Les failles de sécurité sont souvent humaines, en voici un exemple parfait. Fluxion est un nouvel outil qui exploite l'ignorance des utilisateurs pour leur voler leur mot de passe WiFi.

Son fonctionnement est très simple, l'outil scanne les réseaux environnants, vous propose quel réseau vous souhaitez pirater, il lance ensuite un réseau WiFi avec le même nom, mais sans mot de passe.

Sur ce réseau WiFi, un faux portail Web captif est démarré. Les utilisateurs se retrouvent redirigés vers ce portail et saisissent leur mot de passe WiFi pensant que c'est leur vrai réseau WiFi qui leur demande. Le pirate n'a plus qu'à récolter le mot de passe pour se connecter au réseau WiFi.

L'attaque fonctionne pour le coup sur tous les types de chiffrement : WEP, WPA, WPA2. Ce n'est cependant pas le meilleur outil pour craquer des réseaux WiFi WEP

C'est une attaque simple de type MITM (Man In The Middle) qui doit probablement fonctionner dans de nombreux cas d'utilisation. C'est d'autant plus vrai qu'il y a d'utilisateurs qui se partagent le même mot de passe WiFi.

Voici une vidéo de Tech Basket qui présente le fonctionnement de ce script qui fonctionne sous Linux :

Enfin, si vous voulez aller plus loin, un article sur le site de null-byte détaille très bien l'outil.

Le script Fluxion est en libre téléchargement depuis GitHub.

Prenez garde si un jour un portail Web vous demande le mot de passe de votre réseau WiFi et regardez pas la fenêtre si vous voyez un fourgon aux vitres teintées.

Remarque : L'usage de ce type d'outil est bien sûr illégal et s'apparente à du phishing réprimandé par différents articles du code pénal.

Je viens finalement d'échanger mon NAS LG contre un NAS Synology DS-216+II tout neuf équipé de deux disques de 4To. Après m'être fait piraté mon NAS LG, je suis très vigilant sur la sécurité, voici donc 8 conseils pour sécuriser votre NAS Synology avant de vous le faire pirater ou véroler.

1. Désactiver Quickconnect

Les NAS Synology sont livrés avec le service Quickconnect qui vous permet d'accéder à votre NAS de n'importe où sur la planète malgré le fait qu'aucune redirection de port n'ait été configurée préalablement sur votre box Internet. C'est un service très pratique, mais pas suffisamment sécurisé si votre identifiant peut-être deviné par une tierce personne mal intentionnée.

Ce service permet très facilement à de tierces personnes d'accéder à des galeries de photos, à des mires d'authentification sans forcément connaitre l'IP du NAS, juste en devinant le login de la personne. Exemples :

• http://roger.quickconnect.to
• http://gerard.quickconnect.to
• .. etc.

Je vous conseille donc de favoriser l'utilisation d'un VPN pour accéder à votre NAS à distance et de désactiver ce service dans la mesure où vous avez les connaissances suffisantes en informatique pour vivre sans.

2. Désactiver l'UPNP

Les NAS Synology sont capables de négocier dynamiquement des redirections de port sur votre routeur si celui-ci supporte l'UPNP. C'est pratique pour Madame Michu, mais à éviter cette option de facilité si vous souhaitez garder la main sur les services de votre NAS expose sur Internet.

Ne redirigez que les ports des services que vous souhaitez partager à de tierces personnes, favorisez plutôt l'usage d'un VPN pour accéder à votre NAS en toute sécurité depuis le réseau Internet.

3. Activer le pare-feu

Activez le pare-feu du NAS et créez une restriction d'accès aux IP de votre réseau local en excluant l'IP de votre routeur et autres périphérique qui n'ont en théorie pas besoin d'accéder à votre NAS. Seules les machines de la plage d'IP définie pourront accéder aux services du NAS. Même en cas de piratage de votre box ADSL, vos données seront protégées.

4. Demandez à votre conseiller de sécurité d'être plus vigilant

Par défaut, le conseiller sécurité du NAS contrôle la sécurité de peu de points. Vous pouvez renforcer la sécurité de votre NAS en activant le profil "Entreprise". Ce profil active la majorité des règles de sécurité disponibles. Enfin, n'oubliez pas d'activer le contrôle régulier et surtout d'activer l'alerte email, push, sms pour être averti au moindre problème de sécurité identifié.

5. Activez seulement les services que vous utilisez

Réduisez au maximum les services actifs, démarrez que ceux que vous utilisez pour éviter qu'un des services ne soit vérolé. Faites un tour sur le panneau de configuration "Services de fichiers" et n'activez que les services que vous utilisez.

Enfin, vérifiez que les paquets installés vous sont bien utiles, désinstallez ceux que vous n'utilisez pas depuis l'outil de gestion des paquets.

6. Mettez à jour régulièrement votre système

Mettez régulièrement le firmware de votre NAS pour bénéficier des patchs de sécurité fournis par Synology. Vous avez la possibilité d'activer la mise à jour automatique soit des patchs critiques ou alors de l'ensemble des mises à jour proposées.

7. Évitez de monter des disques avec un compte d'admin

Évitez l'usage d'un compte ayant un accès complet en lecture / écriture sur les montages réseau de votre NAS. Favorisez l"usage de comptes différents pour éviter qu'un Ransomware ne puisse chiffrer l'ensemble de vos données.

8. Prévoyez un plan B sur le cloud

Malgré une duplication de vos données sur les deux disques durs, prévoyez un plan B en cas d'incendie ou de corruption complète des données par un Ransomware qui se serait introduit sur votre PC ou un objet connecté de votre réseau et qui aurait chiffré tous les partages trouvés sur votre réseau.

Je vois par défaut 3 solutions :

• La sauvegarde sur le cloud Amazon grâce à l'application Synology Glacier (ou un autre cloud via une application tierce).
• La sauvegarde sur un autre NAS Synology distant.
• La sauvegarde sur un disque USB externe que vous n'oublierez pas de stocker dans un autre endroit que chez vous.

J'ai retenu la solution Amazon Glacier pour plus de flexibilité / simplicité. Le coût du stockage sur le datacenter d'Irelande d'Amazon Glacier est actuellement de 0.004€ le Go par mois. Les coûts de restauration sont un peu plus chers mais acceptables en cas de sinistre...

Enfin, n'oubliez pas, les virus les plus malicieux sont souvent ceux que l'on voit le moins ....

Vous recherchez une caméra de surveillance avec un bon rapport qualité-prix ? J'ai testé pour vous l'une des caméra IP les mieux notées actuellement sur Amazon, la Dericam 1080p Full HD.

Cette caméra IP Full HD est actuellement commercialisée au prix de 74,99€ sur Amazon. Au-delà de son prix, elle possède 4 avantages notables quand on la compare aux autres caméras de sa catégorie :

• Elle est full HD et dispose d'une motorisation 365°.
• Elle ne dépend pas d'une offre cloud comme les DLink, elle dispose d'un stockage local micro SD et FTP.
• Elle dispose d'une prise Ethernet en plus de sa connexion WiFi.
• Elle est compatible avec des systèmes de vidéosurveillance sur les NAS via son protocole ONVIF.

Dans l'ensemble, la caméra s'installe très rapidement depuis une application mobile sur Android/iOS ou depuis un PC. Je vous recommande fortement d'avoir un serveur DHCP actif sur votre réseau pour simplifier le processus d'installation.

Une fois la caméra connectée à votre réseau, la configuration globale peut se faire depuis l'application mobile Dericam ou au travers du portail Web qu'expose la caméra. Certains paramètres ne sont pas évidents à comprendre et nécessitent parfois d'être testés .... C'est par exemple le cas de la planification des alertes et du bouton d'activation / désactivation des alertes, qui a la priorité sur l'autre ? C'est le bouton, faut-il encore le deviner.

Cependant, faites attention, les fonctions disponibles sur le portail et sur l'application mobile ne sont pas toutes identiques. Le portail permet de configurer les plages horaires des alertes alors que l'application mobile permet de régler la sensibilité et l'activation/désactivation de l'alerte par exemple.

Enfin, un point assez troublant, le menu d'administration change en fonction des capacités de votre navigateur, vous aurez par exemple accès à des paramètres de configuration avancés via IE 11 ou Firefox supportant le plugin Dericam utilisant les API NPAPI (gestion du playback, configuration des zones de surveillance ...). Alors que sous Chrome, ces paramètres vous ne seront même pas proposés aux administrateurs.

N'oubliez pas de lancer une mise à jour du firmware de la caméra lors de sa première utilisation depuis l'application mobile. Cela vous permettra d'utiliser le dernier firmware à jour et éviter d'être face à des bugs déjà corrigés.

Le point le plus troublant de la caméra est de voir que l'on peut y avoir accès depuis Internet via l'application mobile sans ouvrir son firewall. Ceci grâce à la fonction P2P incluse dans la caméra qui permet à celle-ci de s'annoncer sur un cluster de 3 serveurs Dericam hébergée chez Amazon. L'application mobile Dericam pour se connecter à votre caméra, transmet une demande en UDP aux 3 serveurs Dericam, le serveur qui connait les informations de socket de la caméra, les transmet à l'application mobile qui lui permettront ainsi d'établir une connexion directement avec la caméra en outre-passant les pare-feux.

Cela ressemble à de la magie, c'est le mécanisme classique d'un serveur TURN. Si vous êtes paranoïaque, je vous conseille de désactiver cette fonction P2P et de mettre en place un VPN entre votre domicile et votre terminal mobile pour vous connecter de manière sécurisée avec votre caméra. Ce conseil est d'autant plus vrai quand on regarde les ports du serveur ouverts sur Internet de ces 3 machines et du manque de chiffrement dans le protocole P2P utilisé...

Slide extrait de la présentation de Zoltan Balazs

Bref, malgré l'incompatibilité de certaines fonctionnalités avec Chrome et Edge et le point d'attention sur la sécurité, c'est un produit avec un très bon rapport qualité / prix.

Voici une synthèse de ce que l'on a aimé et moins bien aimé :

On aime

• Le prix de la caméra.
• La motorisation silencieuse de la caméra.
• L'application mobile iOS / Android disponible aussi sur tablette. L'application est simple, mais d'une fluidité parfaite.
• La réactivité du support.
• Le support du Push notification mobile.
• La qualité de la vidéo HD.
• L'enregistrement local sur carte micro-SD et FTP.
• L'envoi de photos par email.
• L'accès à la carte SD de la caméra depuis l'application mobile.
• La planification du système de détection de mouvement par tranche de 30 minutes.
• La mode infrarouge fonctionnant plutôt bien.
• La non adhérence à un cloud de stockage comme sur les caméras DLINK.

On aime moins

• Les fonctionnalités restreintes si vous utilisez un navigateur autre que IE 11 ou un firefox NPAPI compatible. Le support travaille sur une nouvelle solution pour ne plus utiliser les NPAPI qui sont actuellement bloquées sur les navigateurs modernes.
• Le manque de chiffrement sur le protocole P2P et d'inscription au Push notification.
• La sécurité du mot de passe que l'on retrouve encodé en base 64 dans toutes les requêtes HTTP.
• Le manque d'un trigger HTTP en cas d'alerte pour déclencher un script configurable comme IFTT par exemple.
• Les API HTTP exposées par la caméra ne sont pas RESTFULL et pas ouvertes officiellement pour un usage externe.
• La complexité de certains paramètres avancés dans le portail d'administration.
• Les fonctionnalités légèrement différentes offertes entre l'application mobile et le portail Web (calendrier, alarme sonore, activation / désactivation des alertes ...).
• Les traductions aléatoires en langue française.

Cette caméra de surveillance IP Dericam 1080p est actuellement en réduction et disponible au prix de 74,99€ sur Amazon. N'oubliez pas de désactiver la fonction P2P et de mettre en place un VPN sécurisé si vous souhaitez renforcer la sécurité de cette caméra en mobilité.

UPDATE : L'application mobile ne fonctionne plus dès lors que le protocole P2P est désactivé ....

Vous souhaitez analyser le trafic réseau d'une application mobile sur votre iPhone ou votre iPad ?

Vous vous demandez comment fonctionne une application mobile, quelles sont les API utilisées, les protocoles mis en oeuvre... Voici une solution très simple sous MacOS pour récupérer l'ensemble des traces réseau de votre terminal iOS.

Cette méthode fonctionne sur un Mac ou via une VM MacOS sous Windows si vous avez une licence MacOS.

1. Connectez votre iPhone ou votre iPad à votre Mac

Récupérez l'UDID de votre terminal iOS depuis iTunes. Pour cela, cliquez sur le champ présent en dessous de "Phone Number" jusqu'à obtenir l'UDID de votre terminal. Faites ensuite un clic droit / copier pour copier la valeur de l'UDID.

Monter une interface réseau entre votre terminal et MacOS

Ouvrez un terminal et tapez la commande "rvictl -s" accompagnée de l'UDID de votre terminal.

Remarque : si la commande rvictl est inconnue de votre terminal, installez XCode et mettez à jour XCode après son lancement pour disposer de cet outil.

Cette commande initialisera une interface réseau virtuelle "rvi0" que vous pourrez apercevoir via la commande "ipconfig -l".

2. Installez et démarrez Wireshark

Wireshark est un outil gratuit d'analyse de trames réseau, l'outil est disponible pour MacOS sur le site officiel Wireshark.

Une fois l'outil installé, lancez-le et ouvrez la fenêtre de paramétrage "Capture Options" accessible depuis le bandeau de l'outil :

Sélectionnez uniquement l'interface réseau rvi0 et appuyez sur le bouton "start" tout en bas de la fenêtre.

À partir de maintenant, toutes les trames réseau transmises par votre iPhone ou votre iPad s'afficheront sur l'écran de Wireshark.

Dès l'enregistrement terminé, vous n'aurez plus qu'à stopper l'enregistrement et démonter l'interface réseau virtuelle rvi0 via la commande :

3. Analyse des trames réseau

Wireshark est un outil très puissant, pour comprendre comment analyser les paquets réseau capturés, je vous recommande ce tutoriel sur Développez.com qui détaille la base de l'usage du logiciel Wireshark.

Pour un apprentissage plus complet, vous pouvez vous orienter vers le livre "Wireshark 101" disponible au format Kindle sur Amazon.

Happy hacking !

Crédit photo couverture : Goran Ivos

Architecte Entreprise, Architecte Solutions et Expert Technique ... Ces trois professions sont souvent obscures même pour des personnes travaillant dans l'informatique. J'ai trouvé un moyen d'expliquer la différence entre ces 3 professions au travers d'une gamme d'objectifs. La preuve en image !

Architecte Entreprise

L'architecte entreprise a une vision grand-angle du SI. L'architecte entreprise adapte l'urbanisation du SI aux enjeux métiers. Il a une très bonne connaissance de l'ensemble des briques constituant le SI et de la roadmap stratégique. L'architecte entreprise a une connaissance des solutions du marché sans forcément en avoir la maîtrise.

Architecte Solutions

L'architecte solutions possède une vision plus réduite du SI que l'architecte entreprise, il possède cependant une expertise plus pointue dans la mise en oeuvre et le design de solution logicielle. Il a une vision des solutions du marché et est capable d'adapter les choix de solution en fonction de la stratégie IT et des enjeux métiers.

Expert Technique

L'expert technique possède une vision très précise d'une ou plusieurs solutions. Son expertise lui permet de débloquer des problématiques techniques et permet de réduire les risques de mise en oeuvre d'une solution IT.

Dans la réalité, le rôle d'architecte entreprise empiète régulièrement sur le métier d'architecte solutions et le rôle d'architecte solutions sur le rôle d'expert technique.

Vous n'avez pas eu la chance de venir faire un tour à la Maker Faire Nantes 2017 qui a eu lieu le week-end dernier ?

Voici une petite synthèse en vidéo prise avec ma Go Pro, avec à la 47ème seconde une prise de vue de notre éléphant mécanique.

Un grand merci aux organisateurs de cet événement et aux nefs qui constituent un lieu parfait pour ce type d'événement.

Vous ne savez pas quoi faire les 19 et 20 octobre prochain ? Soyez un développeur, soyez un héros et rejoignez notre DevFest Nantais national.

Le DevFest 2017 est la 6ème édition d’un événement de conférences sur Android, AppEngine, Angular, Chrome, HTML5, Docker... C'est une occasion de partager et d’échanger autour des technologies du Web, du Cloud, du Mobile et des Objets Connectés.

Cette année, c'est pas moins de :

• 1600 Participants
• 2 Jours
• 4 Tracks
• 60 Sessions
• 70 Speakers
• et toujours plus de fun !

Après avoir reçu pas moins de 345 propositions de sujets de sessions, c'est l'heure du tri pour le GDG Nantais, il va falloir sélectionner 1 sujet sur 6 ... Le programme définitif sera connu une fois le tri réalisé, en attendant les places se vendent à une vitesse ... Il ne reste déjà plus de Early Bird et de places pour les étudiants.

Si vous souhaitez passer un bon moment en octobre, n'attendez pas la rentrée pour acheter votre place, la billetterie se trouve ici.

Be a Coder. Be a Hero!

Vous êtes un passionné de bricolage en tout genre ou tout simplement curieux, venez passer faire un tour au Nantes Maker Campus 2017.

Du 7 au 9 juillet, des créations entre art et technologie, des robots ingénieux et des inventions numériques surprenantes vont peupler le site des Machines de l'île. C'est l'endroit parfait pour rencontrer un tas de bricoleurs passionnés et d'artistes connectés.

Voici une synthèse en vidéo de la première édition qui a eu lieu l'année dernière :

En pratique :

• Vendredi 7 juillet 2017 de 14 h à 18 h.
• Samedi 8 et dimanche 9 juillet de 10 h à 18 h.
• Maker faire : entre 8 et 12 euros, gratuit pour les moins de 6 ans - sous les Nefs
• Campement d’artistes : en accès libre - sur le parvis des Machines de l'île.

Vous trouverez toute les informations de l'événement sur le site de Nantes.

N'hésitez pas à y faire un tour si vous habitez dans notre belle région nantaise !