DevFest

Le DevFest s'organise et vient de publier en ligne le détail de son programme.

Pour rappel, le DevFest est une journée complète de conférences sur Android, Dart, AppEngine, Angular JS, Chrome, HTML5, Google Drive, Go, GWT...
 Cette année, l’événement regroupera plus de 500 participants et se déroulera le 7 novembre à la Cité des congrès de Nantes.

Cette année, les conférences sont orientées autour de 4 thématiques : Le mobile, le Web, le Cloud et des sujets divers à découvrir.

Mobile :

  • HTML pour le web mobile: Firefox OS (Frédéric Harper)
  • Always fresh data with continuous queries (Romain Menetrier)
  • Introduction to Android Wear – A Glimpse Into the Future (Cyril Mottier)
  • Tests étendus pour contruire des applications Android robustes, avec Genymotion (Eyal Lezmy)
  • v.zero SDK for android (Alberto Lopez Martin)
  • + 1 futur Speaker

Web :

  • Introduction aux Web Components avec Polymer (Horacio Gonzalez)
  • Modulariser son application AngularJS avec Browserify (Antoine Richard)
  • JHipster, a Yeoman generator for AngularJS and Spring Boot (Julien Dubois)
  • Dart, it's Angular too! (Pierre Reliquet)
  • Dans un monde où tout est composant (Medy Belmokhtar)
  • + 1 futur Speaker

Cloud :

  • Google Cloud Platform: Managed VMs unification (Ludovic Champenois)
  • Scaling clusters declaratively with Kubernetes and Docker (Julia Ferraioli & Brian Dorsey)
  • Launching and growing a startup on the Google Cloud Platform (Jérôme Mouton)
  • 'No one at Google uses MapReduce anymore' - Cloud Dataflow explained for dummies (Martin Görner)
  • Lucy in the sky with docker (David Gageot)
  • + 1 futur Speaker

Découverte :

  • L'expérience utilisateur est importante pour vous (Florence Herrou)
  • Guerrilla design en milieu hostile : responsive et mobilité (Stéphanie Walter)
  • Et la diversité dans tout ça ? (Jean Paliès)
  • The fine art of deploying web apps online (Ronan Guilloux)
  • Google Tag Manager (Ronan Chardonneau)
  • + 1 futur Speaker

Pour en savoir plus sur l’événement et pour vous inscrire, rendez-vous sur le site du DevFest.

Freebox

Je viens de persévérer dans mon analyse, il semblerait que la majorité des machines identifiées dans mon précédent article comme vulnérables au injections HTTP Shellshock soient de faux positifs.

Ces machines émettent en effet un ping dès qu'elle reçoivent un paquet HTTP. C'est étrange, mais cela semble être leur comportement nominal ...

Après un test avec des entêtes HTTP vides, les pings ont été quand même reçus par mon serveur.

Les box / machines identifiées sur le DSLAM de Free, sont donc non vulnérables à la faille de sécurité Shellshock par injection d'entête HTTP. Cependant, un certain nombre de matériels réseau et autres serveurs restent vulnérables. Une trentaine de produits Oracle et Cisco viennent d'être identifiés vulnérables à Shellshock.

Shellshock http header

Vous êtes plusieurs à m'avoir demandé plus d'informations sur la faille Shellshock et l'impact qu'elle peut avoir sur des machines connectées à Internet.

Voici un bref test réalisé sur une plage d'IP /24 d'un DSLAM Free démontant que de nombreuses personnes connectées à Internet semblent être vulnérables à la faille Shellshock découverte récemment sur Bash par un français.

Le test démontré consiste à envoyer à un ensemble de machines/box connectées à Internet un paquet HTTP forgé avec des entêtes HTTP contenant une injection de commande. Toutes les machines vulnérables qui passeront les valeurs des entêtes HTTP sous forme de variables Bash exécuteront la commande indiquée dans la requête sans le vouloir.

Dans le cas présent, l'instruction transmise aux machines est de m'envoyer un Ping réseau. Toutes les machines vulnérables à Shellshock au travers de leur serveur Web obéiront à ma demande et m'enverront un Ping.

Cette attaque est totalement bénin pour les machines distantes, mais elle démontre qu'un grand nombre de machines/box connectées à Internet sont vulnérables à ce type d'attaque.


Soyez très vigilant, il est probable que d'ici les prochains jours des vers / trojans se déploient largement sur le réseau via l'utilisation de cette faille de sécurité importante.

php shellshock

Voici un petit script PHP permettant d'identifier rapidement des tentatives d'attaque Shellshok sur son serveur PHP.

Les attaques se trahissent par la présence des caractères '()' en début de chaîne d'entête HTTP.

<?php

// index.php  à la racine du serveur

function startsWith($haystack, $needle)
{
    return $needle === "" || strpos($haystack, $needle) === 0;
}

if ((startsWith($_SERVER['HTTP_COOKIE'],('()')))
||(startsWith($_SERVER['HTTP_REFERER'],('()')))
|| (startsWith($_SERVER['HTTP_HOST'],('()')))){
   
        // Tentative d'attaque logguée
        file_put_contents('attaques.log', $_SERVER['REMOTE_ADDR'].PHP_EOL,FILE_APPEND);
};

.....

Vous devriez voir le fichier "attaques.log" énormément grossir d'ici les prochains jours. La récente faille détectée dans Bash devrait avoir un impact non négligeable sur le trafic Internet. Des vers utilisant la vulnérabilité Shellshok devraient probablement circuler sur la toile d'ici les prochains jours .

Freebox Shellshock

Après être tombé sur un article intéressant sur l'exploitation à distance de la faille de sécurité "shellshock" trouvée récemment sur Bash par un Français. Je me suis amusé à tester les Freebox et autres boîtiers ADSL connectés à mon DSLAM, le résultat de mon test est assez intéressant inquiétant.

J'ai suivi l'astuce de Robert Graham sur l'utilisation de l'utilitaire masscan pour détecter les machines connectées à Internet vulnérables à la faille de sécurité "Shellshock.

J'ai donc compilé l'application masscan sur mon serveur avec le patch de Robert Graham permettant de modifier des entêtes HTTP.

$ sudo apt-get install git gcc make libpcap-dev
$ git clone https://github.com/robertdavidgraham/masscan
$ cd masscan/src/
$ rm proto-http.c
$ wget https://raw.githubusercontent.com/robertdavidgraham/masscan/master/src/proto-http.c
$ cd ..
$ make

J'ai repris le fichier de configuration de Robert Graham et je l'ai adapté la plage d'IP aux clients de Free connectés à mon DSLAM, l'histoire d'avoir une idée de la sensibilité des box de Free à cette nouvelle faille de sécurité qui secoue actuellement Internet.

target-ip = x.x.x.x/24
port = 80
banners = true
http-user-agent = shellshock-scan (http://blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html)
http-header[Cookie] = () { :; }; ping -c 3 62.210.208.20
http-header[Host] = () { :; }; ping -c 3 62.210.208.20
http-header[Referer] = () { :; }; ping -c 3 62.210.208.20

Cette configuration de masscan injecte une commande shell dans les entêtes HTTP Cookie, Host et Referer. Si le serveur distant est vulnérable à la faille de sécurité "Shellshock" et que l'une des variables Cookie, Host et Referer est utilisée comme variable d'environnement lors de l'appel à un module CGI, un ping devrait automatiquement arriver sur mon serveur.

Je lance donc deux terminaux sur ma machine. Sur le premier terminal je lance un tcpdump pour afficher toutes les requêtes Ping entrantes et me permettre d'identifier toutes les machines vulnérables.

sudo tcpdump -v icmp

Sur le second terminal, je lance le masscan :

sudo ./masscan -c masscan.conf

Le résultat est assez surprenant, sur la plage d'IP de ma freebox chez Free, je découvre 15 Freebox Révolution allumées acceptant des requêtes sur le port 80. Mais heureusement, aucune d'entre elles ne me ping ... (c'est rassurant).

Cependant, ma machine reçoit 4 pings provenant de 4 box qui semblent être vulnérables à la faille "Shellshock" via l'injection de commandes shell par entêtes HTTP.

Les 4 box détectées ne répondent pas au ping et leurs ports semblent être filtrés (incorrectement si mes requêtes m'ont permis d'exécuter une commande shell sur ces box).

Je n'ai malheureusement pour le moment, aucune idée de quelle box il s'agit. Nmap ne m'a fourni aucune information exploitable ... D'après mes tests, les commandes shell transmises semblent être correctement interprétées par les box distantes, ce qui signifie qu'un cracker pourrait s'introduire sur votre réseau local ou avoir accès à l'ensemble des pages Web sur lesquels vous allez.

S'agit-il de la Freebox V5 ou de la Freebox Crystal ? Ou bien d'un NAS Synology connecté sur le port 80 de la Freebox ?


Update 01/10/2014 : Erratum, la transmission des ping par les machines cibles semble être un comportement naturel et n'est pas lié à une faille de sécurité. Les machines transmettent une requête ping dès qu'elle reçoivent une requête HTTP .... Étrange !

woorank-geek.png

Vous avez un site Internet et vous souhaitez connaitre les impondérables à respecter pour le bon référencement de votre site ?

Woorank fournit un service d'analyse de site en ligne, vous permettant d'identifier en quelques secondes un ensemble d'optimisations techniques possibles.

Le service est gratuit le premier appel, au second rapport Woorank vous demandera d'acheter une licence d'utilisation du service. Un filtrage IP sur la plateforme vous interdit de réaliser deux analyses gratuites successives. Pour obtenir un rapport détaillé, il vous faudra débourser tout de même la somme de 39€ / mois pour un site Internet.

C'est l'outil idéal pour commencer une stratégie SEO et identifier les points techniques faibles de votre site. Le rapport gratuit offre un premier ensemble d'éléments à corriger et vous donnera une note sur 100 pour qualifier la capacité de votre site à être correctement référencé sur les moteurs de recherche.

Pour essayer l'outil, cela se passe ici : http://www.woorank.com

amazon-web-services.png

Amazon Web Services offre actuellement à tout inscrit sur sa plateforme, l'utilisation d'une instance t2.micro pendant 750h par mois sur la durée d'un an. Cette micro-instance est doté de 1 VCPU et de 1 Go de RAM.

Pour bénéficier de cette offre, il suffit de vous inscrire sur le portail AWS et de créer une instance t2.micro éligible. Avant de créer cette instance, n'oubliez pas de choisir le datacenter irlandais au niveau de la barre de menu du site pour éviter de créer une image virtuelle sur des serveurs américains.

En quelques clics vous obtiendrez un serveur Linux ou Windows accessible à distance grâce au certificat généré lors du processus de création de la machine virtuelle. C'est la magie d'Amazon Web Services ;-)

Au sujet d'Amazon Web Services, le nouveau Magic quadrant du Gartner sur les plateformes IaaS a été publié. Amazon Web Services et Microsoft Azure se placent parmi les deux solutions IaaS leaders du marché selon le Gartner.

gartner-mq-iaas-2014.jpg

Amazon Web Services possède un grand pas d'avance par rapport à son petit frère Microsoft Azure, mais cette différence devrait diminuer avec le temps. Microsoft Azure rattrapant petit à petit son retard sur le marché.

Il est vrai qu'Amazon Web Services étoffe de plus en plus sa gamme de services. Aujourd'hui, il est nécessaire de passer plusieurs heures sur le portail AWS avant de comprendre l'ensemble des options et services proposés. Heureusement, 90% des offres proposées répondent à des besoins très spécifiques et ne sont pas forcément nécessaires pour le commun des mortels.

Plus de détails sur l'offre gratuite d'Amazon Web Service.

flykitty-download-fr.png

Ceci n'est pas un billet sponsorisé. Enfin, il va peut-être le devenir si en échange de ce billet je négocie un verre avec son créateur, mon beau-frère ;-)

Je vais faire bref, mon beau-frère vient de lancer son premier jeu sur iOS, Fly Kitty ! : A Flappy Adventure. Il a eu la brillante idée de faire voler un chat sur un deltaplane ... Une vision qu'il a eu un matin en prenant sa douche ?

Fly Kitty! est un jeu d’adresse intégralement en 3D disponible sur iPhone, iPad et iPod Touch, où le joueur doit aider Kitty à atteindre le cœur de la forêt magique à l’aide de son deltaplane ! Pour y arriver, il suffit de taper sur l’écran pour faire voler le chat et éviter les obstacles sur son chemin.

Tout le développement a été réalisé avec Unity. A la première utilisation, attendez-vous à avoir un score proche de 2, avec un peu d'entrainement et si vous êtes adroit de vos doigts, vous pourrez atteindre des scores beaucoup plus importants. Le concept du jeu est simple, il est possible d'y jouer partout avec car les parties se font assez rapidement.

Je vous laisse découvrir ce jeu gratuit sur l'AppStore. N'hésitez pas à laisser un commentaire sur l'AppStore !

Bon vol Kitty !

celio-classement-geek.png

Ne me demandez pas comment j'ai pu obtenir cette troisième place entre le Journal du Geek et Korben au classement des meilleurs blogs High-Tech par Celio, car je n'ai aucune explication rationnelle à vous donner. Non aucune.

Bravo à tous les nominés ! J'ai pu découvrir grâce au classement quelques blogs High-Tech que je ne connaissais pas.

Le mois prochain je pense que je disparaîtrai du classement au profit d'un autre blog High-Tech trouvé au fond de la toile, tout comme moi ;-)

Merci au community manager de Celio d'apprécier mon blog ! Continuez à me lire !

rss mort

Vous connaissez très probablement Feedburner, le service acquis par Google en 2007 pour 100M$ selon les rumeurs et qui permet aux blogs et aux autres sites de centraliser la diffusion de leurs flux RSS. Petite anecdote au passage, ce service a été créé par Dick Costolo, le fondateur de Twitter.

Aujourd'hui, le service Feedburner survit tant bien que mal sur la toile et n'apporte plus aucun chiffre d'affaire à Google depuis que l'option Adsense a été retirée de la plateforme en 2012. Sa feuille de style monocolonne de 800px "has been" commence à dater et plus aucun bug ne semble remonter dans le flux RSS des bugs connus depuis 2013. Tout fait penser que ce service va prochainement disparaître de la toile, comme de nombreux autres.

Feedburner est un problème pour Google, car le jour où ce service disparaît, c'est la majorité des souscriptions de flux sur la toile qui disparaissent. Aujourd'hui, si vous regardez de près les URL des flux RSS que vous suivez, la plupart ont des URL feedburner.

feedburner

Alors pourquoi Google continue-t-il à maintenir ce service opérationnel ? Quelle solution Google peut-il mettre en place pour éviter l'effet "Big Bang" lié la suppression de cette plateforme ?

Il est vrai que Google n'aime pas les flux RSS, car ils réduisent le nombre hit sur les pavés de publicité Adsense, cependant est-ce que le Web peut-il réellement fonctionner sans flux RSS ? Est-ce que le modèle vers lequel pousse Google suite à la suppression pure et dure du service Google Reader est un modèle vers lequel tout le monde veut aller ?

De plus en plus je me dis que nous utilisons le Web d'une manière différente des plus jeunes générations et que les flux RSS sont seulement utilisés par les papys de la toile. Les flux RSS sont donc voués à disparaître avec notre génération ? Est-ce que les réseaux sociaux peuvent réellement remplacer un bon vieux lecteur de flux RSS ?

Pour les webmestres qui veulent anticiper au mieux la mort prochaine de Feedburner, il existe une option cachée dans l'onglet "My Account" qui permet d'avoir la main sur l'URL exposée par Feedburner et de pointer sur son propre domaine.

feedburner

Cette option s'appelle "My Brand" et vous permettra en cas de mort subite de Feedburner, de récupérer tous vos derniers abonnés, mais pas vos abonnés les plus anciens malheureusement.

NB : Si jamais vous êtes abonné à ce blog via l'adresse feedburner de mon flux RSS, vous pouvez vous abonner sur cette nouvelle URL qui migrera toute seule le jour où Feedburner tombera : http://feeds.geeek.org.

Adieu RSS !


Update 22/09/2014 : Le mode de redirection DNS fourni par Feedburner ne semble plus fonctionner correctement.