Pirate Informatique - Avril

Transcription

+ En CadEau : 2 magazines complets offerts
sur lE Cd
[InformatIque]
les cahiers du hacker
[ I n f o r m a t I q u e ] 25
Le Guide
du
100%
HackinG
cD
Hacker
Prenez
avec
grat
> plus De 50 ficuit
hes
pratiques
le
contrôle !
Keylogger
Espionnez
qui écrit quoi
sur votre clavier
Surveillance
Bloquez Google,
la NSA et le
gouvernement
Télécharger
Le guide pratique
pour télécharger
sur Seedbox
SOMMAIRE
Protection/AnonymAt
12
ZHPCleaner : en finir avec les
redirections d’URL
13-15
Communiquez en toute sécurité
avec Off-tHe-reCOrd
13
Découvrez OTR
16-19
Échappez à la surveillance de gOOgle
20-21
16
miCrOfiCHes
hAcking
24-27
darkCOmet rat :
prenez le contrôle à distance !
24
32
32-33
PHrOZen keylOgger :
enregistrez les frappes au clavier
34-35
28-31
TrueCrypt est mort ?
Vive VeraCryPt !
2
déblOqueZ n’importe quel Pdf !
36-37
miCrOfiCHes
les cahiers du hacker
multimédiA
[InformatIque]
39-43
N°25– Mai/Juillet 2015
Tout savoir sur
les seedbOx...
Une publication du groupe ID Presse.
27, bd Charles Moretti - 13014 Marseille
E-mail : [email protected]
Directeur de la publication :
David Côme
Kim Kaphwan : Benoît BAILLEUL
Joe Higashi : Yann Peyrot
Andy & Terry Bogard :
Thomas Povéda & Pierre Corbinais
Chonrei & Chonshu Jin :
Stéphanie Compain & Sergueï Afanasiuk
Mai Shiranui : Karima Allali
44-45
i2Psnark :
quand I2P permet de
télécharger
imprimé en france par
/ Printed in france by :
Léonce Deprez
ZI Le Moulin 62620 Ruitz
Distribution : MLP
Dépôt légal : à parution
Commission paritaire : en cours
ISSN : 1969 - 8631
46-47
Saisissez vos captchas en
vadrouille avec jdCaPtCHa
50-51
Édito
> NoTRe SÉLeCTIoN De maTÉRIeLS
«Pirate Informatique» est édité
48-49
par SARL ID Presse, RCS : Marseille 491 497 665
Capital social : 2000,00 €
miCrOfiCHes
Parution : 4 numéros par an.
notre
teSt
Il n’est pas toujours facile de contenter plus de 35 000 lecteurs
potentiels. Entre les plus de 50 ans qui préfèrent la rubrique
Protection & Anonymat, les moins de 16 qui plébiscitent Multimédia
et les autres qui ne jurent que par les coins Hacking et Matos, il faut
savoir jongler. Sans compter qu’il y a aussi des femmes (et si c’est
prouvé !), des lecteurs qui nous ont découverts en téléchargeant
illégalement le magazine (ha les salauds ! :) et les acheteurs
compulsifs qui restent au final pour le sérieux de nos démonstrations.
C’est pour y voir plus clair dans toutes ces tendances et mieux vous
connaître que nous avons décidé de réaliser un grand sondage en
ligne. Pour y répondre, rendez-vous à la page 22 de ce numéro et
n’hésitez pas à nous laisser vos impressions. Sur toutes les réponses,
nous tirerons un lecteur au hasard. Ce dernier sera le gagnant d’une
clé USB contenant tous les numéros du magazine ! Il sera le seul
à en profiter jusqu’au moment où nous déciderons de les faire se
reproduire (mais chut, c’est une surprise)...
La reproduction, même partielle, des articles et
illustrations parues dans «Pirate Informatique» est
interdite. Copyrights et tous droits réservés ID Presse.
La rédaction n’est pas responsable des textes et photos
communiqués. Sauf accord particulier, les manuscrits,
photos et dessins adressés à la rédaction ne sont ni
rendus ni renvoyés. Les indications de prix et d’adresses
figurant dans les pages rédactionnelles sont données à
titre d’information, sans aucun but publicitaire.
Comme à chaque fois, vous retrouverez sur notre CD
tous les logiciels dont nous parlons dans le magazine
ainsi que certains anciens articles qui vous aideront
à mieux comprendre nos démonstrations. Enfin, nous
vous invitons à vous rendre à la page 23 pour vous
abonner gratuitement à la mailing-list de magazine et
être tenu au courant des parutions.
N’hésitez pas à nous faire part de vos
commentaires et de vos souhaits pour les
prochaines éditions sur
[email protected]
Bonne lecture !
Benoît BAILLEUL.
3
H cktualités
Quand amazon «pirate»
votre pirate...
Comme tout le monde, il nous arrive de commander sur
Amazon et comme tout le monde, nous recevons souvent
des e-mails de cette compagnie pour nous inciter à acheter
d’autres produits. D’autres produits d’accord, mais nous
étions loin d’imaginer recevoir une offre pour...notre propre
magazine ! Car sur le Kindle Store, il est possible de vendre
ses propres livres à qui veut bien les acheter ! Quelques
minutes à scanner, une image pour illustrer et hop, sur le
Store prêt à être vendu ! Sur l’annonce que nous avons reçue,
le nom du rédacteur en chef est même inscrit ce qui pouvait
laisser penser qu’il s’agit d’un livre «officiel», un comble pour
un scan aussi mal fichu (il est possible d’avoir un aperçu des
livres dans le Kindle Store) ! Comme vous le savez, nous
encourageons le téléchargement de notre publication comme
source de partage de l’information, mais dans ce cas précis il
ne s’agit pas de partage. En effet le petit malin qui a scanné le
magazine espérait en tirer profit (5,05 €, soit plus cher que la version papier et sans le
CD) et comme Amazon prend sa part du gâteau, la société est complice ! Nous sommes
donc entrés en contact avec la division française qui nous a orientés vers le service qui
s’occupe des droits d’auteur à...Seattle. Plus près, c’est pas possible ? Nous avons donc
expliqué (poliment) dans notre plus bel anglais la raison de notre courroux. Amazon
n’a pas traîné et a fait retirer l’annonce très rapidement. Le problème c’est que si Untel
peut vendre n’importe quoi sur le magasin en ligne, qui vérifie qu’il ne s’agit pas de
contrefaçons ? Amazon pourrait objecter que cela constituerait un vrai travail de fourmi
et qu’il ne font qu’«héberger» du contenu... La défense de ceux qui se font condamner
pour contrefaçon en quelque sorte... Rappelons que si vous souhaitez une version
dématérialisée de votre magazine, vous pouvez le faire ici : http://goo.gl/653b5C
L'e-mail reçu par notre
rédacteur en chef...
Comme toute bonne
contrefaçon chinoise,
il y a une faute de
syntaxe ! Notre «Benoît»
s'écrit avec un accent
circonflexe. Amateurs !
La Liberté c’est simpLe comme un e-maiL
Si vous vous retrouvez en prison (ça peut aller vite maintenant, voir notre article page 8), vous
pourrez toujours tenter de vous en sortir comme l’a fait Neil Moore. Cet escroc anglais spécialiste du
social engineering a tout simplement envoyé un e-mail à la direction de sa prison pour demander sa
libération. Notre ami a imité le nom de domaine de l’administration pénitentiaire dans son courrier.
Le fait que le nom copié comporte des traits d’union au lieu de points n’a apparemment gêné
personne et Neil s’est retrouvé dehors. L’histoire se termine mal pour notre inventif «hacker»
puisque le risque de se prendre plusieurs années de détention supplémentaires l’a incité
à se rendre... En tout cas, Michael Scofield n’avait pas pensé à ça !
4
Dernière minute - Dernière minute - Dernière minute - Dernière minute - Dernière minute
Affaire TV5 Monde : c'est
la France qu'on attaque !
La nouvelle est tombée le jour du bouclage du
magazine que vous tenez dans les mains et, à
l’heure où nous écrivons ces lignes, l’attaque n’a
pas encore été complètement endiguée, mais les
faits sont là : TV5 Monde a été piraté dans les
grandes largeurs ! Même si vous ne savez pas
vraiment sur quel canal cette chaîne se trouve sur
votre box TV, elle est très populaire à l’étranger
auprès des francophones et des Français expatriés.
Il s’agit du deuxième plus grand réseau mondial
de télévision (257 millions de foyers dans plus de
200 pays selon Wikipédia) : une sacrée vitrine !
Car non seulement les sites et comptes des réseaux
sociaux Facebook, Twitter et YouTube ont été
«défacés» (changement de la page d’accueil par
des messages de propagande islamiste-intégriste),
mais la diffusion de cette chaîne a même été
suspendue. Selon le site breaking3zero.
com, ce piratage a été effectué via une faille
Java sur un ordinateur disposant de droits
étendus. Un simple fichier .vbs du nom de
ISIS caché dans un document HTML a ainsi
pu déclencher ce désastre en se répandant
dans tout le réseau jusqu’à atteindre le serveur
qui transmet les vidéos. C’est d’ailleurs ce
dernier qui a été «coupé» par la chaîne privant
les téléspectateurs d’image. En effet le but de
cette attaque était bien de prendre le contrôle
du flux vidéo de TV5 Monde qui diffuse 24h/24.
Pour diffuser ses propres programmes ? Juste pour
les interrompre ? Nous reviendrons en détail sur
cette affaire, mais une chose est sûre : ce ne sont
pas des pancartes «Je suis TV5 Monde» qui vont
nous aider...
T411 bloqué ?
quand la jusTice ne serT à rien...
Ça y est, c'est officiel : les principaux FAI français ont été obligé de bloquer
l'accès du plus populaire tracker semi-public. La Société Civile des Producteurs
de Phonogrammes (SCPP) a donc obtenu gain de cause auprès du TGI de Paris
et comme la décision rendue pour The Pirate Bay, cette mesure ne servira à rien.
En effet les administrateurs de T411 n'ont pas attendu la décision de justice pour
migrer d'un .me à un .io. Comme toute l'affaire concernait T411.me et qu'il s'agit en
plus d'un vulgaire blocage au niveau des DNS (le service qui permet de relier l'IP
d'un site à son nom de domaine) toute cette débauche d'énergie et d'argent public
est caduque. Même dans le cas d'un autre verdict en faveur de la SCPP il existe des
moyens détournés pour accéder aux sites bloqués de la sorte : changement du fichier hosts, proxy, VPN, changement
de DNS, etc. Et qui paye pour tout ce ramdam judiciaire ? Vous ! Et même votre voisine de palier de 88 ans qui n'a jamais
mis les pieds sur «un Ternet» (ou un autre). Dans notre prochain numéro, ne ratez pas notre article sur les moyens de
contourner ces blocages... Les plus impatients pourront aussi jeter un œil à ce document : http://goo.gl/GF43Wn
5
H cktualités
Comment faire péter les plombs d’un administrateur
système en une phrase :
Si votre système de sécurité avait été mieux
conçu, cela n’aurait aucune importance que mon
mot de passe soit «mot de passe».
La pensée
skynet/Matrix
du jour
SMBC by Zach Weiner
TrueCrypt 7.1a est
sûr...C'est sûr !
Nous vous avions déjà parlé de l'abandon du projet
TrueCrypt (TC) par ses propres créateurs. Le mystère
entourait la dernière version 7.2 c'est pourquoi un audit de
la version 7.1a a été organisé pour vérifier que cette dernière ne comportait aucune porte dérobée permettant aux services secrets de voler
les données contenues dans les conteneurs chiffrés. Gros soulagement du côté des amoureux de TC puisque cet audit n'a pas montré le
moindre signe de malveillance. Seules 4 failles mineures et inexploitables ont été mises en lumière et les cryptanalystes de Cryptography
Services ont décrété que cette 7.1a de TC était considérée comme
«fiable». Vous pouvez donc continuer à l'utiliser, mais pourquoi ne
pas essayer VeraCrypt (voir notre article et l'interview de son auteur
à la page 28) ? Ce dernier est compatible avec les conteneurs TC tout
en proposant un chiffrement plus rapide. La dernière version 1.0f-2 a
même colmaté les 4 failles mineures ! Merci Mounir !
6
«Un tiers des mariages
actuels sont issus de sites de
rencontre en ligne. Cela veut
dire que les ordinateurs ont
déjà commencé à "élever" les
humains ?»
Chez votre marC
hand
de journaux
Min
i Pr
ix
2 ,90€
seul
eme
nt
Le100%1androidmagazine
et 100% pratique
er
H cktualités
Loi Renseignement :
La LégaLisation
de
Big
BRotheR
Cela fait longtemps que nous vous parlons de surveillance de masse dans Pirate
Informatique, que nous vous expliquons qu’elle est matériellement possible et peut-être
déjà mise en place. Autant vous dire que la volonté de la légaliser via la Loi Renseignement
n’a rien de rassurant.
8
S
i vous venez d’acheter ce magazine
en kiosque, quelques semaines
à peine séparent la rédaction de
cet article et sa lecture. Quelques
semaines, ce n’est pas grand-chose, et
pourtant, en ce laps de temps, les libertés
individuelles des Français, leur vie privée
et la démocratie en général ont peutêtre pris du plomb dans l’aile, du genre
calibre 12. C’est qu’entre-temps, il y a eu le
16 avril, et qu’a été voté (ou non) le projet
de loi Renseignement proposé par
Manuel Valls.
Si la majorité des députés s’est opposée
à cette loi, et c’est tout ce qu’on vous
souhaite, restez tout de même vigilants,
car il y a de fortes chances que le
gouvernement essaye de la refaire
passer au prochain attentat terroriste
histoire d’avoir l’opinion publique dans la
poche. Si elle est passée... désolé de vous
l’apprendre, mais vous êtes tous bien
dans la mouise (sauf vous Monsieur Valls,
bien évidemment…).
Officiellement, le projet de loi
Renseignement a pour but de faciliter
la lutte du gouvernement contre le
terrorisme. Dans les faits, c’est juste la
fête du slip, il n’y a pas d’autres mots.
Pour bien comprendre ce que cette loi
implique, il convient de se rappeler
comment ça se passait avant (ou dans le
meilleur des cas, comment ça se passe
encore maintenant).
La liberté, avant-après
Dans l’avant-Loi Renseignement,
c’est bien simple : le gouvernement
a le droit de surveiller un peu qui il
veut et comme il veut tant que cela
reste dans un cadre judiciaire, c’està-dire que la personne concernée est
suspectée d’enfreindre la loi et qu’un
juge a autorisé cette surveillance. Les
bad guys sont surveillés pour permettre
leur arrestation, jusqu’ici tout va bien.
Mais il y a des exceptions : l’obtention de
listes d’appels, l’écoute téléphonique, la
géolocalisation de téléphones portables
et la consultation de métadonnées des
e-mails peuvent ainsi être autorisées
sans juge à titre exceptionnel dans le
cadre de «sécurité nationale, de sauvegarde
des éléments essentiels du potentiel
scientifique et économique de la France,
de la prévention du terrorisme, de la
criminalité et de la délinquance organisées
et de la reconstitution ou du maintien [...] de
groupes de combats et de milices privées».
Ces exceptions peuvent paraître
douteuses, surtout en raison du motif
de «sécurité nationale» qui demeure un
gros fourre-tout juridique. Eh bien, la Loi
Renseignement, ce sont ces exceptions,
étendues, facilitées, généralisées,
devenues règles. Concrètement, cela
signifie que le Premier ministre peut
ordonner la surveillance de n’importe
qui sans nécessairement avoir l’aval d’un
juge. Comme avant, il peut demander les
listes d’appels, l’écoute téléphonique, la
géolocalisation mobile et les métadonnées
de mails, mais à cela s’ajoute l’accès aux
contenus des mails, la pose de balises
GPS sur un véhicule, la pose de micros et
caméras dans le domicile ou le véhicule
et l’usage de keyloggers. Tout, quoi. Et
bien sûr, ces mesures n’ont plus rien
d’«exceptionnel». Bien sûr, les demandes
de surveillance doivent être justifiées par
des motifs, mais c’est précisément là que
la Loi Surveillance devient sournoise.
Une absence totale
de contrôle
En théorie, la surveillance ne peut être
demandée que si elle répond aux motifs
cités plus haut (sécurité nationale, etc.)
auxquels s’ajoutent les «intérêts essentiels
de politique étrangère» et la «prolifération
des armes de destruction massive ainsi que
des violences collectives pouvant porter
gravement atteinte à la paix publique».
Le concept de sécurité nationale est
toujours aussi flou, mais cela importe peu
puisqu’après tout, aucun juge n’a à statuer
sur la légitimité de la demande.
Le seul contrôle auquel les surveillances
peuvent être soumises est celui de
la CNCTR (Commission Nationale
de Contrôle des Techniques de
Renseignements), organisme créé
spécialement pour l’occasion. Composée
de 9 membres, la CNCTR a pour
mission de vérifier que les services de
renseignement ne dépassent pas le cadre
de la loi et qu’ils n’emploient pas de
moyens démesurés. Elle peut être saisie
par «toute personne ayant un intérêt
direct et personnel» dans une affaire
de surveillance ainsi que s’autosaisir de
dossiers. Mais il y a un mais... non, c’est
pire, il y en a trois.
- Pour qu’une personne saisisse la CNCTR
pour surveillance abusive, il faut déjà
qu’elle se sache surveillée, et il est assez
peu probable que le gouvernement se
donne la peine de prévenir.
- Pour que la CNCTR s’intéresse d’ellemême à un dossier, il faut également
qu’elle soit au courant. Le fait que
la demande de surveillance et la
classification Secret Défense dépendent
de la même personne (le Premier
ministre) ne devrait pas lui faciliter le
travail.
- Si malgré tout, la CNCTR s’empare
d’un dossier et découvre une infraction
à la loi, elle ne peut qu’envoyer une
recommandation au service concerné
ainsi qu’au Premier ministre. Le Premier
ministre n’a aucune obligation d’y
donner suite. Dans ce cas, la CNCTR n’a
d’autre solution que de saisir le Conseil
d’État.
Vous avez compris : si dans le futur proche
dans lequel vous vous trouvez la loi
Surveillance est bien passée, cela signifie
que vous êtes potentiellement tous
surveillés, et que votre dernier espoir de
voir cette surveillance annulée réside dans
un groupe de vieux énarques, si tant est
qu’elle n’ait pas été classée Secret d’État.
La solution ? Le chiffrement avec des
outils open source et...Pirate Informatique !
Le gLoUbiboULga de
La sécUrité
nationaLe
Dans la loi, la Sécurité
nationale regroupe
«l’ensemble des menaces
et des risques susceptibles
d’affecter la vie de la
Nation, l’intégrité du
territoire et la permanence
des institutions de la
République». Autant vous
dire qu’avec un peu de
rhétorique, vos brossages
de dents quotidiens
peuvent constituer une
atteinte à la sécurité
nationale.
9
« Comment
je protège
mes photos
persos ? »
.COM
SOLUTIONS & ASTUCES
s
l
e
i
r
o
t
Tu
s
t
s
Te
s
n
o
i
t
a
ic
l
p
p
A
s
w
Ne
Protection & AnonymAt
Désinfection 01010010100101010100100001110101010101011010101000
PouR en finiR aveC
leS RediReCtionS
fRauduleuSeS
PaS à PaS
De plus en plus de logiciels
indésirables utilisent des
moyens détournés pour
vous mener la vie dure.
Même armé d’un antivirus
et d’un pare-feu correctement
configuré, il arrive que
des processus activent des
redirections au niveau de
votre navigateur pour afficher
de la publicité, détourner
la page de démarrage ou
installer des barres d’outils....
A
près une visite sur un site
louche ou l’installation
d’un logiciel, vous rencontrez
de plus en plus de problèmes
avec votre navigateur : affichage
de publicité, pop-up, barre de navigation
non désirée, etc. La plupart du temps
il s’agit de LPI (Logiciels
Potentiellement Indésirables) sans
gravité, mais lorsqu’on sait qu’à l’origine
il s’agit de redirection d’URL (votre flux
Internet passe par un proxy alors que
ZHPCleaner, le complément
idéal de votre antivirus
01
L’interface
Avant d’utiliser ZHPCleaner, nous
vous recommandons de fermer tous
vos navigateurs et de mettre en veille
votre antivirus pendant 10 minutes.
Dans un premier temps vous pouvez
faire Scanner pour juste obtenir
une analyse, mais vous pouvez faire
Réparer directement (n’oubliez pas
Contribuer si vous êtes par la suite
satisfait du logiciel !)
02
Le rapport
Au bout de quelques
minutes, ZHPCleaner
va vous afficher le
rapport d’erreur. Dans
notre cas, le logiciel
avait un doute sur
un proxy avec une IP
bizarre. Nous lui avons
alors notifié que nous
12
vous n’avez rien demandé),
cela peut ouvrir la porte au phishing,
à différents spywares ou pire...
un botnet. ZHPCleaner va rétablir
les paramètres proxy et supprimer
les redirections d’URL sur tous
vos navigateurs sans nécessiter
d’installation. À la fin du processus,
il va générer un rapport en français.
Même sur nos PC surveillés
et très protégés nous avons
quand même été surpris...
ZHPCleaner
Où le trOuver ? : www.nicolascoolman.fr
DIffICultÉ :
n’avions pas installé ce proxy. ZHPCleaner a aussi analysé le fichier
hosts (utilisé par Windows lors de l’accès à Internet pour associer des
noms d’hôtes à des adresses IP), les services, les tâches planifiées, etc.
03
Un probLème ?
Après avoir analysé l’IP louche que ZHPCleaner a détecté et nettoyé
de la liste des proxys, nous tombons alors de notre chaise. Il s’agit d’un
proxy basé à Bogota en Colombie... Étrange. Après avoir fait quelques
recherches, il ne s’agit pas d’une redirection frauduleuse. Personne à
la rédaction ayant accès au PC de test n’a pourtant installé ce proxy...
Merci ZHPCleaner !
0100110101000100010101011001001001010100010
0101001010010101010010000111010101010
Messageries instantanées 010100101001010101001000011101010101010110101
Communiquez
de manièRe PRivée
Pas évident de se trouver une messagerie instantanée chiffrée qui réponde à tous
les critères de sécurité. Heureusement, voici Off-the-Record (OTR), un logiciel
cryptographique qui vient se greffer sur Pidgin, la messagerie instantanée multiplateforme. Pas besoin de «convertir» vos amis ou de se créer un nouveau compte...
Vous
Pidgin + OTR avec identifiants
Google Talk et IRC enregistrés
OTR
OTR
Ami 1
Pidgin (ou un autre logiciel) + OTR
avec identifiants Google Talk enregistrés
OTR
Pour communiquer avec un ami, vous n’aurez
donc pas à créer de compte particulier, il suffira
à deux correspondants de s’entendre sur un
protocole (Google Talk ou IRC par exemple)
puis d’enregistrer leurs identifiants sur Pidgin.
L
ors d’un récent article, nous vous
avions parlé des protocoles encore
résistants aux attaques de la NSA
(du moins en 2012 lors des révélations
de Snowden). Outre PGP (et son pendant
libre GnuPG), on trouvait aussi Tor et... OTR.
Peu connu du grand public, ce protocole
cryptographique utilise une combinaison de trois
technologies (clés AES, échange Diffie-Hellman
et hash SHA-1) permettant de chiffrer des
leXIQUe
Ami 2
Pidgin (ou un autre logiciel) + OTR
avec identifiants IRC enregistrés
conversations sur des logiciels de messagerie
instantanée comme Cryptocat (que nous avons
vu dans le numéro 21), Trillian, Miranda IM ou
Pidgin.
Des versions D’oTr
compaTibles enTre elles
C’est d’ailleurs ce dernier que nous avons choisi
d’utiliser. Non seulement, il propose toute
*Plugin :
Il s’agit d’un petit
programme qui va se
greffer sur un autre
pour lui ajouter une
fonctionnalité. En
français, on préfèrera
parler d’»extension».
Dans notre exemple,
OTR (plugin) va se
greffer sur Pidgin
(programme) pour
ajouter une couche de
chiffrement (cryptage)
aux conversations
clavier.
13
Messageries instantanées 0101001010010101010010000111010101010
une flopée de plugins pour personnaliser
l’interface ou son fonctionnement, mais
il est compatible avec de nombreux autres
protocoles (voir encadré). Pour entrer en
contact avec un autre utilisateur, il suffit
de l’authentifier avec une question (et avec
une réponse connue par les deux seuls
protagonistes), un code secret que vous aurez
préalablement convenu de vive voix ou une
vérification d’empreinte numérique.
Gardez juste en tête que seules les
communications écrites seront chiffrées
et que si jamais vous perdez la possession de
vos clés de chiffrement, aucune conversation
passée ne pourra être compromise.
Sachez aussi que tous les utilisateurs d’OTR
peuvent communiquer entre eux même
s’ils choisissent différents logiciels «hôtes».
Les protocoLes compatibLes
PaS à PaS
De base, Pidgin est compatible avec : AIM, facebook, Bonjour, Gadu Gadu, Google talk, GroupWise,
ICQ, IrC, Mxit, MySpaceIM, SIlC, SIMPle, Sametime, XMPP (anciennement Jabber) et Yahoo!.
Sachez cependant qu’il existe des plugins additionnels pour permettre de converser depuis
d’autres types de messageries (tchat de jeux vidéo, etc.) et même Skype avec Skype4Pidgin.
Seule ombre au tableau, Skype devra être présent sur la machine et tourner sur le système
pendant que vous utiliserez Pidgin. l’avantage ? le chiffrement avec Otr bien sûr !
01
Le combo Pidgin
+ OTR
instaLLation
Commencez par installer Pidgin
puis Otr (Win32 installer
for pidgin 2.x) en prenant soin
de désactiver votre antivirus
(sur notre PC de test, Avast! a
compromis l’installation d’Otr).
Dès le premier démarrage
de Pidgin, on vous proposera
d’enregistrer un compte.
faites ajouter puis
entrez vos identifiants.
PIdgIn
Ce qu’IL VOus fAuT
Où le trOuver ? : http://pidgin.im
DIffICultÉ :
02
Le cas GooGLe
Attention, en choisissant Google talk, nous avons eu la surprise
de recevoir un mail de Google nous invitant à Activer l’accès pour
les applications moins sécurisées. en d’autres termes, Google
n’aime pas que Pidgin gère son protocole et vous demandera de
valider son utilisation. Paradoxalement, vous serez plus à l’abri en
utilisant Pidgin et Otr que le tchat de Google, mais bon...
03
réGLaGes
Dans outils>Plugin, cochez la case messageries confidentielles
«off the Record» puis cliquez sur Configurer le plugin. Ici, il faudra
générer vos clés privées/publiques en faisant Produire. C’est tout !
14
01011010101000100110101000100010101011001001001010100010 01010010100101010100100
Pas de trousseaux à gérer, tout est automatique.
vous pouvez ici choisir d’exiger la messagerie privée
pour vos communications, mais ce n’est pas obligatoire.
04
un mot de passe par exemple). vos communications
écrites sont maintenant totalement sécurisées !
Comme vous pouvez le voir sur notre capture d’écran,
les conversations apparaissent aussi dans le tchat de
Google, mais elles sont complètement indéchiffrables !
aUthentification
Choisissez un correspondant de votre choix dans la liste
(ce dernier aura bien sûr aussi activé le plugin et produit
des clés) et faites Commencer une conversation privée.
Mais attention, en bas à droite de la fenêtre de
conversation, vous verrez écrit non vérifié en orange.
la conversation est chiffrée, mais comment être sûr
qu’il s’agit de la bonne personne ? Cliquez dans non vérifié
puis faites authentifier contact. vous pourrez ensuite
choisir trois sortes d’authentification. Dans notre cas,
nous avons choisi la question secrète.
05
commUniqUez De
manière chiffrée !
une fois que votre correspondant aura répondu
correctement, vous serez sûr de son identité (il/elle
pourra aussi vous poser une question ou vous demander
Des pLUGins en paGaiLLe !
Nous avons rarement vu un logiciel comprenant autant de plugins. Même si tous ne sont pas compatibles
avec la version Windows, on compte bien sûr des extensions pour assimiler d’autres protocoles
(tox, torChat, Whatsapp, Skype), mais aussi d’autres ajouts au niveau de la sécurité (tor, GPG, rSA, etc.)
vous disposez aussi de différents types de notifications sur plusieurs types de hardware
(PC Alienware, clavier, etc.) et des bidouillages d’interface en pagaille...
lien : http://goo.gl/xK3ocs
15
GooGle
0101001010010101010010000111010101010101101010100010011
Limitez Les
intrusions
de
dans votre
vie privée
Google c’est bien. Ne le niez pas, leurs nombreux
services sont quand même très pratiques.
Mais si vous vous souciez aussi de votre vie
privée et des données récoltées par leurs soins...
Nous allons voir comment concéder le moins
d’informations possible au géant américain,
tout en continuant à profiter de ses outils.
V
ous connaissez la chanson Every Breath You Take
de The Police ? Réécoutez là et imaginez que c’est
Google qui parle. Vous avez saisi l’idée : à chaque
utilisation des services Google, des données plus
ou moins personnelles sont enregistrées et envoyées sur
leurs serveurs, à des fins commerciales et/ou techniques.
Quand on sait que le géant américain est derrière Gmail,
YouTube, Drive, Maps, la plupart des publicités ciblées
sur Internet, ou encore le navigateur Web Chrome, les
occasions de récoltes sont grandes.
Que peut faire GooGle
avec vos données ?
Google avertit les utilisateurs dans ses Conditions
Générales d’Utilisation (CGU). Vous savez, ces longues
de pages de texte que l’on ne lit jamais même si on
coche la case « J’ai lu, et j’accepte les CGU » ? Dans leur
Attention Au smArtphone !
Si vous utilisez aussi les services Google sur votre mobile,
il se peut que vous ayez à en régler les paramètres
directement dans les applications concernées.
Normalement, ce que vous faites sur le PC est appliqué au
téléphone mais n’hésitez pas à vérifier.
16
dernière version du 14 avril 2014, on peut lire :
« Lorsque vous importez, soumettez, stockez, envoyez
ou recevez des contenus à ou à travers de nos Services,
vous accordez à Google (et à toute personne travaillant
avec Google) une licence, dans le monde entier,
d’utilisation, d’hébergement, de stockage, de reproduction,
de modification, de création d’œuvres dérivées (des
traductions, des adaptations ou d’autres modifications
destinées à améliorer le fonctionnement de vos contenus
par le biais de nos Services), de communication, de
publication, de représentation publique, d’affichage
public ou de distribution publique desdits contenus.
Les droits que vous accordez dans le cadre de cette
licence sont limités à l’exploitation, la promotion ou à
l’amélioration de nos Services, ou au développement de
nouveaux Services ». En clair... Ce n’est pas clair. Ou plutôt
volontairement flou. Google peut globalement faire ce
qu’il veut de vos données et les litiges se régleront au cas
par cas. Pas très rassurant.
Je veux Quand même utiliser GooGle !
Difficile de se passer de son compte Gmail,
de Google Maps et de YouTube ! Les alternatives
existent, mais elles sont bien souvent moins efficaces
que les originaux. Il est heureusement possible de
continuer à utiliser Google en limitant au maximum les
données qu’il récolte de vous, grâce aux paramètres
proposés directement par leurs services. Préparez-vous
à dénicher des options parfois bien dissimulées !
Pour commencer, regarder ce que le géant américain
sait déjà de vous. Rendez-vous sur www.google.com/
dashboard et connectez-vous à votre compte Google.
C’est le résumé des données récoltées sur vous jusqu’à
présent. Et maintenant que le « Ah oui quand même ! »
est passé, voyons comment contrôler tout cela.
N’oubliez pas de vous déconnecter de votre compte
Google quand vous ne vous en servez plus !
10101000100010101011001001001010100010 010100101001010101001000011101010101010110
ContrôLer
Les données
reCueiLLies par GooGLe
Connectez-vous à votre compte Google,
cliquez sur votre portrait puis sur
Confidentialité > Consulter les paramètres
de compte Google > Historique du compte.
Tout part de là sauf indication contraire.
ContrôLer GooGLe+
supprimer GooGLe+
Pour éviter que vos
ami(e)s sachent ce que
vous faites avec les
services Google (les
« +1 » et autres «like
»), cliquez sur Modifier
les paramètres en
face de Google+ puis
Désactiver les Recommandations partagées.
Pour finir de verrouiller Google+, décochez toutes
les cases depuis la rubrique Photos et vidéos
jusqu’en bas de la page.
Solution plus
radicale, vous
pouvez cliquer
en bas de la page
sur Supprimer
l’intégralité de
votre profil Google
ici. Cochez les
deux cases à la
fin et cliquez sur
Supprimer les services sélectionnés.
Attention, l’opération est irréversible.
17
GooGle
0101001010010101010010000111010101010101101010100010011
ne pas être LoCaLisé
désaCtiver Le CHat
Peut-être ne voulez-vous
pas que Chrome sache
où vous êtes. Allez dans les
Paramètres du navigateur, cliquez
sur afficher les paramètres
avancés puis Paramètre de
contenu. Sous localisation,
cochez interdire à tous les sites
de suivre ma position géographique. Validez avec oK.
Par défaut, vos contacts
(téléphoniques ou par mail) voient
si vous êtes connecté à Gmail. Pour
l’empêcher, allez les Paramètres de Gmail
puis sur chat. Cochez désactiver le chat
(radical) ou sur autoriser uniquement les
contacts que j’ai approuvé à voir si je suis en
ligne et à me parler pour un filtrage ciblé.
ContrôLer CHrome
Pour éviter l’envoi de vos données
personnelles à Google, décochez
toutes les cases de la partie
confidentialité (après avoir
affiché les paramètres avancés).
Fini Les pubs CibLées
Pour que vos données ne servent plus à afficher
des pubs personnalisées,
cliquez sur Modifier
les paramètres en face
de annonces puis sur
désactiver la diffusion
d’annonces ciblées par
centre d’intérêts sur Google et sur le Web.
C’est un cookie publicitaire
utilisé par Google. Pour le
supprimer définitivement,
dans Modifier les paramètres
(en face de annonce),
cliquez en bas de page sur
extension de désactivation doubleclick puis sur télécharger
le plug-in de désactivation du cookie publicitaire. Suivez la
procédure d’installation, fonction de votre navigateur.
Cliquez
sur Gérer
l’historique de
chacune des
4 catégories
proposées.
Effacez tout
l’historique
puis cliquez sur
suspendre >
suspendre l’historique. Google n’enregistrera plus vos
recherches, les lieux où vous vous êtes rendu, etc.
désaCtiver GooGLe anaLytiCs
anonyMiSER la REchERchE
Le traCker doubLeCLiCk
Il s’agit d’un module
utilisé par presque
100 % des sites Web
et qui enregistre
des informations
quand vous surfez
sur Internet. Allez sur http://goo.gl/K1u98s et cliquez sur
télécharger le module complémentaire de navigateur pour
la désactivation de Google analytics. Suivez la procédure
d’installation, fonction de votre navigateur.
18
EffacER Et SuSPEndRE
lES hiStoRiquES
Une recherche Google
est personnalisée,
puisqu’elle tient
compte des données
que la firme possède
sur vous. Ce qui
explique que parfois,
deux personnes n’ont pas les mêmes résultats pour les
mêmes mots-clés. Cliquez sur Modifier les paramètres
en face de Paramètres de recherche puis sur ne pas
utiliser les résultats privés et Enregistrer.
10101000100010101011001001001010100010 010100101001010101001000011101010101010110
Conserver (quand même)
une partie de son Historique
Supprimer l’historique est trop radical pour vous et vous appréciez les fonctions comme l’autocomplétion ?
Voyons comment effacer les éléments au cas par cas, avec l’option « Gérer l’historique » vue précédemment.
01
recherches que
vous Avez effectuées
Ici s’affiche tout ce que vous avez
tapé dans la barre de recherches
Google. Notez que vous pouvez
filtrer par catégories à gauche,
et voir des graphiques sur vos
habitudes. Pour effacer tout ou
partie de l’historique, cochez les
cases de votre choix (où celle
à gauche de Supprimer des éléments pour tout sélectionner).
Cliquez ensuite sur Supprimer des éléments.
03
Comme pour
les recherches
Google, vous
pouvez cocher
des cases et
Supprimer les
entrées, ou bien
Effacer tout
l’historique des recherches. Cliquez sur Vidéos que vous avez
aimées, à gauche, pour faire de même avec ces dernières.
04
02
Lieux où vous
vous êtes rendu
Moins pratique, vous pouvez soit effacer l’historique de vos
positions jour par jour (Supprimer
l’historique de ce jour) , en les
sélectionnant dans le calendrier,
soit Supprimer tout l’historique.
Pas beaucoup de latitude donc.
Si jamais vous ne trouvez pas
certaines positions, cliquez
sur Afficher tous les points,
à gauche de la page.
vos recherches Youtube
vidéos que vous Avez
visionnées sur Youtube
Même principe, il s’agit là
de toutes les vidéos que
vous avez regardées
sur YouTube (aussi bien
sur le service Web que
sur l’application mobile
d’ailleurs, comme pour les
trois étapes précédentes).
En plus de Supprimer
ou d’Effacer tout l’historique, vous pouvez en profiter pour
ajouter à une playlist quelques-unes des vidéos affichées.
3 pLugins qui ne LAisse pAs de trAces
Allez plus loin dans la protection de vos données personnelles en équipant votre navigateur Web d’outils
spécifiques. Sauf indications contraires, ces plugins marchent avec Internet Explorer, Chrome et Firefox.
disConneCt
donottraCkme
Https everywHere
Cet addon,
non disponible
pour Internet
Explorer, bloque
les trackers, ces
petits programmes
invisibles qui
collectent vos
données sans votre
consentement. Grâce à cela, vous
devriez noter une légère accélération
du temps de chargement de vos
pages Web, puisqu’il y a moins
d’éléments à prendre en compte.
Sur le même principe
que Disocnnect, Do
Not Track Me va
bloquer les trackers,
mais aussi « masquer
» votre email si
vous le souhaitez.
Lorsque vous devez
indiquer une adresse
mail pour vous inscrire à un service
par exemple, l’addon vous propose
d’en générer une pour ne pas avoir à
divulguer la vôtre. Une option payante
fait pareil avec votre carte de crédit.
Saviez-vous
que bien
souvent, les
sites Web existent
en version
« normale » et aussi en version
« sécurisée » ? Reconnaissables
par le « https » qui démarre leur
URL, ces sites collectent beaucoup
moins, voire pas de données
sur vous. HTTPS Everywhere va
automatiquement vous connecter
aux versions sécurisées des sites,
du moment qu’elles existent.
19
Microfiches 010100101001010101001000011101010101010110101010001
#1
Résistez à la surveillance
avec Detekt
Que vous soyez blogger, responsable d’une ONG,
activiste ou simple citoyen, votre gouvernement
n’hésitera pas à vous espionner. Car il suffit que vous
ayez été surpris à raconter des idioties sur Skype ou pris la main dans le
sac à télécharger Tor sur votre machine pour que les services secrets
s’intéressent à vous... Pour regarder si vous n’avez pas de gentil spyware
ou Trojan installé sur votre machine, nous vous conseillons de télécharger
et d’utiliser Detekt. Ce dernier, recommandé par Amnesty International
et l’Electronic Frontier Foundation, va s’intéresser aux outils utilisés
par les gouvernements (mais pas que...). N’oubliez pas d’Exécuter
le programme en tant qu’administrateur (clic droit dans l’EXE).
Attention, Detekt n’est pas encore compatible avec Windows 8.1
au moment où nous écrivons ces lignes...
Lien : https://resistsurveillance.org
#2
Se protéger
des PDF vérolés
avec PDF exPloit Generator
Vous utilisez beaucoup les formats
PDF et vous avez peur de tomber
un jour sur un fichier vérolé ? En effet, certaines failles
d’Adobe Reader dans les versions 8 et 9 permettent
à un fichier d’exécuter du code dans votre dos.
Le logiciel PDF Exploit Generator va tout simplement
créer un fichier PDF contaminé (avec le code de votre
choix, pas besoin de faire un test avec un malware
bien sûr !) pour voir comment réagit votre machine.
Il est possible de faire pointer vers une URL qui
exécutera un Trojan ou utilisera des techniques des
phishings. Il s’agit bien sûr de tester la sécurité de votre
configuration ou d’un lecteur PDF alternatif. Attention,
il faudra suspendre la surveillance de votre antivirus
pour télécharger le programme.
Lien : http://goo.gl/UlWec9
#3
Une messagerie 100 % chiffrée
avec BleeP
Nous vous parlons souvent de messageries alternatives dans Pirate Informatique, mais Bleep va sans faire plus de bruit que les autres.
Il s’agit en fait d’un logiciel de chat (au clavier ou vocal) complètement décentralisé, chiffré et créé par la société BitTorrent ellemême. Pour l’instant
disponible en version
alpha sous Windows,
Mac et Android, Bleep
propose de récupérer
votre liste de contacts
depuis Google Contacts
et d’inviter ces derniers
à utiliser Bleep de leur
côté. Attention, car
celui que l’on appelait
encore BitTorrent Chat,
il y a peu de temps,
n’est pas Open Source.
À n’utiliser que pour
des conversations non
sensibles donc...
Lien : http://labs.
bittorrent.com/bleep
20
100110101000100010101011001001001010100010 01010010100101010100100001110101010101
#4
Un VPN pour dépanner
avec nolimitvPn
Si vous avez déjà utilisé le trafic de 300 M
o/jour proposé par
SecurityKISS, vous aimeriez peut-être basculer sur un autre
VPN gratuit...
NolimitVPN
propose en effet
une période
d’essai gratuite et
sans engagement
de 48 h eures sur
leurs formules
d’abonnement.
Il suffit de
s’inscrire
avec votre adresse e-mail pour recevoir vos identifiants et des liens vers différents
tutoriels. Notez que NolimitVPN est aussi compatible avec les mobiles. Si vous êtes
convaincu, sachez que le service affiche des tarifs sympa (4 €/mois ou 30 €
à l’année), mais ne propose pas de compatibilité avec le protocole OpenVPN.
Lien : https://web.nolimitvpn.com
#6
Surveiller
ses processus
avec executeDProGramslist
Peur de l’espionnage, d’un virus
ou tout simplement curieux
de savoir quels programmes se passent de
votre opinion pour faire des choses dans votre
dos ? ExecutedProgramsList est un outil très
simple qui affichera une liste de programme
ou de fichiers qui ont été exécutés ou ouverts
sur votre ordinateur. Pour chaque programme,
vous aurez à disposition le nom de l’EXE, le
nom de la compagnie, la date d’ouverture
ou de modification et tout un tas d’autres
renseignements. L’outil idéal pour voir si tout
fonctionne après une désinfection...
Lien : http://goo.gl/A78FE8
#5
Ne plus perdre son temps avec
les avertissements sur les cookies
avec i Don’t care aBout cookie
Vous avez sans doute remarqué les messages d’avertissements
concernant les cookies qui s’affichent lorsque vous visitez pour la première fois un site
Internet français ? Il s’agit d’une recommandation de la CNIL en partenariat avec des
professionnels du milieu pour sensibiliser les utilisateurs à la collecte d’informations
personnelles. Si vous êtes déjà au courant de ces histoires, que vous êtes déjà protégé
(interdiction ou filtrage de cookie) ou que vous vous en fichez royalement, il existe une
solution ! Que vous utilisiez Chrome, Firefox, Opera ou IE, vous pouvez utiliser le plugin
«I don’t care about cookie». Avouez qu’il porte bien son nom ! Ainsi, vous ne serez plus
obligé de cliquer sur Oui j’accepte à chaque fois que vous surfez sur un site inconnu...
Lien : http://goo.gl/U83pswr
#7
avec isowall
Isoler une
machine
de votre
réseau
Que vous soyez utilisateur lambda
ou administrateur d’un réseau, voilà un
petit logiciel qui va pouvoir vous aider.
Si un ordinateur de votre parc de machines
est contaminé, mieux vaut l’isoler du
reste du réseau. Le problème dans ce cas
c’est qu’il vous faudra peut-être un accès
à Internet pour installer un programme,
faire des tests et régler les problèmes.
Isowall est un petit programme qui va tout
simplement isoler le PC problématique du
réseau tout en autorisant qu’il se connecte
à Internet. En suivant notre lien, cliquez sur
Download ZIP à droite puis décompactez
le fichier. Attention, il faudra utiliser
Libpcap pour l’installer et se confectionner
un fichier .conf «à la main»...
Lien : http://goo.gl/gUpXrd
21
Sondage
Chers lecteurs,
À GAGNcoEnRten: ant
Depuis plus de 5 ans, Pirate Informatique a toujours essayé de s’améliorer et de
s’adapter à vos attentes. Pour mieux vous connaître, comprendre vos attentes
et recueillir vos suggestions, nous vous proposons de répondre à un petit
questionnaire en ligne. N’oubliez pas de laisser votre e-mail dans la dernière
question pour participer au concours ! Les membres de la mailing-list (voir cicontre) ont déjà reçu automatiquement le lien dans leurs boîtes aux lettres... Pour
eux, pas besoin de notifier leur e-mail. Pas la peine de répondre plusieurs fois au
sondage, nous tirerons au sort un gagnant parmi les participants. Bien sûr, vos
données personnelles ne seront pas cédées.
SB
Une clé U numéros de
s
tous le rmatique au
o
Pirate inf at PDF !
form
Merci d’avance pour vos réponses !
Répondez à ce sondage en ligne en
allant à cette adResse :
https://fr.surveymonkey.com/r/PIRATEINFO
À DÉCOUVRIR EN KIOSQUES
,50
3
seu €
Les dossiers du
lement
DOssIERs
ThémATIquEs
cOmPlETs
DEs
Act
uell
PETIT
FORmAT
mINI PRIx
eme
nt
Naviguez &
CommuNiquez
#G
uide
100%anonyme
pra
tiqu
cONcENTRé
D’AsTucEs
e
Inscr
Ivezg
r
atuIt vous
Nouveau !
emen
t!
Le mailing-list officielle de
Pirate Informatique et des Dossiers du Pirate
De nombreux lecteurs nous demandent chaque jour s'il est possible de s'abonner. La réponse
est non et ce n'est malheureusement pas de notre faute. En effet, nos magazines respectent
la loi, traitent d'informations liées au monde du hacking au sens premier, celui qui est
synonyme d'innovation, de créativité et de liberté. Depuis les débuts de l'ère informatique, les
hackers sont en première ligne pour faire avancer notre réflexion, nos standards et nos usages
quotidiens.
Mais cela n'a pas empêché notre administration de référence, la «Commission paritaire des
publications et agences de presse» (CPPAP) de refuser nos demandes d’inscription sur ses
registres. En bref, l'administration considère que ce que nous écrivons n'intéresse personne et
ne traite pas de sujets méritant débat et pédagogie auprès du grand public. Entre autres
conséquences pour la vie de nos magazines : pas d'abonnements possibles, car nous ne
pouvons pas bénéficier des tarifs presse de la Poste. Sans ce tarif spécial, nous serions
obligés de faire payer les abonnés plus cher ! Le monde à l'envers...
La seule solution que nous avons trouvée est de proposer à nos lecteurs de s'abonner
à une mailing-list pour les prévenir de la sortie de nos publications. Il s'agit juste
d'un e-mail envoyé à tous ceux intéressés par nos magazines et qui ne veulent le
rater sous aucun prétexte.
Pour en profiter, il suffit de s'abonner
directement sur ce site
http://eepurl.com/FlOOD
(le L de «FlOOD» est en minuscule)
ou de scanner ce QR Code avec
votre smartphone...
Trois bonnes raisons de s’inscrire :
averti de la sortie de Pirate Informatique et des
1 Soyez
Dossiers du Pirate en kiosques. Ne ratez plus un numéro !
ne recevrez qu’un seul e-mail par mois pour
2 duVous
vous prévenir des dates de parutions et de l’avancement
magazine.
adresse e-mail reste confidentielle et vous pouvez
3 Votre
vous désabonner très facilement. Notre crédibilité est en jeu.
Votre marchand de journaux n’a pas Pirate Informatique ou Les Dossiers du Pirate ?
Si votre marchand de journaux n’a pas le magazine en kiosque, il suffit de lui demander (gentiment)
de vous commander l’exemplaire auprès de son dépositaire. Pour cela, munissez-vous du numéro de
codification L12730 pour Pirate Informatique ou L14376 pour Les Dossiers du Pirate.
Conformément à la loi «informatique et libertés» du 6 janvier 1978 modifiée, vous bénéficiez d’un
droit d’accès et de rectification aux informations qui vous concernent.
Hacking
Prise de contrôle 0101001010010101010010000111010101010101101010
Prenez le
contrôle d’un Pc
à distance !
Lorsqu’on parle de prise de contrôle à distance, on imagine des
logiciels illégaux difficiles à opérer ou à des programmes
grand public très limités comme TeamViewer
ou RealVNC®. Avec DarkComet, nous
sommes à la croisée des chemins puisque
le programme fait ce que les autres n’osent
même pas imaginer et que son
utilisation est légale…
LEXIQUE
*RAT :
Abréviation de Remote
Administration Tool ou
Outil d’administration
à distance en français.
Il ne s’agit pas d’un
malware, mais d’un
programme permettant
d’avoir accès au contenu
d’un PC sans être
physiquement présent
(dépannage, accès à
des fichiers, etc.). Ce
type de logiciel peut
bien sûr être utilisé à
des fins malhonnêtes
pour s’introduire sur
l’ordinateur d’un tiers
sans son consentement.
24
N
e tournons pas autour du pot,
DarkComet est un RAT : un logiciel
permettant de prendre le contrôle
d’une machine. Bien sûr, s’il s’agit
de dépanner un ami ou de surveiller ce qui se
passe sur le PC de tatie Lydie pas de problème !
Par contre, en utilisant certaines options, il est
possible de manipuler un ordinateur sans le
consentement de son propriétaire. DarkComet
fonctionne selon le modèle client/serveur.
Le client est installé sur votre machine et le
serveur (ou stub) est créé sur mesure par
l’utilisateur. Il prendra la forme d’un fichier EXE
(même s’il est possible de contourner cette
restriction) que votre ami devra lancer sur
son PC. Même si les intentions du développeur
n’ont jamais été de faire un logiciel pour pirater
des tiers (et nous voulons bien le croire) il faut
reconnaître que les options pour camoufler
ce fichier EXE et le rendre persistant sur la
machine d’une éventuelle victime sont assez
puissantes.
AbAndon du projet pAr
son créAteur
Tellement puissantes que le régime syrien a
utilisé des versions modifiées de DarkComet
pour espionner les dissidents. Cet événement a
poussé le développeur Jean-Pierre Lesueur, alias
@DarkCoderSc, à arrêter le développement en
2012. La version de DarkComet que nous vous
présentons date donc de 3 ans et même si elle
n’est plus mise à jour, elle n’est pas pour autant
périmée ! Même s’il est toujours possible de
contaminer une personne peu protégée (pas
d’antivirus, Windows Defender désactivé, etc.),
il existe des logiciels plus puissants pour les
scripts kiddies. Dans notre cas, et comme nous
le faisons toujours, nous étudierons les possibilités de ce logiciel dans un but pédagogique.
01000100110101000100010101011001001001010100010 010100101001010101001000011101010
Pas à Pas
ce qu’il vous fAut
Paramétrage de
Darkcomet rAt
01
Réglage suR la box
Avant de commencer à bidouiller avec DarkComet, il faudra
d’abord ouvrir le port 1604 sur votre box puisque c’est le port
qui sera en écoute sur le logiciel. Ouvrez votre navigateur et
tapez 192.168.1.1 (pour les abonnés Free, il faudra aller sur
free.fr et pour d’autres FAI sur 192.168.0.1) pour avoir accès
aux réglages de votre box. Après avoir rentré vos identifiants
d’abonnés, vous pourrez avoir la liste des appareils connectés
à votre box ainsi que leurs IP.
DarkComEt rat
Où le trOuVer ? :
http://goo.gl/MstKbs
DIFFICulté :
02
ouveRtuRe du
poRt 1604
Notez l’IP locale de votre PC puis dirigez-vous vers un menu
du type translation de ports ou nat (les noms des
réglages peuvent varier suivant les box des FAI). Mettez l’IP
de votre PC dans l’IP de destination ainsi que le numéro
de port 1604 en externe et en destination. Choisissez tcP
comme protocole, validez et refaites la même chose avec
UdP. Votre port 1604 est libéré ! Il faudra aussi paramétrer une
redirection de DNS pour que le serveur (le logiciel installé sur
l’ordinateur «victime») puisse communiquer avec le client (la
partie du logiciel installé sur votre PC) quels que soient les
changements d’IP opérés par votre FAI. Heureusement, nous
avons sous la main le service gratuit No-IP dont nous avons
parlé dans le numéro 23.
Attention Aux versions piégées !
Il n’est jamais facile de trouver une version
«propre» de ce type de logiciel, nous avons
donc essuyé les plâtres pour vous ! Car lors de
nos tests, nous avons eu une sacrée surprise
en téléchargement une version piégée de
DarkComet. En faisant un double-clic sur l’EXE
rien ne s’est passé. Nous avons immédiatement
compris qu’il ne s’agissait pas d’une version
«cliente», mais d’un «serveur» : un stub créé
pour infecter une machine ! Bien essayé, mais
comme nous avons l’habitude, nous avons
coupé le Wi-Fi et utilisé le logiciel DarkComet
RAT Remover. Nous vous le conseillons
puisqu’une fois que vous aurez fini de faire
joujou sur votre PC cible, ce logiciel est le seul à
faire le ménage du sol au plafond.
Lien : http://goo.gl/xxGKKw
Au lieu de désactiver votre antivirus le
temps de vous amuser avec Darkcomet,
pourquoi ne pas paramétrer une exclusion
dans son dossier de résidence ?
25
Hacking
Prise de contrôle 0101001010010101010010000111010101010101101010
03
Changement de dns
Sur la page principale du site, faites sign Up et créez votre
compte. Choisissez votre nom de domaine et optez pour la solution
gratuite. Faites ensuite add a Host et choisissez-vous un nom de
domaine. Ne touchez à rien d’autre et validez en bas du formulaire.
Faites download
Update client et
installez ce petit
logiciel permettant
de retrouver votre
IP même si cette
dernière est dynamique. lancez le dUc et entrez vos identifiants.
Cliquez sur edit Hosts, cochez votre nom de domaine et faites
save. À partir de là, le nom de domaine que vous avez choisi va
rediriger vers l’IP de PC.
04
daRkComet (enfin !)
Il est temps de lancer DarkComet. Suivez notre lien (et seulement
celui-ci, voir notre encadré) ou récupérez l’archive sur notre CD.
Pour éviter que votre antivirus ne hurle à la mort, désactivez-le
temporairement ou paramétrez une exception. Placez l’archive sur
une clé uSB pour la sauvegarder, car si votre antivirus se «réveille»,
il pourra effacer darkcomet.exe, même s’il est à l’intérieur du
rAr. lancez le logiciel et faites i accept. Cliquez sur darkcometRat puis dans server Module choisissez Full editor.
26
05
CRéation du «stub»
Ici, il s’agit de créer un «stub», un programme au format eXe
qui, lancé sur la machine cible, vous donnera les pleins pouvoirs
sur celle-ci. Dans Main settings, vous pouvez choisir un mot
de passe (qu’il faudra entrer à nouveau dans clients settings
ultérieurement. Cliquez quelques fois sur Random en face
de Process Mutex (voir encadré) et faites active FWB pour
outrepasser le firewall de la machine cible. Dans network
settings, mettez le DNS que vous avez créé (le nom de domaine
de No-IP) et laissez le port 1604. Faites ensuite add pour ajouter
votre DNS à la liste.
06
Réglages et
fonCtionnalités
Dans Module startup, cochez start the stub with Windows.
Dans install message, choisissez une icône et un message
qui annoncera à l’utilisateur de la machine cible que le stub est
bien installé (bien sûr, un méchant hacker mettra ici un message
rassurant…). les autres paramètres sont optionnels, mais rien ne
vous empêche de bidouiller un peu. Vous trouverez notamment
un Keylogger, un File binder permettant d’ajouter des fichiers à
l’eXe et une option pour changer l’icône du stub, modifier le fichier
host de la cible, rendre le stub persistant, faire disparaître l’eXe
quand il sera installé, etc.
01000100110101000100010101011001001001010100010 010100101001010101001000011101010
07
les teChniques de filous
Module shield permet de faciliter une éventuelle infection,
mais comme il s’agit ici de prendre le contrôle de la machine
d’un ami, nous n’utiliserons pas ces fonctions. De même,
dans stub Finalization, vous pourrez camoufler le eXe ou le
compresser pour qu’il ait l’air d’un programme autorisé. lorsque
vous avez fini vos réglages, faites Build the stub et donnez-lui
un nom. On vous demandera si vous désirez garder en mémoire
ce profil. Faites Yes pour ne pas avoir à tout recommencer au
cas où votre premier essai n’est pas concluant.
08
l’aCCès à la maChine
votre PC, allez dans darkcomet-Rat et faites Listen to new
port puis Listen. Normalement, vous verrez le PC cible dans
id. Bravo vous avez un accès à cette machine !
09
un ContRôle total
Double-cliquez dessus pour profiter des nombreuses options :
tchat, récupération de mot de passe, spyware, explorateur de
fichiers, extinction ou mise en veille du PC, etc. Il est même
possible de jouer un air de piano à votre ami ! en faisant un
clic droit dans Quick Window Open, vous aurez même
accès au Bureau de Windows ou à la webcam ! Voilà, nous
vous laissons découvrir toutes les fonctionnalités de ce
logiciel très puissant…
Il est temps de placer le fichier stub sur la machine de la
«victime». Comme vous n’avez pas utilisé de méthode de
brigands, il faudra aussi désactiver l’antivirus. lancez l’eXe. Sur
Mutex ?
De nombreux codes malicieux utilisent
une technologie appelée Mutex (Mutual
Exclusion). Il s’agit en fait d’allouer
physiquement un emplacement mémoire
particulier et de le réserver pour qu’il
ne soit jamais vidé. Le but est de rendre
persistant votre «stub» pour ne jamais
couper la connexion avec votre PC.
27
Hacking
Chiffrement 010100101001010101001000011101010101010110101010001
TrueCrypT esT morT ?
ViVe
VeraCrypT !
Mis au point par une
société française,
VeraCrypt est une
alternative sérieuse
à TrueCrypt,
dernièrement laissé
à l’abandon par ses
créateurs. Cerise
sur le gâteau, les
plus réticents au
changement peuvent
même migrer vers
cette solution
puisque la dernière
version de VeraCrypt
est compatible avec
les conteneurs de
TrueCrypt.
28
M
ais que s’est-il passé chez
TrueCrypt (TC) ? Ce logiciel
de chiffrement gratuit et open
source n’est plus disponible
sur sa page officielle au moment où nous
rédigeons ces lignes. L’année dernière, le site
a été remplacé par une page Web expliquant
que le programme n’est plus sûr. Le plus
bizarre dans cette histoire c’est que l’équipe
en charge du développement conseille aux
utilisateurs de se rabattre sur BitLocker, une
immondice de chez Microsoft qui comporte
potentiellement des backdoors...
ResteR à la veRsion 7.1a
ou opteR pouR un autRe
logiciel
On peut se poser alors plusieurs questions
sur ce surprenant épisode. Un hack du
site ? Impossible, car la page a été signée
numériquement avec les clés des auteurs.
Vrai problème au niveau du programme ?
Improbable, car la communauté est telle qu’il
aurait été facile de patcher la faille. La seule
explication qui semble possible réside dans
une clause très spécifique du Patriot Act (une
loi américaine antiterroriste, mais également
liberticide) qui interdit à des tiers de parler
d’une assignation. En d’autres termes il est
possible que les développeurs de TC aient été
approchés par une agence gouvernementale
pour interdire ou saboter le logiciel. Devant
cette menace et ne pouvant le dire clairement
sous peine de finir en prison, les développeurs
auraient alors imaginé une mise en garde sous
forme de blague : «N’utilisez plus TrueCrypt
mais plutôt cette bouse de Microsoft, de
toute façon ce sera bientôt la même chose».
Il ne s’agit là que de spéculations et Mounir
Idrassi de chez IDRIX a une autre théorie
(voir notre interview) . Mais quelque soit le
problème chez TC, le logiciel est dorénavant
remplaçable. Non seulement VeraCrypt sera à
même d’utiliser vos anciens conteneurs, mais
il présente des améliorations au niveau du
chiffrement. Suivez le guide...
100110101000100010101011001001001010100010 01010010100101010100100001110101010101
pas à pas
Ce qu’il vous faut
fonctionnement
de veraCrypt 1.0f
01
L’instaLLation
Lors de l’installation, choisissez install au lieu de extract.
Cette deuxième option permet de placer les fichiers
nécessaires à l’exécution de VeraCrypt sur une clé USB
pour l’utiliser chez un ami en mode «portable». Dans les
setup options, laissez toutes les cases cochées (sauf
la dernière si vous ne souhaitez pas créer de point de
restauration). La fenêtre principale va alors s’afficher. Si vous
avez l’habitude de TrueCrypt, vous ne serez pas dépaysé.
Notez que vous pouvez changer la langue an allant dans
settings>Langages...
02
Les trois options
VeraCrypt
Où LE TrOUVEr ? :
http://sourceforge.net/projects/veracrypt
DiFFiCULTé :
03
VoLume standard
ou caché ?
Nous choisissons la deuxième option pour chiffrer
complètement une clé USB, par exemple. Après validation,
le logiciel demande si nous souhaitons créer un volume
chiffré standard ou un volume caché (pour utiliser le «déni
plausible» en cas d’extorsion). Comme nous ne sommes pas
du KGB et que notre clé ne contient que des informations
non sensibles, nous allons choisir la première option…
04
création du VoLume
Sélectionnez ensuite une partition ou un périphérique.
Le logiciel vous donne le choix entre créer le volume
chiffré et le formater ou chiffrer les données qui sont déjà
Dans la fenêtre principale du logiciel, cliquez sur Create
Volume. Vous aurez, ici, trois options. La première consiste à
créer un volume chiffré dans un fichier. La deuxième permet de
chiffrer toute une clé USB ou disque dur externe non-système
(ne contenant pas Windows). La dernière permet de chiffrer
tout le disque dur principal (contenant Windows). Avec cette
option, il est même possible de créer un système caché.
installées (ne fonctionne qu’en NTFS). Après avoir choisi
la première option (plus simple, car notre clé est vide et en
FAT32), le logiciel vous demandera quel algorithme vous
désirez utiliser. Laissez AES dans le doute, mais vous pouvez
aussi opter pour un chiffrement en cascade avec pas moins
de trois algorithmes les uns sur les autres.
29
Hacking
Chiffrement 010100101001010101001000011101010101010110101010001
05
Le formatage
Validez encore deux fois et choisissez votre mot de passe. il
est possible de créer un fichier clé au cas où vous oublieriez
votre mot de passe. Ce dernier peut prendre la forme d’un
MP3 ou de n’importe quel autre fichier (son contenu ne sera
pas modifié). Après validation, VeraCrypt va vous demander
si vous souhaitez mettre des fichiers de plus de 4Go. Dans
ce cas, le logiciel choisira automatiquement un formatage
NTFS au lieu du classique FAT32. Cliquez sur Format après
avoir bougé la souris aléatoirement dans la fenêtre pour
générer la clé de cryptage.
Accro à TruecrypT ?
Si vous ne préférez pas changer de logiciel (ce que nous vous déconseillons), rappelons
que la version 7.1a de TrueCrypt a récemment été analysée et qu’aucune faille, backdoor
ou autre filouterie n’a été détectée. Des Suisses continuent même à proposer le logiciel :
https://truecrypt.ch/downloads.
interview de mounir idrassi, pdg de idriX et créateur de veraCrypt
«il est Clair que la démoCratisation des
solutions de Chiffrement Comme veraCrypt
provoque la nervosité des serviCes de
renseignements».
Pouvez-vous Présenter IDrIX en quelques mots aInsI que
votre Parcours ?
Ingénieur Polytechnicien, j’ai intégré Oberthur Card Systems
fin 2000 où j’ai travaillé pendant 5 ans dans le domaine de la carte à
puce, la sécurité informatique et la cryptographie. Début 2006, j’ai crée
IDRIX afin de fournir des solutions logicielles ainsi que des activités
de conseils pour différents grands noms de la sécurité numérique.
Le produit phare d’IDRIX est Cryptoki Manager qui est le seul outil
graphique multiplate-forme disponible sur le marché qui permet de
tester et manipuler les modules PKCS#11 (utilisé par différents logiciels
pour les opérations d’authentification forte) fournis par les fabricants de
cartes à puce.
quanD a commencé l’aventure veracryPt ? est-ce un fork
ou un logIcIel comPlètement à Part Du Projet tc ?
VeraCrypt est né suite à une étude sur TrueCrypt demandé
par un client en 2012. Cette étude n’a pas trouvé de problème de
sécurité majeure hormis la faiblesse notoire de la dérivation de clé de
chiffrement. C’est ce dernier point qui m’a poussé à concevoir VeraCrypt
30
100110101000100010101011001001001010100010 01010010100101010100100001110101010101
06
Le montage
À la fin du processus (qui peut durer de
longues minutes), faites exit et, dans
l’interface principale du logiciel, sélectionnez
une lettre de lecteur, cliquez sur automount Device et tapez votre mot de passe.
Vous verrez alors que votre clé USB a changé
de lettre (ici G au lieu de F). L’ancienne lettre
est toujours présente, mais ne sera plus
active. Dans ordinateur, vous avez accès au
disque local G après insertion et validation
du mot de passe. Mettez-y tous vos fichiers
sensibles. Faites Dismount all pour les
rendre inaccessibles. C’est aussi depuis ce
menu que vous pourrez utiliser vos anciens
conteneurs TrueCrypt...
comme un fork de TrueCrypt permettant de remédier à cette
faible en augmentant le niveau de sécurité face aux attaques
par force brute qui sont devenues très performantes. Ainsi, la
première version de VeraCrypt a été publiée le 22 juin 2013 sur
Sourceforge et Codeplex, un an avant l’arrêt brutal du projet
TrueCrypt.
le choIX De renDre comPatIble veracryPt avec les
conteneurs truecryPt vIent-Il De l’abanDon Du
Projet Par ses créateurs ou s’agIssaIt-Il D’une
fonctIonnalIté quI étaIt Prévue à l’orIgIne ?
Au départ, il n’y avait aucune intention d’être compatible avec
TrueCrypt. Mon idée était d’enlever la compatibilité TrueCrypt
afin de pouvoir faire évoluer le code de VeraCrypt de manière
plus libre et sans contraintes. Ce n’est qu’après l’abandon du
projet par ses créateurs que j’ai décidé d’inclure le support
de TrueCrypt dans VeraCrypt afin d’offrir aux utilisateurs une
solution alternative maintenue et qui corrigent les différents
bugs et failles découvertes dans TrueCrypt.
vous avez sans Doute votre PetIte IDée sur ce quI
s’est Passé avec tc. PourrIez-vous la Partager avec
nos lecteurs ?
Personnellement, je ne crois pas que l’arrêt de TrueCrypt
soit dû à une intervention des services de renseignement
américain ou autres. Au vu du source de TrueCrypt et du style
de code, il m’apparaît clairement que le ou les auteurs avaient
une quarantaine d’années au début du projet, ce qui leur fait
aujourd’hui un âge proche de la soixantaine. Je pense donc qu’il
est fort probable que les auteurs n’avaient juste plus la volonté
et/ou la capacité de continuer à travailler sur ce projet et le
message énigmatique était destiné à créer un «buzz» afin de
pousser la communauté à travailler sur une alternative.
Par ailleurs, je ne crois pas du tout en l’anonymat des auteurs de
TrueCrypt. Certes, ils étaient anonymes pour nous mais pour les
services gouvernementaux, surtout américains, ils ne pouvaient
pas être anonymes pour le simple fait qu’ils acceptaient des dons
au travers de PayPal, les obligeant ainsi à dévoiler leurs identités
afin de pouvoir récupérer les fonds reçus. De plus, ils avaient
créé une association basée aux USA afin de protéger la marque
TrueCrypt et aussi pour gérer leurs activités professionnelles
liées à TrueCrypt.
subIssez-vous Des PressIons De quelques
organIsatIons que ce soIt DePuIs que veracryPt est
sur PIeD ?
Depuis que VeraCrypt a vu le jour, je n’ai pas subi de pression
de la part de quelques organisations que ce soit. En revanche, il
y a eu plusieurs demandes d’information émanant de quelques
entités concernant la nature du projet et les évolutions
envisagées dessus. Il est clair que la démocratisation des
solutions de chiffrement comme VeraCrypt provoque la nervosité
des services de renseignement comme le démontre l’actualité
avec les révélations de Snowden. C’est pour ça que depuis
le début, j’ai décidé de ne pas suivre le schéma d’anonymat
de TrueCrypt et d’intégrer VeraCrypt dans l’activité d’IDRIX
afin que ce projet soit géré de manière publique et en toute
transparence.
que Pouvez vous DIre à nos lecteurs Pour les
encourager à utIlIser le chIffrement ?
Aujourd’hui, la vie numérique est une part essentielle
de notre existence et notre patrimoine personnel, les biens
numériques ayant la même valeur que les biens physiques. De
ce fait, il convient donc de les protéger des intrusions et des
vols au travers de l’utilisation du chiffrement, ce qui est tout
aussi naturel que l’utilisation de cadenas pour les valises et de
serrures pour les portes. Ceci devient encore plus important
quand on utilise le Cloud pour stocker ses données numériques:
cela équivaut à mettre ses affaires dans un entrepôt où tout
naturellement on va poser cadenas et verrous pour les protéger.
31
Hacking
Keylogger 01010010100101010100100001110101010101011010101000100
EnrEgistrEz
lEs
frappEs claviEr
au
Vous voulez surveiller ce qui se passe sur votre ordinateur lorsque vous n’y êtes pas ? Pourquoi ne pas installer
un keylogger pour savoir qui tape quoi sur votre clavier ? Phrozen propose un logiciel très performant avec un
calendrier, une fonction recherche et d’autres options sympas...
L
es keyloggers ont pour fonction d’enregistrer dans le plus grand secret tout
ce que vous tapez sur un clavier d’ordinateur pour transmettre ces données
localement ou via Internet. Dans ce cas précis,
nous allons installer un de ces logiciels sur
votre propre PC pour vérifier que vos enfants ne
fassent pas n’importe quoi lorsque vous ne les
surveillez pas. Attention, toute autre utilisation
vous ferait bien sûr passer du côté obscur de la
force (ou en prison).
Pour toutes les versions
de WindoWs
Phrozen Keylogger propose un programme qui
remplit cette fonction sur les systèmes Windows
de XP à 8.1. Une fois activé, il va enregistrer tout
ce qui est tapé au clavier de manière totalement transparente. Le keylogger indiquera à
quel moment ont été tapé les mots et dans quel
logiciel : navigateur, messagerie instantanée,
traitement de texte, etc. Pour accéder à l’interface, il faudra enclencher une combinaison de
touches secrète et taper un mot de passe. La version gratuite reste apparente dans le Panneau de
32
configuration, mais ce n’est
pas le cas si vous mettez la
main à la poche. Pour une
surveillance à la maison,
la version Lite gratuite
s’acquitte néanmoins très
bien des tâches les plus
simples. Notez que tous les
types de claviers sont pris en
compte : PS/2, USB et même
les claviers virtuels...
Les versions payantes de Phrozen Keylogger
proposent encore plus d’options : liste noire de
mots, synchronisation via FTP, utilisation de
la webcam pour prendre des photos, capture
d’écran, etc. Il vous en coûtera 20 et 45 € en
fonction des options que vous désirez...
Le saviez-vous ?
Sachez qu’il existe des keyloggers
«prêts à l’emploi». Ce sont de petits
dispositifs placés entre la prise du clavier
et l’ordinateur. Ils ressemblent à des
adaptateurs et sont tout à fait discrets,
mais attention, ils enregistrent tout sur
une mémoire interne ! Ce type de keylogger
est disponible pour les claviers USB et PS/2 et certains disposent même de
fonctionnalités Wi-Fi pour récupérer les données sans accès physique...
Lien : www.keelog.com
0110101000100010101011001001001010100010 0101001010010101010010000111010101010101
pas à pas
Ce qu’IL vous FauT
Comment utiliser
Phrozen Keylogger ?
01
Des navigateurs
récaLcitrants
Suivez notre lien, cliquez sur
freeware puis chercher le
logiciel tout en bas dans la
liste. Faites Download, une
première fois puis une seconde
fois sur la nouvelle page. Les
ennuis commencent, car Firefox
et Chrome ne vous laisseront pas télécharger ce logiciel comme
ça. Il est en effet sur une liste noire de programmes censés être
frauduleux. Bien sûr, il n’en est rien.
02
DébLoquer Le
téLéchargement
Pour télécharger le programme, il faudra faire une
manipulation sur votre navigateur. Dans Firefox, faites
Options>sécurité puis dé-
04
Phrozen Keylogger
Où Le TrOUVer ? :
www.phrozensoft.com
DIFFICULTé :
Les options DisponibLes
L’interface va alors s’afficher. Bien sûr pour l’instant tout est
vide. Pendant que nous, ici, allons faire un tour dans settings
(paramètres).
Malheureusement,
cette version gratuite ne
permet pas d’avoir accès
à toutes les options. C’est
notamment le cas de
screen capture (capture
d’écran) et Webcam
capture (pour prendre la personne au clavier en photo). Vous n’aurez
accès qu’à l’option de désinstallation, aux paramètres réseau (pour
passer par un proxy) et aux options de sécurité (pour changer son mot
de passe ou interdire l’accès au registre, etc.).
05
Lire Les conversations,
mot De passe, etc.
Pour faire un essai, fermez l’interface et lancez un éditeur de texte
ou n’importe quel logiciel. Tapez ce que vous voulez, faites ctrl +f
9
et tapez votre mot de passe. Vous aurez alors accès aux logiciels
ouverts avec la date et le nom de la fenêtre active au moment des
frappes. Cliquez dans ce
qui vous intéresse ou faites
read all pour avoir accès
à tout ce qui a été tapé au
clavier depuis l’installation !
cochez Bloquer les sites
signalés comme étant
des sites d’attaque. Pour
Chrome, il faudra cliquer dans Options (les trois traits en haut à
droite) et faire paramètres>afficher les paramètres avancés...
(tout en bas) puis décocher activer la protection contre le hameçonnage et les logiciels malveillants dans confidentialité.
03
L’instaLLation... enfin !
Vous pouvez enfin télécharger Phrozen Keylogger ! Bien sûr, n’oubliez
pas de remettre les
paramètres par défaut sur
votre navigateur. Dézippez l’archive et installez
le programme comme
n’importe quel autre. Si
votre antivirus commence
à râler, désactivez-le pour
quelques minutes. Dès le lancement, il faudra paramétrer un mot de
passe et une combinaison de touche pour afficher l’interface (qui ne
peut être accessible que par ce biais). Nous avons laissé par défaut la
combinaison ctrl +f
9.
06
recherche De mots cLés
Il est même possible de faire une recherche par nom de processus
ou mot clé depuis full
search. Notez que vous
pouvez effacer les traces
de l’installation du logiciel
(icône du bureau et du
menu Démarrer), mais
qu’il sera tout de même
visible dans le panneau de
configuration. Comme
vous n’espionnez pas un
cadre de la CIA, cela devrait
passer inaperçu...
33
Hacking
Bureautique 010100101001010101001000011101010101010110101010001
Débloquez
n’importe
quel pDF
-Partie 1Que vous soyez étudiant ou employé,
vous vous êtes sans doute déjà arraché
les cheveux sur un PDF récalcitrant :
impossible à ouvrir, modifier, copier-coller
ou imprimer. Bien sûr, ces restrictions sont
là pour protéger un document contre la
copie ou contre une erreur de manipulation,
mais comment faire lorsque l’on veut
absolument accéder à ces données ?
LEXIQUE
*PDF :
Acronyme de Portable
Domument Format.
Créé par Adobe
Systems en 1993 ce
format de fichier
permet d’afficher du
texte, des images,
mais aussi d’intégrer
des liens hypertextes.
Il a la particularité de
conserver les polices
et la mise en page, quel
que soit le logiciel ou
la machine utilisés.
Comme il s’agit d’un
format ouvert et
portable, nombreux
sont les systèmes
compatibles et les
logiciels permettant de
le lire/modifier.
34
C
réé par la société Adobe, le format PDF
est devenu un format incontournable du
Web depuis plus de 20 ans. Impossible
de passer à côté, qu’il s’agisse d’une notice de chaudière, d’un mémoire de Master, d’un
CV, d’un livre ou d’un document officiel. Même ici
à la rédaction, nous utilisons le format PDF pour
imprimer le magazine que vous tenez dans les
mains ! Malheureusement, certains utilisateurs
ne savent pas vraiment comment fonctionnent
les restrictions et ils les appliquent parfois à tort
et à travers. Par exemple, un auteur de PDF va
interdire le copier-coller alors qu’il souhaitait
simplement empêcher la modification du texte.
«Mais ouvre-toi,
saleté !»
De même, il suffit que Untel du service
facturation parte à la retraite ou que
le professeur Machin ne mette un mot
de passe d’accès sur son document de
travail pour vous faire perdre un temps
incroyable. Car bien sûr, vous avez besoin
de ce PDF pour l’ouvrir, le convertir, le
modifier, récupérer un morceau de texte ou
simplement l’imprimer. Nous verrons donc
les différentes protections et restrictions
qui sont disponibles et nous verrons aussi
comment les contourner...
Que vaut le chiffrement des Pdf ?
Le mot de passe d’ouverture va, non seulement, interdire l’ouverture du fichier, mais va aussi
chiffrer son contenu avec l’algorithme RC4 128 bits. Si vous devez transférer ou mettre des documents
PDF dans un Cloud, cette solution est suffisante pour protéger leurs contenus à condition de se choisir
un mot de passe solide. En effet, certains logiciels de «brute force» peuvent tenter de cracker cette
protection. Le sésame azerty ne tiendra pas 2 secondes tandis qu’avec S5Gh]d4ç’*md,K5Jhc84X&
vous serez tranquille pour quelques siècles... Le chiffrement empêche en plus les moteurs de recherche
d’avoir accès aux métadonnées de vos fichiers. Vous éviterez donc les petits curieux.
paS à paS
100110101000100010101011001001001010100010 01010010100101010100100001110101010101
Comprendre les
restrictions (et en créer)
01
deux tyPes de Protection
paS à paS
Il existe deux types de droits différents dans les fichiers PDF que
vous créez. Qu’il s’agisse d’un PDF fait de toutes pièces ou d’un
fichier texte que vous voulez convertir, vous trouverez forcément les entrées mot de passe d’ouverture et mot de passe
d’autorisation dans les options de Sécurité. Le premier permet
d’empêcher l’ouverture et de chiffrer l’intérieur du document (voir
encadré) et le
second permet
de régler tout
un tas d’autorisations : impression, copier-coller, modification,
ajour de commentaires, etc.
C’est au créateur
du document de choisir ce qui sera débloqué d’office et ce qui nécessitera la saisie du mot de passe d’autorisation.
02
PDFUnLock!
Où LE TROUVER ? :
www.pdfunlock.com
DIFFICULTé :
vérifiez vos droits
Notez que si l’auteur choisit de cumuler les deux mots de passe,
le second permettra aussi de débloquer l’ouverture et le déchiffrement. Si vous voulez chiffrer le document, mais restreindre son
utilisation, vous pouvez donc paramétrer ces deux mots de passe,
mais ne donner que le premier à un
élève, un collègue, etc. Dans Adobe
Reader X, Foxit Reader ou un autre
logiciel lisant les PDF, vous verrez écrit
proteGe (ou SeCureD) à côté du
nom du fichier en haut à gauche. Si
rien ne vous est demandé à l’ouverture,
il suffit de cliquer dans le cadenas
(paramètres de protection) puis
Détails des droits pour avoir la liste
des restrictions. Si vous ne trouvez pas ces éléments dans votre
logiciel ou service, essayez de copier-coller le texte ou d’enregistrer
son contenu vers un autre format. Si vous n’y arrivez pas, c’est que
vous n’avez pas les droits adéquats.
outrepasser les restrictions
01
si vous êtes l’auteur...
Si vous êtes l’auteur du PDF, il est très
facile de retirer les mots de passe. Il suffit
d’aller dans Détails des droits puis de
retirer les options de sécurité. Notez qu’il
faudra une version payante d’Adobe Reader pour profiter de cette option (mais si
vous avez vous-même créé ce PDF, débloquez-le avec votre logiciel d’origine).
02
...et si vous ne l’êtes Pas
Si vous n’êtes pas l’auteur et
que vous êtes bloqué, il faudra
essayer le site PDFunlock!.
Depuis votre ordinateur,
Dropbox ou Google Drive,
uploadez le document et cliquez
sur unlock!. Si ce dernier ne comporte qu’un mot de passe
d’autorisation, c’est gagné ! Le site vous proposera de télécharger
une version «débridée» de votre document d’origine, mais sans
les restrictions. Si le PDF est protégé par un mot de passe
d’ouverture, le site vous le dira aussitôt. Si vous n’avez pas ce
sésame, les choses se compliquent...
03
thePdf.com,
la dernière chance ?
Comme nous l’avons vu précédemment, ce mot de passe
d’ouverture chiffre le document et interdit son ouverture. Il faudra
donc déjouer ce système en
devinant le mot de passe. Le site
ThePDF.com tentera de recouvrer
le mot de passe en utilisant une
méthode «brute force» : deviner
le bon mot de passe en essayant
de nombreuses combinaisons
de caractères. En haut, cliquez sur pDF unlock puis Select... et
unlock. Malheureusement, même avec un mot de passe peu solide
comme toto, le site a été incapable de le retrouver, mais vous
propose une recherche approfondie de 24 heures pour la somme
de 25 $ (23 €). Le problème c’est que rien ne dit que le mot de passe
pourra être retrouvé en une journée...
04
dans le Prochain
numéro...
Il ne nous reste plus qu’à
tenter de cracker ce mot
de passe d’ouverture
(puisque le mot de passe
d’autorisation ne nous
a posés aucun problème)
avec un logiciel spécifique comme PDFCrack ou PDF Unlocker.
Ces derniers vont tenter de retrouver le sésame en essayant des
attaques par dictionnaire ou par «brute force». Si le mot de passe
se trouve dans les dictionnaires de mots contenus dans le logiciel
ou s’il n’est pas très solide (comme notre toto par exemple), il y a
de fortes chances de le retrouver. C’est ce que nous verrons dans le
prochain numéro !
À suivre...
35
HACKING
Microfiches 010100101001010101001000011101010101010110101010001
#1
Toujours un hotspot
sous la main
avec WiFi Map
Si vous avez
la bougeotte,
vous aimeriez peut-être pouvoir
éviter de défoncer votre forfait
3G/4G lorsque vous n’êtes pas
chez vous. Il existe bien sûr les
hotspots communautaires comme
Free Wifi ou SFR FON, mais il n’est
pas toujours aisé de trouver une
box «amie» dans les parages...
surtout à l’étranger ! WiFi Map
est une application mobile pour
Android et iOS qui recense un
grand nombre de points d’accès
sur une carte interactive. Bien sûr,
les mots de passe de ces derniers
ont été partagés par d’autres
utilisateurs. Vous pouvez même
partager le mot de passe de votre
propre réseau local... à vos risques
et périls.
ANdROId Lien : http://goo.gl/8RwPGz
AppLe Lien : http://goo.gl/6RvpvV
#2
Vérifiez que
ce téléphone
n’a pas été volé
avec cHeek cHeck
Vous allez acheter
un téléphone
d’occasion, mais
vous avez des doutes
sur le vendeur ?
Avec le site Cheek
Check vous allez
pouvoir être sûr que
l’appareil n’a pas
été volé ! L’astuce
fonctionne sur tous
les téléphones
et quelque soit
l’opérateur, car il
s’agit de vérifier si le numéro IMeI du téléphone n’est pas
dans la base de données mondiale des téléphones volés ou
perdus. Allez sur le site et sur la droite choisissez le français.
entrez le code IMeI dans le champ et cliquez sur Vérifier.
pour avoir ce code il suffit de taper *#06# sur l’appareil en
question. Notez qu’il est possible d’utiliser une application
Android (pour vérifier discrètement sur un autre téléphone
au moment de l’achat) ou de partager le widget sur son blog
(les champs à gauche sur le site).
Lien : www.cheek-check.com
#3
Un outil de pentesting sur mobile
avec NetHuNter
Si vous avez
l’habitude de
nous lire, vous
connaissez sans doute Kali Linux,
une distribution spécialisée dans
le pentesting, le hacking et l’audit
réseau. eh bien, sachez qu’une version
pour mobile Android vient de sortir !
Il ne s’agit pas d’une autre version du
pwn pad, mais de NetHunter,
une distrib’ dédiée aux attaques
physiques par le port USB : BadUSB,
clavier bidouillé, Rubber ducky
(voir pirate Informatique n°20), etc.
Seuls les appareils Nexus 4, 5, 7 et 10
et le Oneplus One sont pour l’instant
compatibles... Nous ferons bien sûr
un article plus détaillé lorsque le parc
de machines potentielles sera plus
conséquent.
Lien : www.nethunter.com
36
100110101000100010101011001001001010100010 01010010100101010100100001110101010101
#4
Comment savoir
si vous avez été hacké
avec iNDexeus
Il ne se passe pas une semaine sans qu’on vous annonce à la télé
ou dans les journaux que telle ou telle base de données a été
hackée. Cela ne parle peut-être pas à l’internaute lambda, mais dans ces bases
de données, on trouve une quantité incroyable de données personnelles pouvant
servir à usurper
votre identité, piéger
vos amis ou pirater
d’autres comptes.
en effet, si vous
faites partie des
malheureux dont
les renseignements
ont été piratés et
corrompus, les sites/
services/forums en
questions ne vont pas
forcément vous le dire.
La base de données
Indexeus vous permettra de rechercher à partir d’un nom ou d’une adresse e-mail
si oui ou non certaines de vos données personnelles sont libres d’accès sur le Net :
Ip, hash de mots de passe, nom et parfois numéro de téléphone, adresse, etc.
#6
Identifier
un hash
avec HasH_iD
dans notre précédent numéro,
nous avons vu comment
identifier un hash avec le script python HashTag.
Si ce dernier ne vous a pas convaincu ou si vous
vous cherchez un autre logiciel de ce type pour
comparer, voici Hash-identifier, ou Hash_Id pour
les intimes. Comme les autres programmes de
ce type, il va analyser les suites alphanumériques
pour identifier à quel type de hash vous avez
affaire. Compatible avec plus de 50 sortes de
hash (et leurs variantes), Hash_Id vous fera
gagner un temps précieux lorsqu’il faudra lancer
une attaque brute force ou dictionnaire avec
John The Ripper ou Hashcat...
Lien : https://code.google.com/p/
hash-identifier
Lien : http://indexeus.org
#5
Planifier l’envoi de vos e-mails
avec sNDLatr
Si vous voulez envoyer des e-mails à des dates ou des heures précises,
le plugin SndLatr sous Google Chrome va régler le problème ! Suivez
notre lien, installez l’extension et connectez-vous à votre boîte Gmail.
Cliquez sur Grant Acces puis sur J’accepte et rédigez un e-mail. Vous
verrez alors
qu’en dessous
du bouton
envoyer, vous
aurez un autre
bouton Send
later. Il suffit
de choisir la
date, l’heure ou
de sélectionner
le jour de la
semaine sur un
calendrier. Le
bouton juste à
droite permet
de créer des
«snippets»,
sorte de
modèles d’emails pour
éviter d’avoir à retaper 50 f ois par jour à ses chers lecteurs que «Non, il n’est pas possible
de s’abonner à pirate Informatique»...
Lien : http://goo.gl/o5h4KO
#7
avec ruFus
Un OS prêt
à installer
sur votre
clé USB
dans pirate
Informatique
n°14, nous
avions réalisé
un sujet
complet sur
WinToFlash,
un logiciel
permettant
de placer
une version
de Windows sur une clé USB pour pouvoir
booter dessus et déployer un OS en cas
d’urgence ou de plantage. Avec Rufus, vous
pourrez, non seulement, mettre Windows
(Vista, 7, 8.1 ou Xp), mais aussi une foule de
distribution Linux ou d’outils de réparation
et de partition. Si vous préférez avoir
plusieurs cordes à votre arc, nous vous
conseillons Xboot (voir pirate Informatique
n°21) qui permet le multi-boot...
Lien : http://rufus.akeo.ie
37
Nos Guides WiNdoWs
100% Pratiques
Pour un PC
+ Puissant
+ Beau
+ Pratique
+ Sûr
Mini
Prix :
3€
d
n
a
h
c
r
a
m
e
r
t
o
v
Chez
de journaux
TéléchargemenT
0101001010010101010010000111010101010101101010100010011
En lignE, chEz soi,
gratuitE ou payantE
tout
savoir
sur lEs
sEEdbox
Si on écoute les accros aux téléchargements
Torrent, la seedbox fait figure d’Eldorado.
Rapide, altruiste, discret et pratique, ce type
de serveur n’est pourtant pas réservé à l’élite.
Outre les services en ligne payants,on trouve
aussi des sites plus limités, mais gratuits.
Il est même possible de se confectionner une
seedbox avec sa box Internet ou de carrément
utiliser son NAS domestique...
T
out comme les VPN, l’utilisation de
proxy ou le téléchargement direct,
la popularisation des services de
seedbox en ligne a commencé avec
la loi HADOPI. En effet, si c’est un serveur
basé à l’étranger qui télécharge à votre place,
HADOPI n’a pas son mot à dire... Et comme le
rapatriement des fichiers sur votre disque dur se
fait par HTTP (téléchargement direct), HADOPI
est de surcroît aveugle. Parallèlement, les
services de stockage de type «Cloud» avec leurs
centaines de Go d’espace payant ont commencé
à intégrer des seedbox dans leurs offres. Pour
LEXIQUE
*Seedbox :
Littéralement «boîte à
semis», une seedbox est
un serveur qui permet
de télécharger et
d’uploader des fichiers.
En fait, la seedbox va
récupérer vos fichiers
via le réseau BitTorrent
pour que vous puissiez
les récupérer chez vous
via le protocole HTTP
(téléchargement direct).
La seedbox se chargera
aussi de partager les
fichiers pour respecter
un ratio prédéfini.
*bittorrent :
quelques euros par mois, un internaute
peut donc disposer d’un disque dur distant
qu’il peut partager avec tous ses appareils
(tablette, mobile, ordinateur, etc.) en plus
d’un client BitTorrent qui respecte la notion
de «ratio» et rend l’utilisateur anonyme.
La seedbox gratuite : pour Les
téLéchargeurs occasionneLs
Le premier réflexe de l’utilisateur BitTorrent
est de commencer par une seedbox gratuite
comme Direct Torrent. Sur ce site, aucune
inscription n’est requise. Il suffit de copier-coller
ServiceS gratuitS à eSSayer
Lien : www.direct-torrents.com
Lien : http://torrent2ddl.com
Lien : www.sdedi.com
BitTorrent est à la
fois un protocole de
communication et
le logiciel historique
permettant de le faire
fonctionner. Inventé par
Bram Cohen en 2002,
BitTorrent a été pensé
pour télécharger et
partager de grosse
quantité de données
sans pour autant
peser sur la bande
passante d’un serveur.
Il s’agit d’un système
P2P, décentralisé
où les fichiers sont
partagé depuis les
différents intervenants :
les leechers qui
récupèrent le fichier
par morceaux et les
seeders qui disposent
du fichier entier, mais
qui «restent» pour faire
«vivre» le Torrent.
39
MultiMédia
TéléchargemenT 010100101001010101001000011101010101010110101
Les services de seedbox
fleurissent sur la Toile.
Attention aux prix, aux
disponibilités et aux
formules qui reconduisent
votre abonnement sans
vous prévenir...
LEXIQUE
*naS :
De l’anglais Network
Attached Storage ou
serveur de stockage
en réseau. Il s’agit d’un
serveur domestique
qui stocke vos données
pour les redistribuer
sur un réseau local ou
via Internet. De nos
jours, la plupart de ces
appareils intègrent une
fonction seedbox...
*ratio :
Il s’agit de la somme
des données uploadées
sur la somme des
données téléchargées
depuis un même
tracker. Idéalement,
le ratio se doit
d’être de 1 (la même
quantité de données
est téléchargée et
partagée).
40
l’URL d’un Torrent ou un lien Magnet puis de
cliquer sur Download. Si le fichier convoité est
déjà dans les serveurs, vous le récupérerez
immédiatement depuis l’interface de votre
navigateur. Le service n’est pas limité en ce qui
concerne la taille du fichier et les débits sont
très honorables pour une seedbox gratuite :
entre 350 et 500 ko/s pour la partie «Torrent»
(comptez le double pour la partie «HTTP»).
Plus fort, Direct Torrent va seeder votre Torrent
avec un ratio de 3 ! Cela veut dire que le partage
est assuré. Par contre, vous ne pourrez pas
télécharger plus d’un fichier à la fois. Ce site
constitue une bonne solution pour ceux qui ne
téléchargent des Torrents qu’épisodiquement.
Torrent2DDL est un autre service gratuit
qui propose la même chose sauf qu’ici les
fichiers finaux seront transférés sur des sites
de stockage en ligne comme uptobox.com
et 1fichier.com. Dans les deux cas, il faudra
récupérer les fichiers au bout de quelques jours
au risque de les voir effacé. Les Torrents sont
limités à 19 Go, mais cela reste un excellent
service gratuit.
Enfin, la société Sdedi propose une offre
gratuite pour attirer de nouveaux venus vers
leur service payant. SdediBox Free est un
espace de stockage de 5 Go avec seedbox
limité en débit et en terme de Torrent actifs
(qui varient selon l’heure de la journée et
d’autres critères internes inconnus). Notons la
possibilité ici de récupérer vos fichiers par FTP.
La seedbox payante
Vous avez fait le tour des offres gratuites, mais
vous voulez passer à la vitesse supérieure ?
Il existe de nombreux services qui proposent
des seedbox à différents prix, la plupart du
temps dégressifs, mais c’est surtout au niveau
des caractéristiques de l’offre qu’il faudra être
attentif. L’espace de stockage, mais aussi le
nombre de torrents actif (slot), le support du
FTP, de Cakebox (un système permettant de
streamer depuis votre seedbox) et bien sûr
les débits ascendant et descendant. En ce qui
concerne ces derniers, sachez d’ailleurs que
les chiffres indiqués sont des maximums et ne
concerne que la partie «BitTorrent», entre le
réseau et la seedbox puisque la récupération
des données en HTTP (téléchargement sur
votre disque dur ou stream) dépend de la
connexion de votre FAI. Les avantages sont
nombreux notamment au niveau du ratio
puisque vos torrents vont «seeder» à des
vitesses incroyables. Attention aux prix qui sont
indiqués sans prendre en compte la TVA à 20 %.
Pour notre pas-à-pas, nous avons choisi le site
Seedbox.fr qui est idéal pour comprendre le
fonctionnement et se faire un avis sans pour
autant dépenser trop d’argent puisque pour
un peu plus de 7 €, vous avez accès au forfait
Starter avec 100 Go de stockage inclus.
Notez aussi que le service propose une
période d’essai de 14 jours.
une seedbox à La maison ?
Une seedbox chez soi avec un NAS c’est aussi
possible ! Ces serveurs qui font office de plaque
tournante pour partager vos fichiers dans
votre réseau local proposent souvent ce type
de fonctionnalité. Il suffit de mettre un disque
dur dans le boîtier (certains NAS disposent de
2 à 4 baies) puis de le brancher sur votre box/
routeur. Après les premiers réglages (choix du
type RAID, formatage du disque, etc.), il suffit
d’ouvrir votre navigateur et de spécifier l’IP de
votre nouvel appareil dans la barre d’adresse
pour afficher une interface Web de gestion.
Sur notre NAS de marque DLSIN à 99 €,
il existe directement une section BitTorrent.
Moins de 15 minutes après avoir déballé le NAS
de sa boîte, nous voici déjà avec une seedbox
fonctionnelle ! Les réglages sont succincts
(débit max, nombre de peers par torrent, etc.),
mais l’essentiel est là. Il suffit de parcourir le
disque dur de son PC à la recherche des fichiers
Torrent pour commencer à télécharger. Ensuite,
on peut imaginer rapatrier ses fichiers sur son
PC (les transferts sont très rapides grâce à la
technologie Gigabit Ethernet) ou les diffuser
depuis le réseau local sur sa tablette, sa TV
101000100110101000100010101011001001001010100010 01010010100101010100100001110101
connectée ou n’importe quel appareil du réseau. Plus
fort, en paramétrant une IP dynamique (voir l’article
sur le service NoIP dans notre numéro 23 ou sur notre
CD), il est possible d’avoir accès à son NAS et à son
contenu lorsque vous n’êtes pas chez vous, depuis
Internet. Bien sûr, tout ça est possible PC éteint.
Certains services en ligne ont senti le vent
tourner et ont intégré des fonctionnalités de
seedbox pour attirer de nouveaux clients. C’est
notamment le cas de sites de stockage en ligne,
de Cloud ou de débrideurs. Malheureusement,
ces options supplémentaires ne sont pas aussi
bien élaborées que les solutions dédiées. Sur les
sites en question, rien n’est indiqué concernant
les limitations ou le ratio de chaque Torrent : problématique lorsqu’on utilise un tracker privé...
Parmi ceux qui tirent leur épingle du jeu, citons
tout de même le débrideur FileStream et le site
de stockage Zbigz qui proposent tous deux des
seedbox dans leurs versions payantes. Si vous
utilisez déjà ces sites, pourquoi ne pas essayer ?
Dans le cas contraire, préférez une vraie seedbox...
Les NAS récents
proposent tous une
fonction BitTorrent
pour télécharger et
s’accompagnent bien
sûr de tous les outils
pour partager et
diffuser les contenus...
SEEDBox PAyANTE (EN LIgNE)
Attention Aux
services hybrides !
Lien : http://zbigz.com
Lien : https://filestream.me
Lien : www.libndown.com
avantages
inconvénients
- Votre IP n’apparaît nulle part
- Aucun sauf le prix !
- Certains services proposent
des offres d’essai
SEEDBox grATuITE (EN LIgNE)
- Votre IP n’apparaît nulle part
Les limitations : nombres de torrents
simultanés, débits et espace de
stockage plafonnés
SEEDBox DEPuIS uNE FrEEBox
- une seedbox à la maison
sans rien débourser
- Le débit dépend de votre connexion
- Vous n’êtes plus anonyme puisque
votre IP réelle apparaît
- Limité par le disque dur de votre
Freebox
SEEDBox DEPuIS uN NAS
- une seedbox couplée à un NAS
permet de récupérer des fichiers
et de les partager avec vos
différents appareils ou vos amis...
- Le débit dépend de votre connexion
- Vous n’êtes plus anonyme
puisque votre IP réelle apparaît
(à moins d’utiliser un VPN)
41
MultiMédia
pas à pas
TéléchargemenT 010100101001010101001000011101010101010110101
01
Seedbox.fr, un
bon point de départ
votre Abonnement
Sur le site,
commencez
par choisir
votre formule
et cliquez sur
commander.
On vous
demandera
de choisir votre mode de facturation. Pour un essai, choisissez
le mode de paiement mensuel, vous pourrez en changer par la
suite. Remplissez les formulaires et payez via PayPal ou par CB.
Allez dans la section client en cliquant sur le lien et attendez que
votre espace se mette en place.
02
Ce qu’iL vouS fAuT
SEEdboX.fr
Où Le TROUVeR ? : www.seedbox.fr
DIFFICULTé :
Vous verrez que l’interface n’a rien à envier à un client sous
Windows. Vous verrez l’avancement de vos transferts, le ratio
de chaque torrent, son débit, etc. Vous aurez aussi accès à des
statistiques, des sous-parties (erreurs, transfert actif, en cours
d’upload, etc.) et des outils de configuration avancés depuis
l’icône en forme d’engrenage. C’est ici que vous pourrez imposer
des limites de transferts, une planification, des paramètres de
respect du ratio, etc.
04
les débits
votre premier
téléchArgement
Nous vous avons dit précédemment que les débits affichés
correspondaient à des «pics». Officiellement, seebox.fr propose
un débit en téléchargement de 10 Gbps soit environ 1250 Mo/s.
Or durant nos tests, nous avons été plus proche des 200 Mbps soit
tout de même environ 23 Mo/s. Nous avons téléchargé un film de
1,36 Go en moins de 2 min. Avec 5 Torrents simultanés, nous avons
récupéré 8 Go en 20 minutes. Un très bon débit, mais très loin des
10 Gbps promis...
Dans configuration avancée, vous pourrez choisir une autre
domiciliation pour vos téléchargements : Pologne, Pays-Bas
ou Lituanie tandis que plugins et Modules vous donnera
la possibilité d’ajouter une interface supplémentaire à votre
navigateur. Mais commençons à télécharger ! Allez dans gestion
des transferts puis faites ajouter torrent. Ici, vous pourrez
mettre l’URL du Torrent, un lien Magnet ou uploader un fichier.
torrent avec parcourir...
03
votre espAce
de stockAge
l’interfAce
Vous pourrez alors démarrer
vos téléchargements avec
un simple clic droit.
42
05
Lorsque vos téléchargements seront terminés, vous pourrez y
avoir accès en faisant retour Manager en haut à droite puis
gestion des données. Avec un simple clic droit, vous pourrez
explorer les dossiers ou télécharger vos précieux fichiers sur votre
PC. Notez que cet espace peut aussi être utilisé comme un FTP
où vous pourrez placer d’autres fichiers que vos téléchargements
Torrent.
101000100110101000100010101011001001001010100010 01010010100101010100100001110101
06
le pArtAge
L’option Share permet de partager un fichier avec un ami sans
que celui-ci soit abonné au service.
Il est même possible d’ajouter un mot
de passe et une date d’expiration.
Il suffira alors d’envoyer un lien
du type http://c.sdbx.co/18yoa8E
généré par le service. Notez enfin que
certains trackers vous demanderont
de «déclarer» l’utilisation de votre
seedbox afin d’éviter d’être étiqueté
comme «tricheur»...
startEr
bronzE
silvEr
tEra
titaniuM
Stockage
100 go
200 go
300 go
1 000 go
1 500 go
Débit max
10 gbps
10 gbps
10 gbps
10 gbps
10 gbps
Nombre de slots Torrent
10
20
100
100
100
VPN dans 4 pays
oui
oui
oui
oui
oui
redondance des données
(récupération en cas de panne)
Non
oui
oui
oui
oui
Prix/mois
5,99 €
12,99 €
17,99 €
24,99 €
29,99 €
Prix/trimestre
16,99 €
36,99 €
50,99 €
69,99 €
84,99 €
Prix/an
52,99 €
115,99 €
159,99 €
219,99 €
269,99 €
Avec votre freebox ?
Si vous disposez d’une Freebox Revolution, sachez que celle-ci dispose d’une seedbox intégrée. Depuis l’interface Freebox OS,
il vous sera en effet possible de lancer des téléchargements de torrents, et ceux-là se poursuivront même si votre ordinateur
est éteint. Vous retrouverez ces fichiers dans le disque dur de votre Freebox et pourrez bien évidemment les y laisser pour
seeder. Cette solution présente cependant quelques inconvénients : Tout d’abord, le disque dur de la Freebox est limité
à 230 Go, et les gros consommateurs de séries par exemple savent à quel point ceux-là peuvent se remplir rapidement.
D’autre part, tous les torrents/magnet links seront à ajouter manuellement, en copiant les liens sur Freebox OS.
Vous trouverez toutes les instructions pour utiliser votre seedbox Free à cette adresse : www.seedbox.freebox.online.fr.
43
MultiMédia
01010010100101010100100001110101010101011010
TéléchargemenTs anonymes
TéléchargemenT
anonyme
avec I2P
Dans la rubrique Anonymat
de notre précédent numéro,
nous vous avions parlé de différents
«darknets» en faisant l’impasse
sur I2P (Invisible Internet Project).
Ce dernier, moins évident
à prendre en main que Tor
ou Freenet, permet d’utiliser le réseau
BitTorrent. Et comme ce réseau est chiffré
de bout en bout, vous téléchargez de
manière complètement anonyme...
A
ctif depuis 2003, I2P ressemble plus
à Tor qu’aux autres logiciels/protocoles
de type «darknets». Non seulement,
il partage son architecture en
«oignons», mais il permet, en plus d’avoir accès
à des sites cachés (les eepSites équivalents
des hidden services de Tor), de se connecter de
manière anonyme au réseau Internet «normal».
I2P propose aussi des plugins, officiels ou non,
pour ajouter d’autres fonctionnalités que le surf :
IRC, courrier électronique, forum, blog anonyme,
stockage de fichiers décentralisé, etc.
Un Bittorrent Un peU
restrictif
Mais ce qui va nous intéresser, ici, c’est le support
du protocole BitTorrent. Grâce à I2PSnark, I2P se
transforme en véritable client BitTorrent. Certes,
les fonctionnalités sont réduites notamment à
i2p lent ?
N’espérez pas battre des records de vitesse avec I2PSnark. Les
téléchargements sont loin d’être aussi rapides que sur le BitTorrent «normal».
Là où avec une connexion ADSL standard vous pouvez espérer du 1000 ko/s,
avec I2PSnark vous culminerez à 30 ko/s. Pas la peine d’imaginer récupérer un
film en 10 min, mais pour la veille au lendemain matin, pourquoi pas ?
44
cause de l’interface Web qui offre moins de liberté
qu’un véritable logiciel, mais ces téléchargements
passent complètement inaperçus aux yeux de la
«surveillance». Aucun scrupule à avoir puisque
contrairement à Tor, I2P a été pensé en partie
pour ça. Attention, il ne s’agit pas de n’importe
quel fichier Torrent. N’espérez pas télécharger
depuis t411 ou TPB puisque seuls les trackers
compatibles avec I2P pourront être utilisés.
Et, ces trackers, vous ne les trouverez que depuis
le Web caché de I2P, les fameux eepSites dont
nous vous parlions plus haut... Dans notre prise
en main, nous allons donc d’abord nous connecter
à I2P en réglant les potentiels problèmes de
connexions puis nous verrons comment trouver
des Torrents et utiliser l’interface I2PSnark pour
télécharger.
Où trOuver des fichiers
tOrrent cOmpatibles ?
Attention, si vous êtes nouveau sur I2P
certains eepSites ne seront pas immédiatement
disponibles, il faudra faire fonctionner le réseau
pendant quelques heures le temps de récupérer
des peers et réessayer de s’y connecter plus tard.
Lien : http://tracker2.postman.i2p (le plus gros)
Lien : diftracker.i2p (un tracker francophone)
PaS à PaS
0101000100110101000100010101011001001001010100010 0101001010010101010010000111010
Ce qu’Il vouS fauT
Téléchargez
avec I2PSnark
01
installatiOn
Commençons par télécharger
le logiciel I2P puis installons-le.
Pendant le processus, cochez la case
pour implémenter Windows Service.
Normalement, votre pare-feu devrait
se réveiller pour vous demander
de paramétrer le logiciel comme
une exception. Cliquez sur autoriser
l’accès. Démarrez ensuite Start I2P
(restartable) et attendez que
ce dernier termine son scan. I2P
ne dispose que d’une interface Web
à travers un navigateur. Il est donc recommandé d’utiliser
un autre browser que celui que vous utilisez si vous souhaitez
garder l’anonymat.
02
réglage
sur le navigateur
À ce moment, votre
navigateur s’ouvrira
peut-être sur la page
de la console (la page
d’accueil si vous
voulez), mais il est
encore trop tôt pour
commencer. Trouvons
un gestionnaire de proxy
comme FoxyProxy (voir notre article dans le
numéro 19 de Pirate Informatique) ou Proxy
SwitchySharp parmi les extensions de votre
navigateur et installez-le. Optez pour une
configuration manuelle, mettez 127.0.0.1
dans hTTP proxy (avec le port 4444 en
écoute) puis la même IP dans hTTPS (SSL)
avec le port 4445. Dans les exclusions du
proxy, il faudra laisser localhost; 127.0.0.1;
<local>. Redémarrez le navigateur et
rendez-vous à cette adresse : http://127.0.0.1:7657. Au bout d’une
dizaine de minutes, vous devriez voir réseau:oK en haut à gauche.
03
prOblème de pOrts ?
Si ce n’est pas le cas (message Bloqué par un pare-feu), c’est
que votre box a refusé de faire suivre les ports TCP et UDP à
travers le réseau. Cliquez dans l’icône I2P en haut à gauche puis
sur configuration. Dans l’onglet réseau, trouvez le numéro du
I2P
Où Le TROUveR ? :
https://geti2p.net/fr
DIFFICULTé :
port UDP (ce sera le même pour le TcP) et notez-le. Ouvrez votre
navigateur et tapez 192.168.1.1 (pour les abonnés Free, il faudra
aller sur free.fr) pour avoir accès aux réglages de votre box. Après
avoir rentré vos identifiants d’abonnés, vous pourrez avoir la liste des
appareils connectés à votre box ainsi que leurs IP. Notez l’IP de votre
PC puis dirigez-vous vers un menu du type Translation de ports ou
naT (les noms des réglages peuvent varier suivant les box des FAI).
04
cOnnecté !
Mettez l’IP de votre PC dans l’IP de destination ainsi que le numéro
de port que vous aviez noté en externe et en destination. Choisissez
TcP comme protocole, validez et refaites la même chose avec
UDP. Si vous avez un message d’erreur autre que Bloqué par un
pare-feu, cliquez dessus pour avoir une description en français
et la marche à suivre pour régler le problème. Bravo, vous êtes
maintenant prêt à surfer anonymement sur le Web et à utiliser
des eepSites (voir notre encadré pour trouver des trackers) !
Intéressons-nous maintenant à BitTorrent...
05
i2psnark et bittOrrent
Dans les services locaux,
en bas à droite, vous verrez
une icône Torrents. Cliquez
dessus pour démarrer I2PSnark.
Il s’agit d’une interface basique
avec la possibilité d’utiliser
des liens magnets (coller
votre lien aux formats
http://, magnet:, ou
maggot:// dans le premier
champ) ou des fichiers .torrent
qu’il faudra placer dans c:\ProgramData\application Data\i2p\
i2psnark. Dans configuration, n’oubliez pas de cocher la case
permettant de Démarrer automatiquement les Torrents
et faites ajouter torrent lorsque vous êtes prêt. Les fichiers
se retrouveront dans le dossier source. Attention, si vous supprimez
un Torrent de l’interface, il sera effacé de votre disque dur !
45
MultiMédia
TéléchargemenT DirecT
010100101001010101001000011101010101
Comment saisir
ses CaptChas
quand on n’est
pas Chez soi ?
LEXIQUE
*CaptCha :
Il s’agit d’un «test antirobot» permettant de
différencier un humain
d’un ordinateur. Le plus
souvent, il s’agit d’une
fenêtre où s’affichent un
ou deux mots déformés.
L’utilisateur devra taper
ces mots au clavier pour
valider une action tandis
qu’un ordinateur ou un
logiciel de reconnaissance de caractères
échouera. Il s’agit d’éviter
une saturation d’un serveur ou une récupération
automatique de fichiers à
grande échelle.
*DireCt
DownloaD (DDl) :
Il s’agit de
téléchargements
dits «directs», car ils ne
passent pas un protocole
P2P ou décentralisé.
Ici, comme au bon vieux
temps, le fichier convoité
est sur un serveur et vous
le rapatriez sur votre
disque dur en utilisant
le protocole «classique»
d’Internet (HTTP).
46
Si vous avez l’habitude de télécharger
avec des liens directs récupérés
sur des sites spécialisés, vous connaissez
sans doute les captchas. Le problème
c’est que si vous n’êtes pas chez vous
lorsque la saisie d’un captcha est requise,
votre téléchargement est bloqué !
Avec JDownloader sur votre PC et
jdCaptcha sur votre mobile, vous pouvez
saisir ces captchas même lorsque vous
n’êtes pas dans les parages...
D
ans le précédent numéro,
nous vous avions présenté
une sélection de sites de
téléchargement direct (DDL)
avec un tutoriel sur MiPony, un logiciel
permettant de vous faciliter la tâche.
Or lorsque vous utilisez le téléchargement
direct sans payer pour un compte Premium
chez les différents hébergeurs, vous serez
bridé. Ces limitations concernent souvent
le débit, mais portent aussi sur les fameux
captchas. Un utilisateur gratuit sera donc
obligé de saisir des mots au clavier pour
«valider» le commencement du prochain
téléchargement (puisque vous êtes aussi
limité en nombre de fichiers que
vous pouvez rapatrier en même temps).
Un logiciel + Un plUgin
+ Une appli
Nous vous avons donc trouvé une solution pour
saisir ces captchas sur votre téléphone portable
sous Android. Pour cela, il faudra juste s’inscrire
gratuitement à un service en ligne et utiliser
deux applications : JDownloader et son plugin
dédié sur PC et jdCaptcha sur votre mobile.
Dès que le logiciel PC vous demandera un
captcha, il sera transféré sur votre téléphone.
Vos téléchargements commenceront donc
plus tôt, sans nécessiter de compte Premium.
Et sans téléphonE ?
Vous n’avez pas de téléphone sous Android, mais vous avez accès à un ordinateur ? Que vous soyez en cours
ou au travail, vous pouvez aussi utiliser jdCaptcha Web depuis Mon Compte sur www.vincescodes.com.
Il s’agit d’une interface Web qui émule l’application Android. Vous pourrez donc continuer à saisir vos captchas
même lorsque vous n’êtes pas chez vous !
pas à pas
101011010101000100110101000100010101011001001001010100010 01010010100101010100100
installer et
configurer
jdCaptcha et
JDownloader
JDownLoaDEr
Où LE TROUVER ? : http://jdownloader.org
JDCaptCha (plugin windows
pour JDownloader)
Où LE TROUVER ? : www.vincescodes.com/jdcaptcha
JDCaptCha (pour mobile android)
Où LE TROUVER ? : http://goo.gl/XcsYv9
DIffICULTé :
01
récupération
dEs fichiErs
Dans un premier
temps, il faudra
installer JDownloader
sur votre PC.
Choisissez la langue,
les associations de
fichiers et décidez ou
non de faire un don.
Téléchargez le plugin JDownloader pour Windows. Ce dernier est
contenu dans deux archives successives (ZIP et TAR). Utilisez 7-Zip
pour décompacter le dossier jdCaptcha et placez-le dans C:\users\
[votre nom de session]\appdata\Local\Jdownloader 2.0\jd\
captcha\methods.
02
04
c’Est fini !
inscription Et
fichiEr .conf
Sur votre téléphone, installez
l’application jdCaptcha
en suivant notre lien ou en le
récupérant sur notre CD. Il faudra
ensuite vous créer un compte en
faisant s’inscrire sur le site
www.vincescodes.com/
jdcaptcha sans oublier de faire
valider votre compte par e-mail.
Dans mon Compte>mes
paramètres, récupérez ensuite
le fichier jdCaptcha.conf et
placez-le dans C:\users\[votre
nom de session]\appdata\
Local\Jdownloader 2.0\jd\
captcha\methods\jdCaptcha.
03
le QR Code associé. Il est aussi possible d’envoyer une notification
de test pour vérifier que tout fonctionne. Mais auparavant, soyez
sûr que la case recevoir les autres notifications est cochée
dans mon Compte>résumé. Redémarrez JDownloader pour
appliquer le plugin.
lE codE d’association
Dorénavant lorsque vous irez sur
un site comme www.emule-island.ru
pour récupérer des liens de DDL
avec JDownloader. Une notification
s’affichera sur votre téléphone
portable. Vous pourrez saisir le captcha
et votre téléchargement débutera
automatiquement sur votre ordinateur.
En revenant chez vous le soir, vos
fichiers vous attendront bien sagement
sur votre disque dur. Notez qu’il est
possible de participer à un programme
(Communauté anonymous) pour saisir les captchas d’autres
utilisateurs contre des crédits. Ces crédits pourront être utilisés
lorsque vous ne pouvez pas résoudre vos captchas vous-même.
Erratum
Dans mes appareils, il faudra ensuite
récupérer un code unique à 12 caractères
pour l’inscrire dans l’application jdCaptcha
de votre mobile. Vous pouvez aussi utiliser
Sur notre CD dans la rubrique C’est dans le mag’,
nous nous sommes trompés dans la description de
JDownloader + jdCaptcha. En effet, le CD ne contient
que le plugin à placer dans le répertoire d’installation
(voir notre tutoriel). Pour JDownloader, il faudra
le télécharger à part. Désolé pour cette petite erreur,
le coupable a déjà été fouetté !
47
MultiMédia
Microfiches 010100101001010101001000011101010101010110101010001
#1
Trouvez le bon codec
avec GSPOt
Il vous est sûrement déjà arrivé lors
de la lecture d’un film de ne pas avoir
d’image ou de son. Il vous manque un
codec… Rassurez-vous, GSpot va résoudre ce problème en
identifiant avec précision le codec audio ou vidéo manquant.
Une recherche sur Internet et vous allez pouvoir
enfin regarder votre film tranquillement.
Lien : www.headbands.com/gspot
#3
De vieux jeux PC
sur navigateur
avec PlayDOSGameSOnline.cOm
Dans notre numéro 19, nous vous avions parlé de D-Fend
Reloaded, une interface graphique pour le logiciel Dos
Box permettant de rejouer avec vos vieux jeux PC. Bien que facile à utiliser,
nous avons trouvé encore mieux ! Le site PlayDOSGamesOnline propose
en effet des centaines de titres PC des années 80/90. Pas besoin d’installer
quoi que ce soit puisque le tout fonctionne depuis votre navigateur !
Il suffit d’activer Java (même si certains fonctionnent en HTML5) pour
lancer les jeux en mode fenêtré ou en plein écran... Il est même possible
de jouer avec une manette. À vous les Doom, Warcraft, Double Dragon,
Prince of Persia et autres pièces de collection...
Lien : http://playdosgamesonline.com
#2
Faites votre
propre jeu vidéo
avec Game maker
Vous avez toujours voulu réaliser un jeu
vidéo, mais le C++ vous décourage ?
Avec Game Maker, vos rêves vont peut-être se réaliser ! Ce logiciel propose des outils graphiques pour réaliser
des jeux de plates-formes, des RPG, des jeux d’actions
avec un langage maison dérivé du Delphi. La version
Standard permettra de vous faire la main sans
débourser le moindre centime. Les versions payantes à 50 et 800 $ (47 et 756 € au moment où nous lisons ces
lignes) proposent beaucoup plus d’options comme la 3D,
la gestion des textures, les ressources pour Android
ou les consoles dernières générations. Vous débutez ?
Voici un forum francophone très sympa :
www.game-maker-forum.net.
Lien : www.yoyogames.com/studio
#4
Un client Torrent
léger et tout terrain
avec qBittOrrent
Vous en avez marre de µTorrent ? Ce logiciel que nous vous
recommandions de longue date est devenu beaucoup moins
performant. Depuis le rachat par la société BitTorrent, µTorrent n’a cessé
d’accumuler les tares : consommation de ressources excessive, logiciels
additionnels étranges, etc. qBittorrent est un client que les amoureux
des premières versions de µTorrent vont adorer. Il est léger, simple et propose
des options pratiques et claires. Il est compatible avec le DHT, les flux RSS
et les liens magnet. Cerise sur le gâteau, ce dernier est open source et
complètement en français. Il est peut-être temps de changer de crèmerie...
Lien : www.qbittorrent.org
48
100110101000100010101011001001001010100010 0101001010010101010010000111010101010
#5
Supprimer «Epic Scale»
avec WinDOWS
Nous avons longtemps fait une confiance aveugle à µTorrent.
Quelle n’a pas été notre surprise lorsque nous avons entendu parler
d’Epic Scale, une saleté non détectée par les antivirus comme
une menace, mais
diablement fourbe !
Il s’agit en fait d’un
programme malveillant
qui s’installe parfois
en même temps
que les mises à jour
de µTorrent. Censé
utiliser les ressources
de votre ordinateur
pendant que vous ne
le sollicitez pas pour
traquer les tueurs de
bébés phoques, nourrir
les «chtis enfants» (et
pas les «enfants chtis»,
ceux-là on s’en fout) ou
sauver le monde d’un
cataclysme, il s’agit
en fait d’une saleté
qui mine du Bitcoin dans votre dos... Pour dégager cette immondice, désinstallez
Epic Scale depuis le Panneau de configuration puis supprimez le dossier du
même nom dans C:\ProgramData, C:\Program Files et C:\Program Files (x86).
Dans la base de registre, trouvez les clés HKEY_CURRENT_USER\Software et
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
et supprimez Epic Scale. Bon débarras !
#6
Une alternative à VLC
avec meDia Player claSSic
Ce lecteur
multimédia
est une
alternative
crédible à
Windows
Media Player
ou à VLC
puisqu’en plus
d’être léger,
il permet de
lire la plupart
des formats
que vous pourrez trouver. Très à l’aise avec la vidéo (DivX, Xvid, x264, Blu-ray,
etc.), il lit aussi les formats musicaux sans pour autant proposer autant d’options
qu’un player dédié. Ce Media Player Classic est, avant tout, pour les possesseurs
de configurations plus anciennes, pas assez puissant pour être à l’aise avec les
autres programmes, mais il propose aussi de profiter de la puissance de vos
processeurs 64 bits.
#7
Une
alternative
à BitTorrent
Sync
avec SyncthinG
Nous vous avions déjà parlé de BTSync
dans notre numéro 22. Ce logiciel permet
de synchroniser vos fichiers depuis tous
vos appareils sans passer par un «Cloud»
ou un serveur distant, mais uniquement
via P2P depuis votre PC ou un NAS par
exemple. Pour les puristes, le principal
problème de BTSync c’est que son code
source n’est pas ouvert. On ne sait donc
pas vraiment si le logiciel comporte des
failles, voulues ou non. Avec Syncthing, pas
de problème, puisque le logiciel est open
source et les mesures de sécurité sont un
peu plus solides (autorisations préalables,
une identification moins perméable, etc.).
Il faudra attendre un peu pour les versions
mobiles et NAS, mais le projet prend une
tournure intéressante avec la possibilité
d’emporter Syncthing sur une clé USB pour
se synchroniser depuis un PC qui n’est pas
le vôtre. Nous en parlerons plus avant dans
un prochain numéro... Libre à vous d’essayer
sans attendre après nous.
Lien : https://syncthing.net
Lien : http://mpc-hc.org
49
> LucidPort Chameleon
À la différence de la clé s-Sign de SSL Europa que nous avons testé dans le numéro 19, la
clé Chameleon ne stocke pas de données chiffrées, mais uniquement des clés numériques
permettant d’avoir accès à un conteneur chiffré sur votre disque dur, clé USB ou tout autre
matériel de stockage (maximum 2 To). Le système fonctionne avec l’algorithme AES 256
bits. Même si nous savons depuis l’affaire Snowden que la NSA est sans doute en mesure de
déchiffrer ce dernier, il s’agit ici d’un chiffrement en local destiné aux particuliers ou aux
entreprises désirant se protéger contre le vol ou l’espionnage industriel. Ce choix
de l’AES est d’ailleurs justifié par la rapidité de l’encryption qui se fait à la volée en
quelques secondes. La clé que nous avons testée est la version «de base», mais deux
autres sont disponibles, la version «PRO User» qui permet de fermer ou d’ouvrir une
session Windows en la branchant/débranchant, et la «PRO Master» destinée à gérer les
autorisations de toutes les autres clés et à révoquer ou transférer les clés.
Prix : 85 €
www.lucidport.com
> Cardboard Kit,
la 3D en carton !
Avec l’Oculus Rift ou le OSVR, les casques de réalité
virtuelle ont le vent en poupe ! Mais pourquoi essuyer
les plâtres avec des appareils hors de prix qui ne
cessent de s’améliorer de version en version alors
que vous pouvez vous amuser pour seulement 25 € ?
Le Cardboard Kit est un casque virtuel en... carton !
Vous avez juste besoin d’un smartphone. Il est livré
dans une enveloppe avec deux œilletons en plastique, un élastique et un bouton aimanté
permettant de «cliquer» sur votre écran sans y avoir physiquement accès. Il suffit de suivre la
notice de montage pour en profiter en moins de 10 minutes. Même si certaines applications sont
payantes, les gratuites sont assez sympa pour vous amuser assez longtemps. On trouve des
visites guidées de musée, des simulations, des FPS, etc. Jamais nous n’aurions imaginé
avoir un tel degré d’immersion avec un dispositif... en carton.
Prix : 25 €
https://cardboard-kit.fr
> Raspberry Pi 2,
le retour De la tarte à la framboise
Si vous êtes un lecteur de Pirate Informatique, vous
savez que nous sommes fans du Raspberry Pi et que nous
proposons souvent des projets en rapport avec ce nanoordinateur. C’est donc avec joie que nous avons appris la
sortie d’une deuxième version beaucoup plus puissante (à
ne pas confondre avec la version B). À peine plus cher que
son grand frère, ce Raspberry Pi 2 embarque un processeur
ARM Cortex-A7 (4 cœurs) cadencé à 900 MHz et 1 Go de RAM. La puissance de calcul est au
moins multiplié par deux, il serait même possible de faire tourner Windows 10 ! Bien sûr, toutes
les distributions et tous les systèmes compatibles avec la première version fonctionneront sans
problème sur la bécane. Notons que l’utilisation du media center Kodi (anciennement XBMC)
est bien plus aisé avec cette deuxième mouture et que l’affichage de vidéo HD ne pose aucun
problème. Si le Raspberry Pi vous intéresse, dirigez-vous vers la rubrique exclusive sur de notre
CD. Comme nous découvrons la bête, nous n’avons pas réalisé de nouveau projet dans ce numéro,
mais nous vous préparons une surprise pour le prochain !
Prix : 45 €
50
www.raspberrypi.org
> Mini Traceur GPS
Simvalley GT-340
Dans ces pages, nous avons souvent
présenté des trackers GPS miniaturisés
permettant de se loger dans un sac à main
ou une voiture, mais jamais nous n’avions
vu d’appareil aussi petit que ce GT-340.
Avec ses dimensions (24 x 50 x 13 mm) et
son poids de 20 g, il peut facilement se faire
oublier dans un cartable ou une poche de
manteau. Une fois que vous aurez inséré
une carte SIM dans le tracker (demandez
un clone de la vôtre à votre fournisseur),
vous pourrez le suivre à la trace depuis votre
smartphone grâce aux coordonnées GPS.
À l’intérieur des bâtiments, c’est le réseau
GSM qui prendra le relais. Si le tracker se
déplace en dehors de la zone que vous avez
définie, vous recevrez une alerte. Un bouton
SOS sur l’appareil permet aussi d’envoyer
un SMS en cas d’enlèvement ou d’urgence. Il
faudra juste penser à le recharger de temps
en temps, car sa batterie n’autorise que 120
heures d’autonomie en veille.
Prix : 70 €
www.pearl.fr
LucidPort chameleon
une clé usB blindée
La clé Chameleon permet d’avoir accès à un conteneur chiffré sur votre disque dur juste en la
branchant sur un port USB. Les étapes de création du conteneur et de transfert des documents
à protéger sont très accessibles pour permettre à des non-initiés de protéger leur travail. Voyons
comment tout cela fonctionne...
#1
La PassPhrase
Une fois que l’installation du logiciel chameleon Manager sera terminée, on
vous demandera de créer une «passphrase» suffisamment longue permettant de
dupliquer la clé si cette dernière se retrouve perdue ou endommagée. Une bien
bonne idée, car sans la clé, impossible d’accéder à vos données ! Le logiciel vous
demandera ensuite de créer un mot de passe. Même si ce dernier est optionnel,
nous vous conseillons de ne pas vous en passer ! Ce mot de passe vous sera
demandé lorsque vous connecterez la clé sur votre PC.
#2
Le conteneur chiffré
Il sera ensuite temps de créer votre conteneur
chiffré. À vous de choisir son emplacement (disque
dur, périphérique de stockage amovible) et sa
taille. Si vous vous retrouvez à court d’espace,
vous pourrez en créer d’autres par la suite. Notez
que votre conteneur se retrouvera dans un dossier
chameleonDrives au format BIN. Comme ce
dernier n’est pas caché, nous vous conseillons de vous trouver un mot de passe suffisamment
solide pour éviter les attaques «brute force».
#3
Le Disque virtueL
Un disque virtuel sera
alors créé dans le menu
ordinateur à côté de vos
lecteurs physiques. C’est ici
qu’il faudra glisser-déposer
vos fichiers à l’aide du clic
droit pour avoir accès à
un sous-menu. Le mieux
étant de choisir sécuriserDéplacer pour éviter d’avoir
des fichiers sensibles non chiffrés sur votre Bureau par exemple. Si
vous retirez la clé, ce disque virtuel disparaîtra de l’écran (alors que le
dossier chameleonDrives restera, lui, malheureusement visible).
En la rebranchant, le mot de passe vous sera donné. Notez qu’avec les
versions PRO, vous pourrez faire en sorte d’ouvrir ou de verrouiller une
session rien qu’en branchant/débranchant la clé.
#4
Le LogicieL
Dans le logiciel chameleon Manager, vous pourrez créer d’autres conteneurs,
supprimer ou modifier la taille de ceux déjà existants. Vous pourrez aussi changer
votre mot de passe, le révoquer, dupliquer la clé (sur une autre clé Chameleon que
vous aurez achetée à condition d’avoir conservé votre passphrase) ou faire migrer les
conteneurs chiffrés. Au final, cette clé Chameleon ne révolutionne pas grand-chose,
mais elle permettra sans doute à des gens n’étant pas familiers avec le chiffrement
de sécuriser des documents professionnels. À condition d’avoir un administrateur
pour faire de la pédagogie et pouvoir gérer les clés de chiffrement et les accès avec la
version PRO Master.
51
CD OFFERT
Le package
du pirate
tous les logiciels
indispensables
t
i
u
t
a
r
G
%
0
10
Le guide
pratique
100% micro-fiches,
trucs & astuces
Messages privés
Crack
RAT
Contrôle à distance
P
rotection
Chiffrement
Keylogger P2P
BEL/LUX : 6 € - DOM : 6,10 € - PORT.CONT. : 6 € - CAN : 7,99 $ cad
– POL/S : 750 CFP – MAR : 50 mad - TUN : 9,8 tnd
L 12730 - 25 - F: 4,90 € - RD
Anti-mAlwAre

Pirate Informatique - Avril

Transcription

Documents pareils

1/ sur Google, allez sur GMAIL L`intérêt de créer une adresse mail

Tutoriel Google Earth - Académie de Montpellier

Utilisation de Google Earth V 05

HUAWEI MediaPad - Extenso Telecom

Utilisation de Google Earth Pro / Google Maps / My Maps Objectifs

0206 vendeurs de relations (2)

Fiche TrueCrypt en PDF

partie 2

SJA NEWS - college sainte jeanne d`arc agnetz

Google Earth Pro gratuit

Recherche, veille sur le WEB : exemple d`outils gratuits