Facebook : bring back your shoes box !
13/11/10
Une part de votre vie, une boîte pleine de souvenirs, bons ou mauvais…Facebook, nourri de milliers de statuts, retrace parfois l’existence d’une personne. Si vous voulez remonter le temps, suivez le guide !
- Commencez par utiliser Facebook en anglais (US).
- Ensuite, allez à la page des paramètres du compte.
- Puis cliquer sur « Learn More » à côté de « Download your information ».
La préparation de l’archive prend un peu de temps, et Facebook vous avertira par e-mail quand l’archive sera prête. Il s’agit d’une page index.html contenant toutes vos photos, vos statuts, vos amis, etc. Votre vie, d’une certaine manière…
A part of your life, a box full of memories, good or bad…Facebook, fed of thousands of status, traces sometimes the existence of a person. If you wanna back in time, follow the guide.
- Start by using Facebook in english (US).
- Now, go to account settings page.
- Then click on « Learn More » beside « Download your information ».
Archive building may take some time, and Facebook will mail you when it will be ready. This is an index.html including all your photos, status, friend, and so on. Your life, in a way…
Fedora 14 : régler la taille des vignettes.
16/10/10
Avec ma Fedora 14, j’ai découvert un changement peu gracieux : les vignettes des images/vidéos sont très petites. N’augmentez pas le zoom dans Nautilus, c’est inutile ! La solution : passer par gconf-editor.
Gconf-editor : apps -> nautilus -> icon_view, et régler la taille (par défaut, dans mon cas, à 64)
Personnellement, j’ai réglé à 128. Le résultat :
With Fedora 14, I’ve discovered an unfair change : pictures/videos thumbnails are very tiny. Don’t increase zoom in Nautilus, it’s useless. The solution is using gconf-editor.
Gconf-editor : apps -> nautilus -> icon_view, and adjust the size (by default, in my case, at 64)
Then, I settled on 128. See the result above.
ConnectBot : prenez le contrôle de votre PC avec votre mobile Android.
15/10/10
Contrôler son ordinateur depuis son Androphone peut être très utile (ou très geek, ou les 2). Bonne nouvelle, there’s an app for that. (Quoi, j’ai pas le droit de dire ça ? Oups) : ConnectBot, une application gratuite.
Port TCP 22 ouvert, un DynDNS si besoin et c’est parti. Le principe est identique à une connexion SSH classique.
ssh login@domain.com
ortIci, mon mobile est déjà sur chuck@fedoracomp.dyndns.org.
Une fois connecté, vous avez votre ordinateur en main. À vous de jouer avec yum update ou ce que vous voulez…
Fedora 15 : choisissez son nom !
14/10/10
Jusqu’au 19 octobre, vous pouvez, si vous disposez d’un compte sur le FAS (Fedora Account System), proposer un nom pour la future Fedora 15. Comme d’habitude, il faut qu’il y ait un lien entre le nom de Fedora 14 (Laughlin) et le nouveau nom.
Pas d’idée(s) ? Alors vous pouvez tout simplement voter pour un des noms proposés. Le vote se déroulera du 26 octobre au 1er novembre. Le nom élu sera dévoilé le 2 novembre.
Choisissez le nom de Fedora 15.
P.S : Simple utilisateur ? Vous pouvez contacter un utilisateur inscrit sur le FAS et lui faire part de votre proposition.
Until 10/29, you can, if you have an account on FAS (Fedora Account System), purpose a name for the future Fedora 15. As usual, a link between the name of Fedora 14 (Laughlin) and the new name is required.
No idea(s) ? So you can only vote for a name. Voting takes place from 10/26 to 11/01. The name chosen will be announced 11/02.
P.S : Just a Fedora user ? You can contact an user logged on FAS and tell him your suggestion.
Facebook : vie privée, vie publique.
13/10/10
Facebook, espace privé ou espace public ? Telle est la question que tout le monde se pose actuellement, et d’autant plus lorsque l’on se fait licencier pour avoir tenu de bien mauvais propos.
Pour ma part, c’est très clair : Facebook est un espace d’échange public. Si les gens postent des messages, c’est pour qu’il soit vu/lu. Les paroles s’envolent, les écrits restent. Et de la même manière qu’à l’époque on écoutait aux portes, aujourd’hui on cherche par tous les moyens (légaux ?) de pouvoir avoir accès à du contenu. Rien n’empêche un employeur de se faire passer pour une personne lambda, et de demander gentillement à rentrer dans votre cercle d’amis.
Aujourd’hui Facebook tend à devenir un espace de promotion où l’homme se « vend ». Les employeurs consultent régulièrement la bonne tenue du profil de leurs employés, de la même manière que le Sgt. Hartmann fait la revue des piaules de ses bidasses en accordant une attention toute particulière aux lits au carré.
Il ne faut jamais oublier que tout ce que vous publiez sur Internet (réseaux sociaux, forums etc.) tombe dans le domaine public et peut ressortir un jour.
Si vous tenez des propos peu gracieux envers quelqu’un ou une entreprise de vive voix, seul le bouche-à-oreille pourra éventuellement vous causez des soucis (et dans ce cas, demandez-vous qui est « Judas »). En revanche, sur Internet, cela reste écrit, cela peut être sauvegardé, diffusé, et la présence de votre nom à côté du contenu « prouvera » votre culpabilité.
Il n’y a pas de vie privée sur Internet, de la même manière qu’il n’y a pas d’anonymat total. Arrêtons de suite les confusions : Facebook n’est pas un espace privé. Facebook n’est pas un journal intime. On y appose son nom, sa photo, ses goûts, et parfois même, on y diffuse trop ses ressentis…
Le seul conseil avisé : rangez vos amis par groupes, verrouillez en conséquence le contenu. Ou encore mieux : trouvez un autre exutoire…
Affaire « Robin Sage » : les erreurs des experts.
24/07/10
Aujourd’hui, d’après un article du Figaro.fr, nous apprenons qu’une mystérieuse jeune femme, Robin Sage, a eu accès à de nombreuses données confidentielles.
Comment ? De la même manière qu’Hacker-Croll avec Twitter : en ayant accès aux profils Facebook/Twitter/LinkedIn d’experts en sécurité, de militaires, et d’employés assez bien placés. Puis en décortiquant les informations, elle a eu accès a des données qu’elle n’aurait jamais dû voir.
Je vous propose de passer en revue les multiples pièges dans lesquels ces hommes importants sont tombés. En quelque sorte, ce fut une petite démonstration de social engineering. Ah, l’interface chaise-clavier…
1) Croire que Robin Sage était une femme.
Première erreur, sévère mais excusable. En effet, Robin Sage est un étudiant du MIT qui, en réalité, s’appelle Thomas Ryan. Ce n’est pas l’erreur la plus grave a avoir été commise, mais en tenant compte de la phallocratie encore très présente dans le monde du travail, le choix d’incarner une femme s’imposait naturellement. Bien évidemment, un inconnu mâle accepte plus facilement l’invitation d’une jolie jeune femme que celle d’un homme…
2) Croire au parcours professionnel de Robin Sage.
Seconde erreur, plus difficilement excusable. Facebook ne dit pas que la vérité et rien que la vérité, car Facebook n’a pas de main droite…
N’importe qui peut dire avoir fait Harvard, Yale, MIT Polytech’, Todai, l’Assomption…et se fier aveuglement à ce qui est écrit peut coûter cher. C’est le cas ici.
3) Ne pas avoir fait de groupes sur Facebook ?
Une hypothèse, oui, mais une hypothèse probable. Si « Robin Sage » a eu accès à des données personnelles ayant compromis la sécurité d’autres comptes (e-mails, bancaires), c’est certainement parce que tous les « amis » disposaient d’un accès complet à toutes les informations. Grossière erreur !
L’élément le plus important de l’affaire est précisément celui-ci : les contacts Facebook doivent être rangés par groupes. Et certains éléments du profil ne doivent pas être accessibles à des inconnus. Les paramètres de confidentialité sont suffisamment étoffés pour pouvoir « sécuriser » proprement son compte.
4) Les questions secrètes.
Le second maillon faible. Pour des experts en sécurité, voilà qui n’est pas excusable non plus. Un mot de passe ne doit pas être oublié. La question secrète ne doit pas avoir à être utilisée. Pour Thomas Ryan, la tâche ne devait pas être très compliquée : si la question portait sur le plat préféré de M.X et que celui-ci était « fan » de raclette sur Facebook…
Si, lors de l’ouverture d’un compte mail, la question secrète est obligatoire : répondez-y en mettant de mutilples caractères sans aucun sens. C’est primordial, autant qu’un bon mot de passe. (si ce n’est plus !)
Conclusion
Experts en sécurité, militaires, employés, ou simples utilisateurs, parfois il n’y a aucune différence. Les leçons à retenir de cette affaire :
- Si vous acceptez un inconnu sur Facebook, placez-le dans un groupe qui n’aura pas accès à des données « sensibles ». (telle que votre adresse email par exemple)
- Répondez à vos questions secrètes par une suite de caractères sans aucun sens.
- Utilisez des mots de passe robustes ! (des dates de naissance en guise de mot de passe, j’en ai vu passer…)
- Attention à vos publications. (si vous êtes militaire, ne dévoilez pas vos prochaines opérations…)
Bref, soyez prudents !
Vie numérique et vie réelle : cohabitation ?
22/07/10
Avec 60,4 % de la population française disposant d’un accès à Internet et un taux de pénétration du mobile frôlant les 92 %, l’existence d’une vie numérique n’est plus à démontrer. Votre voisin, votre collègue, vos enfants, et même peut-être vos parents sont membres d’un ou plusieurs forums qu’ils consultent régulièrement, possèdent un compte Facebook, et envisagent de s’inscrire sur Twitter. Et vous ? Vous en êtes probablement au même point.
La fréquentation d’un réseau social est en passe de devenir un standard. Ne pas être inscrit sur Facebook/Twitter devient une attitude marginale. (antisociale diront certains)
Au final, que pouvons-nous retenir de cette existence numérique ?
1) Une image à construire et affirmer
La vie numérique est pour certains l’outil idéal pour cultiver une image. Leur compte Twitter est pseudo-philosophique, leur compte Facebook est « bien rangé ». Pour d’autres, c’est une façon de se défouler : leur Facebook déborde de photos (plus ou moins NSFW…), et leur Twitter se veut drôle et détendu. Les éventuelles conséquences ne constituent pas un problème pour eux.
On se retrouve donc avec deux conceptions qui s’opposent, mais avec au final une même volonté, primant sur cette volonté de se faire un portrait virtuel.
2) Une volonté de communiquer un maximum…
Téléphone en poche ou ordinateur sur soi, la véritable motivation des accros de la vie numérique est la communication. Rester au plus près de ses amis, partager ses activités, ses points de vue, ou même s’amuser. Peu importante la distance qui les sépare, la magie d’Internet leur permet de toujours rester en contact. Et éventuellement, cela leur permet de faire de nouvelles connaissances, qu’ils ne rencontreront pas forcément.
3) …et de se rencontrer plus souvent ?
À travers les apéros Facebook et les Twitperos, la vie numérique s’arrête pour laisser place à des rencontres bien réelles.
Pour autant, peut-on dire que la vie numérique est au service de la vie réelle ? Je n’ai pas pour volonté de donner une réponse précise mais tentons d’y voir plus clair…
SMS, mails, réseaux sociaux, peut-on affirmer que les nouvelles technologies multiplient les véritables interactions entre les personnes ? Au contraire, ne diminuent-elles pas les rencontres, puisqu’il est plus simple de se parler « online » ? Notre vie numérique ne fait-elle pas de l’ombre à notre vie réelle ?
Pour autant, nous ne pouvons pas non plus dire que la dématérialisation de nos relations sociales constitue un problème. Toutefois, il est certain, dans bien des cas, que le temps que nous passons en ligne à converser avec nos semblables est nettement supérieur à celui que nous passons avec eux.
Le juste milieu est donc difficile à atteindre. Cependant, qui s’en plaint ? C’est une évolution que l’homme accepte et à laquelle il contribue. En toute conscience ? Peut-être…
Vol de session : a child’s play.
13/07/10
Tout d’abord, bravo à ceux qui ont vu en ce titre un clin d’oeil au titre original de « Jeu d’enfant », c’est-à-dire le premier Chucky. 
Toute communication claire entre A et C passant B est non sûr. De ce fait, tout peut être vu, lu, enregistré et au pire : utilisé.
De nos jours, tous les sites (ou presque) disposent de « session », administrateur ou non. Votre webmail, votre compte Meetic (mauvais exemple ? Je sais), Facebook, Twitter etc. peuvent être à la portée de n’importe qui, sans même avoir besoin de connaître votre mot de passe.
Je vais aborder (rapidement) l’utilisation frauduleuse qui peut être faite des cookies. Pour aller voir plus loin, je vous conseille l’excellent article de Denis Bodor dans le GNU/Linux Magazine Hors-série N°42.
1. La cible : Kenshin, utilisateur du forum Fedora-fr. (et Roi des trolls)
Kenshin trolle trop, c’est insupportable. Vous avez décidé d’usurper son identité afin de le faire bannir définitivement. Mais c’est un utilisateur prudent, il utilise des mots de passe complexes. (jusqu’à 27 caractères en hexadécimal + caractères spéciaux, bonne chance ! 
)
Vous allez donc récupérer le cookie qui conserve sa session ouverte sur le forum.
2. Capture des paquets.
L’attaquant doit capturer tout ou partie du trafic entre le serveur HTTP et le client. Dans le cas présent, imaginons que vous êtes connecté à mon réseau local. L’ARP Spoofing redirigerait le trafic vers votre machine, ainsi vous pourrez récupérer ce que vous souhaitez.
Le cookie est initialement envoyé par le serveur (ici, celui de fedora-fr.org), mais le client le présente à chaque requête. Une chance, je me rends très souvent sur le forum.
Arpspoof/Ettercap-ng, peu importe, votre ARP Spoofing fonctionne. Là (j’ai pris WireShark, mais ngrep peut faire l’affaire), vous avez patiemment analysé le trafic, et vous avez découvert ceci :
Ça y est. Le cookie fedorafr_punbb est le bon. Vous allez pouvoir usurper mon identité. (Super, non ? 
3. Utilisation frauduleuse du cookie.
Pour Firefox, il existe l’excellente extension Add ‘n’ edit cookie. L’utilisation est très simple. On ouvre l’extension, on ajoute le cookie (en remplissant correctement les champs) et on enregiste.
Maintenant, vous pouvez me faire bannir du forum. Merci
4. Autre exemple ?
Si j’ai utilisé Meetic en exemple plus haut, c’est pour une bonne raison. (non, je n’ai pas de compte Meetic) Je peux vous dire que c’est très peu sécurisé.
- Lors d’une connexion à la session, le nom d’utilisateur/mot de passe sont en clair dans l’URL. Votre attaquant n’aura pas besoin de cookie…
- Si Meetic vous envoie un email, vous serez connecté juste en cliquant sur un lien. Là encore, le cookie est inutile…
- When you establish a connection to your account, your login/password appears in clear in the URL. Your attacker won’t need a cookie…
- If someone click on a link send by Meetic (in your mailbox) he’ll be automatically connected. Again, cookie is useless….
Autant dire que si quelqu’un à accès à votre adresse mail, il aura de ce fait accès à votre compte. Ça risque d’être tendu avec vos prétendantes…
First, congratulations to people seeing my wink to Child’s play, the first Chucky movie.
Any communication between A and C passing by B is unsecure. Then, everything can be seen, read, saved, and the worst : used.
Today, all websites (or almost) are using cookies. They provide « sessions », admin or not. Your webmail, your Meetic account (not a good example ? I know), Facebook, Twitter etc. can be used by anyone, without your password.
I’m gonna talk (quickly) about the misuse which can be done with cookies.
1. Target : Kenshin, Fedora-fr forum user. (King of trolls)
Kenshin is trolling too much, it’s intolerable. You want to usurp his identity to get him out. But he’s a prudent user, using complex passwords. (27 hex characters + special characters, good luck !)
So you’re gonna stole the cookie keeping his session opened.
2. Packets capture.
Attacker must capture all or part of trafic between HTTP server and client. In our case, let’s imagine you’re connected to my local area network. ARP Spoofing would redirect trafic to your computer, then you could read all you need.
The cookie is initially sent by the server (here : fedora-fr.org), but the client presents it to each query. Luckily, I go very often on the forum.
Arpspoof / Ettercap-ng, whatever, your ARP Spoofing works. There (I took WireShark but ngrep is good too), you patiently analyzed the traffic and you’ve discovered this. (see the image above)
It’s okay. The fedorafr_punbb is the good. You will be able to steal my identity. (Awesome, isn’t it ?
3. Misuse of a cookie.
For Firefox, you can install the Add ‘n’ edit cookie plugin, easy to use. Just open it, add the cookie, and save it. (see the image above)
Now you can have me banned from the forum. Thanks
4. Another example ?
If I’ve used Meetic as a exemple above, it’s for a good reason. Indeed (no I haven’t a Meetic account) it’s very unsecure.
So, if someone has an access to your mailbox, he will be able to have an access to your Meetic account. It could be bad for the girl(s) you are looking for…
Midori : lightweight web browser
12/07/10
Léger, WebKit inside, Midori est un jeune navigateur Web en pleine évolution. Disponible pour GNU/Linux et Windows dans sa version 0.2.6, il est développé par 2 personnes : Christian Dywan et Nancy Runge, visiblement beaucoup attirées par le pays du Soleil Levant. (d’où le nom Midori (緑), qui signifie vert)
Pour l’installer, c’est très simple, il est dans les dépôts.
→ Debian
# aptitude install midori(Apt-get ? Non. Ce n'est pas du troll, mais du bon sens.)
→ Fedora
# yum install midoriMidori est installé, on peut le lancer ! Première constatation, l'inspiration "Opera". On retrouve le Speed Dial.
Crédits photo : TwoToasts.de
Malheureusement peu nombreuses, Midori embarque tout de mêmes quelques extensions. (dont le très connu Mouse Gesture, qui permet de contrôler la navigation à la souris.)
L'autre regret : l'absence d'une Awesome Bar. J'espère qu'on finira par en avoir une.
Au final, Midori avance doucement mais sûrement, c'est donc un navigateur à surveiller de près. N'hésitez pas à l'essayer et à l'adopter, au moins comme navigateur secondaire.
P.S : L'image d'illustration est signée de ma main. 美しいだよね。 (Ok, un petit peu retouché avec the GIMP pour la couleur et le repassage)
OpenGraph ne passera pas !
7/07/10
Truc aime ça. Machin aime ça. 42 clampins aiment ça. Confidence pour confidence : ça me gonfle.
Après cette introduction mal foutue mais incisive, laissez-moi vous conter pourquoi OpenGraph, la supra-technologie de Facebook, ne sera jamais présente sur Kenshin-blog.com. Premièrement, Kenshin-blog.com est un petit blog. Un tout petit, avec au maximum 200 visites/jour, au minimum 70 visites/jour. Ensuite, vous l’aurez remarqué, Facebook tisse sa toile un petit peu partout. Les blogs, les sites d’informations : les « J’aime » ont envahi le Web. Avoir un compte Facebook deviendrait presque obligatoire. Je ne m’étendrai même pas sur les récupercussions sur la vie privée.
Cette hégémonie me dérange tout particulièrement. Et ce n’est pas Google et Me, son chevalier blanc, qui viendra y mettre fin. Google se trompe, Google va flopper, une fois de plus.
Et finalement, à quoi sert OpenGraph pour ses utilisateurs ? Le plaisir de « s’afficher » ? Parce que pour partager une information, il existe déjà tout ce qu’il faut.
Afficher son nom partout où l’on passe sur le Web n’est définitivement pas une bonne solution. Se laisser tenter par OpenGraph, c’est donner plus de pouvoir à Facebook, une société qui, assurément, rêve d’une destinée à la Google…en mieux. Elle veut centraliser toutes vos activités virtuelles, pour mieux vous connaître, et de ce fait, pour que les marketeurs vous connaissent mieux.
Finalement, de la volonté de vouloir rapprocher les gens et concevoir un monde où ceux-ci communiquent plus, nous sommes en train d’obtenir un monde où les individus substituent le virtuel au réel, où le nombre d’amis est un indicateur de la pseudo-sociabilité de la personne, et où l’homme approuve ou désapprouve une idée, une marque, une information…l’utilisateur devient un pion, un pion surveillé, un pion que l’on vend, que l’on échange. Mais paradoxalement, ce pion est consentant.
