Aller au contenu

Le fil des geeks informatiques

Johnnieboy

Par Johnnieboy,
dans Sports et loisirs

Messages recommandés

eclipse

eclipse

Posté
Posté

Put...je suis sur le cul.

Heureusement je sais me servir des flux rss sur une appli dédiée.

Mais quand même :wallbash:

 

Les applis dédiées, elles se crashent toutes sous Linux quand je charge mes flux :jesaispo:

Il n'y avait que Reader qui tenait la charge.

Lien vers le commentaire
Nirvana

Nirvana

Posté
Posté

 

SHODAN EST LE MOTEUR DE RECHERCHE LE PLUS DANGEREUX DU MONDE

 

SI VOUS AVEZ TOUJOURS RÊVÉ DE CONTRÔLER LA TEMPÉRATURE D’UN CRÉMATORIUM OU LE DÉBIT D’UNE STATION D’ÉPURATION

 

Aujourd’hui, les gens considèrent Internet comme un moyen de perdre du temps plutôt que d’en gagner. Mais comme nous devenons de plus en plus flemmards, nous avons trouvé le moyen de l’utiliser pour faire des choses comme fermer la porte du garage, régler le niveau de température de nos réfrigérateurs à distance et faire couler le café depuis notre lit, par le biais d’une application smartphone. Tous ces appareils ont besoin d’être connectés à Internet pour fonctionner et Shodan – un moteur de recherche développé par une compagnie privée – s’occupe de les débusquer.

 

Le logiciel explore Internet pour trouver tous les appareils qui y sont connectés. Parallèlement aux frigos et aux routeurs sans fil, il a ainsi détecté les tableaux de bord de centrales électriques, d’usines de traitement d’eau, d’équipements scientifiques, de crématoriums et même d’un barrage en France. Ce qui signifie que quiconque d’assez sadique disposant d’un minimum de savoir-faire sadique pourrait traquer ces dispositifs et décider, par exemple, de couper l’alimentation de toute une ville, de l’inonder ou de faire exploser une centrale électrique, tranquillement installé devant son ordinateur.

 

Trouver les accès secrets à des appareils connectés à Internet n’est pas nouveau. Il n’y a pas si longtemps, un type nommé Adrian Hayter avait lancé un site Internet qui collectait les flux vidéo des caméras de surveillance.

 

Mais les découvertes de Shodan sont susceptibles de poser des problèmes bien plus destructeurs que de simples violations de la vie privée. J’ai donc appelé John Martherly, le créateur de ce moteur de recherche, pour savoir les menaces que ces innovations logicielles faisaient peser sur nous.

 

John Matherly.

 

VICE : Salut John, quand est-ce que tu as commencé à travailler sur Shodan ?

 

John Matherly : J’ai commencé à travailler dessus pendant mon temps libre, avec un ordinateur Dell à 150 euros, et ça s’est développé lentement sur trois ans. Quand j’ai commencé, j’ajoutais peut-être 10 000 ou 100 000 appareils par mois, maintenant j’en ajoute des centaines de millions. La vitesse à laquelle j’arrive à fouiller Internet a incroyablement augmenté.

 

Wow, ça fait beaucoup. Mais c’est quoi exactement, le but de Shodan ?

 

Eh bien, ça a fini par être utilisé d’une manière un peu différente de ce pourquoi je l’avais créé au départ. À la base, j’ai développé Shodan pour que les sociétés puissent traquer l’utilisation de leurs logiciels. Au final, les chercheurs en sécurité s’en sont servis pour traquer les logiciels, mais aussi les appareils.

 

OK.

 

Depuis longtemps, les chercheurs en informatique analysent la vulnérabilité des systèmes informatiques mais avant Shodan, ils n’avaient pas de données sur lesquelles s’appuyer pour dire : « Il y a une menace réelle. » Shodan a fini par servir de base empirique à leur argumentation – prouvant qu’il est possible d’accéder à des systèmes logiciels à distance de centrales électriques ou de barrages.

 

Est-ce que Shodan fonctionne de façon semblable à Google ?

 

C’est similaire, oui. Mais Google croise les URL – ce que je ne fais pas. La seule chose que je fais, c’est de saisir des adresses IP aléatoirement parmi toutes les adresses qui existent, qu’elles soient actives ou pas, et je tente de m’y connecter via des ports différents. Ce n’est pas probablement pas une partie du web visible en ce sens que vous ne pouvez pas y accéder à l’aide d’un simple navigateur. Ce n’est pas quelque chose que les gens peuvent découvrir facilement, parce que n’est pas accessible comme un site Internet classique.

 

Les commandes d’un crématorium auxquelles vous pouvez accéder via votre ordinateur. 

 

À quel genre de choses qui sont connectées à Internet vous pouvez accéder ? Tout ce que vous ne vous attendiez pas à trouver ?

 

Le cyclotron par exemple – un accélérateur de particules – en fait partie. C’est un engin de physique théorique, c’est très, très dangereux et ça n’aurait jamais dû être mis en ligne. Ensuite, il y a tous ces trucs bizarres, comme les crématoriums. C’est vraiment glauque. Vous voyez le nom des patients et les différents réglages s’afficher – par exemple, il y a un réglage pour les enfants. Il n’y a pas d’authentification nécessaire, pas de mot de passe, rien.

 

Ouais, c’est flippant. Autre chose ?

 

Les caméras de vidéosurveillance sont très populaires, ça parle à tout le monde. On a aussi découvert un énorme barrage hydroélectrique en France qui était connecté à Internet. C’est insensé. D’autant que le barrage avait eu pas mal d’accidents par le passé. La ville à proximité avait déjà été inondée à cause d’une faillite du barrage.

 

Les installations comme les centrales électriques ne devraient-elles pas être plus sécurisées ?

 

L’une des raisons pour lesquelles elles sont aussi mal protégées, c’est parce que les responsables veulent économiser de l’argent. Internet n’existait pas quand beaucoup de ces centrales ont été construites, ils se sont juste débrouillés pour adapter leur système à Internet et ont économisé de l’argent en ne faisant pas tout pour l’installer correctement. Ils n’ont évidemment pas pensé aux impératifs de sécurité, et ils doivent maintenant faire face aux conséquences.

 

Et ce que tu me disais, c’est que beaucoup d’appareils ne requéraient pas de mot de passe ?

 

Oui, précisément. Et même les appareils qui requièrent une authentification utilisent la plupart du temps les login par défaut. Il vous suffit alors d’aller sur Shodan, de rechercher ces fameux login de base et de vous connecter à l’appareil de votre choix.

 

Le tableau de bord d’une station d’épuration auquel vous pouvez accéder depuis le confort de votre chambre à coucher.

 

Donc, à l’heure actuelle, tout est connecté à Internet, c’est ça ?

 

Cette année est censée être celle de « l’Internet des objets ». Parce que la majorité des produits qui sortent sont connectés à Internet. Mais ce que les gens ne réalisent sans doute pas, quand ils connectent leur écoute-bébé à Internet ou qu’ils font plein de choses à partir de leur téléphone, c’est les problèmes de sécurité que ça pose. Ce n’est pas parce que vous ne vous trouvez pas sur Google quand vous tapez votre nom qu’on ne peut pas vous chercher et vous trouver sur Internet.

 

Qu’est-ce qui vous inquiète ?

 

Les webcams ne sont probablement qu’un problème mineur, qui posent des problèmes quant à la vie privée. Les petits appareils ne sont pas, en eux-mêmes, un problème de sécurité nationale. Mais si vous pouvez pirater, disons, un millier d’entre eux, là ça devient un problème d’ordre national – vous pouvez faire beaucoup de dégâts. En fonction du nombre d’appareils auxquels vous obtenez accès, vous pouvez vraiment nuire.

 

Vous êtes surpris que rien de grave ne se soit encore passé ? 

 

Je pense que les gens sous-estiment le savoir technique nécessaire pour passer de la découverte à l’exploitation. Deuxièmement, on ne peut pas savoir depuis combien de temps le système est affecté. Vous pouvez intégrer un logiciel dormant à un système et, le jour où vous voudrez en faire un usage stratégique, tout sera prêt.

 

Donc si ça se trouve, il y a des virus dormants un peu partout ?

 

Oui, c’est tout à fait probable. Enfin, il faut quand même vous y connaître – un gamin de 16 ans aurait du mal à prendre le contrôle d’une centrale électrique. Ce n’est pas si simple. Avec Shodan, vous pourrez trouver la centrale, mais rentrer à la racine du programme pour installer son propre code nécessite une véritable connaissance du système, en particulier s’il s’agit d’une centrale électrique.

 

Donc qu’est ce qui empêche un criminel endurci d’utiliser Shodan pour causer le chaos ?

 

Les gens qui savent réellement ce qu’ils font n’utiliseront pas Shodan, parce qu’ils ne souhaitent pas que leurs actions soient tracées. Shodan n’est pas un service anonyme. Si vous utilisez Shodan et que vous souhaitez plus de 50 résultats – et 50, ce n’est pas beaucoup – vous devez commencer à me donner des informations personnelles. Si quelqu’un veut faire quelque chose de vraiment illégal, il va utiliser des botnets pour recueillir les informations à sa place.

 

Merci John !

 

http://www.vice.com/fr/read/shodan-est-le-moteur-de-recherches-le-plus-dangereux-du-monde

Lien vers le commentaire
pankkake

pankkake

Posté
Posté

http://www.extremetech.com/extreme/155392-international-space-station-switches-from-windows-to-linux-for-improved-reliability

The United Space Alliance, which manages the computers aboard the International Space Station in association with NASA, has announced that the Windows XP computers aboard the ISS have been switched to Linux. “We migrated key functions from Windows to Linux because we needed an operating system that was stable and reliable.”

Lien vers le commentaire
Rincevent

Rincevent

Posté
Posté

Les ravages de la méthode globale ? ;)

Je n'osais le supposer. Ou alors, c'est que le type n'a jamais ouvert un dictionnaire de sa vie, et ne sait pas de quoi il retourne.
Lien vers le commentaire
Lancelot

Lancelot

Posté
Posté

Je n'osais le supposer. Ou alors, c'est que le type n'a jamais ouvert un dictionnaire de sa vie, et ne sait pas de quoi il retourne.

Pff, un dictionnaire. So vingtième siècle.

 

Ce que dit pankkake c'est qu'un geek n'est pas simplement un user.

Déjà, quelqu'un qui connait la notion d'utilisateur, il a de bonnes chances d'être un peu geek sur les bords.

Lien vers le commentaire
Theor

Theor

Posté
Posté

Ce n'est pas le forum le plus adapté, mais je pose quand même la question vu qu'il y a pas mal de monde dans l'informatique ici...

Un de mes clients a la glorieuse idée de gérer son cloud avec SCVMM (car hyperviseurs hétérogènes), mais ne le supervise pas avec SCOM pour économiser une licence (du coup bonjour les connecteurs WBEM à la con), et m'annonce maintenant qu'il souhaiterait renseigner sa CMDB propriétaire avec les données provenant de SCVMM. Oui, c'est un bordel sans nom et le client est justement une grande entreprise publique.

 

SCVMM ne gère pas SOAP, au mieux il y a de l'applet PowerShell, ou sinon de l'extraction par connecteur ODBC, mais ce sont des données brutes et il reste à tout mettre en forme pour que ce soit exploitable par la CMDB, qui accepte l'import par XML ou ODBC à son format natif.

 

Bref, avant d'ouvrir un ticket que je devrais relancer pendant 3 semaines et qui n'aboutira pas, quelqu'un aurait une idée éventuelle de solution avec un bon ratio temps/coût ?

Lien vers le commentaire
Theor

Theor

Posté
Posté

Non, pas d'ETL, le problème serait essentiellement résolu sinon.

 

Je pensais à quelque chose de plus light du genre HP Connect-IT, mais il faut rajouter le coût de la licence. Et l'esprit administration, c'est pas que l'usine à gaz, c'est aussi "ah ça on a pas les droits", "ah ça je sais pas qui c'est qui s'en occupe", "ah ça c'est pas là qu'on gère, faut faire une demande". :)

 

Je pense que je vais laisser tomber leur demande (l'avantage d'être indépendant).

Lien vers le commentaire
h16

h16

Posté
Posté

Non, pas d'ETL, le problème serait essentiellement résolu sinon.

 

Je pensais à quelque chose de plus light du genre HP Connect-IT, mais il faut rajouter le coût de la licence. Et l'esprit administration, c'est pas que l'usine à gaz, c'est aussi "ah ça on a pas les droits", "ah ça je sais pas qui c'est qui s'en occupe", "ah ça c'est pas là qu'on gère, faut faire une demande". :)

 

Je pense que je vais laisser tomber leur demande (l'avantage d'être indépendant).

 

A vue de nez, je vois qu'il va y avoir, dans le meilleur des cas, des kilos de paperasse. Et dans le pire des cas, ça ne servira à rien parce que

- ça ne marchera que tant que tu t'en occuperas complètement de bout en bout

- ce sera trop compliqué pour être documenté proprement, personne ne voudra mettre son nez dans ce merdier et dès que tu seras parti, paf, les jobs partiront en couille.

 

Et puis, j'imagine la maintenance dans 1, 2 ou 5 ans. Délicieux.

 

Fuis.

Lien vers le commentaire
h16

h16

Posté
Posté

Peut être Talend ou Pentaho ? ( j'ai 0 expérience là dessus)

 

' Connaissais pas. Intéressant. Si ça délivre 10% de ce que le joli site dit, c'est un must have.

Lien vers le commentaire
Mathieu_D

Mathieu_D

Posté
Posté

Et puis, j'imagine la maintenance dans 1, 2 ou 5 ans. Délicieux.

 

Comment, une régie assurée de 1,2 ou 5 ans ?

 

Fuir le forfait dans ce cas oui, fuir la régie WHAT THE FUCKING FUCK ?

 

Dans un TJ on compte la paperasse, hein.

Lien vers le commentaire

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant
Aller sur la liste des sujets
×
×
  • Créer...