Archives mensuelles : décembre 2014

Mise à jour d’Agendax, le générateur d’emploi du temps

Agendax est un outil destiné à créer des fichiers vcalendar à intégrer les agendas numériques de Google, Apple, Microsoft. C’est un outil en PHP, JQUERY qui permet de définir un emploi du temps à la semaine et de gérer les récurrences sur des périodes, il est particulièrement adapté aux profs et aux étudiants.

La dernière mise à jour inclut des améliorations visuelles au niveau de l’affichage de l’emploi du temps et quelques bricoles :

2014-12-23_16h02_24Pour en savoir plus consulter la page dédiée.

Lien direct : http://agendax.webou.net/

 

Publicités

Hubic, le service de Cloud français hébergé chez nous

image

Un service de Cloud permet d’héberger en ligne vos précieuses données, pour les sauvegarder, les partager ou simplement les transporter, ce n’est pas nouveau, tout le monde connaît, Box.net, OneDrive, Google Drive.

Ces services sont tous formidables mais ils ont un gros défaut quelque soit la capacité de stockage proposée, ils sont situés à l’étranger, et cela suffit pour avoir de sérieux doutes sur le risque d’être carrément pillé. En fait, je dirais même qu’il n’y a aucun doute là-dessus, les US ne s’en cachent même pas. Quand Surdoc proposent de choisir un hébergement en Chine ou aux States, ça me fait bien rire.

Bref si vous avez une PME, quelques secrets industriels même modestes, ou tout simplement si votre vie privée vous est chère, il faut carrément éviter d’y déposer quoique ce soit !

Pour ne pas rester à la traîne technologiquement, OVH l’opérateur lillois propose un service de cloud Français Hubic hébergé en France, deux datacenters sont implantés dans le Nord et un dans l’Est du pays, ainsi la sécurité de vos données devient une priorité. OVH est juste le leader européen, une autre raison pour le préférer aux concurrents transatlantiques.

En plus de fournir un service de qualité, Hubic est disponible pour toutes les plates-formes mobiles dont Windows Phone, un logiciel de synchronisation vous permet aisément de synchroniser vos données en ligne, idéal pour être toujours “up to date” !

image

J’ai testé ce service quelques semaines et j’en suis très satisfait, l’outil de synchro notamment ne me bouffe pas de la ram comme celui de box.net. Il va d’ailleurs sans dire que j’ai abandonné tous les autres services sauf celui de Microsoft qui backup les photos de mon Lumia 925.

En cette période de fête, Hubic propose aux filleuls 30 Go gratuits au lieu des 25 Go habituels, pour cela vous devez disposer d’un code promo. Ca tombe bien en voici un :

JWPVTP

Lien : https://hubic.com/home/new/

ShareButton: des boutons de partage sur vos pages Web

image

Créer du trafic sur un site Web ou un blog est le premier souhait d’un rédacteur. Cela passe en premier par un solide référencement et par une diffusion dans les réseaux sociaux.

ShareButton vous facilitera la tâche grâce à deux scripts à inclure entre les balises <head> et </head>, l’un avec une présentation horizontale :

2014-12-17_16h04_41

Et une verticale :

2014-12-17_16h04_31

Par défaut, ce sont trois boutons animés au survol de la souris vers Facebook, Google + et Twitter mais d’autres services sont prévus en cliquant sur le bouton + :

2014-12-17_16h04_50

Il n’y a aucune configuration à effectuer puisque le script partage simplement l’URL.

Pour récupérer les scripts : http://sharebutton.net/

Vol au-dessus d’un nid de hotspots gratuits ou comment se faire piller….

 

4092671535_4a18231084_b

En situation de mobilité, nous sommes tous à la recherche d’une connexion Internet fiable, les points d’accès Wifi (hot spots) ouverts et gratuits, s’avèrent une solution simple et pratique.

Pourtant, ces hot spots offerts par quelques enseignes de restauration rapide ou communautaires (la box partagée d’un particulier) peuvent faire courir de graves dangers à vos données personnelles voire même vous exposer à une usurpation d’identité. Ces risques ne sont pas surévalués, un pirate a besoin de peu de connaissances techniques pour partir à la recherche de données à collecter puis à revendre dans des forums du darknet. 

Tout se vole, évidemment des numéros de carte bancaires, des logins et mots de passe mais aussi des sessions d’authentification à des réseaux sociaux.

Pour comprendre les enjeux, il faut avoir conscience qu’entre votre ordinateur portable ou votre smartphone et le réseau internet, il y des équipements qui gèrent le point d’accès wifi et transfèrent le flux de données du point d’accès vers Internet le plus souvent grâce à une simple liaison ADSL.

S’insérer dans ce réseau Wifi ou même se faire passer pour un réseau Wifi légitime permet aisément de capturer des données à la volée. Examinons quelques situations : 

Le gestionnaire de point d’accès indélicat

Dans ce cas de figure, vous êtes connecté à un point d’accès Wifi tout à fait légitime appartenant à une enseigne reconnue et offrant un accès réellement gratuit. Cependant, vous ignorez si le gestionnaire de ce point d’accès est honnête ! 

Il lui suffit d’installer un logiciel de capture de trame (Ethernet Sniffing) pour analyser le flux d’informations et capturer toutes les données sensibles d’une manière complètement invisible.

Le client de la table d’à coté est un pirate !

C’est une technique que pourrait mettre en œuvre un client installé à portée d’un réseau Wifi ouvert et ce pirate pourrait être votre voisin de table.

Pour ce faire, il met en œuvre un logiciel lui permettant  de s’insérer dans les échanges entre votre ordinateur et le point d’accès Wifi, il n’a pas vraiment besoin d’un ordinateur, un smartphone sous Android peut suffire.

L’ARP  Spoofing est une technique de détournement du réseau permettant d’affecter l’affichage des informations dans les pages Web, le changement des images, des recherches Google, mais plus gravement, le trafic peut être redirigé vers une applications qui analysera  les paquets de données échangés avec le point d’accès et en extraira les informations sensibles circulant en clair.

Un point d’accès maquillé

Le point d’accès pirate imite le nom d’un point d’accès légitime afin d’inciter des utilisateurs à s’y connecter pour là encore voler des données. Parfois il n’est même pas nécessaire d’imiter le nom d’un point d’accès légitime, il suffit simplement de parier sur la crédulité des utilisateurs trop heureux de profiter d’un accès Internet gratuit.

Mettre en œuvre un point d’accès maquillé est encore plus simple, il suffit d’un ordinateur portable avec deux cartes Wifi, l’une connectée au réseau wifi légitime (le point d’accès original) ou au réseau de données cellulaires (4G) et l’autre carte paramétrée en mode point d’accès c’est à dire comme une antenne Wifi. Le pirate relie les deux adaptateurs Wifi avec un pont réseau logiciel (cela se fait d’un simple clic sous Windows) et bien évidemment démarre une analyse des flux afin de voler des données sensibles.

Faux hot-spot communautaire

Les hot-spots communautaires sont proposés par certains fournisseur d’accès à Internet afin de palier à la faiblesse de la couverture du réseau de données cellulaire en permettant à leur client de se connecter à la box d’un autre client après authentification.

Cette technique s’apparente au point d’accès maquillé à la différence que le pirate ouvrira de préférence son point d’accès piraté dans une zone de faible couverture 4G et au-delà d’un réseau Wifi gratuit tout en imitant la page d’authentification de l’opérateur en question et en sélectionnant soigneusement le nom de point d’accès Wifi.

L’objectif est le vol des données de connexion, c’est-à-dire s’emparer du mot de passe d’accès aux données clients et récupérer les données bancaires, créer des adresses mail supplémentaires etc..

Cette technique est tout aussi simple, il suffit simplement d’inverser la carte Wifi pour qu’elle agisse comme un point d’accès Wifi, de monter un serveur Web avec une page d’accueil identique à celle de l’opérateur ciblée et un simple script collectant les données d’authentification.

Comment tenter d’échapper aux pirates ?

On peut considérer Internet comme une espèce de jungle, pour ne pas mourir dévoré il faut développer des stratégies et des postures.

  • S’informer, c’est bête à dire mais il arrive moins d’accident à celui qui connaît les pièges et les règles du jeu.
  • La seconde erreur est de considérer que tout est rose dans le meilleur des mondes, gardez l’esprit en éveil permet de ne pas tomber dans des pièges parfois évidents.

Et d’une point de vue pratique :

  • Tout d’abord il faut éviter de se connecter à des services sensibles (service bancaire, site de paiement, intranet de société exposée à l’intelligence économique) à partir d’un point d’accès Wifi ouverts et préférer son smartphone en mode partage de données cellulaires. Peu de gens savent qu’il est possible de paramétrer un smartphone en point d’accès Wifi ce qui est une solution sans risque permettant ne pas exposer des données sensibles. Cela fonctionne sous Android sous IOS et sous Windows Phone, il faut cependant disposer d’une forfait incluant la data en 3G ou mieux en 4G.

  • N’utiliser que des accès chiffrés SSL. Pour s’assurer que le navigateur se connectera systématiquement en mode chiffré, il est possible d’installer une extension qui forcera le navigateur à se connecter en mode sécurisé.
    Ce mode sécurisé se reconnaît dans l’adresse Web avec la présence du protocole https plutôt que http et d’une information spécifique dans la barre de statut du navigateur comme un cadenas sur fond vert. Il existe une extension HttpsEveryWhere pour forcer le mode sécurisé.

  • Installer un VPN ou Virtual Private Network consiste à créer un tunnel crypté entre votre ordinateur et le service proposant le VPN. Les données sont donc illisibles sur les équipements du point d’accès Wifi. Avant de choisir un service VPN , mieux vaut se référer aux avis des spécialistes avant de s’abonner, car là aussi il y a  des risques. De plus, certains états n’aiment pas trop ces services, mais cela est une autre histoire.

  • Dans le cas spécifique du point d’accès communautaire, il existe une contre-mesure très simple qui consiste à utiliser un couple nom d’utilisateur(login) mot de passe erroné. Si le point d’accès vous authentifie, fuyez.

A titre d’illustration, cet article relate les mésaventures de dirigeants de grandes entreprises victimes de vol de données lors de leur séjour dans des chaines de grands hôtels. Personne n’est à l’abri !