Deux mois avec Google Home

Ce test a été réalisé sans aucune influence (fabricant, éditeur ou intermédiaire)

 

Cette année pour les vacances d’été, nous avons dû nous serrer un peu plus : un invité surprise s’est joint au voyage ! Distribué en France à compter du 08 août 2017, Google Home a trouvé sa place dans nos bagages.

Plutôt destiné, comme son nom l’indique, à une utilisation domestique, Google Home se glisse très facilement dans un sac et peut être très utile en déplacement. En vacances, puis à la maison, nous l’avons torturé testé pendant deux mois.

Après une rapide présentation de l’enceinte, nous verrons comment elle se configure et s’utilise. Mais ensuite, nous nous poserons la question de la sécurité. Et oui, puisqu’il ne s’agit pas d’une simple enceinte. Comme vous pouvez lui poser des questions, c’est donc qu’elle nous écoute, mais voulons-nous qu’elle nous écoute tout le temps…

Lire plus…

Brèves de Piaf #1

Bonjour,

Peu de temps disponible et pourtant tant d’informations à partager !

Ça fait maintenant plus de six mois que vous pouvez nous suivre sur Twitter (@monClavier_Blog) et retrouvez plusieurs articles intéressants par ce canal. Du coup, on va initier un nouveau format d’articles qui s’appelleront « Brèves de Piaf » (Piaf / oiseau / Twitter, je pense que tout le monde comprendra). Le but est de compléter rapidement le contenu d’un Tweet, limité à 140 caractères. À côté de ça, la rédaction d’articles complets continue et enrichiront le Blog régulièrement.

Pour la première édition, le contenu va être très complet puisque vous y retrouverez les tweets les plus intéressants depuis juin 2016 (le tweet le plus ancien en bas d’article). Les prochaines éditions ne devraient contenir que quelques Tweets.

Lire plus…

Hack in Paris 2016 – Résumé des conférences

Le Hack in Paris 2016 a eu lieu les 30 juin et 01 juillet 2016 à … Paris! Deux jours de conférences dédiées à la Sécurité Informatique avec des intervenants du monde entier.
Cet article contient un certain nombre de résumés de conférences ayant eu lieu durant ces deux jours. J’espère être resté fidèle aux propos des intervenants, mais il n’est pas exclus qu’une erreur se soit glissée. N’hésitez pas à commenter l’article pour indiquer une correction.

Parmi toutes les conférences, j’ai décidé de me focaliser sur cinq d’entre elles. Pour les autres conférences dont j’ai retrouvé la présentation, je mets le lien en bas de l’article. Au programme, les conférences traitées ci-dessous seront « Voting between sharks », « Whisper in the Wire: Voice Command Injection Reloaded », « What could have derailed the Northeast Regional no. 188? », « All Your Door Belong To Me – Attacking Physical Access Systems », « 3 APIs + 1000 lines of code = Super pretty OSINT ».

[Mise à jour du 20/09] J’ai mis les vidéos des conférences concernées directement dans chaque article, mais vous pouvez retrouver l’ensemble des présentations sur la Playlist YouTube : https://www.youtube.com/playlist?list=PL3UAg9Zuj1yJ_6pySNwbJWi_M1RqJU7Wf

Lire plus…

monClavier… à la française

Je ne sais pas si vous en avez entendu parler dernièrement, mais le gouvernement Français a décidé de se lancer dans un projet pour le moins surprenant : repenser nos claviers pour qu’ils soient plus adaptés à nos spécificités « à la française » : ‘Ç’, ‘æ’, ‘œ’, etc…

Si j’ai bien compris le principe, parce qu’on voit le contraire et son opposé sur les différents articles traitant du sujet, il ne serait pas prévu de repenser entièrement le clavier AZERTY que nous, francophones, connaissons, mais de simplifier les combinaisons de touches. Ainsi, comme pour taper un ‘|’ sur un clavier AZERTY classique (non Mac) en utilisant la combinaison « AltGr + 6 », on pourrait, par exemple, taper directement ‘æ’ en utilisant la combinaison « AltGr + a », un peu comme sur un clavier Mac (« Alt + a »).

Personnellement, je pense qu’il s’agit d’un faux problème. Il y a sûrement plus important à s’occuper. De plus, ajouter cette contrainte pour les fabricants de claviers et de systèmes va forcément engendrer un surcoût qui sera répercuté sur le prix d’achat, et au final, le client paiera deux fois : une première fois pour l’équipe qui sera chargée de définir les emplacements des caractères sur le clavier, ainsi que les combinaisons à utiliser – payée avec nos impôts ; et une deuxième fois lors de l’achat du produit.

Et du point de vue de l’utilité, je reste sceptique. Maintenant, tous les logiciels manipulant du texte sont équipés d’un correcteur orthographie qui permet de retrouver le bon orthographe, et quand ce n’est pas le cas, il suffit de faire un copier-coller depuis un logiciel qui le fait. Et en dernier recours, il reste l’ajout de caractères spéciaux. Ainsi, vous arriverez toujours à écrire un mot correctement sans perdre énormément de temps.

Au moins, ce sujet aura permis de mettre en lumière un type de clavier que je ne connaissais absolument pas : le bépo. Sur ce clavier, l’emplacement des touches a été repensé pour permettre une saisie optimisée, et donc plus rapide, des caractères spécifiques aux européens. Un peu comme pour le clavier QWERTY, où l’emplacement des caractères ‘A’, ‘Q’, ‘Z’ et ‘W’ ont été intervertis pour correspondre aux habitudes lexicales des anglophones. Les travaux d’élaboration du clavier ont commencé en 2003 et se sont terminés en 2008 (selon Wikipédia), et serait maintenant pris en charge par tous les systèmes d’exploitations actuellement répandus.

Voici à quoi ressemble un clavier Bépo - Par Ignace72 — Travail personnel, CC BY-SA 3.0

Voici à quoi ressemble un clavier Bépo – Par Ignace72 — Travail personnel, CC BY-SA 3.0

Une autre réflexion qui a été médiatisée quelques jours plus tôt me paraît plus censée : la réalisation d’un système d’exploitation « entièrement » français.

Dans le contexte difficile de la Sécurité Informatique, cette démarche est compréhensible, surtout après les déclarations d’Edward SNOWDEN concernant la surveillance massive de toutes communications par des agences de renseignements étatiques (majoritairement américaines).

Par contre, pour la réalisation, ils ne pourront pas partir de la feuille blanche. Ils n’auront d’autres choix que de s’appuyer sur un kernel, des librairies ou des logiciels déjà existants ou développés par des programmeurs ne travaillant pas pour l’État Français, donc avec la possibilité qu’ils contiennent des failles, présentes de façon délibérées ou non. D’ailleurs, le fait que cet OS soit développé en interne ne les protègeront pas des failles liées à des erreurs de codage, mais ils auront la main sur le code source et pourront, plus facilement, déployer les correctifs à apporter, en ayant toute confiance sur le distributeur.

Ce développement pourrait coûter très cher, avec le risque que le projet soit annulé en cours de route à cause du budget, mais représente un véritable intérêt ; bien plus grand que de réfléchir aux touches de nos claviers…

Gare à la pub : nouvelle méthode de diffusion de virus!

Il y a quelques années, quand on se retrouvait avec des virus sur son ordinateur, la première réaction des collègues et amis étaient « Forcément! Si tu ne vas que sur des sites porno ou de téléchargement de jeux. Moi je ne vais que sur Google, Yahoo et Facebook : aucun virus! ». Ce discours devrait très prochainement changer.

Les virus sont de plus en plus discrets et intrusifs et leurs méthodes d’infection évoluent également, en grande partie grâce au Social Engineering. Ce terme, qui peut paraître barbare, consiste à vous mettre en confiance pour vous inciter à faire des actions que vous n’auriez normalement pas réalisées (cliquer sur un lien, tenir la porte ouverte par gentillesse alors que vous entrez dans une zone sécurisée). Vous avez beau faire attention à toujours cacher votre code de carte bleue quand vous le taper sur le terminal de paiement, avec du Social Engineering vous ne vous rendrez même pas compte que vous avez entré votre code sous le regard d’une jolie blonde à robe rouge, ou le bellâtre suédois qui vient vous aborder, à moins qu’ils ne cherchent à détourner votre attention pour qu’une autre personne derrière vous en profite pour récupérer votre code.

Mais un nouveau palier vient d’être franchi, et là vous avez beau y faire attention, vous aurez du mal à déceler ce qui se passe sur votre ordinateur.

Sur Internet, je ne vous apprendrai rien si je vous dis que la publicité règne en maître. C’est le moyen de financement le plus facile et lucratif, tout en permettant de donner du contenu gratuit aux utilisateurs. Facebook, Google, Twitter, tous ces services vous semblent gratuits, mais il faut bien payer les centaines, les milliers de personnes qui travaillent pour ces entreprises et offrent toujours plus de contenu et de fonctionnalités. Et quel meilleur moyen de vous proposer de la publicité que de vous connaître personnellement : goûts, passions, travail, vacances, etc…, toutes ses informations qu’on fournit à ces entreprises.

Normalement, à ce moment-là, vous devriez vous dire deux choses : « j’aurai peut-être dû lire les Conditions Générales d’Utilisation »,  et « C’est quoi le rapport avec les virus? … ».

Des entreprises ayant pignons sur rue, comme Yahoo et AOL, se sont récemment rendus compte que leurs sites Internet propageaient des virus en toute discrétion. Pourtant, aucun fichier de ce genre n’est présent sur leurs serveurs. Les virus passent par la publicité qui s’affichent sur ces pages. Des pirates se sont payés les services de grandes sociétés chargées de la diffusion d’annonce, pour diffuser des publicités infectées, sous forme d’animations Flash. À première vue, il s’agit d’une publicité classique, c’est la raison pour laquelle elle a été acceptée et diffusée par ces intermédiaires entre le faux annonceur et le site en question, mais derrière elle fait appel à des mécanismes du fonctionnement des applications Flash contenant des failles de sécurité, qui lui permettent d’installer des virus du type Ransomwares (virus qui empêche l’accès à vos données, sauf si vous payer la rançon – pour être franc, je ne suis pas sûr que vous retrouviez vos données même si vous payer, mais c’est une autre histoire).

Il n’est donc plus nécessaire de cliquer sur un lien douteux, aller sur des sites pornographiques, ou des sites pour télécharger toutes sortes de fichiers, il vous suffit de faire une recherche sur Yahoo, de regarder la météo sur Weather.com ou encore faire vos enchères sur eBay. Et malheureusement, si ces grands groupes ont diffusés ces publicités, tous les sites reposant sur la publicité sont potentiellement devenus des diffuseurs de virus.

En réponse à cela, Google vient d’annoncer que la lecture des animations Flash ne serait plus possible sur son navigateur Chrome, rejoignant donc Apple, qui a fait le choix, il y a plusieurs années maintenant, de ne pas lire les animations Flash à travers son navigateur Safari.
De plus, maintenant que la méthode est connue, j’espère que des contrôles seront appliqués sur les publicités proposées.


Source : http://www.silicon.fr/nouvelle-vague-publicites-piegees-ransomware-124341.html <– ce lien est valide, vous pouvez cliquer dessus, vous avez confiance en moi…  🙂