Durant la conf 44Con à Londres il y a quelques jours, le chercheur en sécurité Michael Jordon (rien à voir avec le copain de Bug Bunny) a présenté une faille qui en passant par l'interface web des imprimantes Canon PIXMA (accessible sans login ni mot de passe) lui permet de mettre à jour le firmware de l'imprimante comme bon lui semble.

Ça craint, car même si cette interface web ne présente que les niveaux d'encre et quelques infos sans intérêt, le fait qu'elle ne soit pas protégée est une sacrée négligence ! La preuve !

Ainsi, il a pu en modifiant certains paramètres, indiquer un autre serveur de mise à jour que celui de Canon et ainsi passer un firmware de sa fabrication. Ensuite, on peut tout imaginer... Une imprimante capable de lister et transmettre à un tiers, tous les documents imprimés ou encore une imprimante qui imprimerait ce que le hacker aura décidé.

Mais Michael Jordon est plus facétieux que cela puisqu'il a carrément intégré au firmware, une version de Doom qui s'affiche sur l'écran couleur de l'imprimante.

Sympa non ? Bon, évidemment, c'est pas de la full HD et ce n'est pas vraiment jouable, mais c'est un beau proof of concept qui montre une fois de plus qu'il n'y a pas que nos smartphones et nos ordinateurs qui peuvent nous trahir. Ça me rappelle la bonne époque où je jouais avec les imprimantes HP tiens...

Canon est informé de cette faille et a promis de sortir prochainement une mise à jour qui va corriger tout ça et mettre un login/mot de passe sur l'interface web de l'imprimante... avec "admin/admin" en identifiants ? On verra bien ;-)))))

Merci à hdb pour l'info !

Source

Cet article merveilleux et sans aucun égal intitulé : Une faille dans les imprimantes Canon Pixma ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Durant une bonne petite séance de procrastination, je suis tombé sur cet article du Monde qui traite de l'élevage en batterie des poules pondeuses. Bon, rien de nouveau là dessus, les animaux sont élevés dans des conditions de merde, mais ce qui a retenu mon attention, c'est cette petite astuce en fin d'article qui explique comment déterminer la méthode d'élevage de la poule qui a pondu les œufs que vous avez actuellement chez vous.

Et c'est plutôt simple... Car sur tous les oeufs vendus dans le commerce, il y a des choses écrites qui indiquent une date de ponte, une date limite de consommation et surtout un code...

Et c'est ce code qu'il faut regarder, car s'il commence par

• 0 : C'est un oeuf bio (On les masse, on leur fait des calins et elles mangent à leur faim)
• 1 : C'est un oeuf de poule élevée en plein air (Dehors, à l'air libre, où elles peuvent gambader dans la joie)
• 2 : C'est un oeuf de poule élevée au sol (Pas de cage, mais dans un bâtiment)
• 3 : C'est un oeuf de poule élevée en cage (voir article ci-dessus). D'ailleurs, c'est écrit aussi en toutes lettres et en petit sur la boite.

Du coup, les miens, c'est du code 3. Et le symbole FR ça veut dire que c'est produit en France et le reste du code indique l'éleveur et le bâtiment d'élevage. La traçabilité, c'est cool, mais encore faut-il savoir la déchiffrer.

Voilà, c'était juste une petite astuce en passant... Je viens d'apprendre un truc alors je partage.

Au moins maintenant, on saura faire la différence en toute conscience.

Plus d'infos sur la codification des oeufs ici.

Cet article merveilleux et sans aucun égal intitulé : Comment déchiffrer un oeuf ? ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Si vous vous êtes abonné à Netflix, afin de profiter du mois de découverte gratuite, mais que vous ne voulez pas vous faire "avoir" avec un renouvellement automatiquement, ce n'est pas la peine de surveiller anxieusement votre calendrier pour vous désabonner 30 jours plus tard.

Sachez que vous pouvez le faire tout de suite en vous rendant dans les options de votre compte et en cliquant sur le bouton "Annuler l'abonnement". Cette annulation prendra effet à la fin de votre date de "facturation", c'est à dire à la fin de votre période d'essai gratuit.

Ainsi, vous pourrez aller jusqu'à la fin de votre essai gratuit de Netflix, l'esprit tranquille, en sachant que vous ne serez pas débité ensuite. Notez que vos préférences seront conservées donc vous pourrez vous réabonner à tout moment.

PS : Et pour vous faire une idée du "catalogue" de films proposés par Netflix, j'ai un gentil lecteur qui s'est amusé à tous les extraire pour les mettre intégralement sur cette page.

Cet article merveilleux et sans aucun égal intitulé : Netflix – Comment aller jusqu’au bout de l’essai gratuit sans se faire débiter par surprise à la fin du mois ? ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Mes amis de Reflets viennent de publier un excellent article sur les liens de Giganews / VyperVPN avec le FBI. En effet, Nick Caputo, ancien employé de Giganews a balancé quelques infos à Cryptome et des documents / photos qui vont faire mal à tous les utilisateurs de ces services.

Créé en 1994, Giganews est un service de newsgroup bien connu de tous, et surtout des téléchargeurs. En marge de leur activité de newsgroups, ils ont, il y a quelques années, lancé aussi en partenariat avec Golden Frog, VyprVPN qui comme son nom l'indique est une solution de VPN.

Nick Caputo a commencé à travailler pour Giganews en 2009 et est rapidement devenu intégnieur système. En tant que pirate lui-même, il était ravis de pouvoir aider les clients à télécharger illégalement. Ce qu'il faut savoir c'est que pour héberger ses newsgroups, Giganews passe par les data centers de Data Foundry. Giganews et Data Foundry sont des sociétés très proches... Si proches qu'elles partagent même leurs employés.

Seulement, il n'y a pas que des films piratés sur Giganews... Il y a aussi pas mal de pédopornographie. Et c'est suite à une discussion sur le sujet avec le CEO de Data Foundry, que Nick a pris l'initiative de supprimer tout le contenu pédophile des serveurs Usenet.

Il pensait bien faire, mais apparemment, c'était une grave erreur ! En effet, sous prétexte qu'il avait interféré avec des enquêtes de police en cours, il a été sermonné par les admins en chef de Giganews et Data Foundry, puis licencié... et ces derniers ont restauré à partir de backups, toute la pédopornographie que Nick avait supprimée.

Quelques mois plus tard, encore mal à l'aise avec toute cette histoire, Nick contacte par email le FBI pour parler de groupes Usenet pédophiles qu'il avait supprimés et suite à ça, le FBI l'a invité dans ses bureaux à Austin pour un entretien. C'est lors de cet entretien que l'agent spécial Scott Kibbey a expliqué à Nick Caputo qu'il connaissait très bien le CEO de Giganews / Data Foundry.

L'agent du FBI a alors permis à Nick Caputo de réintégrer Giganews sous une nouvelle identité et de travailler pour le FBI sous couverture. C'est alors qu'il a compris que cette personne était l'un de ses collègues depuis qu'il avait commencé en 2009. D'après ce que Nick explique, l'agent spécial Scott Kibbey est le chef de toute cette opération infiltration de Giganews / Data Foundry qui dure depuis des années. Ce dernier est un responsable de Data Foundry et un top admin de Giganews et a donc un accès libre aux images des OS, aux noyaux des serveurs, aux patchs, à la config entière des services, aux logs, et à tous les services annexes de Giganews / Data Foundry comme Usenet.net, Supernews, Rhino Newsgroups, Powerusenet et bien sûr VyprVPN.

D'après certaines rumeurs, il aurait même livré des logs de VyprVPN à la police chinoise en 2009. Si les révélations de Nick Caputo sont vraies, il est clair que VyprVPN n'est pas un VPN de confiance et tous les utilisateurs de Giganews sont "surveillés" par le FBI lorsqu'ils s'y connectent, uploadent ou downloadent des trucs. Et c'est la même chose si un fournisseur de Usenet tiers se branche sur les serveurs de Giganews pour synchroniser son contenu.

Si toute cette histoire est vraie, ça pue vraiment. Nick Caputo demande dans sa lettre à Cryptome, que tous les fournisseurs d'accès Usenet arrêtent de se brancher sur les serveurs de Giganews et explique qu'il prend un gros risque en faisant toutes ces révélations, l'agent Kibbey l'ayant menacé lui et sa famille.

Évidemment, prendre un VPN "américain" ce n'est pas ce qu'il y a de plus malin. Je n'ai jamais testé VyprVPN, par contre Giganews, c'est clair que c'est un service de Usenet que j'ai souvent pris en exemple tant il est connu et reconnu de tous. Et bien avant les révélations de Snowden ou de Nick Caputo, il était difficilement imaginable que le FBI puisse être installé si profondément et à un si haut niveau dans une société comme celle-ci. Bien que finalement, ça ne soit pas vraiment une surprise, ces nouvelles révélations distillent encore plus le doute sur toutes les sociétés (grandes, petites, aux US, en France ou ailleurs) dans lesquelles nous plaçons, si petite soit-elle, notre confiance.

En conclusion, si ça se vérifie, je reprendrai tout simplement le conseil que donne Nick Caputo à tous les clients de Golden Frog / Giganews / VyprVPN / Data Foundry est simple : Fuyez !

Edit : Et voici la réponse de la société Giganews qui dément toute cette histoire... Je vous laisse seuls juges. J'avoue ne pas être convaincu par leurs arguments chelous....

This is a hoax. These allegations are 100% false.

Unfortunately, since his termination, the poster has periodically posted versions of this information online. Sometimes, he tries to misrepresent himself as our CEO and sometimes he posts as himself. Here are some examples of his previous writings over the last 18 months:

Nuclear Reactors? Our third CEO is Baal? Illuminati? "The Giganews logo is a red colored shield - subtle homage to the legendary Rothschild family"

http://pastebin.com/gM9mN7gS http://ronyokubaitis.wordpress.com/2013/01/22/i-am-ron-yokub...

In addition, we believe he runs a Twitter account (@AngelicPsalms) that accuses random companies, including Giganews, of being controlled by demons and governments:

https://twitter.com/AngelicPsalms/status/510175616352923648

@Golden_Frog @VyprVPN & @Giganews servers are run by FBI Special Agent Scott Kibbey. Do you really want FBI to handle your internet privacy?

https://twitter.com/AngelicPsalms/status/510599892373614592

Angel Yeiazel counters the demon who steals from King's houses, destroys cities & honors, &reveals past&future. Eg:#Credit reports, @Equifax

Hey even, Harley Davidson isn't safe either:

https://twitter.com/AngelicPsalms/status/499732005350031360

Angel Yezalel counters the demon on a pale horse w/trumpeters seen 1st as fierce/after as an innocent girl;Eg:Jeffrey Dahmer,@harleydavidson

We know Cryptome welcomes documents that expose secret governance, but that's not the case here. These allegations are sadly from someone who needs help.

We posted more links and info on Twitter:

https://twitter.com/Giganews/status/511587414683291648

Thanks, Giganews

 

Cet article merveilleux et sans aucun égal intitulé : Giganews / VyprVPN infiltré par le FBI jusqu’à la moelle ? ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Voici un petit outil fort sympathique puisqu'il permet de récupérer en brut vos sauvegardes Apple stockées sur iCloud. Toute ressemblance avec une histoire de vedettes récente ne serait que fortuite.

Ce script Python nommé iLoot nécessite des bibliothèques comme protobuf et pycryto (à installer avec easy_install) et s'utilise comme ceci :

python iloot.py VotreAppleID VotreMotDePasse

Le script se connectera aux serveurs d'Apple et vous proposera les différentes sauvegardes disponibles. A vous de choisir et celui-ci téléchargera les bases (SQLite) de vos SMS, contacts, calendriers, photos...etc. Par contre, j'imagine que cette manip n'est pas autorisée par les CGU d'Apple... C'est donc à vos risques et périls.

Pratique ! Toutes les infos sont ici.

 

Cet article merveilleux et sans aucun égal intitulé : iLoot – Un script pour récupérer vos sauvegardes iCloud ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.