Si vous gérez sur votre parc machine, l'antivirus AVG via la console AVG sachez qu'une bonne grosse faille de n00b vient d'y être découverte par la société SEC Consult.

Lors du processus d'authentification, la vérification des identifiants se fait tout simplement au niveau du client lourd et non pas du serveur. La console d'admin AVG récupère à partir du serveur la liste des noms d'utilisateurs et les mots de passe hashés correspondant pour faire la vérification.

Du coup, il suffit de patcher le binaire pour qu'il réponde toujours OK lorsqu'on entre n'importe quel mot de passe et HOP, l'attaquant aura alors un accès administrateur complet au serveur d'administration AVG.

Démonstration :

TROP MARRANT !

Edit : AVG vient de m'envoyer un communiqué que voici.

AVG a pris connaissance du rapport publié par le cabinet de conseil en sécurité, Sec Consult Vulnerability Lab. Avant même la publication du rapport, AVG avait répondu au Lab quant à la vulnérabilité d’AVG Remote Management.

Parmi les éléments mis en cause par ce rapport, AVG explique que seule l'exécution du code à distance nécessitait une correction immédiate ; correction effectuée le 29 avril. Après examen par les experts sécurité d’AVG, les autres éléments incriminés par ce rapport ne nécessitent pas de correction immédiate.

Si nécessaire, ces éléments feront l’objet, dans un futur proche, d’une mise à jour dans le cadre du programme AVG de maintenance des produits.

AVG est une entreprise de sécurité en ligne auprès de 187 millions d'utilisateurs actifs qui fournissent en continu des informations et évaluations sur les produits et échangent des conseils avec d'autres clients. Pour AVG, le partage des connaissances et la collaboration sont extrêmement importants dans le domaine de la sécurité en ligne et c’est pour ces raisons que l’entreprise tient compte des avis et analyses des cabinets de conseil indépendants, des experts et des clients.

Cet article merveilleux et sans aucun égal intitulé : Une faille très drôle dans la Console Admin d’AVG ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Si vous voulez faire une blague à un ami ou à vos 2 millions de followers, une seule adresse : shrturl.co !

Ce raccourcisseur d'URL permet de modifier les textes et les images d'une page et de générer un lien que vous pouvez ensuite envoyer à vos proches. Vous allez pouvoir raconter de grosses conneries, simuler des piratages de sites, mettre des photos bien cheloues sur des sites sérieux... Bref, vous amuser, simplement en double cliquant sur les contenus pour les éditer !

Je viens d'en poster une bonne sur Twitter, on va voir ;-)

Attention par contre, ça peut déconner un peu sur les sites bourrés de javascript.

Allez, bonne soirée

Source

Cet article merveilleux et sans aucun égal intitulé : Un site pour raconter de grosses conneries ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

TrueCrypt est mort et on n'en connait toujours pas la raison exacte. Et la nature a horreur du vide. Ça tombe bien puisqu'il y a VeraCrypt, un clone de TrueCrypt réalisé par la société française IDRIX qui en plus de reprendre le code de TrueCrypt, en a amélioré l’algorithme utilisé pour le chiffrement/ déchiffrement afin de le rendre résistant aux attaques par bruteforce.

For example, when the system partition is encrypted, TrueCrypt uses PBKDF2-RIPEMD160 with 1000 iterations whereas in VeraCrypt we use 327661. And for standard containers and other partitions, TrueCrypt uses at most 2000 iterations but VeraCrypt uses 655331 for RIPEMD160 and 500000 iterations for SHA-2 and Whirlpool.

Cela améliore donc la sécurité, mais rend plus longue l'ouverture des conteneurs chiffrés sans toutefois impacter les performances une fois le conteneur déchiffré et en utilisation. VeraCrypt existe depuis un moment, mais maintenant que TrueCrypt est cuitas les bananas, la société IDRIX ne pourra plus implémenter ses nouvelles fonctionnalités.

Notez que VeraCrypt n'est pas compatible avec les conteneurs de TrueCrypt et est dispo pour le moment uniquement pour Windows. Des versions Linux et OSX sont prévues pour cet été.

Les sources sont disponibles ici.

Source

Cet article merveilleux et sans aucun égal intitulé : Un clone de TrueCrypt ? Testez VeraCrypt ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Jusqu'à présent, le seul truc qui empêchait les honnêtes gens d'utiliser PopCorn Time (enfin, l'un de ses clones controversé), c'était le risque de se faire choper par Hadopi ou une police de l'Internet similaire. En effet, PopCorn Time permet de regarder des séries et des films en streaming via le réseau bittorrent. Du coup, votre IP est directement visible, exactement comme si vous téléchargiez un truc avec votre client BT classique.

Mais cette dernière barrière vient d'être abattue avec l'annonce par la team de Time4popcorn de l'intégration prochaine d'un VPN. Comme on peut le voir dans la version alpha pour Windows que vous pouvez récupérer ici, il y a maintenant une icône de cadenas. Lorsque vous cliquez dessus, le VPN se met en route et masquera alors votre IP aux yeux des curieux.

Le fournisseur du VPN est la société Kebrum (enregistrée aux Seychelles...) qui s'associe à PopCorn Time pour se faire un bon coup de pub.

We believe Popcorn Time is the revolution that will change the entertainment industry forever. And now, with our help, Popcorn Time can do for the world of internet anonymity the same as they will do for the world of entertainment.

Niveau vitesse, c'est quand même un peu plus lent, mais on n'a rien sans rien. En tout cas c'est une sacrée annonce qui va faire plaisir à beaucoup de monde.

On devrait voir débarquer cette nouvelle fonctionnalité d'ici quelques jours, lorsque cette nouvelle version de PopCorn Time sera proposée en version stable.

Edit : Notez que Time4PopCorn est une copy de la version originale de PopCorn Time, dont le code est à 99% déporté sur le serveur. Du coup, on ne sait pas exactement ce qui se passe sur la machine. Pour le coup, préférez-lui cette autre copie beaucoup plus propre et respectant la licence libre d'origine de PopCorn Time.

Et si vous l'avez manqué et que les films, ce n'est pas trop votre truc, je vous invite à jeter un oeil à HipHop qui fait "pareil" que PopCorn Time mais pour la musique.

Source

Cet article merveilleux et sans aucun égal intitulé : PopCorn Time va intégrer une connexion VPN ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

S'inspirant très largement de l'esprit Popcorn Time, voici venu Hip Hop, une application pour Mac, Windows et Linux qui permet d'écouter de la musique un peu comme sur Spotify à la différence prêt que Hip Hop va chercher sa musique sur les serveurs de Google. (Et non pas en Torrent comme le fait Popcorn Time pour les films)

Oui, HipHop propose 45 millions de chansons en allant choper le son des vidéos YouTube. Il choisit celles qui sont de la meilleure qualité possible et vous propose tout cela sans pub et sans inscription.

À partir de ces morceaux, HipHop vous permet même de créer vos playlists. L'application est encore jeune, ne propose pas beaucoup de fonctionnalités, mais fonctionne très bien. Les sources sont dispo sur Github et des applications iOS et Android devraient arriver prochainement.

Reste à savoir maintenant combien de temps ce service va durer. Google pourrait lui fermer le robinet et surtout les ayants droit pourraient mettre leurs avocats sur le coup histoire de tuer dans l'oeuf cette appli. L'avenir nous le dira.

Vous pouvez télécharger HipHop ici.

Cet article merveilleux et sans aucun égal intitulé : HipHop – Un clone de PopCorn Time mais pour la musique ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.