Friendly Froggy ;-)

Bonjour

Hier j’ai découvert un programme sous perl des plus effrayant qui soit: il permet de mettre à genoux n’importe quel serveur web utilisant Apache en quelques secondes. Le programme est d’une simplicité enfantine et ne nécessite aucune puissance de calcul (donc pas besoin de botnet). Il se base sur une attaque de type SYN mais au lieu de flooder en TCP il flood en HTTP (il fallait y penser!!!).

Je l’ai personnellement essayé: redoutable! Aucun serveur n’est à l’abri quelque soit son load balancing! Le problème pour les admins c’est qu’il n’existe aucun moyen de s’en protéger à part avec un reverse proxy et encore!!!

Là vous allez me dire: « Bon d’accord c’est quoi le nom de ton programme? ». MAIS VOUS RÊVEZ!! Si je vous le donnais, la première chose que vous feriez c’est mettre down mon serveur! Or je ne peux pas m’en protéger… Je signerai mon propre arrêt de mort et celui de tous les serveurs web qui vous passerai par la tête! D’ailleurs personne n’a d’intérêt à ce qu’il devienne populaire! Je vous rappelle qu’Apache c’est 67% du marché selon Netcraft!

Mais je comprend votre curiosité alors je vous donne un indice:

Si vous trouvez le nom de l’animal en anglais, vous n’aurez pas de mal à trouver le programme en question (non ce n’est pas un Panda…. )

PS: si vous ne croyez pas, donnez moi l’adresse de votre serveur web et une heure donnée pour une attaque (hors pointe de trafic de préférence) et vous verrez l’ampleur de la chose….

Bonjour!

En ce moment en cours on parle de temps à autre de sécurité sur les réseaux wifi et autre. Or parfois je fais le mec chiant en disant « Oui, mais c’est pas sécurisé » etc. On me regarde avec des yeux ronds et certains doivent penser « Oui bon, la sécurité, à moins de tomber sur un super hacker, pas trop de risques… arrête de nous faire chier! ». Hé bien non justement… Je vais vous montrer à quel point il est simple de craker une clé WEP sur un réseau sans fils et qu’il est nul besoin d’être un génie en informatique… la preuve, même moi j’y arrive et je suis tout sauf un génie…

Passons à la pratique: que faut-il pour cracker une clé WEP? Il faut:

- Un PC: un laptop de préférence

- Un bon OS: j’utiliserai Backtrack 3, une distribution Linux dédiée à la sécurité

- Une bonne carte wifi: une Alfa AWUS036H

La première étape est d’installer Backtrack sur une clé USB et de la rendre bootable, rien de plus simple: télécharger Backtrack USB et exécuter bootinst.sh (dans BOOT). Ensuite on la colle dans les fesses du laptop, on branche sa carte wifi, on démarre le portable et on boot sur la clé dans le BIOS.

Une fois sous Backtrack on ouvre un terminal et on tape:

iwconfig

ce qui doit donner un truc ressemblant à ça:

(Lire la suite…)

Aujourd’hui lors de mon cours des techniques de résaux, l’intervenant nous a pondu une demi-vérité sur les adresses MAC qui tient à ce qu’une adresse MAC est unique et inchangeable. Vrai car l’adresse MAC matérielle n’est effectivement pas changeable, car inscrite sur la carte réseau, faux car on peut aisément la changer de manière logicielle et cela grâce à Macchanger sous Unix.

Donc petite astuce simplisime au possible:

sudo macchanger -A wlan0

Ayé, votre adresse MAC n’est plus la même sur votre carte wifi (à adapter selon votre carte: eth0, etc..).

Apparemment à Dauphine ils doivent associer login et adresse MAC, car sitôt fait je me suis fait bannir du serveur… (ou alors serait-ce à cause des grand coups de nmap -sS que j’envoie sur le serveur??). Bref, plus de connexion à la fac pour dieu sait combien de temps.

A+ les Tux

J’ai découvert et essayé il y a quelques jours Facebook Connect sur un de mes sites sous Joomla (Find a Party). Quand j’ai découvert cette possibilité j’ai littéralement sauté au plafond! En effet les visiteurs d’un site web ont souvent la flemme de s’inscrire sur un nouveau site et bien souvent le ratio visites par jour/inscription est faible. Grâce à Facebook Connect vous pouvez multiplier de façon impressionnante le nombre d’utilisateurs inscrits sur votre site. Le visiteurs qui possède un compte Facebook a simplement à entrer ses identifiants pour se connecter à votre site, ce qui lui crée automatiquement un compte et importe certaines de ses informations de son compte Facebook, telles que son avatar, sa date de naissance, ville, etc.

Je l’ai essayé pendant une journée et les premières heures j’ai trouvé cela fabuleux. Sauf que…

Sauf que en réalité ce ne sont pas « vos » utilisateurs mais bien ceux de Facebook. Quand un utilisateur se connecte via Facebook sur votre site, cela lui crée un compte sur votre site, mais Facebook ne donne ni l’adresse e-mail de cet utilisateur, ni son mot de passe (ce qui est logique…).

Conséquences: si un jour votre utilisateur supprime son compte Facebook, il ne pourra plus se connecter sur votre site… Pourtant il a bien un compte, mais il ne peut s’y connecter que par Facebook Connect du fait que la base de notre site ne contient ni son mail ni son mot de passe.

Le problème est de taille: si l’utilisateur modifie des informations sur Facebook, elles seront modifiées sur votre site (peut être qu’il ne le souhaite pas, ou ne veut pas avoir les même), si vous voulez contacter, par News Letter par exemple, vos utilisateurs: vous ne le pouvez pas. Si vous avez 10 000 comptes Facebook sur votre site et que demain vous supprimez Facebook Connect (pour une raison telle qu’un changement unilatéral des conditions d’utilisation de FB que vous trouvez inacceptable), plus aucun de ces 10 000 utilisateurs ne pourra  se connecter: ils n’existent plus pour vous!

On pourrait multiplier les exemples à l’infini. Pour résumer votre site devient entièrement dépendant de Facebook.

Ce beau concept est en réalité le plus vicieux qui n’ai jamais été inventé. Si tous les sites utilisaient Facebook Connect, vous seriez obligé d’avoir un compte Facebook pour pouvoir utiliser le Web…

Mais cela n’a rien de surprenant dans la politique de Facebook qui a déja utilisé une idée similaire avec ses Bookmarks et Facebook Connect n’est qu’une illustration des dangers que représentent l’OpenID et l’APML dont j’avais déjà parlé dans un précédent article.

Sur ce, bonne soirée et à vos risques et périls si vous voulez utiliser Facebook Connect!

Joomfish est un composant de Joomla qui permet de créer facilement un site multilingues. Joomfish n’est pas un traducteur, mais simplement un composant qui permet de traduire les menus, catégories, articles en parrallèle de la version originale. Ce composant est vraiment extraordinaire tant par sa facilité d’utilisation, que par sa fiabilité. Joomfish fonctionne parfaitement avec la réécriture d’URL intégrée à Joomla (URLs explicites (SEF)). Cependant, cette possibilité intégrée à Joomla est bien souvent que peu satisfaisante, car elle ne traduit pas la plupart des modules et notamment celui d’Eventlist.

La solution consiste alors à se tourner vers le composant sh404SEF qui permet de réécrire les URL d’une façon beaucoup plus poussée et beaucoup personnalisable. Le problème c’est que sh404SEF dans sa dernière version 1.0.16 pour Joomla 1.5 ne fonctionne absolument pas avec Joomfish! Il semblerait que sh404SEF utilise des class qui ne soient pas appropriées.

Que faire alors lorsque l’on aime les belles URL et que l’on est polyglotte?

La solution vient du site de sh404SEF qui a fourni une nouvelle version (béta) qui est la 1.0.19 compatible Joomfish.

Je l’ai essayé car je tenais à avoir un site multilingue sur Find a Party. Ce ne fût pas la panacée. Effectivement il n’y a plus d’erreurs graves, mais lorsque l’on passe d’une langue à l’autre, il arrive que des menus disparaissent…

J’ai donc opté pour ne garder que mes URL chéries et ai mis à la trappe l’idée d’un site multilingues en attendant qu’une version plus stable de sh404SEF soit produite.