J’ai enfin des bitcoins

Qui n’a jamais entendu parler de Bitcoin ? Peu de gens. Mais qui sait vraiment de quoi il s’agit ? Peut-être encore moins de gens (mais pas les mêmes évidemment) !

En ce qui me concerne j’ai commencé à m’y intéresser en 2012 ou quelque-chose comme ça. Ça faisait alors déjà trois ans que la chose existait. En effet la première version date de 2009. Continuer la lecture de J’ai enfin des bitcoins

Pirate bay down?

Après la décision de la justice française de la semaine dernière de bloquer le site web http://thepiratebay.se sur le territoire français, ce soir, pour la première fois je constate l’inaccessibilité. Intrigué par les moyens utilisés, j’effectue quelques recherches et finit par découvrir sur le site du parti pirate (oui, c’est un vrai parti politique) que la raison de cet inaccessibilité n’est pas française mais à la source:
Les locaux du site web on été perquisitionnés aujourd’hui et le site est down depuis 20 heures environ. L’information est confirmée par 20minutes.fr.

Les pirates touchés par un boulet ou simple tir de semonce?

Viking game jam

Salut salut, oui, ça fait longtemps qu’on ne m’a pas vu par ici. Aujourd’hui je viens vous parler d’un projet que j’organise avec quelques amis.
Il s’agit d’un évènement de création de jeu vidéo en 24 heures. Ca aura lieu dans mon école à Caen les 29 et 30 novembres.
On a fait une super vidéo de présentation alors jetez y un œil. Et si ça vous dit, c’est par là: www.viking-game-jam.fr
PS: Je vais m’efforcer de ressortir un article dans les jours à venir.

VPN

Il y a quelques temps on m’a posé une question sur les VPN. J’y ai répondu du mieux que j’ai pu, et voilà venu le moment d’en parler plus sérieusement.

Un VPN c’est quoi ?

Un VPN (virtual private network) c’est un réseau virtuel privé très exactement. Ce qui signifie que sur un réseau physique comme chez vous, ou beaucoup plus souvent sur internet, des logiciels vous permettent de faire comme si différentes machines étaient raccordées  par un câble Ethernet et un bon vieux switch. Du coup, vous pouvez échanger des donnés tranquillement, et personne ne sait de quoi il s’agit.

Je ne vous cache pas que des protocoles cryptographiques sont généralement (mais pas toujours) employés.

A quoi ça sert ?

Ça sert à être tranquille pardi! Vous êtes en Italie et vous voulez voir une vidéo youtube française? (non, ceci ne se réfère pas à une situation réelle, muahaha) Vous êtes dans un pays ou le téléchargement est illégal, voir bloqué? Ou plus humaniste, vous menez une révolte contre une dictature mais ne souhaitez pas être identifié sur twitter (qui est bloqué) ? Alors utilisez un VPN pour acheminer votre connexion de là ou vous vous trouvez à un autre endroit, et faite croire à tout le monde que vous êtes là-bas.

Le cas des jeux vidéos:

Il y a un autre cas d’usage quand l’endroit ou vous êtes n’autorise pas certains types de connexions. Typiquement, certains FAI peu recommandables, wifirst par exemple (disponible dans toute résidence universitaire digne de ce nom) interdisent les connexions autre que web et mail, à moins de payer un surplus… Ce qui empêche nos amis les gamers de profiter de leurs jeux préférés. Hors, avec un VPN adapté, bien configuré, tous le trafic est considéré comme du trafic web et passe par les bon ports. Ce qui permet de jouer sans contraintes.

Lequel je devrait prendre alors ?

Du coup de plus en plus d’ingénieurs réseau en herbe se mettent à proposer des VPN spécial gaming, vous facturant souvent le service, à moins d’une forte réduction de bande passante (freemium, qui a dit freemium?). La question de la personne en début de billet concernait cependant un système gratuit. Le problème avec ceux là, c’est qu’ils ont une fâcheuse tendance à regarder ce qu’il font passer (revendre vos donnés? Qui a dit ça?). Mais ce système gratuit est exempt de ce défaut puisque d’après ses concepteurs seul le trafic des jeux passe par leur serveur, ce qui peut se vérifier aisément. Alors vrai grandeur d’âme, vivant uniquement sur les dons, ou nouvelle méthode pour se faire de l’argent sur votre dos? Je ne le sais pas.

En attendant voilà mon conseil absolu aux geeks qui codent: prenez vous un serveur dédié, partagez le avec des potes au besoin, et mettez y un VPN. Vous verrez, ça sert toujours. Serveurs de jeux, sites webs, cloud personnalisé, plateforme d’entrainement…. Un bon informaticien doit avoir son serveur, et un bon parano doit avoir SON VPN. Grâce à OpenVPN, c’est vraiment pas compliqué. Et si vous avez peur de la NSA, vous pourrez même l’utiliser sur votre téléphone.

Warrows’ aggregator

Warrows’ aggregator

Conséquence d’Heartbleed: une surveillance accrue sur openSSL

La fondation linux a annoncé récemment une très bonne nouvelle: les protocoles critiques du monde libre seront entretenus à plein temps par des développeurs salariés.

Cette manœuvre est financée par de grandes entreprises comme Adobe ou HP. Elle est organisée par la fondation linux et son jeune projet Core Infrastructure Initiative (CII).

Le but est simple: des entreprises donnent de l’argent à la CII, qui engage des gens très compétents pour auditer et améliorer les protocoles les plus utilisés du monde libre. Cela permettra d’éviter qu’une faille comme Heartbleed passe à nouveau inaperçue si longtemps. D’ailleurs les premiers protocoles à bénéficier de cette opération seront Network Time Protocol, OpenSSH and OpenSSL. Ce dernier subira un audit complet conduit par Open Crypto Audit Project.

Source: linux foundation

How we secure the web (HTTPS, HSTS & PFS)

resetthenet:

For many of us, communicating, reading, working, and socializing on the Internet starts and ends with the web. So, any push to end mass surveillance must start there.

HTTPS, HSTS, and PFS (perfect forward secrecy) are powerful tools that make mass spying much more difficult. Until websites use them, we’re sunk: agencies like the NSA can spy on everything. Once they’re ubiquitous, mass surveillance is much harder and more precarious—even if you’re the NSA.

Here’s how sites can do their part to end mass surveillance, what it gets us, and why it matters so much to Reset the Net and the overall fight.

Read More

Dev Blog #10: The Process of Game Testing

Dev Blog #10: The Process of Game Testing

HeartBleed

Hello les techos! Vous avez surement lus diverses choses sur HeartBleed, un bug révélé il y a maintenant deux semaines qui a secoué tout l’Internet. Si ce n’est pas le cas, lisez ce qui suit avec attention car votre sécurité en ligne est en jeu !

HeartBleed, c’est quoi?

HeartBleed est un bug du logiciel openSSL. Il a été révélé au grand public le 1er avril 2014 mais existe vraisemblablement depuis deux ans.

Son nom qui signifie saignement de cœur est lié au terme heartbeat, battement de cœur, qui est un protocole utilisé dans le SSL.

Pour faire simple, quand vous utilisez une connexion sécurisée sur internet, votre navigateur discute avec le serveur de manière encryptée, c’est SSL. De nombreux serveurs, comme ceux de facebook, google, microsoft et au moins 500000 autres sites web dans le monde utilisent un programme gratuit et open source appelé openSSL pour ne pas avoir à programmer cette sécurité eux même.
Seulement, lors de cette échange de donné, la connexion est maintenue par une sorte de ping pong entre le serveur et votre pc, le battement de cœur, et Heartbleed, permet, en trichant un peu dans la demande de battement de cœur, d’obtenir des données que le serveur ne devrait pas offrir au clients. Pour les hardcores, les infos techniques sont par ici, pour les autres, ça marche grosso modo comme ça:

image

Ou est le problème?

Le problème c’est que n’importe qui d’un peu compétent et mal intentionné peu lire les informations contenues sur un serveur: Mots de passe du site, mais aussi données bancaire, bases clients, numéros de carte bleu…

Sachez donc que n’importe quelle donnée que vous avez confié à un site web sécurisé ces deux dernières années est susceptible d’être perdu dans la nature.

Que faire pour se protéger?

Le boulot principal revient aux administrateurs serveurs des sites concernés, ils doivent mettre à jour vers la version corrigé d’openSSL qui corrige le bug.

Vous, vous devez absolument changer vos mots de passe sur tous les sites concernés, sauf si vous utilisez la double identification.

Et si vous ne l’utilisez pas, mettez vous à l’utiliser. C’est très simple, dans les options des sites, il y a un endroit pour l’activer. Une fois que c’est fait, lorsque vous vous connectez à un site depuis un autre ordinateur que d’habitude vous devez fournir un code supplémentaire qui vous est fourni par mail, sms, ou une application de votre smartphone.

La plupart des sites importants proposent ce service: Google, Facebook , Twitter, Yahoo, Apple, Microsoft, LinkedIn, Paypal

Et après?

Un des problèmes dans cette histoire, maintenant qu’elle est en voie d’être réglé, c’est la malhonnêteté de certaines entités. Par exemple, la NSA connaissait le bug depuis longtemps, et l’exploitait pour obtenir des informations de manière tout à fait illégale. Il y a aussi Google qui a réglé le problème au mois de mars sur ses serveurs et n’a averti personne du bug.

Et malheureusement de nombreux autres bugs du même acabit se prommènent probablement sur notre internet adoré. Alors restez prudents.