mises à jour de sécurité pour colmater les brèches. Espérons que ça suffira à calmer les ardeurs des petits malins qui voudraient s’amuser à reproduire ce genre de coup fourré.

M’enfin, le mal est fait et ce tournoi ALGS restera dans les annales pour cette raison. Ça aura au moins eu le mérite de remettre un coup de projecteur sur l’importance de la sécurité dans l’e-sport. C’est un milieu qui brasse de plus en plus de thunes et forcément, ça attire les hackers en tout genre.

L’essentiel, c’est que le tournoi a fini par reprendre et aller à son terme, même si on a dû attendre un peu. Et puis ça nous aura permis de voir que même les plus grands joueurs peuvent se retrouver démunis face à un hack imprévu. Ça les rend plus humains ! mdrrr.

Allez, amusez-vous bien sur Apex ou ailleurs !

Merci à Ayden et Halioss pour l’info

Source


Vous pensiez que votre Bluetooth était safe ? Détrompez-vous ! Un chercheur en sécurité vient de dénicher une faille bien vicieuse qui permet d’exécuter du code à distance sur tout un tas d’appareils : smartphones Android, Chromecast, casques VR, TV connectées…

Le principe est diabolique : il suffit de se faire passer pour un clavier Bluetooth et hop, on peut envoyer des frappes de touches à la victime sans même qu’elle ait besoin d’accepter l’appairage. Pas besoin d’être à portée de main, quelques mètres suffisent. C’est ballot hein ?

Mais attendez, ça devient encore plus fort (ou pire, c’est selon). Des petits malins ont créé un outil baptisé BlueDucky qui automatise complètement l’exploitation de cette faille. Ça scanne les appareils vulnérables à proximité, ça les enregistre dans un fichier et ça balance un script Ducky bien sournois pour prendre le contrôle à distance. Le tout depuis un Raspberry Pi ou un smartphone Android !

Autant vous dire qu’ils se sont éclatés à tester ça sur tout ce qui passait : des smartphones, des objets connectés, des ordinateurs… Si c’est pas patché et que ça a du Bluetooth, ça tombe comme des mouches. Ils ont même réussi à ouvrir un navigateur et à envoyer la victime sur une page bien flippante, juste pour le fun.

Bon, vous allez me dire : « OK, mais comment on se protège de ce truc ?« . Eh bien c’est là que ça se gâte. Si vous avez un appareil récent, foncez installer les dernières mises à jour de sécurité. Mais pour les vieux machins sous Android 10 ou moins, c’est cuit, ça ne sera jamais patché. La seule solution : désactiver carrément le Bluetooth. Sinon, vous pouvez dire adieu à votre intimité numérique !

Mais ne cédons pas à la panique pour autant. Les chercheurs en sécurité font un boulot remarquable pour dénicher ces failles et alerter les fabricants. Maintenant, c’est à ces derniers de réagir en proposant des correctifs. Et à nous d’être vigilants en mettant à jour régulièrement nos appareils.

En attendant, si vous voulez jouer avec le feu dans la limite de ce que la loi permet, évidemment, le code de BlueDucky est disponible sur GitHub. Mais attention, c’est à vos risques et périls ! Ne venez pas vous plaindre si votre grille-pain se met à afficher des messages d’insulte au petit-déjeuner.

Pour l’installer :

# update apt
sudo apt-get update
sudo apt-get -y upgrade

# install dependencies from apt
sudo apt install -y bluez-tools bluez-hcidump libbluetooth-dev \
                    git gcc python3-pip python3-setuptools \
                    python3-pydbus

# install pybluez from source
git clone https://github.com/pybluez/pybluez.git
cd pybluez
sudo python3 setup.py install

# build bdaddr from the bluez source
cd ~/
git clone --depth=1 https://github.com/bluez/bluez.git
gcc -o bdaddr ~/bluez/tools/bdaddr.c ~/bluez/src/oui.c -I ~/bluez -lbluetooth
sudo cp bdaddr /usr/local/bin/

Et pour le lancer :

git clone https://github.com/pentestfunctions/BlueDucky.git
cd BlueDucky
sudo hciconfig hci0 up
python3 BlueDucky.py

Comme dirait l’autre, « le Bluetooth c’est comme le nucléaire, c’est génial tant que ça reste dans les mains des gentils« . Alors, soyez sympa et patchez-moi tout ça fissa ! Et si vous avez un appareil trop ancien qui traîne, coupez le Bluetooth et on n’en parle plus.

Pour en savoir plus sur cette faille et son exploitation, je vous invite à lire l’article ici.