Pirate Informatique No.25 - Avril-Juin 2015...
+ En CadEau : 2 magazines complets offerts
sur lE Cd
[InformatIque]
les cahiers du hacker
[ I n f o r m a t I q u e ] 25
Le Guide du
100%
HackinG cD
Hacker
Prenez
avec
grat
> plus De 50 ficuit
hes
pratiques
le
contrôle ! Keylogger
Espionnez qui écrit quoi sur votre clavier
Surveillance
Bloquez Google, la NSA et le gouvernement
Télécharger
Le guide pratique pour télécharger sur Seedbox
SOMMAIRE Protection/AnonymAt
12
ZHPCleaner : en finir avec les redirections d’URL
13-15
Communiquez en toute sécurité avec Off-tHe-reCOrd
13
Découvrez OTR
16-19
Échappez à la surveillance de gOOgle
20-21 16
miCrOfiCHes
hAcking
24-27
darkCOmet rat : prenez le contrôle à distance !
24
32 32-33
PHrOZen keylOgger : enregistrez les frappes au clavier
34-35 28-31
TrueCrypt est mort ? Vive VeraCryPt ! 2
déblOqueZ n’importe quel Pdf !
36-37
miCrOfiCHes
les cahiers du hacker
multimédiA [InformatIque]
39-43
N°25– Mai/Juillet 2015
Tout savoir sur les seedbOx...
Une publication du groupe ID Presse. 27, bd Charles Moretti - 13014 Marseille E-mail :
[email protected] Directeur de la publication : David Côme Kim Kaphwan : Benoît BAILLEUL Joe Higashi : Yann Peyrot Andy & Terry Bogard : Thomas Povéda & Pierre Corbinais Chonrei & Chonshu Jin : Stéphanie Compain & Sergueï Afanasiuk Mai Shiranui : Karima Allali
44-45
i2Psnark : quand I2P permet de télécharger
imprimé en france par / Printed in france by : Léonce Deprez ZI Le Moulin 62620 Ruitz Distribution : MLP Dépôt légal : à parution Commission paritaire : en cours ISSN : 1969 - 8631
46-47
Saisissez vos captchas en vadrouille avec jdCaPtCHa
50-51
Édito
> NoTRe SÉLeCTIoN De maTÉRIeLS
«Pirate Informatique» est édité
48-49
par SARL ID Presse, RCS : Marseille 491 497 665 Capital social : 2000,00 €
miCrOfiCHes
Parution : 4 numéros par an.
notre teSt
Il n’est pas toujours facile de contenter plus de 35 000 lecteurs potentiels. Entre les plus de 50 ans qui préfèrent la rubrique Protection & Anonymat, les moins de 16 qui plébiscitent Multimédia et les autres qui ne jurent que par les coins Hacking et Matos, il faut savoir jongler. Sans compter qu’il y a aussi des femmes (et si c’est prouvé !), des lecteurs qui nous ont découverts en téléchargeant illégalement le magazine (ha les salauds ! :) et les acheteurs compulsifs qui restent au final pour le sérieux de nos démonstrations. C’est pour y voir plus clair dans toutes ces tendances et mieux vous connaître que nous avons décidé de réaliser un grand sondage en ligne. Pour y répondre, rendez-vous à la page 22 de ce numéro et n’hésitez pas à nous laisser vos impressions. Sur toutes les réponses, nous tirerons un lecteur au hasard. Ce dernier sera le gagnant d’une clé USB contenant tous les numéros du magazine ! Il sera le seul à en profiter jusqu’au moment où nous déciderons de les faire se reproduire (mais chut, c’est une surprise)...
La reproduction, même partielle, des articles et illustrations parues dans «Pirate Informatique» est interdite. Copyrights et tous droits réservés ID Presse. La rédaction n’est pas responsable des textes et photos communiqués. Sauf accord particulier, les manuscrits, photos et dessins adressés à la rédaction ne sont ni rendus ni renvoyés. Les indications de prix et d’adresses figurant dans les pages rédactionnelles sont données à titre d’information, sans aucun but publicitaire.
Comme à chaque fois, vous retrouverez sur notre CD tous les logiciels dont nous parlons dans le magazine ainsi que certains anciens articles qui vous aideront à mieux comprendre nos démonstrations. Enfin, nous vous invitons à vous rendre à la page 23 pour vous abonner gratuitement à la mailing-list de magazine et être tenu au courant des parutions. N’hésitez pas à nous faire part de vos commentaires et de vos souhaits pour les prochaines éditions sur
[email protected] Bonne lecture ! Benoît BAILLEUL.
3
H cktualités Quand amazon «pirate» votre pirate... Comme tout le monde, il nous arrive de commander sur Amazon et comme tout le monde, nous recevons souvent des e-mails de cette compagnie pour nous inciter à acheter d’autres produits. D’autres produits d’accord, mais nous étions loin d’imaginer recevoir une offre pour...notre propre magazine ! Car sur le Kindle Store, il est possible de vendre ses propres livres à qui veut bien les acheter ! Quelques minutes à scanner, une image pour illustrer et hop, sur le Store prêt à être vendu ! Sur l’annonce que nous avons reçue, le nom du rédacteur en chef est même inscrit ce qui pouvait laisser penser qu’il s’agit d’un livre «officiel», un comble pour un scan aussi mal fichu (il est possible d’avoir un aperçu des livres dans le Kindle Store) ! Comme vous le savez, nous encourageons le téléchargement de notre publication comme source de partage de l’information, mais dans ce cas précis il ne s’agit pas de partage. En effet le petit malin qui a scanné le magazine espérait en tirer profit (5,05 €, soit plus cher que la version papier et sans le CD) et comme Amazon prend sa part du gâteau, la société est complice ! Nous sommes donc entrés en contact avec la division française qui nous a orientés vers le service qui s’occupe des droits d’auteur à...Seattle. Plus près, c’est pas possible ? Nous avons donc expliqué (poliment) dans notre plus bel anglais la raison de notre courroux. Amazon n’a pas traîné et a fait retirer l’annonce très rapidement. Le problème c’est que si Untel peut vendre n’importe quoi sur le magasin en ligne, qui vérifie qu’il ne s’agit pas de contrefaçons ? Amazon pourrait objecter que cela constituerait un vrai travail de fourmi et qu’il ne font qu’«héberger» du contenu... La défense de ceux qui se font condamner pour contrefaçon en quelque sorte... Rappelons que si vous souhaitez une version dématérialisée de votre magazine, vous pouvez le faire ici : http://goo.gl/653b5C
L'e-mail reçu par notre rédacteur en chef... Comme toute bonne contrefaçon chinoise, il y a une faute de syntaxe ! Notre «Benoît» s'écrit avec un accent circonflexe. Amateurs !
La Liberté c’est simpLe comme un e-maiL Si vous vous retrouvez en prison (ça peut aller vite maintenant, voir notre article page 8), vous pourrez toujours tenter de vous en sortir comme l’a fait Neil Moore. Cet escroc anglais spécialiste du social engineering a tout simplement envoyé un e-mail à la direction de sa prison pour demander sa libération. Notre ami a imité le nom de domaine de l’administration pénitentiaire dans son courrier. Le fait que le nom copié comporte des traits d’union au lieu de points n’a apparemment gêné personne et Neil s’est retrouvé dehors. L’histoire se termine mal pour notre inventif «hacker» puisque le risque de se prendre plusieurs années de détention supplémentaires l’a incité à se rendre... En tout cas, Michael Scofield n’avait pas pensé à ça !
4
Dernière minute - Dernière minute - Dernière minute - Dernière minute - Dernière minute
Affaire TV5 Monde : c'est la France qu'on attaque ! La nouvelle est tombée le jour du bouclage du magazine que vous tenez dans les mains et, à l’heure où nous écrivons ces lignes, l’attaque n’a pas encore été complètement endiguée, mais les faits sont là : TV5 Monde a été piraté dans les grandes largeurs ! Même si vous ne savez pas vraiment sur quel canal cette chaîne se trouve sur votre box TV, elle est très populaire à l’étranger auprès des francophones et des Français expatriés. Il s’agit du deuxième plus grand réseau mondial de télévision (257 millions de foyers dans plus de
200 pays selon Wikipédia) : une sacrée vitrine ! Car non seulement les sites et comptes des réseaux sociaux Facebook, Twitter et YouTube ont été «défacés» (changement de la page d’accueil par des messages de propagande islamiste-intégriste), mais la diffusion de cette chaîne a même été
suspendue. Selon le site breaking3zero. com, ce piratage a été effectué via une faille Java sur un ordinateur disposant de droits étendus. Un simple fichier .vbs du nom de ISIS caché dans un document HTML a ainsi pu déclencher ce désastre en se répandant dans tout le réseau jusqu’à atteindre le serveur qui transmet les vidéos. C’est d’ailleurs ce dernier qui a été «coupé» par la chaîne privant les téléspectateurs d’image. En effet le but de cette attaque était bien de prendre le contrôle du flux vidéo de TV5 Monde qui diffuse 24h/24. Pour diffuser ses propres programmes ? Juste pour les interrompre ? Nous reviendrons en détail sur cette affaire, mais une chose est sûre : ce ne sont pas des pancartes «Je suis TV5 Monde» qui vont nous aider...
T411 bloqué ?
quand la jusTice ne serT à rien...
Ça y est, c'est officiel : les principaux FAI français ont été obligé de bloquer l'accès du plus populaire tracker semi-public. La Société Civile des Producteurs de Phonogrammes (SCPP) a donc obtenu gain de cause auprès du TGI de Paris et comme la décision rendue pour The Pirate Bay, cette mesure ne servira à rien. En effet les administrateurs de T411 n'ont pas attendu la décision de justice pour migrer d'un .me à un .io. Comme toute l'affaire concernait T411.me et qu'il s'agit en plus d'un vulgaire blocage au niveau des DNS (le service qui permet de relier l'IP d'un site à son nom de domaine) toute cette débauche d'énergie et d'argent public est caduque. Même dans le cas d'un autre verdict en faveur de la SCPP il existe des moyens détournés pour accéder aux sites bloqués de la sorte : changement du fichier hosts, proxy, VPN, changement de DNS, etc. Et qui paye pour tout ce ramdam judiciaire ? Vous ! Et même votre voisine de palier de 88 ans qui n'a jamais mis les pieds sur «un Ternet» (ou un autre). Dans notre prochain numéro, ne ratez pas notre article sur les moyens de contourner ces blocages... Les plus impatients pourront aussi jeter un œil à ce document : http://goo.gl/GF43Wn
5
H cktualités Comment faire péter les plombs d’un administrateur système en une phrase : Si votre système de sécurité avait été mieux conçu, cela n’aurait aucune importance que mon mot de passe soit «mot de passe».
La pensée skynet/Matrix du jour SMBC by Zach Weiner
TrueCrypt 7.1a est sûr...C'est sûr ! Nous vous avions déjà parlé de l'abandon du projet TrueCrypt (TC) par ses propres créateurs. Le mystère entourait la dernière version 7.2 c'est pourquoi un audit de la version 7.1a a été organisé pour vérifier que cette dernière ne comportait aucune porte dérobée permettant aux services secrets de voler les données contenues dans les conteneurs chiffrés. Gros soulagement du côté des amoureux de TC puisque cet audit n'a pas montré le moindre signe de malveillance. Seules 4 failles mineures et inexploitables ont été mises en lumière et les cryptanalystes de Cryptography Services ont décrété que cette 7.1a de TC était considérée comme «fiable». Vous pouvez donc continuer à l'utiliser, mais pourquoi ne pas essayer VeraCrypt (voir notre article et l'interview de son auteur à la page 28) ? Ce dernier est compatible avec les conteneurs TC tout en proposant un chiffrement plus rapide. La dernière version 1.0f-2 a même colmaté les 4 failles mineures ! Merci Mounir ! 6
«Un tiers des mariages actuels sont issus de sites de rencontre en ligne. Cela veut dire que les ordinateurs ont déjà commencé à "élever" les humains ?»
Chez votre marC hand de journaux
Min i Pr ix
2 ,90€
seul eme nt
Le100%1androidmagazine et 100% pratique er
H cktualités
Loi Renseignement : La LégaLisation de
Big BRotheR
Cela fait longtemps que nous vous parlons de surveillance de masse dans Pirate Informatique, que nous vous expliquons qu’elle est matériellement possible et peut-être déjà mise en place. Autant vous dire que la volonté de la légaliser via la Loi Renseignement n’a rien de rassurant. 8
S
i vous venez d’acheter ce magazine en kiosque, quelques semaines à peine séparent la rédaction de cet article et sa lecture. Quelques semaines, ce n’est pas grand-chose, et pourtant, en ce laps de temps, les libertés individuelles des Français, leur vie privée et la démocratie en général ont peutêtre pris du plomb dans l’aile, du genre calibre 12. C’est qu’entre-temps, il y a eu le 16 avril, et qu’a été voté (ou non) le projet de loi Renseignement proposé par Manuel Valls.
Si la majorité des députés s’est opposée à cette loi, et c’est tout ce qu’on vous souhaite, restez tout de même vigilants, car il y a de fortes chances que le gouvernement essaye de la refaire passer au prochain attentat terroriste histoire d’avoir l’opinion publique dans la poche. Si elle est passée... désolé de vous l’apprendre, mais vous êtes tous bien dans la mouise (sauf vous Monsieur Valls, bien évidemment…). Officiellement, le projet de loi Renseignement a pour but de faciliter la lutte du gouvernement contre le terrorisme. Dans les faits, c’est juste la fête du slip, il n’y a pas d’autres mots. Pour bien comprendre ce que cette loi implique, il convient de se rappeler comment ça se passait avant (ou dans le meilleur des cas, comment ça se passe encore maintenant).
La liberté, avant-après Dans l’avant-Loi Renseignement, c’est bien simple : le gouvernement a le droit de surveiller un peu qui il veut et comme il veut tant que cela reste dans un cadre judiciaire, c’està-dire que la personne concernée est suspectée d’enfreindre la loi et qu’un juge a autorisé cette surveillance. Les bad guys sont surveillés pour permettre leur arrestation, jusqu’ici tout va bien. Mais il y a des exceptions : l’obtention de listes d’appels, l’écoute téléphonique, la géolocalisation de téléphones portables et la consultation de métadonnées des e-mails peuvent ainsi être autorisées sans juge à titre exceptionnel dans le cadre de «sécurité nationale, de sauvegarde des éléments essentiels du potentiel scientifique et économique de la France, de la prévention du terrorisme, de la criminalité et de la délinquance organisées et de la reconstitution ou du maintien [...] de groupes de combats et de milices privées».
Ces exceptions peuvent paraître douteuses, surtout en raison du motif de «sécurité nationale» qui demeure un gros fourre-tout juridique. Eh bien, la Loi Renseignement, ce sont ces exceptions, étendues, facilitées, généralisées, devenues règles. Concrètement, cela signifie que le Premier ministre peut ordonner la surveillance de n’importe qui sans nécessairement avoir l’aval d’un juge. Comme avant, il peut demander les listes d’appels, l’écoute téléphonique, la géolocalisation mobile et les métadonnées de mails, mais à cela s’ajoute l’accès aux contenus des mails, la pose de balises GPS sur un véhicule, la pose de micros et caméras dans le domicile ou le véhicule et l’usage de keyloggers. Tout, quoi. Et bien sûr, ces mesures n’ont plus rien d’«exceptionnel». Bien sûr, les demandes de surveillance doivent être justifiées par des motifs, mais c’est précisément là que la Loi Surveillance devient sournoise.
Une absence totale de contrôle En théorie, la surveillance ne peut être demandée que si elle répond aux motifs cités plus haut (sécurité nationale, etc.) auxquels s’ajoutent les «intérêts essentiels de politique étrangère» et la «prolifération des armes de destruction massive ainsi que des violences collectives pouvant porter gravement atteinte à la paix publique». Le concept de sécurité nationale est toujours aussi flou, mais cela importe peu puisqu’après tout, aucun juge n’a à statuer sur la légitimité de la demande. Le seul contrôle auquel les surveillances peuvent être soumises est celui de la CNCTR (Commission Nationale de Contrôle des Techniques de Renseignements), organisme créé spécialement pour l’occasion. Composée de 9 membres, la CNCTR a pour mission de vérifier que les services de renseignement ne dépassent pas le cadre de la loi et qu’ils n’emploient pas de moyens démesurés. Elle peut être saisie par «toute personne ayant un intérêt direct et personnel» dans une affaire de surveillance ainsi que s’autosaisir de dossiers. Mais il y a un mais... non, c’est pire, il y en a trois. - Pour qu’une personne saisisse la CNCTR pour surveillance abusive, il faut déjà qu’elle se sache surveillée, et il est assez peu probable que le gouvernement se donne la peine de prévenir.
- Pour que la CNCTR s’intéresse d’ellemême à un dossier, il faut également qu’elle soit au courant. Le fait que la demande de surveillance et la classification Secret Défense dépendent de la même personne (le Premier ministre) ne devrait pas lui faciliter le travail. - Si malgré tout, la CNCTR s’empare d’un dossier et découvre une infraction à la loi, elle ne peut qu’envoyer une recommandation au service concerné ainsi qu’au Premier ministre. Le Premier ministre n’a aucune obligation d’y donner suite. Dans ce cas, la CNCTR n’a d’autre solution que de saisir le Conseil d’État. Vous avez compris : si dans le futur proche dans lequel vous vous trouvez la loi Surveillance est bien passée, cela signifie que vous êtes potentiellement tous surveillés, et que votre dernier espoir de voir cette surveillance annulée réside dans un groupe de vieux énarques, si tant est qu’elle n’ait pas été classée Secret d’État. La solution ? Le chiffrement avec des outils open source et...Pirate Informatique !
Le gLoUbiboULga de La sécUrité nationaLe Dans la loi, la Sécurité nationale regroupe «l’ensemble des menaces et des risques susceptibles d’affecter la vie de la Nation, l’intégrité du territoire et la permanence des institutions de la République». Autant vous dire qu’avec un peu de rhétorique, vos brossages de dents quotidiens peuvent constituer une atteinte à la sécurité nationale. 9
« Comment
je protège mes photos persos ? »
.COM SOLUTIONS & ASTUCES
s l e i r o t
Tu
s t s Te
s n o i t a ic
l p p A
s w Ne
Protection & AnonymAt
Désinfection 01010010100101010100100001110101010101011010101000
PouR en finiR aveC
leS RediReCtionS
fRauduleuSeS
PaS à PaS
De plus en plus de logiciels indésirables utilisent des moyens détournés pour vous mener la vie dure. Même armé d’un antivirus et d’un pare-feu correctement configuré, il arrive que des processus activent des redirections au niveau de votre navigateur pour afficher de la publicité, détourner la page de démarrage ou installer des barres d’outils....
A
près une visite sur un site louche ou l’installation d’un logiciel, vous rencontrez de plus en plus de problèmes avec votre navigateur : affichage de publicité, pop-up, barre de navigation non désirée, etc. La plupart du temps il s’agit de LPI (Logiciels Potentiellement Indésirables) sans gravité, mais lorsqu’on sait qu’à l’origine il s’agit de redirection d’URL (votre flux Internet passe par un proxy alors que
ZHPCleaner, le complément idéal de votre antivirus 01
L’interface
Avant d’utiliser ZHPCleaner, nous vous recommandons de fermer tous vos navigateurs et de mettre en veille votre antivirus pendant 10 minutes. Dans un premier temps vous pouvez faire Scanner pour juste obtenir une analyse, mais vous pouvez faire Réparer directement (n’oubliez pas Contribuer si vous êtes par la suite satisfait du logiciel !)
02
Le rapport Au bout de quelques minutes, ZHPCleaner va vous afficher le rapport d’erreur. Dans notre cas, le logiciel avait un doute sur un proxy avec une IP bizarre. Nous lui avons alors notifié que nous
12
vous n’avez rien demandé), cela peut ouvrir la porte au phishing, à différents spywares ou pire... un botnet. ZHPCleaner va rétablir les paramètres proxy et supprimer les redirections d’URL sur tous vos navigateurs sans nécessiter d’installation. À la fin du processus, il va générer un rapport en français. Même sur nos PC surveillés et très protégés nous avons quand même été surpris...
ZHPCleaner Où le trOuver ? : www.nicolascoolman.fr DIffICultÉ :
n’avions pas installé ce proxy. ZHPCleaner a aussi analysé le fichier hosts (utilisé par Windows lors de l’accès à Internet pour associer des noms d’hôtes à des adresses IP), les services, les tâches planifiées, etc.
03
Un probLème ?
Après avoir analysé l’IP louche que ZHPCleaner a détecté et nettoyé de la liste des proxys, nous tombons alors de notre chaise. Il s’agit d’un proxy basé à Bogota en Colombie... Étrange. Après avoir fait quelques recherches, il ne s’agit pas d’une redirection frauduleuse. Personne à la rédaction ayant accès au PC de test n’a pourtant installé ce proxy... Merci ZHPCleaner !
0100110101000100010101011001001001010100010 0101001010010101010010000111010101010 Messageries instantanées 010100101001010101001000011101010101010110101
Communiquez
de manièRe PRivée Pas évident de se trouver une messagerie instantanée chiffrée qui réponde à tous les critères de sécurité. Heureusement, voici Off-the-Record (OTR), un logiciel cryptographique qui vient se greffer sur Pidgin, la messagerie instantanée multiplateforme. Pas besoin de «convertir» vos amis ou de se créer un nouveau compte...
Vous Pidgin + OTR avec identifiants Google Talk et IRC enregistrés
OTR
OTR Ami 1 Pidgin (ou un autre logiciel) + OTR avec identifiants Google Talk enregistrés
OTR
Pour communiquer avec un ami, vous n’aurez donc pas à créer de compte particulier, il suffira à deux correspondants de s’entendre sur un protocole (Google Talk ou IRC par exemple) puis d’enregistrer leurs identifiants sur Pidgin.
L
ors d’un récent article, nous vous avions parlé des protocoles encore résistants aux attaques de la NSA (du moins en 2012 lors des révélations de Snowden). Outre PGP (et son pendant libre GnuPG), on trouvait aussi Tor et... OTR. Peu connu du grand public, ce protocole cryptographique utilise une combinaison de trois technologies (clés AES, échange Diffie-Hellman et hash SHA-1) permettant de chiffrer des
leXIQUe Ami 2 Pidgin (ou un autre logiciel) + OTR avec identifiants IRC enregistrés
conversations sur des logiciels de messagerie instantanée comme Cryptocat (que nous avons vu dans le numéro 21), Trillian, Miranda IM ou Pidgin.
Des versions D’oTr compaTibles enTre elles C’est d’ailleurs ce dernier que nous avons choisi d’utiliser. Non seulement, il propose toute
*Plugin :
Il s’agit d’un petit programme qui va se greffer sur un autre pour lui ajouter une fonctionnalité. En français, on préfèrera parler d’»extension». Dans notre exemple, OTR (plugin) va se greffer sur Pidgin (programme) pour ajouter une couche de chiffrement (cryptage) aux conversations clavier.
13
Protection & AnonymAt
Messageries instantanées 0101001010010101010010000111010101010
une flopée de plugins pour personnaliser l’interface ou son fonctionnement, mais il est compatible avec de nombreux autres protocoles (voir encadré). Pour entrer en contact avec un autre utilisateur, il suffit de l’authentifier avec une question (et avec une réponse connue par les deux seuls protagonistes), un code secret que vous aurez préalablement convenu de vive voix ou une
vérification d’empreinte numérique. Gardez juste en tête que seules les communications écrites seront chiffrées et que si jamais vous perdez la possession de vos clés de chiffrement, aucune conversation passée ne pourra être compromise. Sachez aussi que tous les utilisateurs d’OTR peuvent communiquer entre eux même s’ils choisissent différents logiciels «hôtes».
Les protocoLes compatibLes
PaS à PaS
De base, Pidgin est compatible avec : AIM, facebook, Bonjour, Gadu Gadu, Google talk, GroupWise, ICQ, IrC, Mxit, MySpaceIM, SIlC, SIMPle, Sametime, XMPP (anciennement Jabber) et Yahoo!. Sachez cependant qu’il existe des plugins additionnels pour permettre de converser depuis d’autres types de messageries (tchat de jeux vidéo, etc.) et même Skype avec Skype4Pidgin. Seule ombre au tableau, Skype devra être présent sur la machine et tourner sur le système pendant que vous utiliserez Pidgin. l’avantage ? le chiffrement avec Otr bien sûr !
01
Le combo Pidgin + OTR instaLLation Commencez par installer Pidgin puis Otr (Win32 installer for pidgin 2.x) en prenant soin de désactiver votre antivirus (sur notre PC de test, Avast! a compromis l’installation d’Otr). Dès le premier démarrage de Pidgin, on vous proposera d’enregistrer un compte. faites ajouter puis entrez vos identifiants.
PIdgIn
Ce qu’IL VOus fAuT
Où le trOuver ? : http://pidgin.im DIffICultÉ :
02
Le cas GooGLe
Attention, en choisissant Google talk, nous avons eu la surprise de recevoir un mail de Google nous invitant à Activer l’accès pour les applications moins sécurisées. en d’autres termes, Google n’aime pas que Pidgin gère son protocole et vous demandera de valider son utilisation. Paradoxalement, vous serez plus à l’abri en utilisant Pidgin et Otr que le tchat de Google, mais bon...
03
réGLaGes
Dans outils>Plugin, cochez la case messageries confidentielles «off the Record» puis cliquez sur Configurer le plugin. Ici, il faudra générer vos clés privées/publiques en faisant Produire. C’est tout !
14
01011010101000100110101000100010101011001001001010100010 01010010100101010100100
Pas de trousseaux à gérer, tout est automatique. vous pouvez ici choisir d’exiger la messagerie privée pour vos communications, mais ce n’est pas obligatoire.
04
un mot de passe par exemple). vos communications écrites sont maintenant totalement sécurisées ! Comme vous pouvez le voir sur notre capture d’écran, les conversations apparaissent aussi dans le tchat de Google, mais elles sont complètement indéchiffrables !
aUthentification
Choisissez un correspondant de votre choix dans la liste (ce dernier aura bien sûr aussi activé le plugin et produit des clés) et faites Commencer une conversation privée. Mais attention, en bas à droite de la fenêtre de conversation, vous verrez écrit non vérifié en orange. la conversation est chiffrée, mais comment être sûr qu’il s’agit de la bonne personne ? Cliquez dans non vérifié puis faites authentifier contact. vous pourrez ensuite choisir trois sortes d’authentification. Dans notre cas, nous avons choisi la question secrète.
05
commUniqUez De manière chiffrée !
une fois que votre correspondant aura répondu correctement, vous serez sûr de son identité (il/elle pourra aussi vous poser une question ou vous demander
Des pLUGins en paGaiLLe ! Nous avons rarement vu un logiciel comprenant autant de plugins. Même si tous ne sont pas compatibles avec la version Windows, on compte bien sûr des extensions pour assimiler d’autres protocoles (tox, torChat, Whatsapp, Skype), mais aussi d’autres ajouts au niveau de la sécurité (tor, GPG, rSA, etc.) vous disposez aussi de différents types de notifications sur plusieurs types de hardware (PC Alienware, clavier, etc.) et des bidouillages d’interface en pagaille... lien : http://goo.gl/xK3ocs
15
Protection & AnonymAt GooGle
0101001010010101010010000111010101010101101010100010011
Limitez Les intrusions de dans votre
vie privée Google c’est bien. Ne le niez pas, leurs nombreux services sont quand même très pratiques. Mais si vous vous souciez aussi de votre vie privée et des données récoltées par leurs soins... Nous allons voir comment concéder le moins d’informations possible au géant américain, tout en continuant à profiter de ses outils.
V
ous connaissez la chanson Every Breath You Take de The Police ? Réécoutez là et imaginez que c’est Google qui parle. Vous avez saisi l’idée : à chaque utilisation des services Google, des données plus ou moins personnelles sont enregistrées et envoyées sur leurs serveurs, à des fins commerciales et/ou techniques. Quand on sait que le géant américain est derrière Gmail, YouTube, Drive, Maps, la plupart des publicités ciblées sur Internet, ou encore le navigateur Web Chrome, les occasions de récoltes sont grandes.
Que peut faire GooGle avec vos données ?
Google avertit les utilisateurs dans ses Conditions Générales d’Utilisation (CGU). Vous savez, ces longues de pages de texte que l’on ne lit jamais même si on coche la case « J’ai lu, et j’accepte les CGU » ? Dans leur
Attention Au smArtphone ! Si vous utilisez aussi les services Google sur votre mobile, il se peut que vous ayez à en régler les paramètres directement dans les applications concernées. Normalement, ce que vous faites sur le PC est appliqué au téléphone mais n’hésitez pas à vérifier.
16
dernière version du 14 avril 2014, on peut lire : « Lorsque vous importez, soumettez, stockez, envoyez ou recevez des contenus à ou à travers de nos Services, vous accordez à Google (et à toute personne travaillant avec Google) une licence, dans le monde entier, d’utilisation, d’hébergement, de stockage, de reproduction, de modification, de création d’œuvres dérivées (des traductions, des adaptations ou d’autres modifications destinées à améliorer le fonctionnement de vos contenus par le biais de nos Services), de communication, de publication, de représentation publique, d’affichage public ou de distribution publique desdits contenus. Les droits que vous accordez dans le cadre de cette licence sont limités à l’exploitation, la promotion ou à l’amélioration de nos Services, ou au développement de nouveaux Services ». En clair... Ce n’est pas clair. Ou plutôt volontairement flou. Google peut globalement faire ce qu’il veut de vos données et les litiges se régleront au cas par cas. Pas très rassurant.
Je veux Quand même utiliser GooGle ! Difficile de se passer de son compte Gmail, de Google Maps et de YouTube ! Les alternatives existent, mais elles sont bien souvent moins efficaces que les originaux. Il est heureusement possible de continuer à utiliser Google en limitant au maximum les données qu’il récolte de vous, grâce aux paramètres proposés directement par leurs services. Préparez-vous à dénicher des options parfois bien dissimulées ! Pour commencer, regarder ce que le géant américain sait déjà de vous. Rendez-vous sur www.google.com/ dashboard et connectez-vous à votre compte Google. C’est le résumé des données récoltées sur vous jusqu’à présent. Et maintenant que le « Ah oui quand même ! » est passé, voyons comment contrôler tout cela. N’oubliez pas de vous déconnecter de votre compte Google quand vous ne vous en servez plus !
10101000100010101011001001001010100010 010100101001010101001000011101010101010110
ContrôLer Les données
reCueiLLies par GooGLe Connectez-vous à votre compte Google, cliquez sur votre portrait puis sur Confidentialité > Consulter les paramètres de compte Google > Historique du compte. Tout part de là sauf indication contraire.
ContrôLer GooGLe+
supprimer GooGLe+
Pour éviter que vos ami(e)s sachent ce que vous faites avec les services Google (les « +1 » et autres «like »), cliquez sur Modifier les paramètres en face de Google+ puis Désactiver les Recommandations partagées. Pour finir de verrouiller Google+, décochez toutes les cases depuis la rubrique Photos et vidéos jusqu’en bas de la page.
Solution plus radicale, vous pouvez cliquer en bas de la page sur Supprimer l’intégralité de votre profil Google ici. Cochez les deux cases à la fin et cliquez sur Supprimer les services sélectionnés. Attention, l’opération est irréversible.
17
Protection & AnonymAt GooGle
0101001010010101010010000111010101010101101010100010011
ne pas être LoCaLisé
désaCtiver Le CHat
Peut-être ne voulez-vous pas que Chrome sache où vous êtes. Allez dans les Paramètres du navigateur, cliquez sur afficher les paramètres avancés puis Paramètre de contenu. Sous localisation, cochez interdire à tous les sites de suivre ma position géographique. Validez avec oK.
Par défaut, vos contacts (téléphoniques ou par mail) voient si vous êtes connecté à Gmail. Pour l’empêcher, allez les Paramètres de Gmail puis sur chat. Cochez désactiver le chat (radical) ou sur autoriser uniquement les contacts que j’ai approuvé à voir si je suis en ligne et à me parler pour un filtrage ciblé.
ContrôLer CHrome Pour éviter l’envoi de vos données personnelles à Google, décochez toutes les cases de la partie confidentialité (après avoir affiché les paramètres avancés).
Fini Les pubs CibLées Pour que vos données ne servent plus à afficher des pubs personnalisées, cliquez sur Modifier les paramètres en face de annonces puis sur désactiver la diffusion d’annonces ciblées par centre d’intérêts sur Google et sur le Web.
C’est un cookie publicitaire utilisé par Google. Pour le supprimer définitivement, dans Modifier les paramètres (en face de annonce), cliquez en bas de page sur extension de désactivation doubleclick puis sur télécharger le plug-in de désactivation du cookie publicitaire. Suivez la procédure d’installation, fonction de votre navigateur.
Cliquez sur Gérer l’historique de chacune des 4 catégories proposées. Effacez tout l’historique puis cliquez sur suspendre > suspendre l’historique. Google n’enregistrera plus vos recherches, les lieux où vous vous êtes rendu, etc.
désaCtiver GooGLe anaLytiCs
anonyMiSER la REchERchE
Le traCker doubLeCLiCk
Il s’agit d’un module utilisé par presque 100 % des sites Web et qui enregistre des informations quand vous surfez sur Internet. Allez sur http://goo.gl/K1u98s et cliquez sur télécharger le module complémentaire de navigateur pour la désactivation de Google analytics. Suivez la procédure d’installation, fonction de votre navigateur.
18
EffacER Et SuSPEndRE lES hiStoRiquES
Une recherche Google est personnalisée, puisqu’elle tient compte des données que la firme possède sur vous. Ce qui explique que parfois, deux personnes n’ont pas les mêmes résultats pour les mêmes mots-clés. Cliquez sur Modifier les paramètres en face de Paramètres de recherche puis sur ne pas utiliser les résultats privés et Enregistrer.
10101000100010101011001001001010100010 010100101001010101001000011101010101010110
Conserver (quand même) une partie de son Historique
Supprimer l’historique est trop radical pour vous et vous appréciez les fonctions comme l’autocomplétion ? Voyons comment effacer les éléments au cas par cas, avec l’option « Gérer l’historique » vue précédemment. 01
recherches que vous Avez effectuées
Ici s’affiche tout ce que vous avez tapé dans la barre de recherches Google. Notez que vous pouvez filtrer par catégories à gauche, et voir des graphiques sur vos habitudes. Pour effacer tout ou partie de l’historique, cochez les cases de votre choix (où celle à gauche de Supprimer des éléments pour tout sélectionner). Cliquez ensuite sur Supprimer des éléments.
03
Comme pour les recherches Google, vous pouvez cocher des cases et Supprimer les entrées, ou bien Effacer tout l’historique des recherches. Cliquez sur Vidéos que vous avez aimées, à gauche, pour faire de même avec ces dernières.
04 02
Lieux où vous vous êtes rendu
Moins pratique, vous pouvez soit effacer l’historique de vos positions jour par jour (Supprimer l’historique de ce jour) , en les sélectionnant dans le calendrier, soit Supprimer tout l’historique. Pas beaucoup de latitude donc. Si jamais vous ne trouvez pas certaines positions, cliquez sur Afficher tous les points, à gauche de la page.
vos recherches Youtube
vidéos que vous Avez visionnées sur Youtube
Même principe, il s’agit là de toutes les vidéos que vous avez regardées sur YouTube (aussi bien sur le service Web que sur l’application mobile d’ailleurs, comme pour les trois étapes précédentes). En plus de Supprimer ou d’Effacer tout l’historique, vous pouvez en profiter pour ajouter à une playlist quelques-unes des vidéos affichées.
3 pLugins qui ne LAisse pAs de trAces Allez plus loin dans la protection de vos données personnelles en équipant votre navigateur Web d’outils spécifiques. Sauf indications contraires, ces plugins marchent avec Internet Explorer, Chrome et Firefox.
disConneCt
donottraCkme
Https everywHere
Cet addon, non disponible pour Internet Explorer, bloque les trackers, ces petits programmes invisibles qui collectent vos données sans votre consentement. Grâce à cela, vous devriez noter une légère accélération du temps de chargement de vos pages Web, puisqu’il y a moins d’éléments à prendre en compte.
Sur le même principe que Disocnnect, Do Not Track Me va bloquer les trackers, mais aussi « masquer » votre email si vous le souhaitez. Lorsque vous devez indiquer une adresse mail pour vous inscrire à un service par exemple, l’addon vous propose d’en générer une pour ne pas avoir à divulguer la vôtre. Une option payante fait pareil avec votre carte de crédit.
Saviez-vous que bien souvent, les sites Web existent en version « normale » et aussi en version « sécurisée » ? Reconnaissables par le « https » qui démarre leur URL, ces sites collectent beaucoup moins, voire pas de données sur vous. HTTPS Everywhere va automatiquement vous connecter aux versions sécurisées des sites, du moment qu’elles existent.
19
Protection & AnonymAt
Microfiches 010100101001010101001000011101010101010110101010001
#1
Résistez à la surveillance avec Detekt
Que vous soyez blogger, responsable d’une ONG, activiste ou simple citoyen, votre gouvernement n’hésitera pas à vous espionner. Car il suffit que vous ayez été surpris à raconter des idioties sur Skype ou pris la main dans le sac à télécharger Tor sur votre machine pour que les services secrets s’intéressent à vous... Pour regarder si vous n’avez pas de gentil spyware ou Trojan installé sur votre machine, nous vous conseillons de télécharger et d’utiliser Detekt. Ce dernier, recommandé par Amnesty International et l’Electronic Frontier Foundation, va s’intéresser aux outils utilisés par les gouvernements (mais pas que...). N’oubliez pas d’Exécuter le programme en tant qu’administrateur (clic droit dans l’EXE). Attention, Detekt n’est pas encore compatible avec Windows 8.1 au moment où nous écrivons ces lignes... Lien : https://resistsurveillance.org
#2
Se protéger des PDF vérolés avec PDF exPloit Generator
Vous utilisez beaucoup les formats PDF et vous avez peur de tomber un jour sur un fichier vérolé ? En effet, certaines failles d’Adobe Reader dans les versions 8 et 9 permettent à un fichier d’exécuter du code dans votre dos. Le logiciel PDF Exploit Generator va tout simplement créer un fichier PDF contaminé (avec le code de votre choix, pas besoin de faire un test avec un malware bien sûr !) pour voir comment réagit votre machine. Il est possible de faire pointer vers une URL qui exécutera un Trojan ou utilisera des techniques des phishings. Il s’agit bien sûr de tester la sécurité de votre configuration ou d’un lecteur PDF alternatif. Attention, il faudra suspendre la surveillance de votre antivirus pour télécharger le programme. Lien : http://goo.gl/UlWec9
#3
Une messagerie 100 % chiffrée avec BleeP
Nous vous parlons souvent de messageries alternatives dans Pirate Informatique, mais Bleep va sans faire plus de bruit que les autres. Il s’agit en fait d’un logiciel de chat (au clavier ou vocal) complètement décentralisé, chiffré et créé par la société BitTorrent ellemême. Pour l’instant disponible en version alpha sous Windows, Mac et Android, Bleep propose de récupérer votre liste de contacts depuis Google Contacts et d’inviter ces derniers à utiliser Bleep de leur côté. Attention, car celui que l’on appelait encore BitTorrent Chat, il y a peu de temps, n’est pas Open Source. À n’utiliser que pour des conversations non sensibles donc... Lien : http://labs. bittorrent.com/bleep
20
100110101000100010101011001001001010100010 01010010100101010100100001110101010101
#4
Un VPN pour dépanner avec nolimitvPn
Si vous avez déjà utilisé le trafic de 300 M o/jour proposé par SecurityKISS, vous aimeriez peut-être basculer sur un autre VPN gratuit... NolimitVPN propose en effet une période d’essai gratuite et sans engagement de 48 h eures sur leurs formules d’abonnement. Il suffit de s’inscrire avec votre adresse e-mail pour recevoir vos identifiants et des liens vers différents tutoriels. Notez que NolimitVPN est aussi compatible avec les mobiles. Si vous êtes convaincu, sachez que le service affiche des tarifs sympa (4 €/mois ou 30 € à l’année), mais ne propose pas de compatibilité avec le protocole OpenVPN. Lien : https://web.nolimitvpn.com
#6
Surveiller ses processus
avec executeDProGramslist
Peur de l’espionnage, d’un virus ou tout simplement curieux de savoir quels programmes se passent de votre opinion pour faire des choses dans votre dos ? ExecutedProgramsList est un outil très simple qui affichera une liste de programme ou de fichiers qui ont été exécutés ou ouverts sur votre ordinateur. Pour chaque programme, vous aurez à disposition le nom de l’EXE, le nom de la compagnie, la date d’ouverture ou de modification et tout un tas d’autres renseignements. L’outil idéal pour voir si tout fonctionne après une désinfection... Lien : http://goo.gl/A78FE8
#5
Ne plus perdre son temps avec les avertissements sur les cookies avec i Don’t care aBout cookie
Vous avez sans doute remarqué les messages d’avertissements concernant les cookies qui s’affichent lorsque vous visitez pour la première fois un site Internet français ? Il s’agit d’une recommandation de la CNIL en partenariat avec des professionnels du milieu pour sensibiliser les utilisateurs à la collecte d’informations personnelles. Si vous êtes déjà au courant de ces histoires, que vous êtes déjà protégé (interdiction ou filtrage de cookie) ou que vous vous en fichez royalement, il existe une solution ! Que vous utilisiez Chrome, Firefox, Opera ou IE, vous pouvez utiliser le plugin «I don’t care about cookie». Avouez qu’il porte bien son nom ! Ainsi, vous ne serez plus obligé de cliquer sur Oui j’accepte à chaque fois que vous surfez sur un site inconnu... Lien : http://goo.gl/U83pswr
#7 avec isowall
Isoler une machine de votre réseau
Que vous soyez utilisateur lambda ou administrateur d’un réseau, voilà un petit logiciel qui va pouvoir vous aider. Si un ordinateur de votre parc de machines est contaminé, mieux vaut l’isoler du reste du réseau. Le problème dans ce cas c’est qu’il vous faudra peut-être un accès à Internet pour installer un programme, faire des tests et régler les problèmes. Isowall est un petit programme qui va tout simplement isoler le PC problématique du réseau tout en autorisant qu’il se connecte à Internet. En suivant notre lien, cliquez sur Download ZIP à droite puis décompactez le fichier. Attention, il faudra utiliser Libpcap pour l’installer et se confectionner un fichier .conf «à la main»... Lien : http://goo.gl/gUpXrd
21
Sondage Chers lecteurs,
À GAGNcoEnRten: ant
Depuis plus de 5 ans, Pirate Informatique a toujours essayé de s’améliorer et de s’adapter à vos attentes. Pour mieux vous connaître, comprendre vos attentes et recueillir vos suggestions, nous vous proposons de répondre à un petit questionnaire en ligne. N’oubliez pas de laisser votre e-mail dans la dernière question pour participer au concours ! Les membres de la mailing-list (voir cicontre) ont déjà reçu automatiquement le lien dans leurs boîtes aux lettres... Pour eux, pas besoin de notifier leur e-mail. Pas la peine de répondre plusieurs fois au sondage, nous tirerons au sort un gagnant parmi les participants. Bien sûr, vos données personnelles ne seront pas cédées.
SB Une clé U numéros de s tous le rmatique au o Pirate inf at PDF ! form
Merci d’avance pour vos réponses !
Répondez à ce sondage en ligne en allant à cette adResse : https://fr.surveymonkey.com/r/PIRATEINFO
À DÉCOUVRIR EN KIOSQUES
,50 3 seu €
Les dossiers du
lement
DOssIERs ThémATIquEs cOmPlETs DEs
Act
uell
PETIT FORmAT mINI PRIx
eme
nt
Naviguez & CommuNiquez
#G
uide
100%anonyme
pra
tiqu
cONcENTRé D’AsTucEs
e
Inscr Ivezg r atuIt vous Nouveau ! emen t! Le mailing-list officielle de
Pirate Informatique et des Dossiers du Pirate De nombreux lecteurs nous demandent chaque jour s'il est possible de s'abonner. La réponse est non et ce n'est malheureusement pas de notre faute. En effet, nos magazines respectent la loi, traitent d'informations liées au monde du hacking au sens premier, celui qui est synonyme d'innovation, de créativité et de liberté. Depuis les débuts de l'ère informatique, les hackers sont en première ligne pour faire avancer notre réflexion, nos standards et nos usages quotidiens. Mais cela n'a pas empêché notre administration de référence, la «Commission paritaire des publications et agences de presse» (CPPAP) de refuser nos demandes d’inscription sur ses registres. En bref, l'administration considère que ce que nous écrivons n'intéresse personne et ne traite pas de sujets méritant débat et pédagogie auprès du grand public. Entre autres conséquences pour la vie de nos magazines : pas d'abonnements possibles, car nous ne pouvons pas bénéficier des tarifs presse de la Poste. Sans ce tarif spécial, nous serions obligés de faire payer les abonnés plus cher ! Le monde à l'envers... La seule solution que nous avons trouvée est de proposer à nos lecteurs de s'abonner à une mailing-list pour les prévenir de la sortie de nos publications. Il s'agit juste d'un e-mail envoyé à tous ceux intéressés par nos magazines et qui ne veulent le rater sous aucun prétexte.
Pour en profiter, il suffit de s'abonner directement sur ce site
http://eepurl.com/FlOOD (le L de «FlOOD» est en minuscule)
ou de scanner ce QR Code avec votre smartphone...
Trois bonnes raisons de s’inscrire :
averti de la sortie de Pirate Informatique et des 1 Soyez Dossiers du Pirate en kiosques. Ne ratez plus un numéro ! ne recevrez qu’un seul e-mail par mois pour 2 duVous vous prévenir des dates de parutions et de l’avancement magazine.
adresse e-mail reste confidentielle et vous pouvez 3 Votre vous désabonner très facilement. Notre crédibilité est en jeu.
Votre marchand de journaux n’a pas Pirate Informatique ou Les Dossiers du Pirate ? Si votre marchand de journaux n’a pas le magazine en kiosque, il suffit de lui demander (gentiment) de vous commander l’exemplaire auprès de son dépositaire. Pour cela, munissez-vous du numéro de codification L12730 pour Pirate Informatique ou L14376 pour Les Dossiers du Pirate. Conformément à la loi «informatique et libertés» du 6 janvier 1978 modifiée, vous bénéficiez d’un droit d’accès et de rectification aux informations qui vous concernent.
Hacking
Prise de contrôle 0101001010010101010010000111010101010101101010
Prenez le contrôle d’un Pc à distance ! Lorsqu’on parle de prise de contrôle à distance, on imagine des logiciels illégaux difficiles à opérer ou à des programmes grand public très limités comme TeamViewer ou RealVNC®. Avec DarkComet, nous sommes à la croisée des chemins puisque le programme fait ce que les autres n’osent même pas imaginer et que son utilisation est légale…
LEXIQUE *RAT :
Abréviation de Remote Administration Tool ou Outil d’administration à distance en français. Il ne s’agit pas d’un malware, mais d’un programme permettant d’avoir accès au contenu d’un PC sans être physiquement présent (dépannage, accès à des fichiers, etc.). Ce type de logiciel peut bien sûr être utilisé à des fins malhonnêtes pour s’introduire sur l’ordinateur d’un tiers sans son consentement.
24
N
e tournons pas autour du pot, DarkComet est un RAT : un logiciel permettant de prendre le contrôle d’une machine. Bien sûr, s’il s’agit de dépanner un ami ou de surveiller ce qui se passe sur le PC de tatie Lydie pas de problème ! Par contre, en utilisant certaines options, il est possible de manipuler un ordinateur sans le consentement de son propriétaire. DarkComet fonctionne selon le modèle client/serveur. Le client est installé sur votre machine et le serveur (ou stub) est créé sur mesure par l’utilisateur. Il prendra la forme d’un fichier EXE (même s’il est possible de contourner cette restriction) que votre ami devra lancer sur son PC. Même si les intentions du développeur n’ont jamais été de faire un logiciel pour pirater des tiers (et nous voulons bien le croire) il faut reconnaître que les options pour camoufler ce fichier EXE et le rendre persistant sur la
machine d’une éventuelle victime sont assez puissantes.
AbAndon du projet pAr son créAteur
Tellement puissantes que le régime syrien a utilisé des versions modifiées de DarkComet pour espionner les dissidents. Cet événement a poussé le développeur Jean-Pierre Lesueur, alias @DarkCoderSc, à arrêter le développement en 2012. La version de DarkComet que nous vous présentons date donc de 3 ans et même si elle n’est plus mise à jour, elle n’est pas pour autant périmée ! Même s’il est toujours possible de contaminer une personne peu protégée (pas d’antivirus, Windows Defender désactivé, etc.), il existe des logiciels plus puissants pour les scripts kiddies. Dans notre cas, et comme nous le faisons toujours, nous étudierons les possibilités de ce logiciel dans un but pédagogique.
01000100110101000100010101011001001001010100010 010100101001010101001000011101010
Pas à Pas
ce qu’il vous fAut
Paramétrage de Darkcomet rAt 01
Réglage suR la box
Avant de commencer à bidouiller avec DarkComet, il faudra d’abord ouvrir le port 1604 sur votre box puisque c’est le port
qui sera en écoute sur le logiciel. Ouvrez votre navigateur et tapez 192.168.1.1 (pour les abonnés Free, il faudra aller sur free.fr et pour d’autres FAI sur 192.168.0.1) pour avoir accès aux réglages de votre box. Après avoir rentré vos identifiants d’abonnés, vous pourrez avoir la liste des appareils connectés à votre box ainsi que leurs IP.
DarkComEt rat Où le trOuVer ? : http://goo.gl/MstKbs DIFFICulté :
02
ouveRtuRe du poRt 1604
Notez l’IP locale de votre PC puis dirigez-vous vers un menu du type translation de ports ou nat (les noms des réglages peuvent varier suivant les box des FAI). Mettez l’IP de votre PC dans l’IP de destination ainsi que le numéro de port 1604 en externe et en destination. Choisissez tcP comme protocole, validez et refaites la même chose avec UdP. Votre port 1604 est libéré ! Il faudra aussi paramétrer une redirection de DNS pour que le serveur (le logiciel installé sur
l’ordinateur «victime») puisse communiquer avec le client (la partie du logiciel installé sur votre PC) quels que soient les changements d’IP opérés par votre FAI. Heureusement, nous avons sous la main le service gratuit No-IP dont nous avons parlé dans le numéro 23.
Attention Aux versions piégées ! Il n’est jamais facile de trouver une version «propre» de ce type de logiciel, nous avons donc essuyé les plâtres pour vous ! Car lors de nos tests, nous avons eu une sacrée surprise en téléchargement une version piégée de DarkComet. En faisant un double-clic sur l’EXE rien ne s’est passé. Nous avons immédiatement compris qu’il ne s’agissait pas d’une version «cliente», mais d’un «serveur» : un stub créé pour infecter une machine ! Bien essayé, mais comme nous avons l’habitude, nous avons coupé le Wi-Fi et utilisé le logiciel DarkComet RAT Remover. Nous vous le conseillons puisqu’une fois que vous aurez fini de faire joujou sur votre PC cible, ce logiciel est le seul à faire le ménage du sol au plafond. Lien : http://goo.gl/xxGKKw
Au lieu de désactiver votre antivirus le temps de vous amuser avec Darkcomet, pourquoi ne pas paramétrer une exclusion dans son dossier de résidence ?
25
Hacking
Prise de contrôle 0101001010010101010010000111010101010101101010
03
Changement de dns
Sur la page principale du site, faites sign Up et créez votre compte. Choisissez votre nom de domaine et optez pour la solution gratuite. Faites ensuite add a Host et choisissez-vous un nom de domaine. Ne touchez à rien d’autre et validez en bas du formulaire.
Faites download Update client et installez ce petit logiciel permettant de retrouver votre IP même si cette dernière est dynamique. lancez le dUc et entrez vos identifiants. Cliquez sur edit Hosts, cochez votre nom de domaine et faites save. À partir de là, le nom de domaine que vous avez choisi va rediriger vers l’IP de PC. 04
daRkComet (enfin !)
Il est temps de lancer DarkComet. Suivez notre lien (et seulement celui-ci, voir notre encadré) ou récupérez l’archive sur notre CD. Pour éviter que votre antivirus ne hurle à la mort, désactivez-le temporairement ou paramétrez une exception. Placez l’archive sur une clé uSB pour la sauvegarder, car si votre antivirus se «réveille», il pourra effacer darkcomet.exe, même s’il est à l’intérieur du rAr. lancez le logiciel et faites i accept. Cliquez sur darkcometRat puis dans server Module choisissez Full editor.
26
05
CRéation du «stub»
Ici, il s’agit de créer un «stub», un programme au format eXe qui, lancé sur la machine cible, vous donnera les pleins pouvoirs
sur celle-ci. Dans Main settings, vous pouvez choisir un mot de passe (qu’il faudra entrer à nouveau dans clients settings ultérieurement. Cliquez quelques fois sur Random en face de Process Mutex (voir encadré) et faites active FWB pour outrepasser le firewall de la machine cible. Dans network settings, mettez le DNS que vous avez créé (le nom de domaine de No-IP) et laissez le port 1604. Faites ensuite add pour ajouter votre DNS à la liste. 06
Réglages et fonCtionnalités
Dans Module startup, cochez start the stub with Windows. Dans install message, choisissez une icône et un message qui annoncera à l’utilisateur de la machine cible que le stub est bien installé (bien sûr, un méchant hacker mettra ici un message rassurant…). les autres paramètres sont optionnels, mais rien ne vous empêche de bidouiller un peu. Vous trouverez notamment un Keylogger, un File binder permettant d’ajouter des fichiers à l’eXe et une option pour changer l’icône du stub, modifier le fichier host de la cible, rendre le stub persistant, faire disparaître l’eXe quand il sera installé, etc.
01000100110101000100010101011001001001010100010 010100101001010101001000011101010
07
les teChniques de filous
Module shield permet de faciliter une éventuelle infection, mais comme il s’agit ici de prendre le contrôle de la machine d’un ami, nous n’utiliserons pas ces fonctions. De même, dans stub Finalization, vous pourrez camoufler le eXe ou le compresser pour qu’il ait l’air d’un programme autorisé. lorsque vous avez fini vos réglages, faites Build the stub et donnez-lui
un nom. On vous demandera si vous désirez garder en mémoire ce profil. Faites Yes pour ne pas avoir à tout recommencer au cas où votre premier essai n’est pas concluant. 08
l’aCCès à la maChine
votre PC, allez dans darkcomet-Rat et faites Listen to new port puis Listen. Normalement, vous verrez le PC cible dans id. Bravo vous avez un accès à cette machine ! 09
un ContRôle total
Double-cliquez dessus pour profiter des nombreuses options : tchat, récupération de mot de passe, spyware, explorateur de fichiers, extinction ou mise en veille du PC, etc. Il est même possible de jouer un air de piano à votre ami ! en faisant un clic droit dans Quick Window Open, vous aurez même
accès au Bureau de Windows ou à la webcam ! Voilà, nous vous laissons découvrir toutes les fonctionnalités de ce logiciel très puissant…
Il est temps de placer le fichier stub sur la machine de la «victime». Comme vous n’avez pas utilisé de méthode de brigands, il faudra aussi désactiver l’antivirus. lancez l’eXe. Sur
Mutex ? De nombreux codes malicieux utilisent une technologie appelée Mutex (Mutual Exclusion). Il s’agit en fait d’allouer physiquement un emplacement mémoire particulier et de le réserver pour qu’il ne soit jamais vidé. Le but est de rendre persistant votre «stub» pour ne jamais couper la connexion avec votre PC.
27
Hacking
Chiffrement 010100101001010101001000011101010101010110101010001
TrueCrypT esT morT ?
ViVe VeraCrypT ! Mis au point par une société française, VeraCrypt est une alternative sérieuse à TrueCrypt, dernièrement laissé à l’abandon par ses créateurs. Cerise sur le gâteau, les plus réticents au changement peuvent même migrer vers cette solution puisque la dernière version de VeraCrypt est compatible avec les conteneurs de TrueCrypt. 28
M
ais que s’est-il passé chez TrueCrypt (TC) ? Ce logiciel de chiffrement gratuit et open source n’est plus disponible sur sa page officielle au moment où nous rédigeons ces lignes. L’année dernière, le site a été remplacé par une page Web expliquant que le programme n’est plus sûr. Le plus bizarre dans cette histoire c’est que l’équipe en charge du développement conseille aux utilisateurs de se rabattre sur BitLocker, une immondice de chez Microsoft qui comporte potentiellement des backdoors...
ResteR à la veRsion 7.1a ou opteR pouR un autRe logiciel On peut se poser alors plusieurs questions sur ce surprenant épisode. Un hack du site ? Impossible, car la page a été signée numériquement avec les clés des auteurs. Vrai problème au niveau du programme ? Improbable, car la communauté est telle qu’il
aurait été facile de patcher la faille. La seule explication qui semble possible réside dans une clause très spécifique du Patriot Act (une loi américaine antiterroriste, mais également liberticide) qui interdit à des tiers de parler d’une assignation. En d’autres termes il est possible que les développeurs de TC aient été approchés par une agence gouvernementale pour interdire ou saboter le logiciel. Devant cette menace et ne pouvant le dire clairement sous peine de finir en prison, les développeurs auraient alors imaginé une mise en garde sous forme de blague : «N’utilisez plus TrueCrypt mais plutôt cette bouse de Microsoft, de toute façon ce sera bientôt la même chose». Il ne s’agit là que de spéculations et Mounir Idrassi de chez IDRIX a une autre théorie (voir notre interview) . Mais quelque soit le problème chez TC, le logiciel est dorénavant remplaçable. Non seulement VeraCrypt sera à même d’utiliser vos anciens conteneurs, mais il présente des améliorations au niveau du chiffrement. Suivez le guide...
100110101000100010101011001001001010100010 01010010100101010100100001110101010101
pas à pas
Ce qu’il vous faut
fonctionnement de veraCrypt 1.0f 01
L’instaLLation
Lors de l’installation, choisissez install au lieu de extract. Cette deuxième option permet de placer les fichiers
nécessaires à l’exécution de VeraCrypt sur une clé USB pour l’utiliser chez un ami en mode «portable». Dans les setup options, laissez toutes les cases cochées (sauf la dernière si vous ne souhaitez pas créer de point de restauration). La fenêtre principale va alors s’afficher. Si vous avez l’habitude de TrueCrypt, vous ne serez pas dépaysé. Notez que vous pouvez changer la langue an allant dans settings>Langages...
02
Les trois options
VeraCrypt Où LE TrOUVEr ? : http://sourceforge.net/projects/veracrypt DiFFiCULTé :
03
VoLume standard ou caché ?
Nous choisissons la deuxième option pour chiffrer complètement une clé USB, par exemple. Après validation, le logiciel demande si nous souhaitons créer un volume
chiffré standard ou un volume caché (pour utiliser le «déni plausible» en cas d’extorsion). Comme nous ne sommes pas du KGB et que notre clé ne contient que des informations non sensibles, nous allons choisir la première option…
04
création du VoLume
Sélectionnez ensuite une partition ou un périphérique. Le logiciel vous donne le choix entre créer le volume chiffré et le formater ou chiffrer les données qui sont déjà
Dans la fenêtre principale du logiciel, cliquez sur Create Volume. Vous aurez, ici, trois options. La première consiste à créer un volume chiffré dans un fichier. La deuxième permet de chiffrer toute une clé USB ou disque dur externe non-système
(ne contenant pas Windows). La dernière permet de chiffrer tout le disque dur principal (contenant Windows). Avec cette option, il est même possible de créer un système caché.
installées (ne fonctionne qu’en NTFS). Après avoir choisi la première option (plus simple, car notre clé est vide et en FAT32), le logiciel vous demandera quel algorithme vous désirez utiliser. Laissez AES dans le doute, mais vous pouvez aussi opter pour un chiffrement en cascade avec pas moins de trois algorithmes les uns sur les autres.
29
Hacking
Chiffrement 010100101001010101001000011101010101010110101010001
05
Le formatage
Validez encore deux fois et choisissez votre mot de passe. il est possible de créer un fichier clé au cas où vous oublieriez votre mot de passe. Ce dernier peut prendre la forme d’un MP3 ou de n’importe quel autre fichier (son contenu ne sera pas modifié). Après validation, VeraCrypt va vous demander si vous souhaitez mettre des fichiers de plus de 4Go. Dans ce cas, le logiciel choisira automatiquement un formatage NTFS au lieu du classique FAT32. Cliquez sur Format après avoir bougé la souris aléatoirement dans la fenêtre pour générer la clé de cryptage.
Accro à TruecrypT ? Si vous ne préférez pas changer de logiciel (ce que nous vous déconseillons), rappelons que la version 7.1a de TrueCrypt a récemment été analysée et qu’aucune faille, backdoor ou autre filouterie n’a été détectée. Des Suisses continuent même à proposer le logiciel : https://truecrypt.ch/downloads.
interview de mounir idrassi, pdg de idriX et créateur de veraCrypt
«il est Clair que la démoCratisation des solutions de Chiffrement Comme veraCrypt provoque la nervosité des serviCes de renseignements». Pouvez-vous Présenter IDrIX en quelques mots aInsI que votre Parcours ? Ingénieur Polytechnicien, j’ai intégré Oberthur Card Systems fin 2000 où j’ai travaillé pendant 5 ans dans le domaine de la carte à puce, la sécurité informatique et la cryptographie. Début 2006, j’ai crée IDRIX afin de fournir des solutions logicielles ainsi que des activités de conseils pour différents grands noms de la sécurité numérique. Le produit phare d’IDRIX est Cryptoki Manager qui est le seul outil graphique multiplate-forme disponible sur le marché qui permet de tester et manipuler les modules PKCS#11 (utilisé par différents logiciels pour les opérations d’authentification forte) fournis par les fabricants de cartes à puce.
quanD a commencé l’aventure veracryPt ? est-ce un fork ou un logIcIel comPlètement à Part Du Projet tc ? VeraCrypt est né suite à une étude sur TrueCrypt demandé par un client en 2012. Cette étude n’a pas trouvé de problème de sécurité majeure hormis la faiblesse notoire de la dérivation de clé de chiffrement. C’est ce dernier point qui m’a poussé à concevoir VeraCrypt
30
100110101000100010101011001001001010100010 01010010100101010100100001110101010101
06
Le montage
À la fin du processus (qui peut durer de longues minutes), faites exit et, dans l’interface principale du logiciel, sélectionnez une lettre de lecteur, cliquez sur automount Device et tapez votre mot de passe. Vous verrez alors que votre clé USB a changé de lettre (ici G au lieu de F). L’ancienne lettre est toujours présente, mais ne sera plus active. Dans ordinateur, vous avez accès au disque local G après insertion et validation du mot de passe. Mettez-y tous vos fichiers sensibles. Faites Dismount all pour les rendre inaccessibles. C’est aussi depuis ce menu que vous pourrez utiliser vos anciens conteneurs TrueCrypt...
comme un fork de TrueCrypt permettant de remédier à cette faible en augmentant le niveau de sécurité face aux attaques par force brute qui sont devenues très performantes. Ainsi, la première version de VeraCrypt a été publiée le 22 juin 2013 sur Sourceforge et Codeplex, un an avant l’arrêt brutal du projet TrueCrypt.
le choIX De renDre comPatIble veracryPt avec les conteneurs truecryPt vIent-Il De l’abanDon Du Projet Par ses créateurs ou s’agIssaIt-Il D’une fonctIonnalIté quI étaIt Prévue à l’orIgIne ? Au départ, il n’y avait aucune intention d’être compatible avec TrueCrypt. Mon idée était d’enlever la compatibilité TrueCrypt afin de pouvoir faire évoluer le code de VeraCrypt de manière plus libre et sans contraintes. Ce n’est qu’après l’abandon du projet par ses créateurs que j’ai décidé d’inclure le support de TrueCrypt dans VeraCrypt afin d’offrir aux utilisateurs une solution alternative maintenue et qui corrigent les différents bugs et failles découvertes dans TrueCrypt.
vous avez sans Doute votre PetIte IDée sur ce quI s’est Passé avec tc. PourrIez-vous la Partager avec nos lecteurs ? Personnellement, je ne crois pas que l’arrêt de TrueCrypt soit dû à une intervention des services de renseignement américain ou autres. Au vu du source de TrueCrypt et du style de code, il m’apparaît clairement que le ou les auteurs avaient une quarantaine d’années au début du projet, ce qui leur fait aujourd’hui un âge proche de la soixantaine. Je pense donc qu’il est fort probable que les auteurs n’avaient juste plus la volonté et/ou la capacité de continuer à travailler sur ce projet et le message énigmatique était destiné à créer un «buzz» afin de pousser la communauté à travailler sur une alternative. Par ailleurs, je ne crois pas du tout en l’anonymat des auteurs de TrueCrypt. Certes, ils étaient anonymes pour nous mais pour les
services gouvernementaux, surtout américains, ils ne pouvaient pas être anonymes pour le simple fait qu’ils acceptaient des dons au travers de PayPal, les obligeant ainsi à dévoiler leurs identités afin de pouvoir récupérer les fonds reçus. De plus, ils avaient créé une association basée aux USA afin de protéger la marque TrueCrypt et aussi pour gérer leurs activités professionnelles liées à TrueCrypt.
subIssez-vous Des PressIons De quelques organIsatIons que ce soIt DePuIs que veracryPt est sur PIeD ? Depuis que VeraCrypt a vu le jour, je n’ai pas subi de pression de la part de quelques organisations que ce soit. En revanche, il y a eu plusieurs demandes d’information émanant de quelques entités concernant la nature du projet et les évolutions envisagées dessus. Il est clair que la démocratisation des solutions de chiffrement comme VeraCrypt provoque la nervosité des services de renseignement comme le démontre l’actualité avec les révélations de Snowden. C’est pour ça que depuis le début, j’ai décidé de ne pas suivre le schéma d’anonymat de TrueCrypt et d’intégrer VeraCrypt dans l’activité d’IDRIX afin que ce projet soit géré de manière publique et en toute transparence.
que Pouvez vous DIre à nos lecteurs Pour les encourager à utIlIser le chIffrement ? Aujourd’hui, la vie numérique est une part essentielle de notre existence et notre patrimoine personnel, les biens numériques ayant la même valeur que les biens physiques. De ce fait, il convient donc de les protéger des intrusions et des vols au travers de l’utilisation du chiffrement, ce qui est tout aussi naturel que l’utilisation de cadenas pour les valises et de serrures pour les portes. Ceci devient encore plus important quand on utilise le Cloud pour stocker ses données numériques: cela équivaut à mettre ses affaires dans un entrepôt où tout naturellement on va poser cadenas et verrous pour les protéger.
31
Hacking
Keylogger 01010010100101010100100001110101010101011010101000100
EnrEgistrEz lEs
frappEs claviEr au
Vous voulez surveiller ce qui se passe sur votre ordinateur lorsque vous n’y êtes pas ? Pourquoi ne pas installer un keylogger pour savoir qui tape quoi sur votre clavier ? Phrozen propose un logiciel très performant avec un calendrier, une fonction recherche et d’autres options sympas...
L
es keyloggers ont pour fonction d’enregistrer dans le plus grand secret tout ce que vous tapez sur un clavier d’ordinateur pour transmettre ces données localement ou via Internet. Dans ce cas précis, nous allons installer un de ces logiciels sur votre propre PC pour vérifier que vos enfants ne fassent pas n’importe quoi lorsque vous ne les surveillez pas. Attention, toute autre utilisation vous ferait bien sûr passer du côté obscur de la force (ou en prison).
Pour toutes les versions de WindoWs Phrozen Keylogger propose un programme qui remplit cette fonction sur les systèmes Windows de XP à 8.1. Une fois activé, il va enregistrer tout ce qui est tapé au clavier de manière totalement transparente. Le keylogger indiquera à quel moment ont été tapé les mots et dans quel logiciel : navigateur, messagerie instantanée, traitement de texte, etc. Pour accéder à l’interface, il faudra enclencher une combinaison de touches secrète et taper un mot de passe. La version gratuite reste apparente dans le Panneau de
32
configuration, mais ce n’est pas le cas si vous mettez la main à la poche. Pour une surveillance à la maison, la version Lite gratuite s’acquitte néanmoins très bien des tâches les plus simples. Notez que tous les types de claviers sont pris en compte : PS/2, USB et même les claviers virtuels...
Les versions payantes de Phrozen Keylogger proposent encore plus d’options : liste noire de mots, synchronisation via FTP, utilisation de la webcam pour prendre des photos, capture d’écran, etc. Il vous en coûtera 20 et 45 € en fonction des options que vous désirez...
Le saviez-vous ? Sachez qu’il existe des keyloggers «prêts à l’emploi». Ce sont de petits dispositifs placés entre la prise du clavier et l’ordinateur. Ils ressemblent à des adaptateurs et sont tout à fait discrets, mais attention, ils enregistrent tout sur une mémoire interne ! Ce type de keylogger est disponible pour les claviers USB et PS/2 et certains disposent même de fonctionnalités Wi-Fi pour récupérer les données sans accès physique... Lien : www.keelog.com
0110101000100010101011001001001010100010 0101001010010101010010000111010101010101
pas à pas
Ce qu’IL vous FauT
Comment utiliser Phrozen Keylogger ? 01
Des navigateurs récaLcitrants
Suivez notre lien, cliquez sur freeware puis chercher le logiciel tout en bas dans la liste. Faites Download, une
première fois puis une seconde fois sur la nouvelle page. Les ennuis commencent, car Firefox et Chrome ne vous laisseront pas télécharger ce logiciel comme ça. Il est en effet sur une liste noire de programmes censés être frauduleux. Bien sûr, il n’en est rien.
02
DébLoquer Le téLéchargement
Pour télécharger le programme, il faudra faire une manipulation sur votre navigateur. Dans Firefox, faites Options>sécurité puis dé-
04
Phrozen Keylogger Où Le TrOUVer ? : www.phrozensoft.com DIFFICULTé :
Les options DisponibLes
L’interface va alors s’afficher. Bien sûr pour l’instant tout est vide. Pendant que nous, ici, allons faire un tour dans settings (paramètres). Malheureusement, cette version gratuite ne permet pas d’avoir accès à toutes les options. C’est notamment le cas de screen capture (capture d’écran) et Webcam capture (pour prendre la personne au clavier en photo). Vous n’aurez accès qu’à l’option de désinstallation, aux paramètres réseau (pour passer par un proxy) et aux options de sécurité (pour changer son mot de passe ou interdire l’accès au registre, etc.).
05
Lire Les conversations, mot De passe, etc.
Pour faire un essai, fermez l’interface et lancez un éditeur de texte ou n’importe quel logiciel. Tapez ce que vous voulez, faites ctrl +f 9 et tapez votre mot de passe. Vous aurez alors accès aux logiciels ouverts avec la date et le nom de la fenêtre active au moment des frappes. Cliquez dans ce qui vous intéresse ou faites read all pour avoir accès à tout ce qui a été tapé au clavier depuis l’installation !
cochez Bloquer les sites signalés comme étant des sites d’attaque. Pour Chrome, il faudra cliquer dans Options (les trois traits en haut à droite) et faire paramètres>afficher les paramètres avancés... (tout en bas) puis décocher activer la protection contre le hameçonnage et les logiciels malveillants dans confidentialité.
03
L’instaLLation... enfin !
Vous pouvez enfin télécharger Phrozen Keylogger ! Bien sûr, n’oubliez pas de remettre les paramètres par défaut sur votre navigateur. Dézippez l’archive et installez le programme comme n’importe quel autre. Si votre antivirus commence à râler, désactivez-le pour quelques minutes. Dès le lancement, il faudra paramétrer un mot de passe et une combinaison de touche pour afficher l’interface (qui ne peut être accessible que par ce biais). Nous avons laissé par défaut la combinaison ctrl +f 9.
06
recherche De mots cLés
Il est même possible de faire une recherche par nom de processus ou mot clé depuis full search. Notez que vous pouvez effacer les traces de l’installation du logiciel (icône du bureau et du menu Démarrer), mais qu’il sera tout de même visible dans le panneau de configuration. Comme vous n’espionnez pas un cadre de la CIA, cela devrait passer inaperçu...
33
Hacking
Bureautique 010100101001010101001000011101010101010110101010001
Débloquez n’importe quel pDF -Partie 1Que vous soyez étudiant ou employé, vous vous êtes sans doute déjà arraché les cheveux sur un PDF récalcitrant : impossible à ouvrir, modifier, copier-coller ou imprimer. Bien sûr, ces restrictions sont là pour protéger un document contre la copie ou contre une erreur de manipulation, mais comment faire lorsque l’on veut absolument accéder à ces données ?
LEXIQUE *PDF :
Acronyme de Portable Domument Format. Créé par Adobe Systems en 1993 ce format de fichier permet d’afficher du texte, des images, mais aussi d’intégrer des liens hypertextes. Il a la particularité de conserver les polices et la mise en page, quel que soit le logiciel ou la machine utilisés. Comme il s’agit d’un format ouvert et portable, nombreux sont les systèmes compatibles et les logiciels permettant de le lire/modifier.
34
C
réé par la société Adobe, le format PDF est devenu un format incontournable du Web depuis plus de 20 ans. Impossible de passer à côté, qu’il s’agisse d’une notice de chaudière, d’un mémoire de Master, d’un CV, d’un livre ou d’un document officiel. Même ici à la rédaction, nous utilisons le format PDF pour imprimer le magazine que vous tenez dans les mains ! Malheureusement, certains utilisateurs ne savent pas vraiment comment fonctionnent les restrictions et ils les appliquent parfois à tort et à travers. Par exemple, un auteur de PDF va interdire le copier-coller alors qu’il souhaitait simplement empêcher la modification du texte.
«Mais ouvre-toi, saleté !» De même, il suffit que Untel du service facturation parte à la retraite ou que le professeur Machin ne mette un mot de passe d’accès sur son document de travail pour vous faire perdre un temps incroyable. Car bien sûr, vous avez besoin de ce PDF pour l’ouvrir, le convertir, le modifier, récupérer un morceau de texte ou simplement l’imprimer. Nous verrons donc les différentes protections et restrictions qui sont disponibles et nous verrons aussi comment les contourner...
Que vaut le chiffrement des Pdf ? Le mot de passe d’ouverture va, non seulement, interdire l’ouverture du fichier, mais va aussi chiffrer son contenu avec l’algorithme RC4 128 bits. Si vous devez transférer ou mettre des documents PDF dans un Cloud, cette solution est suffisante pour protéger leurs contenus à condition de se choisir un mot de passe solide. En effet, certains logiciels de «brute force» peuvent tenter de cracker cette protection. Le sésame azerty ne tiendra pas 2 secondes tandis qu’avec S5Gh]d4ç’*md,K5Jhc84X& vous serez tranquille pour quelques siècles... Le chiffrement empêche en plus les moteurs de recherche d’avoir accès aux métadonnées de vos fichiers. Vous éviterez donc les petits curieux.
paS à paS
100110101000100010101011001001001010100010 01010010100101010100100001110101010101
Comprendre les restrictions (et en créer) 01
deux tyPes de Protection
paS à paS
Il existe deux types de droits différents dans les fichiers PDF que vous créez. Qu’il s’agisse d’un PDF fait de toutes pièces ou d’un fichier texte que vous voulez convertir, vous trouverez forcément les entrées mot de passe d’ouverture et mot de passe d’autorisation dans les options de Sécurité. Le premier permet d’empêcher l’ouverture et de chiffrer l’intérieur du document (voir encadré) et le second permet de régler tout un tas d’autorisations : impression, copier-coller, modification, ajour de commentaires, etc. C’est au créateur du document de choisir ce qui sera débloqué d’office et ce qui nécessitera la saisie du mot de passe d’autorisation.
02
Ce qu’il vous faut
PDFUnLock! Où LE TROUVER ? : www.pdfunlock.com DIFFICULTé :
vérifiez vos droits
Notez que si l’auteur choisit de cumuler les deux mots de passe, le second permettra aussi de débloquer l’ouverture et le déchiffrement. Si vous voulez chiffrer le document, mais restreindre son utilisation, vous pouvez donc paramétrer ces deux mots de passe, mais ne donner que le premier à un élève, un collègue, etc. Dans Adobe Reader X, Foxit Reader ou un autre logiciel lisant les PDF, vous verrez écrit proteGe (ou SeCureD) à côté du nom du fichier en haut à gauche. Si rien ne vous est demandé à l’ouverture, il suffit de cliquer dans le cadenas (paramètres de protection) puis Détails des droits pour avoir la liste des restrictions. Si vous ne trouvez pas ces éléments dans votre logiciel ou service, essayez de copier-coller le texte ou d’enregistrer son contenu vers un autre format. Si vous n’y arrivez pas, c’est que vous n’avez pas les droits adéquats.
outrepasser les restrictions 01
si vous êtes l’auteur...
Si vous êtes l’auteur du PDF, il est très facile de retirer les mots de passe. Il suffit d’aller dans Détails des droits puis de retirer les options de sécurité. Notez qu’il faudra une version payante d’Adobe Reader pour profiter de cette option (mais si vous avez vous-même créé ce PDF, débloquez-le avec votre logiciel d’origine).
02
...et si vous ne l’êtes Pas
Si vous n’êtes pas l’auteur et que vous êtes bloqué, il faudra essayer le site PDFunlock!. Depuis votre ordinateur, Dropbox ou Google Drive, uploadez le document et cliquez sur unlock!. Si ce dernier ne comporte qu’un mot de passe d’autorisation, c’est gagné ! Le site vous proposera de télécharger une version «débridée» de votre document d’origine, mais sans les restrictions. Si le PDF est protégé par un mot de passe d’ouverture, le site vous le dira aussitôt. Si vous n’avez pas ce sésame, les choses se compliquent...
03
thePdf.com, la dernière chance ?
Comme nous l’avons vu précédemment, ce mot de passe d’ouverture chiffre le document et interdit son ouverture. Il faudra
donc déjouer ce système en devinant le mot de passe. Le site ThePDF.com tentera de recouvrer le mot de passe en utilisant une méthode «brute force» : deviner le bon mot de passe en essayant de nombreuses combinaisons de caractères. En haut, cliquez sur pDF unlock puis Select... et unlock. Malheureusement, même avec un mot de passe peu solide comme toto, le site a été incapable de le retrouver, mais vous propose une recherche approfondie de 24 heures pour la somme de 25 $ (23 €). Le problème c’est que rien ne dit que le mot de passe pourra être retrouvé en une journée...
04
dans le Prochain numéro...
Il ne nous reste plus qu’à tenter de cracker ce mot de passe d’ouverture (puisque le mot de passe d’autorisation ne nous a posés aucun problème) avec un logiciel spécifique comme PDFCrack ou PDF Unlocker. Ces derniers vont tenter de retrouver le sésame en essayant des attaques par dictionnaire ou par «brute force». Si le mot de passe se trouve dans les dictionnaires de mots contenus dans le logiciel ou s’il n’est pas très solide (comme notre toto par exemple), il y a de fortes chances de le retrouver. C’est ce que nous verrons dans le prochain numéro !
À suivre... 35
HACKING
Microfiches 010100101001010101001000011101010101010110101010001
#1
Toujours un hotspot sous la main avec WiFi Map
Si vous avez la bougeotte, vous aimeriez peut-être pouvoir éviter de défoncer votre forfait 3G/4G lorsque vous n’êtes pas chez vous. Il existe bien sûr les hotspots communautaires comme Free Wifi ou SFR FON, mais il n’est pas toujours aisé de trouver une box «amie» dans les parages... surtout à l’étranger ! WiFi Map est une application mobile pour Android et iOS qui recense un grand nombre de points d’accès sur une carte interactive. Bien sûr, les mots de passe de ces derniers ont été partagés par d’autres utilisateurs. Vous pouvez même partager le mot de passe de votre propre réseau local... à vos risques et périls. ANdROId Lien : http://goo.gl/8RwPGz AppLe Lien : http://goo.gl/6RvpvV
#2
Vérifiez que ce téléphone n’a pas été volé avec cHeek cHeck
Vous allez acheter un téléphone d’occasion, mais vous avez des doutes sur le vendeur ? Avec le site Cheek Check vous allez pouvoir être sûr que l’appareil n’a pas été volé ! L’astuce fonctionne sur tous les téléphones et quelque soit l’opérateur, car il s’agit de vérifier si le numéro IMeI du téléphone n’est pas dans la base de données mondiale des téléphones volés ou perdus. Allez sur le site et sur la droite choisissez le français. entrez le code IMeI dans le champ et cliquez sur Vérifier. pour avoir ce code il suffit de taper *#06# sur l’appareil en question. Notez qu’il est possible d’utiliser une application Android (pour vérifier discrètement sur un autre téléphone au moment de l’achat) ou de partager le widget sur son blog (les champs à gauche sur le site). Lien : www.cheek-check.com
#3
Un outil de pentesting sur mobile avec NetHuNter
Si vous avez l’habitude de nous lire, vous connaissez sans doute Kali Linux, une distribution spécialisée dans le pentesting, le hacking et l’audit réseau. eh bien, sachez qu’une version pour mobile Android vient de sortir ! Il ne s’agit pas d’une autre version du pwn pad, mais de NetHunter, une distrib’ dédiée aux attaques physiques par le port USB : BadUSB, clavier bidouillé, Rubber ducky (voir pirate Informatique n°20), etc. Seuls les appareils Nexus 4, 5, 7 et 10 et le Oneplus One sont pour l’instant compatibles... Nous ferons bien sûr un article plus détaillé lorsque le parc de machines potentielles sera plus conséquent. Lien : www.nethunter.com
36
100110101000100010101011001001001010100010 01010010100101010100100001110101010101
#4
Comment savoir si vous avez été hacké avec iNDexeus
Il ne se passe pas une semaine sans qu’on vous annonce à la télé ou dans les journaux que telle ou telle base de données a été hackée. Cela ne parle peut-être pas à l’internaute lambda, mais dans ces bases de données, on trouve une quantité incroyable de données personnelles pouvant servir à usurper votre identité, piéger vos amis ou pirater d’autres comptes. en effet, si vous faites partie des malheureux dont les renseignements ont été piratés et corrompus, les sites/ services/forums en questions ne vont pas forcément vous le dire. La base de données Indexeus vous permettra de rechercher à partir d’un nom ou d’une adresse e-mail si oui ou non certaines de vos données personnelles sont libres d’accès sur le Net : Ip, hash de mots de passe, nom et parfois numéro de téléphone, adresse, etc.
#6
Identifier un hash avec HasH_iD
dans notre précédent numéro, nous avons vu comment identifier un hash avec le script python HashTag. Si ce dernier ne vous a pas convaincu ou si vous vous cherchez un autre logiciel de ce type pour comparer, voici Hash-identifier, ou Hash_Id pour les intimes. Comme les autres programmes de ce type, il va analyser les suites alphanumériques pour identifier à quel type de hash vous avez affaire. Compatible avec plus de 50 sortes de hash (et leurs variantes), Hash_Id vous fera gagner un temps précieux lorsqu’il faudra lancer une attaque brute force ou dictionnaire avec John The Ripper ou Hashcat... Lien : https://code.google.com/p/ hash-identifier
Lien : http://indexeus.org
#5
Planifier l’envoi de vos e-mails avec sNDLatr
Si vous voulez envoyer des e-mails à des dates ou des heures précises, le plugin SndLatr sous Google Chrome va régler le problème ! Suivez notre lien, installez l’extension et connectez-vous à votre boîte Gmail. Cliquez sur Grant Acces puis sur J’accepte et rédigez un e-mail. Vous verrez alors qu’en dessous du bouton envoyer, vous aurez un autre bouton Send later. Il suffit de choisir la date, l’heure ou de sélectionner le jour de la semaine sur un calendrier. Le bouton juste à droite permet de créer des «snippets», sorte de modèles d’emails pour éviter d’avoir à retaper 50 f ois par jour à ses chers lecteurs que «Non, il n’est pas possible de s’abonner à pirate Informatique»...
Lien : http://goo.gl/o5h4KO
#7 avec ruFus
Un OS prêt à installer sur votre clé USB
dans pirate Informatique n°14, nous avions réalisé un sujet complet sur WinToFlash, un logiciel permettant de placer une version de Windows sur une clé USB pour pouvoir booter dessus et déployer un OS en cas d’urgence ou de plantage. Avec Rufus, vous pourrez, non seulement, mettre Windows (Vista, 7, 8.1 ou Xp), mais aussi une foule de distribution Linux ou d’outils de réparation et de partition. Si vous préférez avoir plusieurs cordes à votre arc, nous vous conseillons Xboot (voir pirate Informatique n°21) qui permet le multi-boot... Lien : http://rufus.akeo.ie
37
Nos Guides WiNdoWs 100% Pratiques Pour un PC + Puissant + Beau + Pratique + Sûr
Mini Prix :
3€
d n a h c r a m e r t o v Chez de journaux
TéléchargemenT
0101001010010101010010000111010101010101101010100010011
En lignE, chEz soi, gratuitE ou payantE
tout savoir sur lEs
sEEdbox Si on écoute les accros aux téléchargements Torrent, la seedbox fait figure d’Eldorado. Rapide, altruiste, discret et pratique, ce type de serveur n’est pourtant pas réservé à l’élite. Outre les services en ligne payants,on trouve aussi des sites plus limités, mais gratuits. Il est même possible de se confectionner une seedbox avec sa box Internet ou de carrément utiliser son NAS domestique...
T
out comme les VPN, l’utilisation de proxy ou le téléchargement direct, la popularisation des services de seedbox en ligne a commencé avec la loi HADOPI. En effet, si c’est un serveur basé à l’étranger qui télécharge à votre place, HADOPI n’a pas son mot à dire... Et comme le rapatriement des fichiers sur votre disque dur se fait par HTTP (téléchargement direct), HADOPI est de surcroît aveugle. Parallèlement, les services de stockage de type «Cloud» avec leurs centaines de Go d’espace payant ont commencé à intégrer des seedbox dans leurs offres. Pour
LEXIQUE *Seedbox :
Littéralement «boîte à semis», une seedbox est un serveur qui permet de télécharger et d’uploader des fichiers. En fait, la seedbox va récupérer vos fichiers via le réseau BitTorrent pour que vous puissiez les récupérer chez vous via le protocole HTTP (téléchargement direct). La seedbox se chargera aussi de partager les fichiers pour respecter un ratio prédéfini.
*bittorrent : quelques euros par mois, un internaute peut donc disposer d’un disque dur distant qu’il peut partager avec tous ses appareils (tablette, mobile, ordinateur, etc.) en plus d’un client BitTorrent qui respecte la notion de «ratio» et rend l’utilisateur anonyme.
La seedbox gratuite : pour Les téLéchargeurs occasionneLs Le premier réflexe de l’utilisateur BitTorrent est de commencer par une seedbox gratuite comme Direct Torrent. Sur ce site, aucune inscription n’est requise. Il suffit de copier-coller
ServiceS gratuitS à eSSayer Lien : www.direct-torrents.com Lien : http://torrent2ddl.com Lien : www.sdedi.com
BitTorrent est à la fois un protocole de communication et le logiciel historique permettant de le faire fonctionner. Inventé par Bram Cohen en 2002, BitTorrent a été pensé pour télécharger et partager de grosse quantité de données sans pour autant peser sur la bande passante d’un serveur. Il s’agit d’un système P2P, décentralisé où les fichiers sont partagé depuis les différents intervenants : les leechers qui récupèrent le fichier par morceaux et les seeders qui disposent du fichier entier, mais qui «restent» pour faire «vivre» le Torrent.
39
MultiMédia
TéléchargemenT 010100101001010101001000011101010101010110101
Les services de seedbox fleurissent sur la Toile. Attention aux prix, aux disponibilités et aux formules qui reconduisent votre abonnement sans vous prévenir...
LEXIQUE *naS :
De l’anglais Network Attached Storage ou serveur de stockage en réseau. Il s’agit d’un serveur domestique qui stocke vos données pour les redistribuer sur un réseau local ou via Internet. De nos jours, la plupart de ces appareils intègrent une fonction seedbox...
*ratio :
Il s’agit de la somme des données uploadées sur la somme des données téléchargées depuis un même tracker. Idéalement, le ratio se doit d’être de 1 (la même quantité de données est téléchargée et partagée).
40
l’URL d’un Torrent ou un lien Magnet puis de cliquer sur Download. Si le fichier convoité est déjà dans les serveurs, vous le récupérerez immédiatement depuis l’interface de votre navigateur. Le service n’est pas limité en ce qui concerne la taille du fichier et les débits sont très honorables pour une seedbox gratuite : entre 350 et 500 ko/s pour la partie «Torrent» (comptez le double pour la partie «HTTP»). Plus fort, Direct Torrent va seeder votre Torrent avec un ratio de 3 ! Cela veut dire que le partage est assuré. Par contre, vous ne pourrez pas télécharger plus d’un fichier à la fois. Ce site constitue une bonne solution pour ceux qui ne téléchargent des Torrents qu’épisodiquement. Torrent2DDL est un autre service gratuit qui propose la même chose sauf qu’ici les fichiers finaux seront transférés sur des sites de stockage en ligne comme uptobox.com et 1fichier.com. Dans les deux cas, il faudra récupérer les fichiers au bout de quelques jours au risque de les voir effacé. Les Torrents sont limités à 19 Go, mais cela reste un excellent service gratuit. Enfin, la société Sdedi propose une offre gratuite pour attirer de nouveaux venus vers leur service payant. SdediBox Free est un espace de stockage de 5 Go avec seedbox limité en débit et en terme de Torrent actifs (qui varient selon l’heure de la journée et d’autres critères internes inconnus). Notons la possibilité ici de récupérer vos fichiers par FTP.
La seedbox payante Vous avez fait le tour des offres gratuites, mais vous voulez passer à la vitesse supérieure ?
Il existe de nombreux services qui proposent des seedbox à différents prix, la plupart du temps dégressifs, mais c’est surtout au niveau des caractéristiques de l’offre qu’il faudra être attentif. L’espace de stockage, mais aussi le nombre de torrents actif (slot), le support du FTP, de Cakebox (un système permettant de streamer depuis votre seedbox) et bien sûr les débits ascendant et descendant. En ce qui concerne ces derniers, sachez d’ailleurs que les chiffres indiqués sont des maximums et ne concerne que la partie «BitTorrent», entre le réseau et la seedbox puisque la récupération des données en HTTP (téléchargement sur votre disque dur ou stream) dépend de la connexion de votre FAI. Les avantages sont nombreux notamment au niveau du ratio puisque vos torrents vont «seeder» à des vitesses incroyables. Attention aux prix qui sont indiqués sans prendre en compte la TVA à 20 %. Pour notre pas-à-pas, nous avons choisi le site Seedbox.fr qui est idéal pour comprendre le fonctionnement et se faire un avis sans pour autant dépenser trop d’argent puisque pour un peu plus de 7 €, vous avez accès au forfait Starter avec 100 Go de stockage inclus. Notez aussi que le service propose une période d’essai de 14 jours.
une seedbox à La maison ? Une seedbox chez soi avec un NAS c’est aussi possible ! Ces serveurs qui font office de plaque tournante pour partager vos fichiers dans votre réseau local proposent souvent ce type de fonctionnalité. Il suffit de mettre un disque dur dans le boîtier (certains NAS disposent de 2 à 4 baies) puis de le brancher sur votre box/ routeur. Après les premiers réglages (choix du type RAID, formatage du disque, etc.), il suffit d’ouvrir votre navigateur et de spécifier l’IP de votre nouvel appareil dans la barre d’adresse pour afficher une interface Web de gestion. Sur notre NAS de marque DLSIN à 99 €, il existe directement une section BitTorrent. Moins de 15 minutes après avoir déballé le NAS de sa boîte, nous voici déjà avec une seedbox fonctionnelle ! Les réglages sont succincts (débit max, nombre de peers par torrent, etc.), mais l’essentiel est là. Il suffit de parcourir le disque dur de son PC à la recherche des fichiers Torrent pour commencer à télécharger. Ensuite, on peut imaginer rapatrier ses fichiers sur son PC (les transferts sont très rapides grâce à la technologie Gigabit Ethernet) ou les diffuser depuis le réseau local sur sa tablette, sa TV
101000100110101000100010101011001001001010100010 01010010100101010100100001110101
connectée ou n’importe quel appareil du réseau. Plus fort, en paramétrant une IP dynamique (voir l’article sur le service NoIP dans notre numéro 23 ou sur notre CD), il est possible d’avoir accès à son NAS et à son contenu lorsque vous n’êtes pas chez vous, depuis Internet. Bien sûr, tout ça est possible PC éteint.
Certains services en ligne ont senti le vent tourner et ont intégré des fonctionnalités de seedbox pour attirer de nouveaux clients. C’est notamment le cas de sites de stockage en ligne, de Cloud ou de débrideurs. Malheureusement, ces options supplémentaires ne sont pas aussi bien élaborées que les solutions dédiées. Sur les sites en question, rien n’est indiqué concernant les limitations ou le ratio de chaque Torrent : problématique lorsqu’on utilise un tracker privé... Parmi ceux qui tirent leur épingle du jeu, citons tout de même le débrideur FileStream et le site de stockage Zbigz qui proposent tous deux des seedbox dans leurs versions payantes. Si vous utilisez déjà ces sites, pourquoi ne pas essayer ? Dans le cas contraire, préférez une vraie seedbox...
Les NAS récents proposent tous une fonction BitTorrent pour télécharger et s’accompagnent bien sûr de tous les outils pour partager et diffuser les contenus...
SEEDBox PAyANTE (EN LIgNE)
Attention Aux services hybrides !
Lien : http://zbigz.com Lien : https://filestream.me Lien : www.libndown.com
avantages
inconvénients
- Votre IP n’apparaît nulle part
- Aucun sauf le prix !
- Certains services proposent des offres d’essai
SEEDBox grATuITE (EN LIgNE)
- Votre IP n’apparaît nulle part
Les limitations : nombres de torrents simultanés, débits et espace de stockage plafonnés
SEEDBox DEPuIS uNE FrEEBox
- une seedbox à la maison sans rien débourser
- Le débit dépend de votre connexion - Vous n’êtes plus anonyme puisque votre IP réelle apparaît - Limité par le disque dur de votre Freebox
SEEDBox DEPuIS uN NAS
- une seedbox couplée à un NAS permet de récupérer des fichiers et de les partager avec vos différents appareils ou vos amis...
- Le débit dépend de votre connexion - Vous n’êtes plus anonyme puisque votre IP réelle apparaît (à moins d’utiliser un VPN)
41
MultiMédia pas à pas
TéléchargemenT 010100101001010101001000011101010101010110101
01
Seedbox.fr, un bon point de départ votre Abonnement
Sur le site, commencez par choisir votre formule et cliquez sur commander. On vous demandera de choisir votre mode de facturation. Pour un essai, choisissez le mode de paiement mensuel, vous pourrez en changer par la suite. Remplissez les formulaires et payez via PayPal ou par CB. Allez dans la section client en cliquant sur le lien et attendez que votre espace se mette en place.
02
Ce qu’iL vouS fAuT
SEEdboX.fr Où Le TROUVeR ? : www.seedbox.fr DIFFICULTé :
Vous verrez que l’interface n’a rien à envier à un client sous Windows. Vous verrez l’avancement de vos transferts, le ratio de chaque torrent, son débit, etc. Vous aurez aussi accès à des statistiques, des sous-parties (erreurs, transfert actif, en cours d’upload, etc.) et des outils de configuration avancés depuis l’icône en forme d’engrenage. C’est ici que vous pourrez imposer des limites de transferts, une planification, des paramètres de respect du ratio, etc.
04
les débits
votre premier téléchArgement
Nous vous avons dit précédemment que les débits affichés correspondaient à des «pics». Officiellement, seebox.fr propose un débit en téléchargement de 10 Gbps soit environ 1250 Mo/s. Or durant nos tests, nous avons été plus proche des 200 Mbps soit tout de même environ 23 Mo/s. Nous avons téléchargé un film de 1,36 Go en moins de 2 min. Avec 5 Torrents simultanés, nous avons récupéré 8 Go en 20 minutes. Un très bon débit, mais très loin des 10 Gbps promis... Dans configuration avancée, vous pourrez choisir une autre domiciliation pour vos téléchargements : Pologne, Pays-Bas ou Lituanie tandis que plugins et Modules vous donnera la possibilité d’ajouter une interface supplémentaire à votre navigateur. Mais commençons à télécharger ! Allez dans gestion des transferts puis faites ajouter torrent. Ici, vous pourrez mettre l’URL du Torrent, un lien Magnet ou uploader un fichier. torrent avec parcourir...
03
votre espAce de stockAge
l’interfAce
Vous pourrez alors démarrer vos téléchargements avec un simple clic droit.
42
05
Lorsque vos téléchargements seront terminés, vous pourrez y avoir accès en faisant retour Manager en haut à droite puis gestion des données. Avec un simple clic droit, vous pourrez explorer les dossiers ou télécharger vos précieux fichiers sur votre PC. Notez que cet espace peut aussi être utilisé comme un FTP où vous pourrez placer d’autres fichiers que vos téléchargements Torrent.
101000100110101000100010101011001001001010100010 01010010100101010100100001110101
06
le pArtAge
L’option Share permet de partager un fichier avec un ami sans que celui-ci soit abonné au service. Il est même possible d’ajouter un mot de passe et une date d’expiration. Il suffira alors d’envoyer un lien du type http://c.sdbx.co/18yoa8E généré par le service. Notez enfin que certains trackers vous demanderont de «déclarer» l’utilisation de votre seedbox afin d’éviter d’être étiqueté comme «tricheur»...
startEr
bronzE
silvEr
tEra
titaniuM
Stockage
100 go
200 go
300 go
1 000 go
1 500 go
Débit max
10 gbps
10 gbps
10 gbps
10 gbps
10 gbps
Nombre de slots Torrent
10
20
100
100
100
VPN dans 4 pays
oui
oui
oui
oui
oui
redondance des données (récupération en cas de panne)
Non
oui
oui
oui
oui
Prix/mois
5,99 €
12,99 €
17,99 €
24,99 €
29,99 €
Prix/trimestre
16,99 €
36,99 €
50,99 €
69,99 €
84,99 €
Prix/an
52,99 €
115,99 €
159,99 €
219,99 €
269,99 €
Avec votre freebox ? Si vous disposez d’une Freebox Revolution, sachez que celle-ci dispose d’une seedbox intégrée. Depuis l’interface Freebox OS, il vous sera en effet possible de lancer des téléchargements de torrents, et ceux-là se poursuivront même si votre ordinateur est éteint. Vous retrouverez ces fichiers dans le disque dur de votre Freebox et pourrez bien évidemment les y laisser pour seeder. Cette solution présente cependant quelques inconvénients : Tout d’abord, le disque dur de la Freebox est limité à 230 Go, et les gros consommateurs de séries par exemple savent à quel point ceux-là peuvent se remplir rapidement. D’autre part, tous les torrents/magnet links seront à ajouter manuellement, en copiant les liens sur Freebox OS. Vous trouverez toutes les instructions pour utiliser votre seedbox Free à cette adresse : www.seedbox.freebox.online.fr.
43
MultiMédia
01010010100101010100100001110101010101011010 TéléchargemenTs anonymes
TéléchargemenT anonyme avec I2P Dans la rubrique Anonymat de notre précédent numéro, nous vous avions parlé de différents «darknets» en faisant l’impasse sur I2P (Invisible Internet Project). Ce dernier, moins évident à prendre en main que Tor ou Freenet, permet d’utiliser le réseau BitTorrent. Et comme ce réseau est chiffré de bout en bout, vous téléchargez de manière complètement anonyme...
A
ctif depuis 2003, I2P ressemble plus à Tor qu’aux autres logiciels/protocoles de type «darknets». Non seulement, il partage son architecture en «oignons», mais il permet, en plus d’avoir accès à des sites cachés (les eepSites équivalents des hidden services de Tor), de se connecter de manière anonyme au réseau Internet «normal». I2P propose aussi des plugins, officiels ou non, pour ajouter d’autres fonctionnalités que le surf : IRC, courrier électronique, forum, blog anonyme, stockage de fichiers décentralisé, etc.
Un Bittorrent Un peU restrictif Mais ce qui va nous intéresser, ici, c’est le support du protocole BitTorrent. Grâce à I2PSnark, I2P se transforme en véritable client BitTorrent. Certes, les fonctionnalités sont réduites notamment à
i2p lent ? N’espérez pas battre des records de vitesse avec I2PSnark. Les téléchargements sont loin d’être aussi rapides que sur le BitTorrent «normal». Là où avec une connexion ADSL standard vous pouvez espérer du 1000 ko/s, avec I2PSnark vous culminerez à 30 ko/s. Pas la peine d’imaginer récupérer un film en 10 min, mais pour la veille au lendemain matin, pourquoi pas ?
44
cause de l’interface Web qui offre moins de liberté qu’un véritable logiciel, mais ces téléchargements passent complètement inaperçus aux yeux de la «surveillance». Aucun scrupule à avoir puisque contrairement à Tor, I2P a été pensé en partie pour ça. Attention, il ne s’agit pas de n’importe quel fichier Torrent. N’espérez pas télécharger depuis t411 ou TPB puisque seuls les trackers compatibles avec I2P pourront être utilisés. Et, ces trackers, vous ne les trouverez que depuis le Web caché de I2P, les fameux eepSites dont nous vous parlions plus haut... Dans notre prise en main, nous allons donc d’abord nous connecter à I2P en réglant les potentiels problèmes de connexions puis nous verrons comment trouver des Torrents et utiliser l’interface I2PSnark pour télécharger.
Où trOuver des fichiers tOrrent cOmpatibles ? Attention, si vous êtes nouveau sur I2P certains eepSites ne seront pas immédiatement disponibles, il faudra faire fonctionner le réseau pendant quelques heures le temps de récupérer des peers et réessayer de s’y connecter plus tard. Lien : http://tracker2.postman.i2p (le plus gros) Lien : diftracker.i2p (un tracker francophone)
PaS à PaS
0101000100110101000100010101011001001001010100010 0101001010010101010010000111010 Ce qu’Il vouS fauT
Téléchargez avec I2PSnark 01
installatiOn
Commençons par télécharger le logiciel I2P puis installons-le. Pendant le processus, cochez la case pour implémenter Windows Service. Normalement, votre pare-feu devrait se réveiller pour vous demander de paramétrer le logiciel comme une exception. Cliquez sur autoriser l’accès. Démarrez ensuite Start I2P (restartable) et attendez que ce dernier termine son scan. I2P ne dispose que d’une interface Web à travers un navigateur. Il est donc recommandé d’utiliser un autre browser que celui que vous utilisez si vous souhaitez garder l’anonymat.
02
réglage sur le navigateur
À ce moment, votre navigateur s’ouvrira peut-être sur la page de la console (la page d’accueil si vous voulez), mais il est encore trop tôt pour commencer. Trouvons un gestionnaire de proxy comme FoxyProxy (voir notre article dans le numéro 19 de Pirate Informatique) ou Proxy SwitchySharp parmi les extensions de votre navigateur et installez-le. Optez pour une configuration manuelle, mettez 127.0.0.1 dans hTTP proxy (avec le port 4444 en écoute) puis la même IP dans hTTPS (SSL) avec le port 4445. Dans les exclusions du proxy, il faudra laisser localhost; 127.0.0.1; . Redémarrez le navigateur et rendez-vous à cette adresse : http://127.0.0.1:7657. Au bout d’une dizaine de minutes, vous devriez voir réseau:oK en haut à gauche.
03
prOblème de pOrts ?
Si ce n’est pas le cas (message Bloqué par un pare-feu), c’est que votre box a refusé de faire suivre les ports TCP et UDP à travers le réseau. Cliquez dans l’icône I2P en haut à gauche puis sur configuration. Dans l’onglet réseau, trouvez le numéro du
I2P Où Le TROUveR ? :
https://geti2p.net/fr
DIFFICULTé :
port UDP (ce sera le même pour le TcP) et notez-le. Ouvrez votre navigateur et tapez 192.168.1.1 (pour les abonnés Free, il faudra aller sur free.fr) pour avoir accès aux réglages de votre box. Après avoir rentré vos identifiants d’abonnés, vous pourrez avoir la liste des appareils connectés à votre box ainsi que leurs IP. Notez l’IP de votre PC puis dirigez-vous vers un menu du type Translation de ports ou naT (les noms des réglages peuvent varier suivant les box des FAI).
04
cOnnecté !
Mettez l’IP de votre PC dans l’IP de destination ainsi que le numéro de port que vous aviez noté en externe et en destination. Choisissez TcP comme protocole, validez et refaites la même chose avec UDP. Si vous avez un message d’erreur autre que Bloqué par un pare-feu, cliquez dessus pour avoir une description en français et la marche à suivre pour régler le problème. Bravo, vous êtes maintenant prêt à surfer anonymement sur le Web et à utiliser des eepSites (voir notre encadré pour trouver des trackers) ! Intéressons-nous maintenant à BitTorrent...
05
i2psnark et bittOrrent
Dans les services locaux, en bas à droite, vous verrez une icône Torrents. Cliquez dessus pour démarrer I2PSnark. Il s’agit d’une interface basique avec la possibilité d’utiliser des liens magnets (coller votre lien aux formats http://, magnet:, ou maggot:// dans le premier champ) ou des fichiers .torrent qu’il faudra placer dans c:\ProgramData\application Data\i2p\ i2psnark. Dans configuration, n’oubliez pas de cocher la case permettant de Démarrer automatiquement les Torrents et faites ajouter torrent lorsque vous êtes prêt. Les fichiers se retrouveront dans le dossier source. Attention, si vous supprimez un Torrent de l’interface, il sera effacé de votre disque dur !
45
MultiMédia TéléchargemenT DirecT
010100101001010101001000011101010101
Comment saisir ses CaptChas quand on n’est pas Chez soi ? LEXIQUE *CaptCha :
Il s’agit d’un «test antirobot» permettant de différencier un humain d’un ordinateur. Le plus souvent, il s’agit d’une fenêtre où s’affichent un ou deux mots déformés. L’utilisateur devra taper ces mots au clavier pour valider une action tandis qu’un ordinateur ou un logiciel de reconnaissance de caractères échouera. Il s’agit d’éviter une saturation d’un serveur ou une récupération automatique de fichiers à grande échelle.
*DireCt DownloaD (DDl) :
Il s’agit de téléchargements dits «directs», car ils ne passent pas un protocole P2P ou décentralisé. Ici, comme au bon vieux temps, le fichier convoité est sur un serveur et vous le rapatriez sur votre disque dur en utilisant le protocole «classique» d’Internet (HTTP).
46
Si vous avez l’habitude de télécharger avec des liens directs récupérés sur des sites spécialisés, vous connaissez sans doute les captchas. Le problème c’est que si vous n’êtes pas chez vous lorsque la saisie d’un captcha est requise, votre téléchargement est bloqué ! Avec JDownloader sur votre PC et jdCaptcha sur votre mobile, vous pouvez saisir ces captchas même lorsque vous n’êtes pas dans les parages...
D
ans le précédent numéro, nous vous avions présenté une sélection de sites de téléchargement direct (DDL) avec un tutoriel sur MiPony, un logiciel permettant de vous faciliter la tâche. Or lorsque vous utilisez le téléchargement direct sans payer pour un compte Premium chez les différents hébergeurs, vous serez bridé. Ces limitations concernent souvent le débit, mais portent aussi sur les fameux captchas. Un utilisateur gratuit sera donc obligé de saisir des mots au clavier pour «valider» le commencement du prochain téléchargement (puisque vous êtes aussi
limité en nombre de fichiers que vous pouvez rapatrier en même temps).
Un logiciel + Un plUgin + Une appli Nous vous avons donc trouvé une solution pour saisir ces captchas sur votre téléphone portable sous Android. Pour cela, il faudra juste s’inscrire gratuitement à un service en ligne et utiliser deux applications : JDownloader et son plugin dédié sur PC et jdCaptcha sur votre mobile. Dès que le logiciel PC vous demandera un captcha, il sera transféré sur votre téléphone. Vos téléchargements commenceront donc plus tôt, sans nécessiter de compte Premium.
Et sans téléphonE ? Vous n’avez pas de téléphone sous Android, mais vous avez accès à un ordinateur ? Que vous soyez en cours ou au travail, vous pouvez aussi utiliser jdCaptcha Web depuis Mon Compte sur www.vincescodes.com. Il s’agit d’une interface Web qui émule l’application Android. Vous pourrez donc continuer à saisir vos captchas même lorsque vous n’êtes pas chez vous !
pas à pas
101011010101000100110101000100010101011001001001010100010 01010010100101010100100
installer et configurer jdCaptcha et JDownloader
Ce qu’il vous faut
JDownLoaDEr Où LE TROUVER ? : http://jdownloader.org
JDCaptCha (plugin windows pour JDownloader) Où LE TROUVER ? : www.vincescodes.com/jdcaptcha
JDCaptCha (pour mobile android) Où LE TROUVER ? : http://goo.gl/XcsYv9 DIffICULTé :
01
récupération dEs fichiErs
Dans un premier temps, il faudra installer JDownloader sur votre PC. Choisissez la langue, les associations de fichiers et décidez ou non de faire un don. Téléchargez le plugin JDownloader pour Windows. Ce dernier est contenu dans deux archives successives (ZIP et TAR). Utilisez 7-Zip pour décompacter le dossier jdCaptcha et placez-le dans C:\users\ [votre nom de session]\appdata\Local\Jdownloader 2.0\jd\ captcha\methods.
02
04
c’Est fini !
inscription Et fichiEr .conf Sur votre téléphone, installez l’application jdCaptcha en suivant notre lien ou en le récupérant sur notre CD. Il faudra ensuite vous créer un compte en faisant s’inscrire sur le site www.vincescodes.com/ jdcaptcha sans oublier de faire valider votre compte par e-mail. Dans mon Compte>mes paramètres, récupérez ensuite le fichier jdCaptcha.conf et placez-le dans C:\users\[votre nom de session]\appdata\ Local\Jdownloader 2.0\jd\ captcha\methods\jdCaptcha.
03
le QR Code associé. Il est aussi possible d’envoyer une notification de test pour vérifier que tout fonctionne. Mais auparavant, soyez sûr que la case recevoir les autres notifications est cochée dans mon Compte>résumé. Redémarrez JDownloader pour appliquer le plugin.
lE codE d’association
Dorénavant lorsque vous irez sur un site comme www.emule-island.ru pour récupérer des liens de DDL avec JDownloader. Une notification s’affichera sur votre téléphone portable. Vous pourrez saisir le captcha et votre téléchargement débutera automatiquement sur votre ordinateur. En revenant chez vous le soir, vos fichiers vous attendront bien sagement sur votre disque dur. Notez qu’il est possible de participer à un programme (Communauté anonymous) pour saisir les captchas d’autres utilisateurs contre des crédits. Ces crédits pourront être utilisés lorsque vous ne pouvez pas résoudre vos captchas vous-même.
Erratum
Dans mes appareils, il faudra ensuite récupérer un code unique à 12 caractères pour l’inscrire dans l’application jdCaptcha de votre mobile. Vous pouvez aussi utiliser
Sur notre CD dans la rubrique C’est dans le mag’, nous nous sommes trompés dans la description de JDownloader + jdCaptcha. En effet, le CD ne contient que le plugin à placer dans le répertoire d’installation (voir notre tutoriel). Pour JDownloader, il faudra le télécharger à part. Désolé pour cette petite erreur, le coupable a déjà été fouetté !
47
MultiMédia
Microfiches 010100101001010101001000011101010101010110101010001
#1
Trouvez le bon codec avec GSPOt
Il vous est sûrement déjà arrivé lors de la lecture d’un film de ne pas avoir d’image ou de son. Il vous manque un codec… Rassurez-vous, GSpot va résoudre ce problème en identifiant avec précision le codec audio ou vidéo manquant. Une recherche sur Internet et vous allez pouvoir enfin regarder votre film tranquillement. Lien : www.headbands.com/gspot
#3
De vieux jeux PC sur navigateur
avec PlayDOSGameSOnline.cOm
Dans notre numéro 19, nous vous avions parlé de D-Fend Reloaded, une interface graphique pour le logiciel Dos Box permettant de rejouer avec vos vieux jeux PC. Bien que facile à utiliser, nous avons trouvé encore mieux ! Le site PlayDOSGamesOnline propose en effet des centaines de titres PC des années 80/90. Pas besoin d’installer quoi que ce soit puisque le tout fonctionne depuis votre navigateur ! Il suffit d’activer Java (même si certains fonctionnent en HTML5) pour lancer les jeux en mode fenêtré ou en plein écran... Il est même possible de jouer avec une manette. À vous les Doom, Warcraft, Double Dragon, Prince of Persia et autres pièces de collection... Lien : http://playdosgamesonline.com
#2
Faites votre propre jeu vidéo avec Game maker
Vous avez toujours voulu réaliser un jeu vidéo, mais le C++ vous décourage ? Avec Game Maker, vos rêves vont peut-être se réaliser ! Ce logiciel propose des outils graphiques pour réaliser des jeux de plates-formes, des RPG, des jeux d’actions avec un langage maison dérivé du Delphi. La version Standard permettra de vous faire la main sans débourser le moindre centime. Les versions payantes à 50 et 800 $ (47 et 756 € au moment où nous lisons ces lignes) proposent beaucoup plus d’options comme la 3D, la gestion des textures, les ressources pour Android ou les consoles dernières générations. Vous débutez ? Voici un forum francophone très sympa : www.game-maker-forum.net. Lien : www.yoyogames.com/studio
#4
Un client Torrent léger et tout terrain avec qBittOrrent
Vous en avez marre de µTorrent ? Ce logiciel que nous vous recommandions de longue date est devenu beaucoup moins performant. Depuis le rachat par la société BitTorrent, µTorrent n’a cessé d’accumuler les tares : consommation de ressources excessive, logiciels additionnels étranges, etc. qBittorrent est un client que les amoureux des premières versions de µTorrent vont adorer. Il est léger, simple et propose des options pratiques et claires. Il est compatible avec le DHT, les flux RSS et les liens magnet. Cerise sur le gâteau, ce dernier est open source et complètement en français. Il est peut-être temps de changer de crèmerie... Lien : www.qbittorrent.org
48
100110101000100010101011001001001010100010 0101001010010101010010000111010101010
#5
Supprimer «Epic Scale» avec WinDOWS
Nous avons longtemps fait une confiance aveugle à µTorrent. Quelle n’a pas été notre surprise lorsque nous avons entendu parler d’Epic Scale, une saleté non détectée par les antivirus comme une menace, mais diablement fourbe ! Il s’agit en fait d’un programme malveillant qui s’installe parfois en même temps que les mises à jour de µTorrent. Censé utiliser les ressources de votre ordinateur pendant que vous ne le sollicitez pas pour traquer les tueurs de bébés phoques, nourrir les «chtis enfants» (et pas les «enfants chtis», ceux-là on s’en fout) ou sauver le monde d’un cataclysme, il s’agit en fait d’une saleté qui mine du Bitcoin dans votre dos... Pour dégager cette immondice, désinstallez Epic Scale depuis le Panneau de configuration puis supprimez le dossier du même nom dans C:\ProgramData, C:\Program Files et C:\Program Files (x86). Dans la base de registre, trouvez les clés HKEY_CURRENT_USER\Software et HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run et supprimez Epic Scale. Bon débarras !
#6
Une alternative à VLC avec meDia Player claSSic
Ce lecteur multimédia est une alternative crédible à Windows Media Player ou à VLC puisqu’en plus d’être léger, il permet de lire la plupart des formats que vous pourrez trouver. Très à l’aise avec la vidéo (DivX, Xvid, x264, Blu-ray, etc.), il lit aussi les formats musicaux sans pour autant proposer autant d’options qu’un player dédié. Ce Media Player Classic est, avant tout, pour les possesseurs de configurations plus anciennes, pas assez puissant pour être à l’aise avec les autres programmes, mais il propose aussi de profiter de la puissance de vos processeurs 64 bits.
#7
Une alternative à BitTorrent Sync avec SyncthinG
Nous vous avions déjà parlé de BTSync dans notre numéro 22. Ce logiciel permet de synchroniser vos fichiers depuis tous vos appareils sans passer par un «Cloud» ou un serveur distant, mais uniquement via P2P depuis votre PC ou un NAS par exemple. Pour les puristes, le principal problème de BTSync c’est que son code source n’est pas ouvert. On ne sait donc pas vraiment si le logiciel comporte des failles, voulues ou non. Avec Syncthing, pas de problème, puisque le logiciel est open source et les mesures de sécurité sont un peu plus solides (autorisations préalables, une identification moins perméable, etc.). Il faudra attendre un peu pour les versions mobiles et NAS, mais le projet prend une tournure intéressante avec la possibilité d’emporter Syncthing sur une clé USB pour se synchroniser depuis un PC qui n’est pas le vôtre. Nous en parlerons plus avant dans un prochain numéro... Libre à vous d’essayer sans attendre après nous. Lien : https://syncthing.net
Lien : http://mpc-hc.org
49
> LucidPort Chameleon À la différence de la clé s-Sign de SSL Europa que nous avons testé dans le numéro 19, la clé Chameleon ne stocke pas de données chiffrées, mais uniquement des clés numériques permettant d’avoir accès à un conteneur chiffré sur votre disque dur, clé USB ou tout autre matériel de stockage (maximum 2 To). Le système fonctionne avec l’algorithme AES 256 bits. Même si nous savons depuis l’affaire Snowden que la NSA est sans doute en mesure de déchiffrer ce dernier, il s’agit ici d’un chiffrement en local destiné aux particuliers ou aux entreprises désirant se protéger contre le vol ou l’espionnage industriel. Ce choix de l’AES est d’ailleurs justifié par la rapidité de l’encryption qui se fait à la volée en quelques secondes. La clé que nous avons testée est la version «de base», mais deux autres sont disponibles, la version «PRO User» qui permet de fermer ou d’ouvrir une session Windows en la branchant/débranchant, et la «PRO Master» destinée à gérer les autorisations de toutes les autres clés et à révoquer ou transférer les clés. Prix : 85 €
www.lucidport.com
> Cardboard Kit, la 3D en carton ! Avec l’Oculus Rift ou le OSVR, les casques de réalité virtuelle ont le vent en poupe ! Mais pourquoi essuyer les plâtres avec des appareils hors de prix qui ne cessent de s’améliorer de version en version alors que vous pouvez vous amuser pour seulement 25 € ? Le Cardboard Kit est un casque virtuel en... carton ! Vous avez juste besoin d’un smartphone. Il est livré dans une enveloppe avec deux œilletons en plastique, un élastique et un bouton aimanté permettant de «cliquer» sur votre écran sans y avoir physiquement accès. Il suffit de suivre la notice de montage pour en profiter en moins de 10 minutes. Même si certaines applications sont payantes, les gratuites sont assez sympa pour vous amuser assez longtemps. On trouve des visites guidées de musée, des simulations, des FPS, etc. Jamais nous n’aurions imaginé avoir un tel degré d’immersion avec un dispositif... en carton.
Prix : 25 €
https://cardboard-kit.fr
> Raspberry Pi 2, le retour De la tarte à la framboise Si vous êtes un lecteur de Pirate Informatique, vous savez que nous sommes fans du Raspberry Pi et que nous proposons souvent des projets en rapport avec ce nanoordinateur. C’est donc avec joie que nous avons appris la sortie d’une deuxième version beaucoup plus puissante (à ne pas confondre avec la version B). À peine plus cher que son grand frère, ce Raspberry Pi 2 embarque un processeur ARM Cortex-A7 (4 cœurs) cadencé à 900 MHz et 1 Go de RAM. La puissance de calcul est au moins multiplié par deux, il serait même possible de faire tourner Windows 10 ! Bien sûr, toutes les distributions et tous les systèmes compatibles avec la première version fonctionneront sans problème sur la bécane. Notons que l’utilisation du media center Kodi (anciennement XBMC) est bien plus aisé avec cette deuxième mouture et que l’affichage de vidéo HD ne pose aucun problème. Si le Raspberry Pi vous intéresse, dirigez-vous vers la rubrique exclusive sur de notre CD. Comme nous découvrons la bête, nous n’avons pas réalisé de nouveau projet dans ce numéro, mais nous vous préparons une surprise pour le prochain !
Prix : 45 €
50
www.raspberrypi.org
> Mini Traceur GPS Simvalley GT-340 Dans ces pages, nous avons souvent présenté des trackers GPS miniaturisés permettant de se loger dans un sac à main ou une voiture, mais jamais nous n’avions vu d’appareil aussi petit que ce GT-340. Avec ses dimensions (24 x 50 x 13 mm) et son poids de 20 g, il peut facilement se faire oublier dans un cartable ou une poche de manteau. Une fois que vous aurez inséré une carte SIM dans le tracker (demandez un clone de la vôtre à votre fournisseur), vous pourrez le suivre à la trace depuis votre smartphone grâce aux coordonnées GPS. À l’intérieur des bâtiments, c’est le réseau GSM qui prendra le relais. Si le tracker se déplace en dehors de la zone que vous avez définie, vous recevrez une alerte. Un bouton SOS sur l’appareil permet aussi d’envoyer un SMS en cas d’enlèvement ou d’urgence. Il faudra juste penser à le recharger de temps en temps, car sa batterie n’autorise que 120 heures d’autonomie en veille.
Prix : 70 €
www.pearl.fr
LucidPort chameleon une clé usB blindée La clé Chameleon permet d’avoir accès à un conteneur chiffré sur votre disque dur juste en la branchant sur un port USB. Les étapes de création du conteneur et de transfert des documents à protéger sont très accessibles pour permettre à des non-initiés de protéger leur travail. Voyons comment tout cela fonctionne... #1
La PassPhrase
Une fois que l’installation du logiciel chameleon Manager sera terminée, on vous demandera de créer une «passphrase» suffisamment longue permettant de dupliquer la clé si cette dernière se retrouve perdue ou endommagée. Une bien bonne idée, car sans la clé, impossible d’accéder à vos données ! Le logiciel vous demandera ensuite de créer un mot de passe. Même si ce dernier est optionnel, nous vous conseillons de ne pas vous en passer ! Ce mot de passe vous sera demandé lorsque vous connecterez la clé sur votre PC.
#2
Le conteneur chiffré
Il sera ensuite temps de créer votre conteneur chiffré. À vous de choisir son emplacement (disque dur, périphérique de stockage amovible) et sa taille. Si vous vous retrouvez à court d’espace, vous pourrez en créer d’autres par la suite. Notez que votre conteneur se retrouvera dans un dossier chameleonDrives au format BIN. Comme ce dernier n’est pas caché, nous vous conseillons de vous trouver un mot de passe suffisamment solide pour éviter les attaques «brute force».
#3
Le Disque virtueL Un disque virtuel sera alors créé dans le menu ordinateur à côté de vos lecteurs physiques. C’est ici qu’il faudra glisser-déposer vos fichiers à l’aide du clic droit pour avoir accès à un sous-menu. Le mieux étant de choisir sécuriserDéplacer pour éviter d’avoir des fichiers sensibles non chiffrés sur votre Bureau par exemple. Si vous retirez la clé, ce disque virtuel disparaîtra de l’écran (alors que le dossier chameleonDrives restera, lui, malheureusement visible). En la rebranchant, le mot de passe vous sera donné. Notez qu’avec les versions PRO, vous pourrez faire en sorte d’ouvrir ou de verrouiller une session rien qu’en branchant/débranchant la clé.
#4
Le LogicieL
Dans le logiciel chameleon Manager, vous pourrez créer d’autres conteneurs, supprimer ou modifier la taille de ceux déjà existants. Vous pourrez aussi changer votre mot de passe, le révoquer, dupliquer la clé (sur une autre clé Chameleon que vous aurez achetée à condition d’avoir conservé votre passphrase) ou faire migrer les conteneurs chiffrés. Au final, cette clé Chameleon ne révolutionne pas grand-chose, mais elle permettra sans doute à des gens n’étant pas familiers avec le chiffrement de sécuriser des documents professionnels. À condition d’avoir un administrateur pour faire de la pédagogie et pouvoir gérer les clés de chiffrement et les accès avec la version PRO Master.
51
CD OFFERT
Le package du pirate tous les logiciels indispensables
t i u t a r G % 0 10
Le guide pratique
100% micro-fiches, trucs & astuces
Messages privés Crack
RAT
Contrôle à distance P rotection Chiffrement
Keylogger P2P
BEL/LUX : 6 € - DOM : 6,10 € - PORT.CONT. : 6 € - CAN : 7,99 $ cad – POL/S : 750 CFP – MAR : 50 mad - TUN : 9,8 tnd
L 12730 - 25 - F: 4,90 € - RD
Anti-mAlwAre