Rechercher sur ce blogue

jeudi 16 novembre 2017

Pirater un plug bluetooth, c'est facile


L'industrie du sextoy semble toujours incapable de produire un jouet sans fil résistant aux attaques informatiques.

 

L'article original a été publié sur Motherboard.
Mardi 17 septembre, les rectums du monde entier se sont serrés de peur quand le spécialiste en cybersécurité Giovanni Mellini a révélé sur son blog à quel point il était facile de pirater un plug anal contrôlé par Bluetooth.
L'appareil en question est le Hush de Lovense, que l'entreprise présente comme "le premier plug anal télédildonique" que vous pouvez "contrôler de n'importe où !"
Malheureusement pour Lovense, le Hush s'illustre aussi comme l'un des sextoys connectés les plus vulnérables du marché : manifestement, il peut être contrôlé "de n'importe où", mais aussi par n'importe qui. Il suffit de se trouver à portée de Bluetooth.
Dans son billet de blog, Mellini explique qu'il est parvenu à hacker le jouet en utilisant un scanner de réseaux Bluetooth Low Energy (BLE) développé et distribué gratuitement sur GitHub par Simone Margaritelli.
Le Bluetooth est considéré comme un moyen peu sûr de transmettre de l'information à distance. Sa version économe en énergie, le BLE, est encore plus fragile. Malheureusement, elle tire si peu sur la batterie des smartphones qu'elle s'est aisément trouvé une place dans l'Internet des objets.
Simone Margaritelli n'est pas tendre avec le BLE dans le billet de blog qu'il a consacré à son scanner : "Le BLE est une version cheap et très peu sûre du Bluetooth. Il n'utilise pas le saut fréquence et n'a pas de protocole de sécurité intégré." Ces faiblesses le rendent vulnérable aux attaques par interception, au cours desquelles le pirate se glisse entre deux machines qui communiquent ensemble.
Dans ce cas précis, un hacker pourrait prendre le contrôle du Hush en lui faisant croire qu'il obéit au smartphone de son propriétaire. Au passage, il pourrait également récupérer les paquets d'information qui circulent entre les deux appareils. C'est ce qu'on appelle le sniffing.
S'il est si nul, pourquoi le BLE a-t-il toujours ses entrées chez les fabricants d'objets connectés ? Une fois de plus, Margaritelli s'exprime sans ambage : "Si vous voulez concevoir et vendre n'importe quelle merde branchée à l'IoT, et que vous voulez le faire vite parce que votre concurrent s'apprête à débarquer sur le marché avec une merde similaire, vous prenez le Bluetooth, vous le débarrassez de ses quelques maigres qualités et voilà !", vous avez un appareil BLE.
Mellini affirme qu'il est parvenu à coupler son ordinateur au plug sans identifiant, mot de passe ou code PIN en utilisant le scanner de Margaritelli et l'application smartphone de Lovense. L'appariement effectué, il avait tout contrôle sur les vibrations de l'engin.
Sur son site officiel, Lovense affirme que le Hush a une portée d'une dizaine de mètres si l'utilisateur est debout, trois s'il est assis. Ce qui signifie qu'un malfrat aurait besoin d'être très proche de vous pour prendre le contrôle de votre jouet. Reste que l'application de Lovense se connecte à Internet : un hacker entreprenant pourrait sans doute utiliser les vulnérabilités dévoilées par Mellini pour orchestrer une attaque à distance, une vraie.
Mellini pense que ce hack n'aurait pas été possible avec un protocole sans fil plus sûr que le BLE. "C'est vraiment facile de pirater le protocole BLE à cause d'erreurs de conception bêtes, écrit-il. Bienvenue en 2017."
Motherboard a fait parvenir une demande de commentaire à Lovense. Si nous obtenons un retour, cet article sera mis à jour.
L'industrie des jouets pour adulte traverse une grande phase de réinvention télédildonique. En connectant ses produits à Internet, elle espérait tirer parti des dernières tendances. Malheureusement, elle a surtout inondé le marché de godes vulnérables aux attaques informatiques.
Les sextoys connectés doivent protéger l'intimité de leurs utilisateurs s'ils souhaitent devenir des produits courants. Pour le moment, il semble qu'ils ne travaillent qu'à dissoudre la frontière vie privée-vie publique.

 

 

 

REF.:

Les étonnantes idées de Samsung pour recycler votre smartphone Galaxy



Le fabricant sud-coréen veut inciter les utilisateurs à transformer leur ancien smartphone en objet connecté pour des usages aussi variés que le minage Bitcoin, la gestion d’aquarium ou l’authentification biométrique.

mercredi 15 novembre 2017

Rencontrez Sweetie, la fille qui attrape les prédateurs en ligne




Des chercheurs hollandais disent que 1 000 hommes du monde entier ont pris contact avec une fillette de 10 ans aux Philippines au cours d'une enquête de 10 semaines, dont beaucoup voulaient la payer pour enlever ses vêtements devant une webcam.

L'organisation des droits de l'enfant Terre des Hommes a mis en place le faux profil d'une fille nommée Sweetie dans un forum de discussion en ligne et ses chercheurs spécialement formés ont été stupéfaits par l'avalanche de réponses.

Un chercheur l'a décrit comme «pétrifiant», mais il a déclaré que le véritable problème était le nombre de filles de pays en développement qui avaient accès à Internet et que les parents et les criminels essayaient de gagner de l'argent.

Les informations recueillies au cours de l'enquête seront transmises à Interpol.

Angus Crawford de la BBC a été invité dans un endroit secret pour voir comment le travail est effectué.






REF.:

Un Hacker aurait divulgué des renseignements personnels sur plus de 100 policiers



C'est l'image qui a conduit le FBI à un hacker prolifique catch censé être responsable de la libération des informations personnelles de dizaines de policiers à travers les États-Unis.
Higinio O. Ochoa III a été accusé d'avoir piraté illégalement au moins quatre sites Web d'application de la loi aux États-Unis - des prouesses dont il se serait prétendument fait valoir sur tous les sites de réseaux sociaux.
Et c'est cette image - prise en Australie - de sa petite amie à peine vêtue qui tient un message pour narguer les autorités américaines qui ont capturé le programmeur informatique de 30 ans de Galveston, au Texas.Quelle bombe: Higinio Ochoa, connu sous le nom de w0rmer et travaillant avec le groupe de piratage CabinCr3w, a été accusé de piratage. Le FBI a été amené à lui par cette photo de sa copine sur un site vantant ses exploits
Quelle bombe: Higinio Ochoa, connu sous le nom de w0rmer et travaillant avec le groupe de piratage CabinCr3w, a été accusé de piratage. Le FBI a été amené à lui par cette photo de sa copine sur un site vantant ses exploits
La photo montre une femme du cou avec un signe attaché à son estomac, en lisant: «PwND by w0rmer & CabinCr3w <3 b="" br="" s="" u="">
Le FBI a déclaré qu'il confirmait l'identité d'Ochoa, qui s'appelle lui-même 'w0rmer' en ligne et est membre de 'CabinCr3w', une émanation du groupe de hacking Anonymous.


En février, le prétendu compte Twitter d'Ochoa, @ AnonW0rmer, a été relié à un site Web où les données extraites des sites Web d'application de la loi ont été affichées, a rapporté The Sydney Morning Herald.
Au bas du site, il y avait l'image de la femme portant le signe. Les données tirées de cette photo montrent qu'il a été pris par un iPhone, selon le FBI.Higinio O. Ochoa IIIPetite amie Kylie Gardner
Connexions: Ochoa, à gauche, aurait divulgué des renseignements personnels pour plus de 100 policiers. La photo de sa petite amie Kylie Gardner, à droite, contenait des informations montrant où elle avait été prise
Les coordonnées GPS intégrées dans la photo - comme on peut le voir sur toutes les photos prises par un smartphone - ont montré aux autorités la rue et la maison exactes à Wantirna South, Melbourne, où elles ont été prises.
Différents tweets de @ Anonw0rmer pointaient vers d'autres sites se référant à 'w0rmer', y compris celui qui portait le nom d'Ochoa et plus de photos de sa petite amie.
Les autorités ont alors trouvé la page Facebook d'Ochoa, sur laquelle il a nommé Kylie Gardner d'Australie comme sa petite amie. Le FBI était alors convaincu qu'elle était la femme sur la photo prise à South Wantirna.
Même si la photo des seins ne montre pas le visage de la femme, le FBI est convaincu que c'est la même femme. Ils ajoutent que c'est une preuve définitive que Ochoa est w0rmer.
Gardner n'a été accusé d'aucune activité criminelle. On pense qu'elle est actuellement aux Etats-Unis avec Ochoa, qui comparaîtra devant le tribunal cette semaine, a rapporté le Sydney Morning Herald.Risque: D'autres images de la femme légèrement vêtue ont été téléchargées sur sa page Twitter et ont inclus des messages qui ont raillé les autorités à la recherche de son petit ami
Risque: D'autres images de la femme légèrement vêtue ont été téléchargées sur sa page Twitter et ont inclus des messages qui ont raillé les autorités à la recherche de son petit ami
Après l'avoir dépisté et placé sous surveillance, les autorités ont pris d'assaut la maison d'Ochoa le 20 mars et l'ont arrêté.
Dans un post censément écrit par Ochoa sur Pastebin, il a dit "environ 8 agents du FBI ont pris d'assaut mon appartement". Il a été emmené dans un bureau du FBI à Houston où il a payé une caution de 50 000 $.
Ochoa a comparu devant le tribunal le 10 avril devant un magistrat, où la preuve photographique ci-dessus a été révélée dans l'affidavit du FBI.
Il arrive un mois après que l'ancien chef de Lulzsec et membre anonyme de Sabu a été révélé comme un informateur du FBI. Mais dans le post de Pastebin, Ochoa a prétendu qu'il n'était pas coupable de la même trahison.
Il a écrit: «J'ai dit au FBI que je participerais à la capture de mes coéquipiers, une pièce qui, sans aucun doute, a satisfait et embrouillé le FBI.Prolific: Ochoa a été identifié comme un membre de CabinCr3w, une ramification de hackers Anonymous (emblème sur la photo)
Prolific: Ochoa a été identifié comme un membre de CabinCr3w, une ramification d'Anonymous (emblème sur la photo)Defiant: Anonyme, dont les partisans portent des masques de Guy Fawkes, est le groupe parapluie pour différents collectifs de piratage causant des ravages en ligne. Des membres ont piraté des sites Web d'application de la loi et d'affaires
Defiant: Anonyme, dont les partisans portent des masques de Guy Fawkes, est le groupe parapluie pour différents collectifs de piratage causant des ravages en ligne. Des membres ont piraté des sites Web d'application de la loi et d'affaires
«Cependant, ceux qui me connaissent le mieux se porteraient indument pour moi, ce qui mettrait ce mouvement en danger.
"TOUTES les informations fournies au FBI ont simplement rendu MON cas plus faible et causé une confusion interne montrant la faiblesse inhérente du système."
Ochoa aurait piraté le site Web du comté de Houston en Alabama et «créé de faux événements sur leur ligne, des images postées représentant Anonymous et

CabinCr3w, a supprimé tous les comptes administrateur, sauf celui créé par l'attaquant.CabinCr3w était également responsable de la fuite d'adresse e-mail et des informations confidentielles des dirigeants de Goldman Sachs en Septembre 2011, Gizmodo report.En février, le groupe infiltré Base de données de l'association, et a divulgué des noms, des adresses et des numéros de téléphone de plus de 100 policiers.

REF.:

Auto: Le contrôle parental intelligent !



Auto: Le contrôle parental intelligent,........... partout !

Pour l'auto:

 Les nouvelles fonctionnalités de Teen Driver , ou SafeDrive: For Teen Drivers,de la Buick Envision 2017 ou autre voiture,rend la vie moins stressante pour les parents d'adolescents. Vous pouvez l'utiliser pour définir les contrôles parentaux, examiner les habitudes de conduite de votre adolescent et encourager votre fils ou votre fille à conduire prudemment, que vous soyez dans le véhicule.

 Teen Driver:

-Alertes personnalisées

Définir des avertissements sonores et visuels lorsque le véhicule roule à une vitesse présélectionnée.

-Limitation de vitesse

Définir des avertissements sonores et visuels lorsque le véhicule roule à une vitesse présélectionnée.

-Limite audio

Définir la limite sur le volume audio.

 
-Distance conduit

Tirez sur le bulletin de bord du véhicule pour voir à quelle distance le véhicule a voyagé.

 D'autres apps:

-DriveScribe

    
Fonction: Surveille la conduite des adolescents et récompense les habitudes de conduite sécuritaires
    
Compatibilité: Android et iPhone
    
Prix: Gratuit
    
À propos de: Baptisée «Safe Driving Coach», cette application primée surveille les techniques de conduite utilisées par votre ado et attribue un score de conduite sécuritaire et des points à la fin du voyage. Votre adolescent peut accumuler des points et les échanger contre Amazon ou d'autres grandes cartes-cadeaux des détaillants.- MamaBear

    
Fonction: Vous permet de surveiller les actions de votre enfant et les vitesses de conduite
    
Compatibilité: Android et iPhone
    
Prix: Gratuit
    
A propos de: Cette application est bon pour les parents qui souhaitent garder un œil sur leurs enfants et leur utilisation du téléphone cellulaire. Il permet aux parents de voir où se trouvent leurs enfants à tout moment grâce au suivi GPS. Il envoie des notifications lorsque les enfants arrivent ou quittent des lieux prédéfinis, et permet aux parents de voir les interactions des médias sociaux de leurs enfants. Il alerte également les parents si les enfants dépassent les vitesses prédéfinies pendant la conduite. Bien que plutôt intrusive, c'est une application utile, en particulier pour les parents d'enfants à risque.

Le contrôle parental intelligent

Protégez votre enfant sur tous ses appareils : ordinateur, smartphone, tablette. Pilotez ses usages, où que vous soyez.

Gestion à distance

Gardez un œil sur l’activité de vos enfants où que vous soyez, depuis votre propre ordinateur, smartphone ou tablette.

Filtrage Internet

Bloquez l’accès aux contenus choquants pour laisser votre enfant surfer sans crainte
sur Internet.

Gestion du temps

Instaurez des créneaux d’utilisation de l’appareil pour prévenir les connexions nocturnes
et l’usage du smartphone en classe.

Gestion des applications

Choisissez les applications que votre enfant pourra utiliser et bloquez celles inadaptées
à son âge ou trop addictives.

Cumul du temps passé par appareil

Appliquez des restrictions horaires qui s’appliqueront uniformément à tous les appareils
que votre enfant utilise.

Statistiques d’utilisation

Obtenez des informations détaillées sur les sites et applications consultés par votre enfant
et le temps qu’il a passé dessus.

dimanche 22 octobre 2017

Les 10 pires marques selon Consumer Reports



Après avoir présenté le palmarès des 10 marques les plus fiables, nous partageons la liste des 10 marques les moins fiables dressée par Consumer Reports. Plusieurs surprises s’y retrouvent! 


10. Chevrolet
KFZ Werkstatt
Chevrolet
Après avoir monté de trois places par rapport à l’année dernière, Chevrolet se trouve maintenant dans ce palmarès de la honte. Alors que la Camaro cause du tort à l’image de la marque en raison de sa mauvaise fiabilité, la Bolt est présentée comme le modèle étant le plus fiable de ce constructeur américain. 
 
9. Acura
KFZ Werkstatt
Acura
Alors que Honda figure dans le palmarès des dix marques les plus fiables, il est étonnant de constater que sa division de luxe, Acura, se trouve dans ce palmarès bien moins prestigieux. Comparativement à l’année dernière, Acura a grimpé de sept positions. L’ILX est le modèle le plus problématique de la marque alors que le RDX s’avère le plus fiable. 
 
8. Jeep
KFZ Werkstatt
Jeep
Du côté de Jeep, on note une certaine amélioration. En effet, le constructeur réputé pour la capacité hors-route de ses véhicules a perdu trois positions. Sans grande surprise, le Cherokee présente la meilleure cote de fiabilité du manufacturier, alors que c’est tout le contraire pour le Renegade. 
 
7. Tesla
KFZ Werkstatt
Tesla
Soupir de soulagement chez Tesla. Le constructeur de voitures entièrement électriques a baissé de quatre positions. D’après Consumer Reports, le Model X connaît davantage de soucis que la Model S qui est présentée comme le véhicule le plus fiable de la marque. 
 
6. Lincoln
KFZ Werkstatt
Lincoln
Chez Lincoln, il n’y a pas de quoi se réjouir, car on vient de monter de deux positions dans ce classement. Le MKX continue de faire des siennes alors que le MKZ est présenté comme étant le moins problématique de la marque. 
 
5. Volvo
KFZ Werkstatt
Volvo
Du côté de Volvo, les choses ne s’améliorent pas. En effet, le constructeur détenu par Geely se trouve désormais en cinquième position, comparativement à la neuvième position l’année dernière. La V60 s’avère le véhicule le plus fiable chez Volvo, alors que XC90 est celui qui en arrache le plus. 
 
4. Dodge
KFZ Werkstatt
Dodge
Chez Dodge, on constate une progression par rapport à l’année dernière. Rappelons que le constructeur se trouvait au deuxième rang du classement. Le Journey continuer de poser problème et la Grand Caravan peut se vanter d’être le véhicule le plus fiable de la marque. 
 
3. Ram
KFZ Werkstatt
Ram
C’est sans surprise qu’on retrouve une des marques du groupe FCA sur le podium. On note tout de même une amélioration. Le 3500 est le moins fiable de manufacturier et le 1500, le plus fiable. 
 
2. GMC
KFZ Werkstatt
GMC
GMC, qui a monté de deux places, se trouve maintenant au deuxième rang, une position très peu enviable. L’Acadia cause du tort au constructeur alors que Sierra 2500HD est le véhicule le plus fiable de cette division de General Motors. 
 
1. Cadillac
KFZ Werkstatt
Cadillac
Cadillac a gagné six places par rapport à l’année dernière et occupe la place qu’aucun constructeur ne veut occuper. La CTS est présentée comme le véhicule le plus fiable de la marque alors que l’Escalade connaît d’importantes lacunes. Avant d’acheter une Cadillac, méfiez-vous sérieusement. 
 
Veuillez noter qu’Alfa Romeo, Fiat, Genesis, Jaguar, Land Rover, Maserati, Mini, Mitsubishi et Smart ne font pas partie du palmarès étant donné que ces constructeurs n’ont pas fourni suffisamment de données à Consumer Reports.  
 
 

Microsoft tacle Google sur sa gestion d’une faille


Microsoft et Google ne cessent de se lancer des piques : les deux géants de la Silicon Valley ont des équipes spécialisées dans la recherche de failles dans leurs programmes ainsi que dans ceux de leurs concurrents ce qui permet de rendre, petit à petit, Internet un peu plus sûr face aux hackers. Sauf que les deux géants ont des visions très différentes de la meilleure façon de réagir face à la découverte d'une de ces failles.

Google, notamment, a pour habitude de publier les détails d'une faille qu'il a découverte une semaine après en avoir informé les intéressés. Une manière de leur mettre la pression à laquelle Microsoft a déjà dû faire face.


Microsoft découvre une faille dans Chrome


Dans le cadre de la recherche de failles, l'équipe Microsoft Offensive Security Research a identifié une faille critique permettant l'exécution de code à distance dans le navigateur de Google, Chrome. Microsoft a signalé la faille à Google le 14 septembre 2017, avec toute une série d'autres failles mineures, ce qui a permis à l'équipe de Microsoft de gagner très exactement 15.837 dollars dans le cadre du programme de Google.

Naturellement, Microsoft n'a pas touché l'argent : l'entreprise a désigné le centre pour l'éducation Denise Louie de Seattle comme bénéficiaire et Google lui a versé 30.000 dollars. Surtout, comme le signale Microsoft sur son blog le 18 octobre 2017, Google a créé un correctif en un temps record : 4 jours. La version téléchargeable du navigateur, elle, a été mise à jour en moins d'une semaine.



L'histoire de Google : comment une petite startup a fait trembler Microsoft

Une mise à jour publiée sur Github avant le déploiement d'un patch


Que reproche Microsoft à Google sachant que ce dernier a résolu le problème en moins d'une semaine, soit le temps que Google donne à ses concurrents ? La publication, sur Github, du code source du patch pour la faille en question. Une publication qui n'aurait pas posé problème si elle n'avait pas été faite, précise Google, en amont du déploiement du correctif.

En fait, si Google a bien corrigé le build, le fichier téléchargeable de Chrome, les utilisateurs du navigateur n'ont pas eu de correctif pendant près d'un mois alors que le code source du correctif était publique. Ce n'est qu'un mois après qu'une mise à jour a été déployée. Pour Microsoft, Google a laissé aux hackers un mois pour identifier la faille et l'exploiter avant de corriger le problème chez ses utilisateurs.

Entre Google et Microsoft, c'est certain, la hache de guerre n'est pas prête d'être enterrée.