J’ignore pourquoi, mais depuis plusieurs semaines, j’ai de la pub dans Instagram pour un tracker GPS made in China (GF-07). Je me suis dit que ce serait cool de le tester, alors j’en ai commandé un pour voir exactement ce que ça faisait…

Rappel : Il est illégal d’utiliser ce genre d’appareil pour espionner d’autres personnes. Si vous le faites, vous irez probablement en prison pour de longues années.

Ce midi, j’en ai donc profité pour vous faire un petit test en live sur Instagram.

En conclusion, c’est un gadget rigolo, mais totalement décevant sur la partie tracking GPS.

Depuis la rentrée de septembre, je reçois ainsi que mes associés de YesWeHack, de nombreuses demandes de sociétés à la recherche d’une seule et même chose : des pentesteurs.

Les besoins en pentest augmentent notamment à cause du RGPD et de l’obligation de moyens à laquelle doivent répondre les sociétés doivent se conformer.

Malheureusement, recruter des pentesteurs est très compliqué, et elles se confrontent à une pénurie chronique (et s’aggravant) de profils cybersécurité sur le marché du travail.

Pas assez de candidats, car pas assez d’écoles et pas assez de formations. D’après l'(ISC)², il y aurait actuellement une « pénurie mondiale d’environ 3 millions de profils cybersécurité« .

Autant dire qu’il faudra de nombreuses pour résorber tout cela, sachant que la demande ne cesse de croître en parallèle.

Les entreprises en mal de recrutement se tournent alors vers les sociétés spécialisées en cybersécurité offrant des prestations de pentests, mais ces derniers ne peuvent répondre à la demande, tant leur carnet de commandes est déjà rempli. De plus, elles sont confrontées au même problème de recrutement d’experts en sécurité que leurs clients.

Bref, c’est assez tendu en ce moment et tout le monde commence à désespérer, RSSI en tête.

Alors en attendant, comment répondre à vos besoins pressants de pentests, sans pour autant dépenser des fortunes ni reporter vos audits aux calendes grecques ?

Et bien la réponse tient en 2 jolis mots d’anglais : Crowdsourced Security.

Autrement dit, le Bug Bounty qui permet de s’appuyer sur une communauté illimitée d’experts en sécurité capables de pentester les applicatifs, webservices, objets connectés, etc. Cela permet aux entreprises avec des besoins de pentests d’assurer leur maintien en condition de sécurité, malgré un marché du recrutement ultra-tendu.

Chez YesWeHack, épaulés par nos 6 000 chercheurs en sécurité, nous sommes capables de répondre à ce besoin immédiatement, sans aucune difficulté. D’ailleurs, nos clients comme Blablacar, Dailymotion, Qwant ou encore OVH pour ne citer qu’eux, l’ont bien compris et continuent à sécuriser sereinement leurs périmètres malgré la crise du recrutement et des prestataires toujours plus débordés.

Ils réduisent ainsi le délai entre l’apparition et la détection des vulnérabilités, tout en accélérant leurs développements et mises à jour sans avoir besoin d’attendre les résultats du prochain audit.

Ainsi, ils gardent la maîtrise de leur budget, du périmètre testé, de la durée et de la profondeur des tests, tout en s’appuyant sur une plateforme de confiance.

Voilà, j’espère que le message est passé. Si vous êtes confronté à ces difficultés relatives aux pentests, n’attendez plus et contactez-nous.

Bonne fin de semaine à tous !

Depuis plusieurs semaines, j’ai en test à la maison une caméra de sécurité : La C2 Wifi de Honeywell.

Son look est sympa et sa caméra offre un grand-angle vraiment top de 145° et une résolution HD 1080p. Niveau installation, c’est du no-brain… Rien de compliqué donc pas besoin d’être un génie de la domotique pour la configurer.

Comme toutes les caméras wifi (à mon grand regret), elle fonctionne via le cloud. C’est-à-dire que pour y accéder, vous devrez vous créer un compte sur l’application et les éventuelles vidéos enregistrées sont accessibles depuis les serveurs d’Honeywell. Toutefois celle-ci embarqué une carte SD qui permet de conserver une trace des images, même quand le Wifi est coupé.

Le cloud est un choix assumé par la plupart des fabricants de caméras wifi, qu’ils contrebalancent généralement par une sécurisation de leurs infrastructures afin de rassurer leurs clients.

Après en termes de fonctionnalités, la caméra dispose d’une vision nocturne de très bonne qualité. Bien meilleure que sur les précédentes caméras que j’ai déjà testées. D’ailleurs, cela a déjà déclenché la détection d’un papillon de nuit passant devant, visible sous la forme d’un point lumineux. La bonne nouvelle c’est que la sensibilité de détection peut-être réglée donc il est possible de déclencher l’enregistrement que lorsqu’il s’agit de mouvements beaucoup plus prononcés qu’un volet automatique qui se ferme.

Si vous avez un animal domestique, un ventilateur ou des trucs qui s’allument et s’éteignent tout seul, il est possible de définir des zones d’alerte. Ainsi vous pourrez augmenter la sensibilité de la caméra autour des portes ou des fenêtres et la réduire voire stopper la détection (donc les alertes) par exemple au sol (pour le chien). A vous de voir comment configurer cela.

La caméra détecte aussi les sons (pour recevoir une alerte quand bébé pleure ou pour les alertes monoxyde ou fumées si vous avez un détecteur compatible), permet de parler aux gens chez vous via un micro, et de prendre des photos à distance.

Évidemment, lorsqu’une intrusion est détectée, celle-ci est automatiquement sauvegardée et vous recevez une alerte sur votre téléphone portable. Mais vous pouvez aussi vous en servir tout simplement comme d’un baby-vidéophone. Par contre, elle n’est pas étanche et ne peut donc pas être installée à l’extérieur.

Enfin, si vous ne voulez pas être filmé lorsque vous êtes chez vous, il est possible de désactiver l’enregistrement automatiquement grâce à une fonctionnalité de geofencing. Cela permet à la caméra de savoir, grâce à votre smartphone, si vous êtes chez vous ou pas (vive le GPS). Ainsi, lorsque vous quittez votre domicile, la caméra se déclenche et lorsque vous approchez de votre domicile, celle-ci se coupe.

Voilà pour mes petits retours sur cette caméra. C’est une bonne petite caméra wifi qui fait exactement ce qu’on attend d’elle, sans aucune difficulté et avec une excellente qualité d’image. Je dois quand même vous dire que laisser tourner une caméra H24 à la maison ce n’est pas mon trip par contre, lorsque je suis en vacances ou pour le bureau c’est parfait.

Je l’aurai quand même bien installé à l’extérieur aussi, mais malheureusement, cela n’a pas été prévu par Honeywell. Tant pis.

+ d’infos ici

Vous avez aimé le film Tron Legacy et vous voulez vivre dans le cyber-turfu ? Alors j’ai ce qu’il vous faut !

Il s’agit de eDEX-UI, une interface au look épuré inspirée du film et destinée à être installée sur n’importe quel ordinateur Windows, Mac ou Linux (C’est de l’Electron). Il s’agit d’un fork de dex-ui. Ce dernier n’a pas été mis à jour depuis 2015, ce qui a donné envie au développeur de eDEX-UI de proposer sa version.

eDEX-UI est clairement destiné aux écrans tactiles, mais il fonctionnera aussi très bien sur un ordinateur classique ou une tablette.

Cette interface propose un terminal configurable, un explorateur de fichier, du live monitoring de la machine et du réseau ainsi qu’un clavier. Tout est configurable, et vous pouvez créer vos propres thèmes.

Si ça vous dit d’essayer, vous trouverez les binaires ici.

+ d’infos ici.

Dan est l’heureux propriétaire d’une Tesla et nouvel inscrit sur le forum de Tesla. Et ce qui lui est arrivé est plutôt amusant… Après avoir rédigé un post au sujet des horribles délais de livraison, il a souhaité l’éditer pour changer quelques petits détails… Et là, paf, c’est le thread (la conversation) entier qui disparait. Bizarrement, bien qu’il soit le propriétaire (« owner » en anglais) d’une Tesla, il n’est pas référencé comme tel sur le forum et ne peut donc pas poster plus d’un message par jour.

Dan appelle alors le support téléphonique de Tesla afin de se faire reconnaitre comme « owner » de Tesla. La personne du support Tesla qu’il a au bout du film lui explique alors qu’il ne sait rien au sujet de forums et que cela n’a surement pas de rapport avec le site officiel. Dan lui explique alors que l’URL est bien forums.tesla.com et l’agent décide alors de transmettre la demande de Dan au service informatique de Tesla.

On peut imaginer que cet agent demande littéralement au service informatique de passer le compte de Dan en compte « owner ». Ce qu’ils font sans réfléchir et c’est ainsi que quelques heures plus tard, Dan se retrouve avec les droits super admin sur tous les forums de Tesla.

Oups !

En explorant ses nouveaux super pouvoirs, Dan se rend compte qu’il peut éditer ou supprimer les posts de n’importe qui, et consulter les informations de contact de plus de 1,5 million d’inscrits.

Il retrouve alors les comptes de voisins et d’amis propriétaires de Tesla, mais aussi d’Elon Musk qui apparemment ne s’est pas connecté sur les forums depuis environ 3 ans et demi.

Il découvre aussi que plusieurs comptes admins sur les forums sont liés à des boites mail autres que @tesla.com.

Et en cherchant à republier son premier thread disparu, Dan efface par mégarde des centaines de conversations. La boulette !

Évidemment, il prévient Tesla et publie un article sur son blog où il raconte toute cette aventure. Suite à cela, Tesla lui a remis des droits plus classiques, a fait le ménage parmi les comptes admin étranges (des anciens employés semble-t-il) et a invité Dan a soumettre le souci via son programme de Bug Bounty.

N’empêche, trop fort le Dan. Sans le vouloir, et sans forcer, il a réussi à mener à bien une opération de social engineering auprès du service informatique de Tesla. Moi je dis respect. 😉

Source