J’sais pas si vous savez, mais dès que vous créez un fichier, il y a plein de données qui se retrouvent dedans, la plupart du temps à votre insu… Et ça fonctionne avec tout : Photos, documents, morceau de musique et j’en passe. Cela s’appelle des Métadonnées, ça n’a rien de nouveau mais c’est bien utile aux pentesteurs et autres experts OSINT pour mener à bien leurs enquêtes.

Évidemment, les mecs ont autre chose à faire et plutôt que d’aller fouiller tout à la main, ils se reposent sur des outils comme celui que je vous présente aujourd’hui et qui s’appelle MetaDetective .

Développé par des passionnés de cybersécurité , MetaDetective est propulsé par Python et contrairement à certains outils qui dépendent d’une myriade de bibliothèques externes, il est plutôt autonome et simple à utiliser. Seul prérequis : avoir exiftool installé sur votre système. Une fois cette étape franchie, vous êtes prêt à plonger dans l’aventure !

L’une des forces de MetaDetective réside surtout dans sa capacité à catégoriser et à présenter les métadonnées de manière intuitive. Fini le casse-tête des données brutes et désorganisées. Que vous analysiez un fichier unique ou un ensemble de documents, MetaDetective vous offre une vue d’ensemble claire et structurée. Chaque information est minutieusement classée, vous permettant de naviguer aisément dans la richesse des données extraites.

L’outil intègre des fonctionnalités avancées de web scraping et là où d’autres se contentent de gratter la surface, MetaDetective, lui, plonge en profondeur, explorant méticuleusement de nombreux sites web pour en extraire les métadonnées les plus pertinentes. Oubliez les restrictions d’IP et les proxy laborieux à des services tiers, puisqu’il va directement se fournir à la source.

Vous pourrez bien évidemment ajuster la profondeur d’exploration, cibler des types de fichiers spécifiques, et même exclure certains termes pour affiner vos résultats. Et grâce à ses options d’exportation flexibles, vous pouvez générer des rapports clairs au format HTML ou texte.

Mais attention, avec un grand pouvoir vient une grande responsabilité. L’utilisation de MetaDetective doit se faire dans le respect des lois et réglementations en vigueur. Cet outil puissant ne doit pas être utilisé à des fins malveillantes ou illégales.

Pour en savoir plus sur MetaDetective et accéder à sa documentation complète, rendez-vous ici .

Disney, notamment sa branche animation, a été victime d'un piratage qui a remis en lumière beaucoup de projets enterrés ainsi que des guides à destination des scénaristes.

Parmi les grands projets de l'Europe, Emmanuel Macron veut instaurer une majorité numérique à 15 ans. Dans les faits, le projet est bien plus complexe qu'il n'y paraît.

Salut les codeurs !

Aujourd’hui, je vais vous causer d’un truc qui va révolutionner votre façon d’auditer le code : l’extension VSCode weAudit ! C’est développé par les génies de Trail of Bits et c’est vraiment chouette, vous allez voir.

Il s’agit un outil de revue de code collaborative (d’audit quoi…) qui vous permet de prendre des notes et de traquer les bugs directement dans VSCode. Plus besoin de jongler entre 36 outils, weAudit centralise tout

Il est d’ailleurs bourré de fonctionnalités ultra pratiques :

• Des signets pour vos trouvailles et vos notes
• Un suivi des fichiers audités pour savoir où vous en êtes
• De la collaboration pour bosser en équipe sans vous marcher dessus
• La création directe d’issues GitHub bien formatées

Comme ça, plus besoin de vous prendre la tête avec des outils externes. Vous pouvez aller jeter un œil au code sur le repo GitHub .

Bon allez, je vous donne un petit exemple pour vous montrer à quel point c’est facile à utiliser. Disons que vous tombez sur un bout de code louche. Hop, vous sélectionnez ce code et vous utilisez le raccourci Cmd+J pour ajouter un signet « Finding ». Ça va surligner le code en rouge et ajouter une note dans la liste des findings. Et si vous voulez ajouter des détails sur le problème, pas de souci ! Cliquez sur le finding, remplissez les champs et même créez direct une issue GitHub.

Je ne sais pas comment on faisait avant weAudit.

Pour l’installer, rendez-vous sur le marketplace VSCode . Et si vous êtes à fond dans la sécurité des extensions VSCode , jetez aussi un œil aux articles de blog de Trail of Bits sur les vulnérabilités d’extensions VSCode mal configurées et comment s’échapper d’extensions VSCode bien configurées .

Allez, je vous laisse jouer avec weAudit. Vous m’en direz des nouvelles.

Les forces de police de 32 pays européens, dont la France, estiment que la généralisation du chiffrement de bout en bout entrave leur capacité à lutter contre les crimes les plus odieux.

— Article en partenariat avec Incogni —

Ah, les data brokers, ces entreprises mystérieuses dont on entend parler à peine plus souvent que de la météo sur Pluton (jamais en gros). Pourtant, ces entités obscures ont les mains (ou plutôt les serveurs) pleines de données, récoltées dans les plus sombres recoins numériques. J’ai déjà abordé le sujet sur ce site, mais comment opèrent-ils concrètement ? Voyage dans les entrailles du web pour percer le mystère des data brokers et comment lutter avec l’aide d’Incogni.

Qui sont-ils et que font-ils ?

Les data brokers , ce sont un peu les fantômes du cyberespace. On les connait rarement de nom, mais ils traquent nos traces numériques comme des chasseurs de primes à la recherche d’informations. Ils collectent des données de toutes sortes, du registre foncier à notre historique d’achat en passant par nos profils sociaux et nos activités en ligne. Une fois leur butin amassé, ils compilent le tout pour dresser un portrait-robot le plus précis possible et le revendent ou le partagent avec des tiers. Faisant de notre petite personne la cible d’un jeu de piste numérique. Tout ça pour quelques brouzoufs (enfin quelques … parfois ça peut se compter en centaines voire milliers d’euros). Le marché de la data étant en pleine phase d’expansion, ce marché juteux devrait quasiment doubler d’ici la fin de la décennie pour atteindre plus de 450 milliards de $.

Les types de data brokers

Et oui, contrairement à ce que vous pensez peut-être, tous les data brokers ne sont pas tous taillés dans le même moule. Ils offrent une variété de produits aux acheteurs. Cela va des informations financières à votre santé personnelle, en passant par le marketing et la publicité. Voici un petit tour d’horizon des espèces les plus répandues qui peuplent cet écosystème obscur.

Les brokers en recherche de personnes

Vous vous souvenez de ces annuaires téléphoniques épais et lourd comme un parpaing ? Eh bien ce type de broker fait la même chose, mais en version 2.0. Ils vous permettent de fouiller dans les profils d’autres consommateurs, de retrouver d’anciens amis ou de déterrer des secrets bien enfouis. Et pas besoin de sonner à leur porte pour qu’ils vous livrent leurs trouvailles, tout est en ligne et à portée de clic. Sans doute les brokers les plus visibles pour tous. Notamment accessibles sur des sites comme PeekYou, Spokeo ou White Pages. Une sorte de niveau 1 de l’espionnage, la base.

Les courtiers en marketing et publicité

C’est un peu comme la cour de récré pour les marketeurs. Ils segmentent les consommateurs en fonction de leur comportement et de leurs préférences, offrant des cibles sur un plateau d’argent aux annonceurs. Ils peuvent même enrichir nos profils avec des informations supplémentaires pour un ciblage ultra-précis (comme les géolocalisations ou le groupe ethnique). C’est pas cool, mais limite ce sont quasi les moins dangereux de l’histoire.

Les courtiers en informations financières

Si je vous cite des noms comme Experian, Equifax et Transunion il y a de grandes chances que cela ne vous dise rien. Pourtant, imaginez-les comme les trois mousquetaires de la data financière. Ils rassemblent tout ce qui s’y rapporte, que ce soit des rapports de crédit, des historiques de paiement et des informations sur les comptes débiteurs. Leur but ? Vendre les données aux institutions financières afin que celle-ci puisse prendre des décisions. Ils sont régis par diverses lois (notamment en Europe), mais ça ne les empêche pas de jouer les acrobates avec nos données. Un exemple concret ? Si l’on vous refuse un crédit de manière répétitive sans que vous compreniez trop pourquoi, c’est peut-être parce que les banques ont en stock vos précédents comportements et qu’ils n’ont pas assez confiance.

Les brokers en gestion des risques

Ces petits malins détectent les différentes fraudes que vous auriez pu commettre et vérifient les identités des clients en un clin d’œil. Avec des outils sophistiqués, ils peuvent traiter des millions de transactions par heure, gardant un œil vigilant sur nos activités et notre historique. Nos remboursements de crédit, nos salaires, les attestations ou amendes reçues, les découverts et autres agios, etc.

Les courtiers en santé

Ah, la santé, un sujet cher à nos cœurs et à nos portefeuilles. Ces brokers traquent par exemple nos achats de médicaments en vente libre, nos recherches sur les symptômes d’une maladie, nos abonnements à des magazines de santé, l’installation de certaines applications, etc. Ils vendent alors ces informations à des compagnies pharmaceutiques et d’assurance santé, faisant de notre bien-être une marchandise à échanger.

Mais d’où viennent ces données ?

Vous vous demandez peut-être comment ces brokers mettent la main sur nos données. Eh bien, c’est un peu comme un jeu de piste géant, avec des indices cachés dans tous les coins du web, parfois là où l’on ne s’y attend pas (voir mon article sur les différents leaks du milieu de l’automobile ).

Les sources gouvernementales

Les gouvernements sont généreux avec nos informations, fournissant des données sur tout, des naissances aux décès en passant par les permis de conduire. Les data brokers se servent à pleines mains dans ce buffet à volonté de données publiques, construisant des profils détaillés sans jamais nous demander notre avis. Et je ne parle même pas de ces derniers mois ou les organismes officiels de notre cher gouvernement sont entrés en mode « grande braderie » (fuites France Travail, Urssaf, etc.). Servez-vous ma bonne dame, 80% de la population française est à portée de clavier, livrée de bon coeur.

Les sources commerciales

Les entreprises aussi sont des donneurs généreux. Elles fournissent des historiques d’achat, des données de garantie et même des informations de carte de fidélité. Et comme un bon ami qui prête sans jamais demander à être remboursé, elles donnent tout ça gracieusement aux data brokers, qui se régalent sans se poser de questions.

Les sources publiquement disponibles

Nos vies numériques (ou tout du moins une partie) sont des sortes de livres ouverts pour les data brokers. Ils parcourent nos profils sociaux, nos messages sur les forums et nos commentaires sur les blogs pour trouver des indices sur nos vies. Des enquêteurs privés, mais avec des algorithmes à la place de loupes. Le point positif c’est qu’au moins sur cet aspect nous avons notre mot à dire. Nous pouvons limiter les informations que nous partageons, utiliser des identités alternatives, sécuriser et chiffre nos échanges, etc.

Le pistage web

Et enfin, il y a le traçage en ligne, la cerise sur le gâteau des data brokers. Avec des cookies et des identifiants publicitaires, ils suivent nos moindres mouvements sur le web, collectant des informations sur nos habitudes de navigation et nos achats en ligne, récupèrent la liste des applications que nous utilisons, etc. Comme si Big Brother avait embauché des paparazzis pour nous suivre partout où nous allons. Mais là encore nous avons une part de responsabilité et nous pouvons agir de manière proactive (navigateur sans traqueurs, VPN …).

C’est déjà trop tard ?

Peut-être, mais cela peut éventuellement changer. Ils sont partout, ils savent tout, et nous, on est là, à ne pas trop savoir quoi faire. Mais nous pouvons décider d’au moins leur donner du fil à retordre. Déjà en faisant attention à ce que nous partageons en ligne, en utilisant les bons outils, etc. Et en faisant appel à un service comme Incogni pour tout ce qui est déjà dans la nature et que l’on ne peut rattraper.

Incogni , le désormais bien connu outil de Surfshark, propose un abonnement pour vous aider à nettoyer les données personnelles des bases de données des courtiers en données et des entreprises qui les stockent. Basé sur des réglementations comme le RGPD en Europe et la CCPA en Californie, Incogni impose aux courtiers en données de supprimer les informations des utilisateurs. Ces données peuvent être des choses comme vos noms, adresses, numéros de téléphone, etc.

Son gros avantage est de tout automatiser. Vous n’avez pas besoin de contacter chaque broker pour lui demander de vous supprimer de sa base de données. Incogni va le faire pour vous et surtout, va s’assurer que le retrait perdure. Un autre aspect intéressant du tableau de bord de l’outil est que vous allez visionner très rapidement les différents niveaux de dangerosité des courtiers. Mais aussi de connaitre le champ d’action de chacun d’entre eux et si vous trainez plutôt du côté des données de santé ou de la publicité.

Concrètement pour voir comment cela se passe, je vous redirige vers mon test Incogni sur une période d’un an. On va dire que le gros du travail se fait sur les 3 premiers mois, et qu’ensuite les récalcitrants finissent pas craquer au fil des relances du service. En ce moment ce dernier est d’ailleurs à moins de 95€ TTC par an, environ 7.8€/mois.

Essayez Incogni !

Figurez-vous qu’ Elektrobit , le géant allemand de l’électronique automobile, vient de nous pondre un truc qui va faire plaisir aux fans de libre : EB corbos Linux , le premier système d’exploitation open source qui respecte les normes de sécurité les plus pointues du monde de la bagnole.

En gros, les constructeurs en ont marre de se trimballer des kilomètres de câbles et des centaines de boîtiers noirs dans leurs caisses-. L’idée, c’est de tout centraliser sur quelques « super ordinateurs » qu’ils appellent des « plateformes de calcul haute performance ». Et chacun gère son domaine : la conduite, l’info-divertissement, les aides à la conduite… Bref, ça simplifie le bordel et ça permet de faire évoluer les fonctionnalités sans toucher au hardware.

Le hic, c’est que tout ce bazar logiciel doit être hyper sécurisé. Parce que si votre autoradio plante, c’est pas bien grave, mais si c’est votre direction assistée qui décide de partir en vacances, bonjour les dégâts ! C’est là qu’ EB corbos Linux entre en scène.

Grâce à son architecture unique, ce système d’exploitation prend Linux et le rend compatible avec les exigences les plus draconiennes en matière de sécurité automobile, genre les normes ISO 26262 et IEC 61508 en utilisant un hyperviseur et un système de monitoring externe qui valide les actions du noyau. En gros, Linux peut continuer à évoluer tranquillou sans compromettre la sécurité.

Comme cette distrib est basé sur du bon vieux Linux, il profite de toute la puissance de l’open source. Genre les milliers de développeurs qui bossent dessus, les mises à jour de sécurité en pagaille, la flexibilité, la rapidité d’innovation… Tout ça dans une distrib’ véhicule-compatible, c’est quand même cool. En plus, Elektrobit a développé ce petit miracle main dans la main avec l’équipe d’ingénieurs d’Ubuntu Core chez Canonical. Autant dire que c’est du lourd !

Elektrobit a pensé à tout puisqu’ils proposent même une version spéciale pour les applications critiques, genre les trucs qui peuvent tuer des gens s’ils plantent. Ça s’appelle EB corbos Linux for Safety Applications , et c’est le premier OS Linux à décrocher la certification de sécurité automobile auprès du TÜV Nord.

Mais le plus cool, c’est qu’avec cet OS , vous pouvez laisser libre cours à votre créativité de développeur automobile. Vous voulez intégrer les dernières technos de conduite autonome, d’intelligence artificielle, de reconnaissance vocale… Pas de problème, Linux a tout ce qu’il faut sous le capot.

Imaginez que vous bossiez sur un système de reconnaissance de panneaux pour aider à la conduite. Avec ça, vous pouvez piocher dans les bibliothèques open source de traitement d’image, de machine learning, etc. Vous adaptez tout ça à votre sauce, en respectant les contraintes de sécurité, et voilà ! En quelques sprints, vous avez un truc qui déchire, testé et approuvé pour la route. Et si un autre constructeur veut l’utiliser, il peut, c’est ça la beauté de l’open source !

Autre exemple, vous voulez développer un système de monitoring de l’état de santé du conducteur, pour éviter les accidents dus à la fatigue ou aux malaises. Là encore, EB corbos Linux est votre allié. Vous pouvez utiliser des capteurs biométriques, de l’analyse vidéo, des algorithmes de détection… Tout en étant sûr que votre code ne mettra pas en danger la vie des utilisateurs.

Bref, vous l’aurez compris, c’est le meilleur des deux mondes avec d’un côté, la puissance et la flexibilité de Linux, de l’open source, de la collaboration à grande échelle et de l’autre, la rigueur et la sécurité indispensables au monde automobile, où la moindre erreur peut coûter des vies.

Source

Caché dans plusieurs applications de messagerie, ce logiciel espion permet aux cybercriminels de prendre le contrôle de votre smartphone.

D'abord testé à l'occasion d'un concert et d'un match de Ligue 1, le dispositif pourrait ensuite se généraliser à l'approche des Jeux olympiques.