L’apprentissage de la cryptographie n’est pas toujours évident lorsqu’on souhaite le faire par la pratique. Lorsque l’on débute, il existe cependant des challenges accessibles qui permettent de découvrir ce monde passionnant sans avoir de connaissances mathématiques approfondies en la matière. C’est le cas de picoCTF, qui propose une série d’épreuves en cryptographie avec une difficulté progressive et à destination des débutants !

Les fonctionnalités de mises à jour OTA disponibles avec les ESP8266 apportent une grande souplesse dans le développement et surtout l'évolution de vos projets. Inutile dès lors de devoir désinstaller un matériel déjà confortablement en place pour le connecter en USB, puisque tout se passe, in situ, au travers de la connexion wifi. Mais contrairement à une liaison USB nécessitant un accès physique, l'OTA constitue un risque en termes de sécurité : quiconque trouve, espionne ou devine le mot de passe est en mesure de remplacer votre code par le sien. Mais le support ESP8266 pour Arduino propose une solution à cette faiblesse...

De nombreuses commandes Linux sont installées par défaut pour pouvoir gérer le réseau : obtention d'informations, téléchargement de données, etc. Nous présenterons dans cet article les commandes de base indispensables pour tout utilisateur de Linux, WSL ou macOS.

J'ai déjà parlé d'obfuscation [1], mais il s'agissait alors d'obscurcir l'un de nos programmes. Je vous propose ici une vision plus artistique en décortiquant un code Python très intéressant générant une image de l'ensemble de Mandelbrot.

Lorsque l’on commence à s’intéresser à la sécurité informatique, on est vite confronté à la complexité actuelle des systèmes, et l’apprentissage dans un contexte réaliste peut apparaître d’autant plus difficile. Il existe cependant une manière simple et ludique d’apprendre par la pratique grâce à des compétitions techniques aux niveaux variés, les CTF (Capture The Flag). Cet article propose, pour les débutants, un premier pas dans cet univers.

Imaginez avoir sous les yeux un écran de résolution « moderne » et devoir dans cette masse importante d'informations y trouver un ou plusieurs éléments spécifiques de l'image. Voilà une tâche bien indigne d'un humain qui se respecte, si ce n'est pour l'aspect ludique qui devient rapidement lassant. En bon programmeur, le réflexe premier devant une telle tâche, parfois même avant de tenter une première fois l'approche « manuelle », est de se dire « mais je peux écrire un programme pour ça ! ». Ce qui va suivre est l'implémentation d'un tel réflexe...

Les fonctions printf() sont parmi les premières utilisées lorsqu'on découvre le C et sans doute celles qu'on retrouve systématiquement dans tout code du plus simple au plus massif et complexe. C'est aussi la solution la plus basique de mise au point d'un programme en le rendant le plus verbeux possible. En fonction du projet sur lequel vous travaillez cependant, il arrive que ces fonctions ne disposent pas de la forme d'affichage qui vous conviendrait le mieux. Mais avec la glibc, ce n'est pas un problème : il suffit d'ajouter vous-même ce qui manque...

Il y a des jours où il nous arrive des idées saugrenues mais où, plutôt que de les chasser rapidement de notre esprit, on fonce tête baissée pour les mettre en œuvre. Le jour où je me suis mis en tête de connecter un Commodore 64 à une carte Arduino pour les faire communiquer était un de ceux-là. Pire encore, hors de question de faire cela en BASIC. Si c'est du C côté Arduino, ce sera aussi du C côté Commodore 64 !

Si vous vous souvenez bien du moment où le modèle 4B a été annoncé, les choses ne se sont pas tout à fait passées calmement. De nombreux problèmes se sont fait jour et beaucoup d'utilisateurs constataient que la consommation électrique de la bête était pour le moins inquiétante, et étrangement proportionnelle aux problèmes de dissipation thermique qui étaient la principale critique du moment. En d'autres termes, même si la puissance de calcul était bien là, ce nouveau modèle avait tout du chauffage d'appoint intelligent. Ce problème a néanmoins été réglé depuis et a été l'occasion de mettre en avant une particularité intéressante de cette carte...

i2c, SPI, JTAG, série, CAN, DMX, MIDI... sont autant de bus et protocoles, normalisés et standardisés, qu'on utilise régulièrement pour divers projets. Pour cela, on fait généralement usage de bibliothèques, d'environnements et autres frameworks parfaitement connus et stables, si bien qu'il n'est généralement pas nécessaire d'aller voir ce qui se passe au niveau le plus bas, électriquement, sur le bus. Mais parfois, tout ne se déroule pas comme on le souhaiterait, les résultats et les comportements des composants ne sont pas ceux espérés et il faut alors observer physiquement ce qui se passe. C'est là qu'intervient l'analyseur logique.

Les vieilles maisons c'est très bien, les vieilles maisons avec un jardin c'est encore mieux. En revanche, ce qui est un peu moins agréable avec ce type d'environnement, c'est la difficulté de propager un signal Wifi au travers de murs faits de matériaux divers mais, semble-t-il, toujours denses et bourrés d'oxyde de fer. Obtenir une connectivité Wifi acceptable en extérieur, tout en traversant 3 ou 4 murs devient un vrai défi, qui ne peut être relevé qu'à condition de modifier son architecture réseau.

Ces dernières années, les programmes de bug bounty et la recherche de vulnérabilités libre ont augmenté notablement le nombre de failles trouvées sur les services en ligne. Une fois la vulnérabilité trouvée, le chercheur en sécurité essaie en général de contacter l'équipe sécurité du service en ligne pour lui signaler le problème. Et là, cela peut devenir un véritable casse-tête, car rien n'était jusqu'à maintenant normalisé et documenté. Voyons comment la proposition du fichier security.txt a amélioré la situation et ce qu'il faut mettre en place de votre côté pour bien traiter ces remontées.

Les caméras à base d'ESP32, quels que soient leurs modèles, sont des plateformes très amusantes, mais ceci le devient encore davantage lorsqu'on commence à chercher à les modifier. Le très faible coût, à la fois de la plateforme elle-même et de la caméra qui y est connectée, nous permet de procéder à des manipulations qui, dans un contexte différent seraient sans doute jugées trop risquées. Ici, pas de problème, si nous cassons quelque chose cela ne nous coûtera qu'entre 2 et 5 euros et le temps passé à expérimenter...

Parfois, on achète des bricoles sur eBay et on ne fait pas attention aux détails tant le prix est étonnamment faible. C'est ainsi qu'on peut avoir quelques surprises à la livraison et, tantôt, ces surprises peuvent être bonnes... Voilà comment, en pensant acheter des clones d'Arduino Nano à bas coût, je me suis finalement retrouvé avec des clones d'ATmega328 à bas coût ! Les cartes étaient en effet équipées d'un microcontrôleur MassDuino MD-328D, vendues par INHAOS Technology et ne se contentant pas d'être simplement compatibles avec les AVR d'Atmel/Microchip...

Comme je l'avais évoqué dans un précédent article, les FPGA sont des circuits logiques programmables de plus en plus populaires et accessibles en dehors du milieu très fermé de l'industrie. Ces circuits intégrés composés de réseaux logiques reconfigurables et modifiables permettent toute une gamme de créations qu'il n'est pas possible d'envisager avec un microcontrôleur ou un processeur. Malheureusement, la plupart des FPGA existants ne disposent pas d'outils open source et le développeur doit alors utiliser les logiciels lourds provenant des fondeurs de circuits. Mais ça, c'était avant l'arrivée du trio YOSYS/Nextpnr/IceStorm...

« Briquer » une carte, un module ou un smartphone est un terme que je trouve absolument pertinent. Cela désigne le fait d'arriver à un stade, après maintes bidouilles ou erreurs, où le matériel est dans un tel sale état de configuration qu'il n'est plus possible de s'en sortir par des moyens logiciels courants et standards. L'objet se transforme littéralement en brique, juste bon à servir de presse-papier high-tech. Cela m'est précisément arrivé avec une carte Arduino MKR Vidor 4000. Mais à cœur vaillant (et obstiné) rien d'impossible et voici donc la solution pour vous sortir du même pétrin.

Lorsque vous créez un programme Python, vous vous demandez toujours comment gérer la configuration de ses paramètres ? Allez-vous utiliser un passage de paramètres en ligne, des variables d'environnements, un fichier ini ? Et si finalement la solution tenait dans un seul module ?