Les experts sécu de la société Senrio étaient en train d'auditer des caméras IP de la marque Axis quand ils sont tombés sur une faille dans la couche de communication de gSOAP. Pour ceux qui ne connaitraient pas, gSOAP est un outil open source utilisé pour développer des webservices.

Cette faille toute fraiche baptisée Devil's Ivy (CVE-2017-9765) permet à un attaquant d'exécuter du code à distance sur les serveurs. Toutefois, les clients peuvent aussi être touchés s'ils reçoivent des messages SOAP de serveurs vérolés. Si on reste sur l'exemple des caméras Axis, on peut grâce à cette faille accéder à un flux vidéo privé, voire même empêcher le propriétaire de la caméra d'accéder au flux.

gSOAP a été téléchargé plus d'un million de fois par des développeurs du monde entier et est très utilisé dans de nombreux projets, y compris dans de grosses boites comme Microsoft, IBM ou encore Adobe. Cela signifie que de nombreux autres logiciels ou objets connectés utilisant gSOAP peuvent eux aussi être affectés par Devil's Ivy.

Voici une démonstration vidéo de l'exploitation de cette faille sur une caméra Axis M3004 :

Senrio fait les recommandations suivantes pour se protéger :

• Ne pas rendre dispo ses objets connectés, ses alarmes, caméras de sécurité et compagnie sur le net. Au premier juillet, Shodan indiquait plus de 14 700 caméras dôme Axis faillibles accessibles depuis n'importe où sur la planète.
• Installer des systèmes de protection genre firewall devant vos objets connectés ou utiliser au moins du NAT pour réduire l'exposition et améliorer la détection d'éventuelles attaques
• Patcher vos appareils dès que les constructeurs sortiront des mises à jour.

Ce dernier conseil m'amuse beaucoup dans on voit ce qui s'est passé avec EternalBlue... Donc j'imagine qu'on entendra à nouveau parler de Devil's Ivy, ou peu importe ses prochains noms, dans un futur relativement proche (quelques mois ?)

Source

Cet article merveilleux et sans aucun égal intitulé : Devil’s Ivy – Une faille de sécurité dans gSOAP et potentiellement des millions d’objets connectés et de serveurs impactés ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Alors ça, c'est le bug qui fait tâche, et qui pourrait même être dangereux. Un internaute a remarqué que le OnePlus 5 n'était pas capable d'appeler les numéros d'urgence (Le 911) sans que l'application dialer (celle qui sert à composer les numéros) se plante lamentablement et le téléphone redémarre.

Démonstration :

OnePlus est informé et a publié le commentaire suivant :

"We understand many users on Reddit are waiting for the feedback from OnePlus. Here's the latest update that we can share with you: We have contacted the customer and are currently looking into the issue. We ask anyone experiencing a similar situation to contact us at support @ oneplus.net. Let me know if you have any questions. Thanks, David"

Bref, c'est en cours d'investigation. Je n'ai pas de OnePlus 5 donc je ne peux pas tester (et je n’ai pas non plus envie d'emmerder les pompiers ou la police) donc aucune idée si ça fait la même chose avec nos numéros d'urgence à nous. Mais d'après que ce que je comprends, il s'agit d'une incompatibilité entre le framework utilisé par le dialer et les dialers autres que l'officiel d'Android (dialer stock). Donc peu importe le numéro d'urgence, ça va planter pareil.

Edit 19/07/2017 : Certains Korbenautes m'indiquent que ça n'a pas planté sur leur téléphone. Peut-être que le souci touche que le 911... On verra si on en apprends plus dans les heures qui viennent.

En effet, le bug ne se produit pas avec le dialer stock d'Android et une mise à jour des Googles Apps pour installer le framework nécessaire à ces dialers suffirait à régler le problème. Je pense donc que OnePlus va régler ça assez rapidement.

Edit : 20/07/2017 : Problème corrigé par OnePlus

Source

Cet article merveilleux et sans aucun égal intitulé : Un bug sur le OnePlus 5 empêche d’appeler les urgences ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Philippe Tring, développeur dans la startup Plezi a réalisé une conf super sympa lors du dernier RJDay où il explique ce qu'est la vie dans une startup et comment choisir celle qui vous correspond le plus.

Cet article merveilleux et sans aucun égal intitulé : Ce qu’il faut savoir avant de rejoindre une startup – #RjTalk ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Depuis plusieurs années, j'ai des tas d'idées de films, de documentaires et autres qui me trottent dans la tête et que j'aimerai vous montrer ici sur ce blog en attendant qu'un jour Netflix me contacte ;-))). Et l'année dernière j'ai eu la chance de rencontrer et de travailler avec Florian Belmonte que vous commencez aussi un peu à connaitre. Tout de suite, j'ai beaucoup accroché avec son travail qui était dans la ligne directe de ce que j'avais en tête. Je cherchais un réalisateur qui envoie pour faire le film et je lui ai donc proposé de bosser avec moi sur ce 1er projet de film.

J'ai alors imaginé une série de portraits de gens qui font le net, qui y contribuent et qui en sont les acteurs. Évidemment, tout ceci coûte de l'argent et j’ai autofinancé ce premier épisode d'abord parce que c'était un rêve de gosse de sortir un vrai film, mais aussi parce que j'espère qu'un maximum de monde le verra et que cela ouvrira des portes pour m'aider à en produire d'autres derrière. En tout cas, je l'espère.

Et pour le premier, il me fallait quelqu'un qui nous fasse confiance à Florian et moi et qui soit suffisamment à l'aise pour parler face caméra. J'ai shortlisté plusieurs personnes... connues et inconnues et je me suis arrêté sur Patrick Beja.

Pour ceux qui ne connaitraient pas encore Patrick, pour le présenter en 2 mots, c'est un podcasteur qui avait un bon poste chez Blizzard et qui a tout laché pour sa passion. Grâce à sa communauté, il peut maintenant en vivre et réalise plusieurs émissions comme Le Rendez-Vous Tech, Appload (à laquelle je participe), Le Rendez-Vous Jeux, Positron mais aussi des émissions en anglais comme The Phileas Club ou Pixels.

Nous avons tourné ce film en décembre 2016 à Paris, chez Patrick et Sonja, sa femme. Ils ont été très sympas, très patients et se sont vraiment prêtés au jeu du tournage. Ce fut un moment de partage dont vous retrouverez l'essence en regardant le film. S'en est suivi ensuite le montage où Florian a mis toutes ses tripes et surtout tout son talent et sa vision, accompagné d'Antoine Grelet qui nous a fait aussi un boulot formidable pour le mixage. Sans ces 2-là, le film n'aurait pas eu la même saveur. Merci à eux.

Redan a aussi fait un travail de composition des musiques formidable. Tout ce que vous entendrez est 100% original. Et mon ami Jérôme Keinborg a bien voulu me faire un petit habillage "Break The Rules" parfaitement classe que vous verrez aussi en début de film.

Notez aussi que les sous-titres FR et EN doivent arriver cette semaine ou la semaine prochaine.

Voilà, j'espère que ce bébé vous plaira. Si c'est le cas, n'hésitez pas à le partager sur vos réseaux sociaux, vos blogs ou à organiser des projections privées (ahah !).

Encore merci du fond du coeur à Florian qui a fait un boulot exceptionnel et qui a su donner vie à cette idée de film, mais aussi à Antoine, à Redan, à Jérôme, à Cédric, à Sonja et bien sûr à Patrick.

Bon visionnage à tous.

Cet article merveilleux et sans aucun égal intitulé : Patrick Beja – Artisan du podcast ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Mercredi dernier a eu lieu le GameCamp 2017. Il s'agit d'une réunion réservée aux professionnel.le.s des métiers du Jeu vidéo. Florian Belmonte qui m'accompagne parfois sur ce genre d'événements, a pu rencontrer et partager un moment avec certaines de ces personnes.

Voici son récit. Merci à lui.

Des musicien•ne•s, des graphistes, des programmeur•se•s, des personnes du marketing, des expert•e•s juridiques, des professeur.e.s, des étudiant•e•s et bien d'autres passionnés de jeux vidéo se sont donnés rendez-vous à Lille. Au programme de ces 2 jours, des conférences, des rencontres, une master class, des études, des conseils, des tests, du réseautage, des présentations de projets, des témoignages et de nombreuses rencontres vont avoir lieu. J'ai pris beaucoup de plaisir à rencontrer ces personnes.

Elizabeth, Miryam et Diane ont travaillé sur jeu mobile "A normal Lost Phone" un titre apprécié d'un grand nombre de personnes. Accidental Queens, leur studio, a remporté plusieurs prix très importants dans l'industrie du Jeu vidéo.

Elles sont en “sprint review” : 2 fois par mois, Simon, chargé de production sur leur prochain titre se rend dans les bureaux afin de voir l'avancement du prochain jeu. Elles définissent leurs objectifs pour les deux prochaines semaines avec lui. La pression est palpable,

"La semaine est morte la, on a le Gamecamp jeudi et vendredi. Il va falloir qu'on vienne bosser dimanche pour rattraper"- Miryam la graphiste du studio.

Diane se charge de la programmation du jeu avec le moteur unity. Elle note les éléments graphiques que Miryam a déjà réalisés et ceux qui seront à faire pendant des deux prochaines semaines pour le retour de Simon.

Avec Simon, l’équipe a instauré qu'il y aurait une partie de jeux de rôles après leur journée de travail à chaque fois qu'il vient. C'est une bonne manière de fédérer l'équipe et de la souder. Elles jouent à Vampire : La Mascarade qui se déroule dans un univers sombre et contemporain.

Viviane est encore en stage avec Accidental Queens jusqu'en septembre. Après, elle partira travailler dans un autre studio.

L'heure tourne, les derniers préparatifs avant le GameCamp doivent être bouclés, les plannings calés et les objectifs notés. Chacune sait ce qu'elle a à faire pour le prochain rendez-vous dans deux semaines avec Simon.

"Tout le monde a son diadème ? On ne repasse pas au bureau donc il vous le faut" - Miryam.

Le diadème est leur signe distinctif sur les events.

Le Gamecamp commence demain mercredi, mais beaucoup de personnes se sont donné rendez-vous pour une soirée "off" afin de parler ensemble, de faire connaissance et de décompresser avant le début de l'événement.

"Pas de soirée “off” pour moi, je vous laisse, j'ai encore des détails à régler pour ma conf de demain, en plus j'ouvre, il n'y aura personne, c'est en même temps que celle sur "Dishonored"" - Elizabeth

Dès 8h00, Elizabeth se rend au centre de Lille pour le GameCamp. Elle y donne une conférence sur le fait de créer des jeux à impact social.

"J'ai choisi de faire ma conférences sans slides, il faut vraiment que je connaisse mes notes par cœur car je n'aurai pas de support visuel"

En plein coeur de Lille, le centre du nouveau siècle accueille, pendant deux jours, plus de 40 conférences et réunit une grande partie de l'industrie française du Jeu vidéo.

Le SNJV et Game-in organisent cet événement afin de donner une opportunité de partages, d'apprentissages, de rencontres et de possibilités professionnelles à des acteur•rice•s de cette industrie effervescente en France.

1er jour, les gens commencent à arriver, ils•elles récupèrent leurs badges dès 8h30 pour les premières conférences qui commencent à 10h00.

"Je travaille depuis chez moi, mes collaborateur•trice•s depuis leurs appartements, pour rien au monde on ne voudrait retourner dans des bureaux" - Michaël, co-créateur du studio Mi-Clos à l'origine du jeu "Out There".

L'auditorium est rempli, il est 9h30, les organisateur•trice•s du Gamecamp annoncent le planning, les informations importantes à savoir et donnent le coup d'envoi du premier Gamecamp !

Elizabeth se trouve face à une salle très remplie, elle qui ne pensait pas avoir beaucoup de monde, c'est le contraire. Beaucoup de personnes sont venues assister à sa conférence sur le fait de créer des jeux à impact social.

Après la conférence d'Elizabeth (20 minutes de speech et 10 minutes de questions-réponses) c'est François qui prend le relais. Il parle de la satire dans le monde lisse des jeux sur mobiles. Il est à l'origine du jeu "Reigns".

"J'ai beaucoup de chance, Reigns a pris 9 mois de développement, je n'avais pas le droit à un jour de retard, mon fils naissait une semaine après la date de sortie de "Reigns", j'ai tenu les délais, pas le choix".

Il y a des breaks assez régulièrement. Cela permet de prendre du temps pour parler avec les personnes que l'on désire rencontrer. Cyrielle, journaliste spécialisée dans le jeu vidéo, travaille pour Numérama et pose des questions à Diane sur certains points qu'elle va aborder dans sa conférence sur le dialogue entre les studios et les journalistes.

Dans le hall principal sont les écoles et les sociétés actrices de l'industrie du Jeu vidéo en France et dans le monde. Elles viennent présenter de nouvelles technologies, des offres d'emploi, rencontrer les futures personnes à embaucher et contacter pour leurs projets. C'est effervescent, tout le monde vogue de stand en stand pour rencontrer et partager.

Michaël donne sa conférence et prodigue des conseils pour pérenniser un studio après un succès sur mobile "Out There"

Des zones équipées de bornes d'arcade sont aussi mises à disposition pour faire une pause.

Un repas végane est proposé. La pause du déjeuner est faite de rencontres et d'échanges. C'est intense et à la fois reposant.

Yvan, Cyrielle et Antoine mangent ensemble. Yvan est le créateur de "We all end up alone" un jeu faisant incarner le •la joueur•euse, une personne atteinte d'un cancer. Il faut y gérer plusieurs éléments comme, son stress, son temps, son comportement et faire face à de nombreuses situations de la vie du personnage.

Nadia et Elizabeth discutent autour de la place des femmes dans l'industrie du JV.

L'événement est retransmis en direct grâce à l'équipe de radio NGT Live. Une émission de radio spécialisée dans le Jeu vidéo. Nicolas, Douglas, Antoine, et Tavrox sont là pour assurer le bon déroulement du projet. Ils ont un appartement situé à deux pas du centre de conférence, ils y déposent le matériel avant de se rendre à la soirée pro organisée pour les participant•e•s du Gamecamp.

La soirée est à l'image de l'événement. Un grand nombre de personnes parlent de travail, s'échangent des cartes de visite et discutent autour de futurs projets.

Tavrox est le premier levé de l'équipe de NGT Live. Il développe des jeux vidéo à Toulouse. Il est en ce moment sur le jeu "Double Kick Heroes".

"J'ai peur d'enfoncer des portes ouvertes avec ma conférence" - Cyrielle donne sa conférence sur la relation entre les journalistes et les studios de jeux vidéo.

C'est devant une salle comble qu'elle transmet ses expériences et ses astuces pour tenir informé•e•s les journalistes.

Mylène assiste à la conférence de Cyrielle. Elle était cheffe de produit chez Ankama, sur le jeu Dofus pendant 6 ans. Elle est maintenant freelance et travaille pour GOG.com un site de distribution de jeux vidéo. Elle exerce depuis chez elle en Ardèche.

Olivier et Hadrien profitent d'un break entre les conférences pour faire connaissance. Ils travaillent dans des secteurs différents, mais complémentaires. Olivier a créé une société d'intelligence artificielle Matchable.io et Hadrien développe des jeux pour navigateurs. Ils font connaissance afin d'étudier de futurs projets en réunissant leurs compétences.

Pendant le break de l'après-midi, Michaël et William discutent autour de projets futurs. Le GameCamp est un événement où beaucoup de projets se créent et où les possibilités sont très grandes. Tout le monde peut parler à tout le monde, c'est une fourmilière.

Même pendant les conférences, le hall ne désemplit pas. Tout le monde a quelqu'un à rencontrer, avec qui parler et l'échange de cartes de visite est très répandu.

Dans d'autres salles, des expert•e•s en droit d'auteur et en comptabilité sont ici pour accompagner les participant•e•s au Gamecamp. Ils•elles répondent aux questions et lèvent des zones d'ombres sur la partie juridique du jeu vidéo.

Vendredi soir, c'est la fin de l'événement, plein de choses se sont passées, des conférences et des rencontres. Julien, Laurent et Mathieu sont dans le groupe d'organisation du Gamecamp. C'est dans l'auditorium que se passe le Post Mortem. Ils demandent l'avis des participant•e•s sur plusieurs points. C'est avec un vote à main levée que ces sujets sont abordés et seront améliorés pour l'année prochaine.

Après la clôture du GameCamp 2017, plusieurs groupes se forment et le jeu ne quitte pas les discussions. Armel, créateur du jeu "Vignettes", apporte un jeu de société.

"J'ai défoncé le mec, je n'ai pas fait exprès, mon personnage est trop fort et Simon ne m'a pas arrangée en me rendant folle" - Viviane raconte à table ses mésaventures rencontrées dans une de leurs parties de Vampire la mascarade.

Il est tard et l'émulateur de Douglas tourne encore. Il présente certains jeux auxquels il joue pour l'écriture de son prochain livre. La nuit se termine aux alentours de quatre heures du matin. Tout le monde est fatigué, ravi et triste de la fin de cet événement.

Les adieux sont brefs, car tout ce petit monde se retrouvera d'ici un mois à Cologne en Allemagne pour un gigantesque salon, la Gamescom 2017.

Cet article merveilleux et sans aucun égal intitulé : Retour sur la GameCamp 2017, le grand rassemblement de l’industrie du jeu vidéo en France ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Si vous évoluez dans un environnement Windows, prenez le temps de lire cet article. 2 failles ont été découvertes dans le protocole de sécurité NTLM de Windows qui permettraient à un attaquant de créer des comptes administrateurs sur un domaine et donc d'en prendre le contrôle.

Pour rappel, NTLM (NT Lan Manager) est un ancien protocole utilisé pour ajouter sur un réseau des machines Windows. Depuis Windows 2000, Kerberos a remplacé NTLM mais ce dernier est évidemment toujours supporté par Microsoft et encore utilisé partout.

Voici une démo d'exploitation de ces failles portant sur le relai LDAP et RDP :

Heureusement, Microsoft a patché ces failles donc pensez bien à faire vos mises à jour avant que ce soit encore le bazar au prochain malware ;-)

Pour en savoir plus sur la faille et comment vous protéger, je vous invite à lire l'article de Preempt.

Cet article merveilleux et sans aucun égal intitulé : 2 failles découvertes au niveau de NTLM – Pensez à patcher votre Windows ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Julien Breux, CTO chez BAP (Bureaux à Partager) a fait une conf lors du dernier RJDay et le thème devrait vous intéresser. Il s'agit d'un retour d’expérience et de bonnes pratiques sur la mise en place d'un processus d’intégration continue et de mise en ligne dans le cloud, de la nouvelle plateforme de location de bureaux pour les pro.

Les technos abordées vont de Symfony 3 à Google Cloud Platform en passant par GitHub, CircleCi et GoLang.

Cet article merveilleux et sans aucun égal intitulé : Retour d’expérience sur de l’intégration continue – #RJTalk ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Sale temps pour Internet en ce moment. Et par ricochet pour la démocratie, la liberté et la vie privée des gens.

Tout d'abord aux États-Unis, les opérateurs comme Comcast, Verizon et AT&T ont dépensé depuis 2008, 572 millions de dollars en lobbying pour enterrer les lois de protection de la neutralité du net qu'avait mis en place le gouvernement Obama. L'objectif de ces opérateurs est de pouvoir augmenter leurs profits en segmentant les usages d'Internet. Par exemple pour un forfait pas cher, vous ne pourrez aller que sur Facebook à la vitesse d'un escargot. Et pour débrider YouTube ou d'autres sites, il faudra prendre le forfait du dessus et ainsi de suite.

Les géants du net comme Amazon, Twitter, Netflix et des associations comme l'EFF et d'autres se mobilisent donc aujourd'hui dans une action baptisée Battle for the Net pour informer les gens de l'importance de la neutralité du net. Et ne vous y trompez pas, ce n'est pas un problème américano-américain uniquement, car en France aussi, nos chers opérateurs tentent des trucs en ce sens. Il convient donc d'être extrêmement vigilant.

En Russie et en Chine, c'est aussi très tendu avec de nouvelles lois qui interdisent l'utilisation de Tor et surtout celles des VPN. Quand on sait qu'en Chine, le VPN est le seul moyen pour les gens (Chinois, mais aussi expat' ou touristes) de passer au travers du Grand Firewall Chinois, ça va compliquer la vie de pas mal de monde. Certains ne pourront plus échanger avec leurs amis ou leur famille à l'étranger, d'autres ne pourront plus travailler dans de bonnes conditions quant à l'accès libre à l'information, je n'en parle même pas.

Enfin, et je garde le meilleur pour la fin, en France aussi ça commence à se tendre sérieusement avec l'arrivée du "projet de loi sur la sécurité publique et contre le terrorisme". Malheureusement, comme durant les quinquennats précédents, on a encore à faire à un gouvernement qui souhaite ficher, surveiller et piétiner la vie privée de milliers, si ce n'est de millions de français au travers de la mise en place de plusieurs fichiers, de traitements de données d'enregistrement et de réservation, d'écoute des communications, de l'obligation de révéler ses identifiants internet, ou encore de géolocalisation de personnes. Et malheureusement, une fois encore, la CNIL qui est l'un des derniers remparts contre ce genre de dérives, a été totalement ignorée. C'est totalement inadmissible. Mais c'était aussi totalement prévisible.

Internet et par extension notre société Humaine est un être vivant dont nous sommes les petites cellules utiles et constructives. Et malheureusement, les gouvernements, les lobbys et autres sangsues politiciennes qui se succèdent au fil des années, en sont le cancer.

La question qui se pose maintenant, c'est qu'attendons-nous pour le combattre ?

Cet article merveilleux et sans aucun égal intitulé : Internet toujours menacé partout dans le monde ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Le 24 juin dernier c'était la XVe Nuit du Hack. Une fois encore un excellent cru, même si malheureusement, je n'ai pas pu aller jusqu'au bout avec mes 40° de fièvre.

Tant pis, je me rattraperai l'année prochaine, mais heureusement, Nowtech.tv était là et je peux donc me consoler avec la super émission qu'ils ont réalisée là bas.

Merci Marion, merci Jérôme !

Cet article merveilleux et sans aucun égal intitulé : Retour sur la 15e Nuit du Hack ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Aujourd'hui et jusqu’à mardi minuit, je vous propose un bon plan MacWay exclusif aux lecteurs du blog.
Avec le code korben, vous pouvez bénéficier d'une réduction de 30 € sur le disque dur LaCie Rugged.

Le prix actuel du produit est de 219 € TTC, le prix remisé est de 189,99€.
Stocks limités.

Caractéristiques générales:

LaCie
• Disque dur externe 2"5
• Auto-alimenté USB
• USB et Thunderbolt, avec cable Thunderbolt fourni.
• capacité 2 To
• jusqu'à 130 Mo/s (lecture)
• Taux de transfert de l'interface : Thunderbolt : 10 Gbit/s ; USB 3.0 : 5 Gbit/s

Le plus du Rugged:

La protection des données tout-terrain

Vos données sont irremplaçables, il est donc essentiel de les protéger contre tous les accidents possibles où que vous alliez. C'est pourquoi LaCie a rendu le nouveau Rugged plus résistant que jamais. Il est conforme à la norme MIL, ce qui signifie que les données sont protégées même pendant des chutes accidentelles jusqu'à une hauteur de deux mètres. Au cours du transport, insérez la protection amovible pour assurer une protection de niveau IP54 contre la poussière et l'eau. Peu importe que le LaCie Rugged tombe de votre sac à dos ou tombe dans une mare de boue, vous avez l'assurance que vos données restent accessibles.

Pour profiter de la promo c'est ici

Cet article merveilleux et sans aucun égal intitulé : Bon Plan exclu lecteurs du blog – LaCie Rugged Thunderbolt/USB 3.0 2 To ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.