L’apprentissage de la cryptographie n’est pas toujours évident lorsqu’on souhaite le faire par la pratique. Lorsque l’on débute, il existe cependant des challenges accessibles qui permettent de découvrir ce monde passionnant sans avoir de connaissances mathématiques approfondies en la matière. C’est le cas de picoCTF, qui propose une série d’épreuves en cryptographie avec une difficulté progressive et à destination des débutants !

UniFi est le nom commercial d'une famille de périphériques réseau fabriqués par la société Ubiquiti. Le concept derrière cette gamme est initialement de disposer d'une infrastructure complète (points d'accès, routeurs, switch, équipements domotiques, etc.) formant un ensemble homogène et gérable/configurable facilement via un applicatif de gestion nommé « UniFi Network Controller ». Le problème est qu'en jetant son dévolu sur un périphérique de la gamme en raison de ses caractéristiques séduisantes, le contrôleur est le seul moyen de procéder à sa configuration. Fort heureusement, il est possible de s'éviter un investissement supplémentaire en transformant une simple carte Raspberry Pi en contrôleur UniFi.

Web, VPN, IMAP, SMTP, accès distant, stockage, messagerie instantanée... Quels que soient le domaine, la technologie ou le protocole, l'authentification renforcée et le chiffrement représentent aujourd'hui le comportement par défaut. Et ce, au point que les protocoles historiques, en clair, sont désormais considérés, à juste titre, comme obsolètes et ne représentent plus qu'une utilisation marginale sur Internet. À la base de ce nouveau paradigme se trouve généralement TLS, le protocole de sécurisation des échanges et l'outil le plus basique vous permettant de gérer votre sécurité : openssl.

Il y a quelque temps déjà, je vous avais présenté un montage basé sur ESP8266 permettant de démarrer à distance un ordinateur en simulant l'utilisation de son bouton de mise en fonction. Depuis lors, ce projet relativement simple a été utilisé régulièrement et intensivement. Il est maintenant temps de tirer les leçons ainsi acquises et de faire évoluer la réalisation...

Les fonctionnalités de mises à jour OTA disponibles avec les ESP8266 apportent une grande souplesse dans le développement et surtout l'évolution de vos projets. Inutile dès lors de devoir désinstaller un matériel déjà confortablement en place pour le connecter en USB, puisque tout se passe, in situ, au travers de la connexion wifi. Mais contrairement à une liaison USB nécessitant un accès physique, l'OTA constitue un risque en termes de sécurité : quiconque trouve, espionne ou devine le mot de passe est en mesure de remplacer votre code par le sien. Mais le support ESP8266 pour Arduino propose une solution à cette faiblesse...

De nombreuses commandes Linux sont installées par défaut pour pouvoir gérer le réseau : obtention d'informations, téléchargement de données, etc. Nous présenterons dans cet article les commandes de base indispensables pour tout utilisateur de Linux, WSL ou macOS.

J'ai déjà parlé d'obfuscation [1], mais il s'agissait alors d'obscurcir l'un de nos programmes. Je vous propose ici une vision plus artistique en décortiquant un code Python très intéressant générant une image de l'ensemble de Mandelbrot.

Lorsque l’on commence à s’intéresser à la sécurité informatique, on est vite confronté à la complexité actuelle des systèmes, et l’apprentissage dans un contexte réaliste peut apparaître d’autant plus difficile. Il existe cependant une manière simple et ludique d’apprendre par la pratique grâce à des compétitions techniques aux niveaux variés, les CTF (Capture The Flag). Cet article propose, pour les débutants, un premier pas dans cet univers.

Imaginez avoir sous les yeux un écran de résolution « moderne » et devoir dans cette masse importante d'informations y trouver un ou plusieurs éléments spécifiques de l'image. Voilà une tâche bien indigne d'un humain qui se respecte, si ce n'est pour l'aspect ludique qui devient rapidement lassant. En bon programmeur, le réflexe premier devant une telle tâche, parfois même avant de tenter une première fois l'approche « manuelle », est de se dire « mais je peux écrire un programme pour ça ! ». Ce qui va suivre est l'implémentation d'un tel réflexe...

Les fonctions printf() sont parmi les premières utilisées lorsqu'on découvre le C et sans doute celles qu'on retrouve systématiquement dans tout code du plus simple au plus massif et complexe. C'est aussi la solution la plus basique de mise au point d'un programme en le rendant le plus verbeux possible. En fonction du projet sur lequel vous travaillez cependant, il arrive que ces fonctions ne disposent pas de la forme d'affichage qui vous conviendrait le mieux. Mais avec la glibc, ce n'est pas un problème : il suffit d'ajouter vous-même ce qui manque...

Il y a des jours où il nous arrive des idées saugrenues mais où, plutôt que de les chasser rapidement de notre esprit, on fonce tête baissée pour les mettre en œuvre. Le jour où je me suis mis en tête de connecter un Commodore 64 à une carte Arduino pour les faire communiquer était un de ceux-là. Pire encore, hors de question de faire cela en BASIC. Si c'est du C côté Arduino, ce sera aussi du C côté Commodore 64 !

Si vous vous souvenez bien du moment où le modèle 4B a été annoncé, les choses ne se sont pas tout à fait passées calmement. De nombreux problèmes se sont fait jour et beaucoup d'utilisateurs constataient que la consommation électrique de la bête était pour le moins inquiétante, et étrangement proportionnelle aux problèmes de dissipation thermique qui étaient la principale critique du moment. En d'autres termes, même si la puissance de calcul était bien là, ce nouveau modèle avait tout du chauffage d'appoint intelligent. Ce problème a néanmoins été réglé depuis et a été l'occasion de mettre en avant une particularité intéressante de cette carte...

i2c, SPI, JTAG, série, CAN, DMX, MIDI... sont autant de bus et protocoles, normalisés et standardisés, qu'on utilise régulièrement pour divers projets. Pour cela, on fait généralement usage de bibliothèques, d'environnements et autres frameworks parfaitement connus et stables, si bien qu'il n'est généralement pas nécessaire d'aller voir ce qui se passe au niveau le plus bas, électriquement, sur le bus. Mais parfois, tout ne se déroule pas comme on le souhaiterait, les résultats et les comportements des composants ne sont pas ceux espérés et il faut alors observer physiquement ce qui se passe. C'est là qu'intervient l'analyseur logique.

Les vieilles maisons c'est très bien, les vieilles maisons avec un jardin c'est encore mieux. En revanche, ce qui est un peu moins agréable avec ce type d'environnement, c'est la difficulté de propager un signal Wifi au travers de murs faits de matériaux divers mais, semble-t-il, toujours denses et bourrés d'oxyde de fer. Obtenir une connectivité Wifi acceptable en extérieur, tout en traversant 3 ou 4 murs devient un vrai défi, qui ne peut être relevé qu'à condition de modifier son architecture réseau.

Ces dernières années, les programmes de bug bounty et la recherche de vulnérabilités libre ont augmenté notablement le nombre de failles trouvées sur les services en ligne. Une fois la vulnérabilité trouvée, le chercheur en sécurité essaie en général de contacter l'équipe sécurité du service en ligne pour lui signaler le problème. Et là, cela peut devenir un véritable casse-tête, car rien n'était jusqu'à maintenant normalisé et documenté. Voyons comment la proposition du fichier security.txt a amélioré la situation et ce qu'il faut mettre en place de votre côté pour bien traiter ces remontées.

Les caméras à base d'ESP32, quels que soient leurs modèles, sont des plateformes très amusantes, mais ceci le devient encore davantage lorsqu'on commence à chercher à les modifier. Le très faible coût, à la fois de la plateforme elle-même et de la caméra qui y est connectée, nous permet de procéder à des manipulations qui, dans un contexte différent seraient sans doute jugées trop risquées. Ici, pas de problème, si nous cassons quelque chose cela ne nous coûtera qu'entre 2 et 5 euros et le temps passé à expérimenter...

Parfois, on achète des bricoles sur eBay et on ne fait pas attention aux détails tant le prix est étonnamment faible. C'est ainsi qu'on peut avoir quelques surprises à la livraison et, tantôt, ces surprises peuvent être bonnes... Voilà comment, en pensant acheter des clones d'Arduino Nano à bas coût, je me suis finalement retrouvé avec des clones d'ATmega328 à bas coût ! Les cartes étaient en effet équipées d'un microcontrôleur MassDuino MD-328D, vendues par INHAOS Technology et ne se contentant pas d'être simplement compatibles avec les AVR d'Atmel/Microchip...