Archive for 2009

Il est temps pour moi de vous souhaiter comme chaque année une bonne et heureuse année 2010. Cette année je serai moins volubile, je préfère résumer mes vœux en trois mots :

Amour, Gloire et Beauté.

En guise de porte vœux, une illustration de mon ami Chandre auteur des dessins et couleur de la bande dessinée Saint Kilda : Les Esprits de Kilda.

Voici une vidéo (assez bien fait) qui reprends les événements, les produits qui ont marqué l’année 2009 au niveau technologique. Je vous laisse trouver l’erreur dans la vidéo, attention elle est tellement évidente que cela en devient compliqué …

Seulement une semaine après sa sortie, trois bugs dont un “majeur” ont été identifiés sur la nouvelle version 2.9 de WordPress.

Pas de panique, après avoir regardé en détail ces bugs, seulement certains d’entre nous seront impactés. De plus, tous les bugs identifiés sont déjà corrigés et seront disponibles dans la prochaine version 2.9.1 de WordPress. Si vous ne voulez pas attendre jusque là, vous pouvez utiliser le correctif de Semiologic. Copiez les trois fichiers dans le dossier wp-include/ de votre installation de wordpress.

Voici un aperçu de l’impact des trois bugs identifiés.

#11219
Le premier bug, classifié avec une criticité majeure, impacte uniquement les utilisateurs du plugin SimplePie. En fait le plugin n’est plus capable de convertir de UTF-8 vers UTF-8.

Bug WordPress

#11168
Le second bug impacte tous les widgets RSS qui ont été mis à jour de 2.8 vers 2.9.

Bugs Widgets RSS

#11505
Le dernier bug a également été classifié avec une criticité majeure car il impacte le Cron de WordPress, ce qui signifie que la plannification de vos articles ne fonctionne plus. Ceci est peut être un peu plus gênant.

Bug WordPress Cron

source Semiologic

Bonnes Fêtes

Un petit billet pour vous souhaiter de bonnes fêtes de fin d’année et surtout vous remercier de votre fidélité sur Kaizer Onion. Cette année vous avaient été quelques courageux à suivre régulièrement les actualités sur le blog.
Même si je ne fait pas ça pour la gloire, cela fait toujours plaisir de voir que je ne fais pas ça dans le vide. D’ailleurs si vous souhaitez contribuer à l’évolution de ce blog je vous invite à me rejoindre en me contactant.
En espèrant vous revoir l’année prochaine, je vous laisse un petit aperçu des statistiques des visites sur l’année 2009.

Merci à BobbyP pour m’avoir retouché l’image de présentation de ce billet.

Joyeux Noël

Notre Univers

Voici une vidéo, réalisée par l’American Museum of National History, que je trouve particulièrement impressionnante, et qui donne sujet à réflexion. Au final, que représente-t-on dans l’univers?
Pas grand chose visiblement, et de temps en temps c’est bien de se le rappeler. Je vous invite à regarder cette vidéo et j’attends vos impressions à chaud.

Source : American Museum of Natural History

Magic Mouse

Noël avant l’heure vous me direz, c’est un peu près ça. Disons que pour des besoins professionnels (purement professionnel) je me suis fais plaisir :). Après un peu moins d’une semaine d’utilisation, je pense l’avoir assez utilisé pour vous donner mon point de vue sur le nouveau produit phare d’Apple : La Magic Mouse.

Magic Mouse de Apple

Commençons par le packaging, l’emballage est simple et épuré à l’image d’Apple. Le look de la souris est beaucoup plus sexy que l’ancien galet. Dénudé de tout bouton, ergonomiquement, on pourrait se poser des questions en la voyant pour la première fois. Mais ne vous fiez pas aux apparences, cette souris Bluetooth est parfaitement ergonomique avec sa technologie au laser. Elle laisse une impression de solidité qui faisait défaut à sa prédécesseure.

Quelles sont les nouveautés de cette souris ?

C’est la première souris à utiliser la technologie multi-touch. Ce détail n’est pas anodin car on retrouve les sensations de l’iPhone et du trackpad des Mac Book qui utilisent aussi cette technologie.

Ce qui vous permet de faire défiler votre écran horizontalement ou verticalement en reproduisant ces mouvements sur le multi-touch. Vous pouvez également réaliser des mouvements circulaire sans pour autant influancer le pointeur de la souris. Si ces mouvements vous facilite la vie lorsque vous naviguer sur une page web, ils sont aussi utilisable sur Finder, dans vos mails ou encore dans l’Aperçu. La fonction de zoom n’a pas changé, elle s’obtient en maintenant la touche CTRL enfoncée et en glissant le doigt de bas en haut sur la surface de la souris.

Personnellement je ne regrette pas mon achat, au contraire je vous le conseille.

Si vous souhaitez l’offrir pour noël, vous la trouverez sur l’apple store au prix de 69 euros.

Le mythique jeu de la Team 17 est disponible depuis quelque temps sur votre célèbre et indispensable iPhone. Depuis le weekend dernier, la version 2.0 est disponible à partir de iTunes pour 3.99 euros. Cette dernière version apporte ce qui manquait au mode multijoueur, la possibilité de jouer en réseau via le bluetooth, fini de se passer l’iphone maintenant chaque joueur peut jouer avec son propre iPhone. En ces temps de grippe, c’est une fonctionnalité qui trouve son intérêt.

Worms

Il est désormais possible de vanter vos scores obtenu sur Twitter et Facebook.
Vous avez la possibilité de vous repasser en boucle vos meilleures attaques avec la fonction replay. Vous pouvez également parcourir la liste d’écoute afin de choisir la musique que vous souhaitez écouter, cependant elles sont toutes plus ennuyeuses les unes que les autres. Vous pouvez toujours vous rabattre sur votre liste d’écoute et jouer en même temps.

Multiplayer

Un petit plus pour les possesseurs d’iPhone 3Gs, vous pouvez obtenir des décors en 3D, ainsi que d’autres améliorations graphiques.

Atomicbomb

Pour la petite histoire, J’ai connu ce jeu en 2003, j’étais encore étudiant et je joué sur pocket pc lors des pauses café. Alors cela me rends un peu nostalgique. En tout cas, si vous voulez passer un peu de bon temps je vous le conseille.

Une fois encore, Google a fait fort !! Avec l’annonce sur leur blog de leur nouveau service : Google Public DNS.

Le but de ce nouveau bébé est d’oeuvrer en tant que serveur DNS ouvert pour tout le monde. Pour l’utiliser, rien de plus simple, changez les valeurs de vos serveurs DNS par celle ci :

  • 8.8.8.8
  • 8.8.4.4

Mais quel est l’intérêt de Google dans tout ça ?

Officiellement leur argumentaire se base sur la sécurité des serveurs DNS actuels avec comme référence les dernières attaques connu (cf. le fameux bug DNS). D’un autre coté, Google souhaite que l’Internet passe à la vitesse supérieur, d’ou l’intérêt de leurs serveurs DNS avec des temps de réponses inférieurs aux autres. Personnellement, je n’ai pas noté de changement au niveau de la vitesse, et coté sécurité tous les principaux serveurs DNS ont été mis à jour. Par contre, si Google arrivent à convaincre le monde d’utiliser leurs serveurs DNS, ils obtiendront une véritable mine d’or avec les informations récoltées.

En même temps, quand on regarde les services proposés par Google, on se rends compte qu’ils ont déjà une grande partie de nos informations entre le moteur de recherche (google.fr), les mails (gmail.com), les documents en ligne (docs.google.com), le chat (gtalk.com) et maintenant les serveurs DNS.

Je suis partisan de ne pas mettre tous les oeufs dans le même panier. Et vous, vous en pensez quoi ?

L’échéance approche pour les intérêts de fin d’année, et comme chaque année tout le monde est impatient de recevoir les intérêts bien mérités après une longue année d’épargne. Sauf que cette année, la récolte va être bien maigre. Si vous êtes possesseur d’un des produits suivants, le reste de ce billet peut vous intéresser :

  • Livret A
  • Livret d’épargne populaire (LEP)
  • Compte d’épargne logement (CEL)
  • Plan d’épargne logement (PEL)
  • Livret épargne entreprise (LEE)

J’ai fait une recherche sur la fluctuation des taux d’intérêts et je me suis aperçu que depuis 1986 ils n’ont fait que chuter lentement, excepté en 2007 où il y a une hausse spectaculaire (un peu trop d’ailleurs) pour en arriver aujourd’hui à des taux qui touchent quasiment le plancher.
Pour mieux comprendre ce qui vous attends sur vos relevés début janvier, voici une représentation graphique des taux d’intérêts de cinq produits bancaires.

Taux d'interets

Date d’application
Livret A
LEP
LEE
CEL
PEL
Avis Officiel
16 mai 1986
4.50
5.50
3.00
2.75
6.00
JO 15/5/1986
7 février 1994
4.50
5.50
3.00
2.75
5.25
JO 5/2/1994
16 février 1994
4.50
5.50
3.00
2.25
5.25
JO 5/2/1994
1 mars 1996
3.50
4.75
3.00
2.25
5.25
JO 28/2/1996
1 mars 1996
3.50
4.75
2.50
2.25
5.25
JO 15/3/1996
23 janvier 1997
3.50
4.75
2.50
2.25
4.25
JO 21/1/1997
9 juin 1998
3.50
4.75
2.50
2.25
4.00
JO 7/6/1998
16 juin 1998
3.00
4.75
2.25
2.00
4.00
JO 7/6/1998
26 juillet 1999
3.00
4.75
2.25
2.00
3.60
JO 24/7/1999
1 août 1999
2.25
4.00
1.50
1.50
3.60
JO 24/7/1999
15 janvier 2000
2.25
4.00
1.50
1.50
3.60
JO 30/6/2000
1 juillet 2000
3.00
4.25
2.25
2.00
4.50
JO 30/6/2000
1 août 2003
2.25
4.25
1.50
1.50
2.50
JO 30/7/2003
1 août 2004
2.25
3.25
1.50
1.50
2.50
JO 31/7/2004
1 août 2005
2.00
3.00
1.50
1.25
2.50
JO 23/7/2005
1 février 2006
2.25
3.25
1.50
1.50
2.50
JO 28/1/2006
1 août 2006
2.75
3.75
2.00
1.75
2.50
JO 28/7/2006
1 août 2007
3.00
4.00
2.25
2.00
2.50
JO 28/7/2007
1 février 2008
3.50
4.25
2.50
2.25
2.50
JO 31/1/2008
1 août 2008
4.00
4.50
3.00
2.75
2.50
JO 30/7/2008
1 février 2009
2.50
3.00
1.75
1.75
2.50
JO 30/1/2009
1 mai 2009
1.75
2.25
1.25
1.25
2.50
JO 29/4/2009
1 août 2009
1.25
1.75
0.75
0.75
2.50
JO 28/7/2009
1 août 2010
1.75
2.25
1.25
1.25
2.50
JO 24/7/2010
1 février 2011
2.00
1.75
0.75
0.75
2.50
JO 26/1/2011
1 août 2011
2.25
2.75
1.50
1.50
2.50
JO 28/7/2011

Mis à jour le 24/11/2012

Dernier jour de la conférence, on commence par Zane Lackey et Luis Miras de iSEC Partners qui nous présentent comment peut on prendre le contrôle d’un GSM à distance en utilisant les SMS. Le principe est simple, on envoie une notification à une personne pour un changement de paramètre, la personne accepte les nouveaux paramètres et vous obtenez toutes les informations que vous voulez. Techniquement c’est en modifiant le payload du SMS qu’ils arrivent à insérer du code malicieux. Ils nous ont fait une petite démo live assez cool. Vous trouverez les slides de leur présentation ici. (ils avaient déjà fait leur show à la Black Hat cet été).

A croire que la journée était dédiée aux GSM, car le talk suivant présenté par Karsten Nohl, nous expliquait comment il était facile de décrypter l’encryption des communications GSM. Dans un premier temps, la méthode dite active consiste à proposer au téléphone un relai avec un très bon signal afin de le forcer à se connecter dessus (nécessite de la proximité). Une fois connecté, toutes les communications du téléphone peuvent être écoutées. La seconde méthode dite passive, n’est pas encore au point face à l’encryption A5/1. Le principe est similaire à du brute force à l’aide de rainbows tables. D’ailleurs si vous souhaitez les aider dans leurs travaux, vous pouvez toujours proposer vos services en contactant Karsten Nohl. Ils possédent une mailing list pour rester au courant de leur progession et aussi un site web qui donne un peu plus d’explications sur leur recherche.

Le talk suivant présenté par Thorsten Schröder de Remote-Exploit.org portait sur l’écoute des communications de clavier Bluetooth. La présentation était très intéressant, notamment on y apprends que les claviers Bluetooth de Microsoft sont composés de puces AES qui leurs permettraient d’assurer une meilleure sécurité de la communication mais ils continuent d’utiliser une méthode basée sur des contrôles XOR. Il nous démontre, à l’aide d’un petit émetteur Bluetooth fait maison, comment il arrive envoyer une série de commandes sur un récepteur Bluetooth Microsoft. Vous trouverez en ligne la démo ainsi que des explications sur la méthode utilisée.

bluetooth

Le dernier talk de la matinée présenté par deux italiens a définitivement clôturé les présentations intéressantes (du moins pour ma part). En effet, l’après midi n’était pas aussi intéressante en termes de sujet (les sujets abordés m’intéressais moins). Revenons à la présentation des italiens, qui reprenait en grande partie les travaux de Zane et Luis mais d’une manière différente. Ils ont montré comment ils arrivent à changer à distance, via un SMS, l’APN du téléphone cible. Une fois l’APN changé (un APN proxy), ils arrivent à voir toutes les trames HTTP et HTTPS du client. Le téléphone cible n’a plus aucun secret pour eux. Assez terrifiant …

deepsec

La conférence DeepSec édition 2009 s’est clôturée sur une soirée au Metalab ou tout le monde étaient conviés. C’était l’occasion pour lancer quelques lightening talk (des présentations de courte durée). Le sujet principal était le recensement des pirateries effectués durant la conférence à l’hôtel :

  • Connexion internet pour 1 euros en utilisant un champ caché
  • La capture des trames TCP des caméras de surveillance sur un réseau sans fils non protégé
  • L’accès au menu de la TV payante de l’hôtel via un code disponible chez le constructeur